IPv6局域网攻击安全检测研究

利用IPv6协议某些规程漏洞的攻击也越来越多。该文对IPv6局域网攻击的原理、网络检测技术的分类进行阐述,分析IPv6局域网攻击检测策略．设计了扫描攻击检测的实现方法。     

对UDP中穿越NATs的IPv6隧道的改进

介绍了一种Tcredo服务，它是通过UDP隧道传输包使得IPv4 NAT后的节点连接到IPv6网络，从而实现了IPv4局域网内节点与IPv6节点的通信，提出了对该技术的改进，描述了其运作过程，并比较了二者的异同。     

IPv6中的DoS/DDoS攻击流量突发检测算法

IPv6下的安全体系结构IPSec对IPv6网络的安全起到了一定的作用,但是它对某些特殊攻击的防范,例如泛洪DoS/DDoS攻击,却无能为力。该文通过对IPv6中泛洪DoS/DDoS攻击发生时的流量特征的分析,对基于网络流量突发变化的DoS/DDoS攻击检测算法在IPv6下的应用进行研究,分别用Matlab和NS-2对算法进行有效性和可行性验证。结果表明,突发流量检测算法在IPv6环境中运行良好。     

基于数据挖掘的IPv6异常检测研究

保障IPv6网络安全已经成为当前十分紧迫的任务。针对传统基于IPv4协议的入侵检测系统难以适应IPv6网络高带宽环境问题,借鉴数据挖掘方法,构建IPv6网络异常检测原型系统,支持IPv6协议,自动挖掘网络行为模式,保证异常检测的自适应性。实验结果表明,该原型系统基本适应IPv6环境,可有效检测出各种攻击或异常行为。     

抗灰洞攻击的IPv6网络部署改造方法

针对原有IPv6网络部署改造方法对于灰洞攻击检测能力较差,导致IPv6网络攻击预警能力较差的问题,设计一种抗灰洞攻击的IPv6网络部署改造方法。采用层次化的设计理念,将网络构架从逻辑角度分为核心层、汇聚层、接入层以及广域网与服务器的接入部分,以网络构架为基础,优化网络中使用的服务器群以及网络间接方式。设定网络检测匹配规则,将接入方式作为网络中路由器的间接方法,针对多模式网络攻击,应用多模式检测方法实现IPv6网络攻击检测。实验结果表明,本文方法的灰洞攻击预警能力较强,操作系统的兼容性较高。     

基于动态规则的IPv6入侵检测系统研究

本文在分析snort规则检测及Snort入侵检测系统工作原理的基础上,结合IPv6协议本身的特点及其安全性,提出一种IPv6动态规则匹配机制,通过增加选项索引链表,对规则匹配的次序进行动态调整,实现了一个快速高效的IPv6入侵检测系统.实验表明,该系统可有效地检测IPv6各种攻击,平均每包检测速度提高了约12.53%.     

基于动态规则的IPv6入侵检测系统研究与实现

分析了snort规则检测及Snort入侵检测系统工作原理,结合IPv6协议本身的特点及其安全性,提出一种IPv6动态规则匹配机制,通过增加选项索引链表,对规则匹配的次序进行动态调整,实现了一个快速高效的IPv6入侵检测系统.实验结果表明,该系统可有效地检测IPv6各种攻击,平均每包检测速度提高了约12.53%.     

IPv6与隧道多地址性的DoS攻击放大问题研究

DoS攻击是威胁IPv4网络安全的重要问题之一.随着IPv6的发展,相关安全问题也逐步体现并影响IPv6网络的正常运行.该文指出利用IPv6和隧道主机的多地址性,攻击者可获得大量合法IPv6地址,通过伪装成多个虚拟主机实施对目标设备的DoS攻击.这种攻击具有大量的可用地址范围,且受控于同一真实主机,通过不断使用新地址和多地址间配合,可避开以IP为单位的传统检测与防御策略,并可有效放大攻击节点数目或减少实际攻击节点数量.为此提出了基于地址特征分类的防御框架(defense framework based on addresses classification,DFAC).通过分类不同地址特征,构造特征子集,在特征子集基础上实施对虚拟主机攻击的检测和防御,解决虚拟主机引发的放大问题.原型系统实验结果表明,DFAC有效地降低了上述DoS攻击对系统负载的影响.     

IPv6下TCP分片攻击的研究和检测实现

IPv6相对于IPv4来说，有更好的安全特性，但不能完全消除网络攻击和入侵。通过分析IPv6下的分片重组机制以及IPv6分片重组在Snort入侵检测系统中的实现，设计了在Snort下进行TCP分片攻击的试验，实验表明只要入侵检测系统与服务器本身的TCP／IP堆栈对数据包的处理方式上存在着不同，TCP分片攻击是非常有效的从底层绕过入侵检测系统检测的攻击方式，最后给出了网络管理和配置的建议。     

IPv6环境下的网关负载均衡策略的研究与实现

在一个IPv6局域网中,VRRP可以在网中配置静态默认路由的环境下消除单点失效,保证了IPv6网络的稳定性。VRRP并不支持动态负载均衡,对带宽的利用和资源的优化都有待提高。本文介绍了VRRP负载均衡的组网配置。在原VRRP标准协议报文的基础上,进行报文字段扩展,提出虚拟转发器状态机的概念。通过科学的软件开发和测试流程实现,得到正确的数据,实现负载均衡策略。     

IPv6的DoS／DDoS攻击及防御

IPv6无疑要比IPv4更加安全,但其本身就不是认证加密所能解决,而且就目前来看IPsec的大规模应用还有许多问题需要解决。本文详细分析了IPv6网络的DoS／DDoS攻击并针对IPV6可能面临的各种形式的拒绝服务攻击展开了讨论。     

IPv6 WLAN安全网关设计

IPv6强大的寻址方案和对移动性的支持,使其在WLAN中的应用成为一种趋势。WLAN为用户提供了便捷接入的同时,也带来相较于有线网络更大的安全威胁,IPv6的邻居发现协议和自动配置功能等这些特点使得WLAN的接入安全变得更为复杂。设计一个IPv6 WLAN环境下的安全网关,能够检测到网络中潜在的漏洞和威胁,通过搭建实验环境,并对未授权接入、DAD DOS攻击和重定向攻击三种安全威胁进行了仿真,实验结果证明该安全网关的有效性。     

基于IPv6的RIPng路由技术研究

IPv6采用了128位的多层次地址结构，能够提供更多的路由信息。所以IPv4下的路由协议都需要做相应的修改，以便扩展其路由选择能力。RIPng是一个简单的、易于实现的协议，是能够工作在IPv6环境下的路由协议之一。文中描述了IPv6路由原理，着重研究了RIPng路由协议的信息格式、输入处理和输出处理技术。     

IPv6骨干网络的拓扑发现

随着IPv6网络的不断发展,并进入大规模部署阶段,获取IPv6互联网络的拓扑结构成为一项具有挑战性的研究内容。尽管对于IPv4骨干网络拓扑发现存在一些方法,但由于IPv6在协议上的变化,使得这些方法并不完全适用,而IPv6的新特性也使得某些未曾使用的方法成为可能。本文阐述了IPv6网络环境下一系列拓扑发现方法和技术实现,包括骨干网络拓扑发现算法、IPv6地理拓扑信息的获取方法,并提出了根据IPv6网络隧道技术的分布式拓扑发现新方法,并在此基础上对使用该方法获取的IPv6骨干网络拓扑数据进行了分析和总结。     

IPv6隧道代理机制中的DDoS攻击安全性分析

DDoS攻击是当今IPv4网络上最严重的威胁之一,IPv6网络在安全性方面的设计十分优越,但由IPv4过渡到IPv6网络还需要一些转换机制,本文对转换机制中存在的安全问题进行了介绍,并着重分析了TunnelBroker(隧道代理)机制下的DDoS攻击。     

针对IPv6的邻居发现协议的DoS攻击分析

DoS攻击一直是Internet最主要的威胁。随着Internet的发展,IPv6毫无疑问将代替Internet现在的主要协议IPv4。该论文主要关注IPv6下使用IPSec配置或不使用IPSec的情况下的针对协议的DoS攻击,主要涉及与IPv6邻居发现协议(NDP)相关的DoS攻击。     

Feature Selection for Detecting ICMPv6-Based DDoS Attacks Using Binary Flower Pollination Algorithm

Internet Protocol version 6 (IPv6) is the latest version of IP that goal to host 3.4 × 10³⁸ unique IP addresses of devices in the network. IPv6 has introduced new features like Neighbour Discovery Protocol (NDP) and Address Auto-configuration Scheme. IPv6 needed several protocols like the Address Auto-configuration Scheme and Internet Control Message Protocol (ICMPv6). IPv6 is vulnerable to numerous attacks like Denial of Service (DoS) and Distributed Denial of Service (DDoS) which is one of the most dangerous attacks executed through ICMPv6 messages that impose security and financial implications. Therefore, an Intrusion Detection System (IDS) is a monitoring system of the security of a network that detects suspicious activities and deals with a massive amount of data comprised of repetitive and inappropriate features which affect the detection rate. A feature selection (FS) technique helps to reduce the computation time and complexity by selecting the optimum subset of features. This paper proposes a method for detecting DDoS flooding attacks (FA) based on ICMPv6 messages using a Binary Flower Pollination Algorithm (BFPA-FA). The proposed method (BFPA-FA) employs FS technology with a support vector machine (SVM) to identify the most relevant, influential features. Moreover, The ICMPv6-DDoS dataset was used to demonstrate the effectiveness of the proposed method through different attack scenarios. The results show that the proposed method BFPA-FA achieved the best accuracy rate (97.96%) for the ICMPv6 DDoS detection with a reduced number of features (9) to half the total (19) features. The proven proposed method BFPA-FA is effective in the ICMPv6 DDoS attacks via IDS.