IP城域网DDoS攻击的检测与封堵探讨

近两年来,分布式拒绝服务(Distributed Denial of Service,DDoS)攻击成为一种日益常见的网络异常流量,它不仅导致被攻击者的网络服务中断,还对电信运营商的IP城域骨干网的安全构成严重威胁.从电信运营商的角度,分析了危害IP城域网安全的DDoS攻击特征,在综合考虑攻击特征、技术现状、投资成本的基础上,提出一种容易在IP城域网部署的DDOS攻击检测与封堵方案.试用结果表明,该方案可以显著提高运营商IP城域网在DDoS攻击事件方面的响应处理能力.     

TCP/IP协议的脆弱性与相应的对策

TCP/IP是目前网络环境中广泛采用的联网协议。分析了TCP/IP协议存在的安全隐患和具体实现中的一些弱点,介绍了利用相应的弱点进行攻击的方法。最后,给出一些防止攻击者利用这些弱点进行攻击的方法。     

ARP欺骗类病毒的防御

利用TCP／IP协议安全漏洞进行欺骗攻击的事件经常发生,攻击者利用ARP欺骗进行于巨绝服务攻击（DoS）或中间人攻击,造成网络通信中断或数据被截取和窜改,严重影响网络的安全。本文通过ARP协议原理分析揭示ARP协议欺骗,并对ARP病毒攻击提出一套有效可行的防犯措施和解决办法。     

跟踪僵尸网络

密罐是一种用采发现攻击工具、攻击策略与攻击者攻击动机的技术。在本文中，我们考虑一种特殊的安全威胁：运行僵尸网络的个人与组织。僵尸网络是一个可以由攻击者远程控制的已被攻陷主机组成的网络。由于它们数量巨大（可以把几万台主机连接在一起），因此对网络构成了极其严重的威胁。在蜜网的帮助下，我们可以观察运行僵尸网络。由于记录数据的丰富性，这使得重构攻击者的行动、使用的工具和详细地研究他们成为了可能。这里，我们对僵尸网络、普遍的攻击技术做更进一步的介绍。     

攻击图展示技术研究

攻击图技术是一种基于模型的网络脆弱性评估方法。它通过对目标网络建模,以攻击规则对攻击者建模,然后根据二者之间的相互作用关系产生攻击图,展示目标网络内各个脆弱性之间的关系、脆弱性与网络安全配置之间的关系。早期的攻击图都是采用手工生成,速度慢效果差。为了方便研究人员使用攻击图分析目标网络安全状况,对攻击图的自动展示技术进行了研究。通过选用成熟的软件和设计合适的转换方法对攻击图进行解析,生成简洁清楚的攻击图,提高了攻击图的效能。     

恶意网站

攻击者经常使用网站执行网络钓鱼攻击或分发恶意软件。恶意网站通常看上去完全合法,并且经常没有任何表露恶意性质的外部标志,甚至是经验丰富的计算机用户也看不出任何破绽。为了帮助用户避开恶意网页,Microsoft和其他浏览器供应商开发了一些筛选器来保持跟踪可托管恶意软件和网络钓鱼攻击的站点,并在用户尝试导航到这些站点时显示明显的警告。     

关于DHCP租约时间的安全性分析

DHCP是应用广泛的IP地址分配技术.由于DHCP的技术特点,它有两种被广泛讨论的安全风险,一是假冒DHCP服务器攻击,二是DHCP服务器的饿死攻击.本文通过分析RFC国际规范和现有的应用技术第一次对DHCP租约时间进行了安全性的讨论,并给出了对策措施.     

防窃听和污染攻击的安全网络编码

搭线窃听和污染攻击是安全攻击中的2种重要手段。研究表明,网络编码自身的数据融合特性能够达到一定的安全传输效果。针对污染攻击和搭线窃听攻击,在此提出一种能够防御全能窃听和污染攻击的安全网络编码。在攻击者具有全能窃听能力以及污染部分链路,该方案通过对传输的信息进行哈希达到了防污染攻击的效果,对全局编码向量进行加密实现了防污染攻击,该方案适用于攻击者窃听能力较强并且具有污染攻击威胁的网络中。分析结果表明,该方案是有效的。     

基于动态口令的应用层DDoS攻击防御方案

研究和设计了使用动态口令技术来保护服务器抵御DDoS攻击的OTP-DEF方案.首先,方案可根据服务器工作负载的不同,分别处于正常、疑似受攻击或确认受攻击3种工作模式之下,而基于动态口令的认证方案只在疑似受攻击工作模式下起作用.其次,由于动态口令会自动变化,故方案可抵御复制、重放和暴力破解攻击.第三,通过记录那些不解决难题并不断发送请求的IP地址来识别客户端是否为攻击者,一旦所有攻击者被识别出来后,OTP-DEF屏蔽其IP地址并停止发布难题,以便正常用户能方便地使用服务.最后,只需在服务器端实施和部署,客户端无需做任何更改.     

Web应用中SQL注入攻击研究

SQL注入攻击是一种利用客户端用户提交数据构成查询语句而没有对潜在有害字符进行处理就在Web应用后台数据库中执行,从而产生与应用预期不同结果的一种攻击手段。在Internet或企业内部网络中,对Web应用中进行SQL注入攻击大量存在。这种攻击手段很容易被攻击者利用,但是只要对Web应用采取合理的安全防护措施就可以阻止SQL注入的发生或减少攻击造成的损失。     

针对ARP协议的攻击与防范

ARP协议对网络安全具有重要意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中实现欺骗、假冒、监听等攻击。     

IPsec安全策略应用

IPSec是由IETF组织定义的标准框架,包括有数据格式协议、密钥交换和加密算法等,为IP网络通信提供透明的安全服务。IPSec不仅能为企业局域网与拨号用户、域、网站、远程站点等之间的通信提供强有力且灵活的保护,而且还能用来筛选特定数据流。通过应用IPSec安全策略来筛选特定的IP或端口,并给出配置过程,提供了安全、高效和透明的网络保护,提高了安全保障性能,从而限制常见病毒、木马、黑客的攻击。     

蜜罐识别技术研究

蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术,它的核心价值在于被探测、被攻击或者被威胁,以此达到对这些攻击活动的检测与分析,从而了解攻击者的目的、攻击手段甚至于心理习惯,最终实现从观察攻击者的行为中学习到深层次的信息保护的方法。在蜜罐技术的应用过程中,最为关键的一点就是蜜罐系统对攻击者所具有的迷惑性。从蜜罐系统特有的系统特征、硬件特征以及网络特征出发,分析各种蜜罐系统或者虚拟机系统中可能存在的一些可识别的特性,提出一些识别方案并针对部分方法进行了编程识别,希望能够引起安全行业的重视,能够推动蜜罐技术的发展。     

IP网络攻击及安全防护浅析

随着3G,IPTV等业务离我们的生活越来越近,全IP网络的融合也离我们越来越近。全IP承载网给我们带来了标准化、高带宽、资源共享、网络共享等优点的同时,也给我们带来了新的思考和挑战。最大的挑战无非来自于两个方面,即IP的服务质量以及IP的网络安全。传统的专网专用的通讯网络可以提供给用户稳定性更好更安全的业务,带给用户更好的网络体验。使用IP网络来承载上层应用确实带给我们很多不确定性。延迟、丢包、抖动、不稳定性都会给运营商的服务质量带来很大冲击。同时,针对IP网络的安全攻击事件也层出不穷。但从总的趋势来看,全IP承载是大势所趋,利远大于弊。爱立信中国学院易飞所撰《IP网络攻击及安全防护浅析》一文从技术的角度详细探讨了针对应用层的攻击、针对传输层的攻击、针对网络层的攻击和针对数据链路层的攻击造成的危害及解决方法,可供相关技术人员参考。d     

电信网络IP化的安全问题分析及应对策略

电信网络IP化后,由于TCP/IP协议本身的漏洞,面临新的安全问题,其中威胁最大的是分布式拒绝服务(DDoS)攻击.本文在详细介绍了DDoS攻击的原理和危害的基础上,提出了几种防范策略,可以在很大程度上提高电信网络解决安全问题的能力,保证电信网络的安全、稳定.     

基于身份认证的BACnet/IP分析与改进

为了解决BACnet/IP身份认证存在多种可攻击漏洞和密钥泄露带来的安全问题,提出了一种安全增强的BACnet/IP-SA协议认证方案。研究协议身份认证消息流模型,基于着色Petri网理论和CPNTools对身份认证消息流建模,采用Dolev-Yao攻击者模型和形式化分析方法对BACnet/IP进行安全性分析,发现协议漏洞并提出改进方案。BACnet/IP-SA协议使用设备的伪身份来保护真实身份信息,使用PUF响应进行认证,通过多信息集合的验证值来验证端身份的真实性并生成会话密钥。结合BAN逻辑和非形式化方法,对协议的安全性进行了证明。实验结果表明,所提方案能有效抵抗多类攻击和密钥泄露带来的安全威胁,在减少计算开销的同时增强了协议身份认证的安全性。     

网络攻击追踪方法的分析与系统模型的建立

目前 ,计算机网络安全问题越来越严重。入侵检测是识别网络攻击的主要手段 ,现有的入侵检测系统可以检测到大多数基于网络的攻击 ,但不能提供对真实攻击来源的有效追踪。本文分析了IP地址追踪方法 ,结合现有的入侵检测技术提出了网络攻击源追踪系统的模型 ,阐述了该系统的体系结构和各部分的主要功能 ,给出了利用相关性分析对攻击者的攻击路径进行回溯的基本思想 ,对网络安全管理具有一定的借鉴意义。     

计算机网络安全评估建模研究

安全性分析研究工作需要把计算机网络与安全相关的系统资源和安全因素抽取出来建立一种面向安全性分析的安全模型。从安全需求的类别、等级和面临的主要威胁出发,分析了系统设备、访问权限、主体连接关系和弱点,从攻击者目的是提升特权的角度对攻击作了形式化的描述。针对计算机系统的安全故障树方法和网络信息系统的攻击图方法应用了这一安全分析建模工作。     

基于贝叶斯攻击图的SDN安全预测方法

现有研究者采用威胁建模和安全分析系统的方法评估和预测软件定义网络（software defined network, SDN）安全威胁,但该方法未考虑SDN控制器的漏洞利用概率以及设备在网络中的位置,安全评估不准确。针对以上问题,根据设备漏洞利用概率和设备关键度结合PageRank算法,设计了一种计算SDN中各设备重要性的算法;根据SDN攻击图和贝叶斯理论设计了一种度量设备被攻击成功概率的方法。在此基础上设计了一种基于贝叶斯攻击图的SDN安全预测算法,预测攻击者的攻击路径。实验结果显示,该方法能够准确预测攻击者的攻击路径,为安全防御提供更准确的依据。     

SQLMVED:基于多变体执行的SQL注入运行时防御系统

SQL解析过程中利用随机化进行SQL注入攻击(SQLIA)防御的有效性是建立在攻击者不了解当前系统采用的具体随机化方法的基础上,因此,攻击者一旦掌握了当前系统的随机化形式,便能够实施有效的SQLIA。为了解决该问题,基于多变体执行设计出一种SQL注入运行时防御系统,多变体间采用互不相同的随机化方法,攻击者注入的非法SQL无法同时被所有变体解析成功,即使在攻击者掌握了随机化方法的情况下,非法SQL也最多只能被某一变体解析成功,利用表决机制对多变体的响应结果或解析结果进行表决,及时发现异常,阻断SQLIA的攻击路径。面向Web服务实现了原型系统SQLMVED,实验证明该系统能够有效抵御SQLIA。