基于认证的反射DDoS源追踪新方案研究

利用基于密钥集序列的消息认证码理论，以动态概率包标记和现代代数理论为基础，针对当前危害甚大的分布式反射拒绝服务攻击，提出了一种新的基于认证的源IP追踪方案。通过采用一种新的动态概率序列，既达到了较高的追踪收敛率，又能有效过滤掉攻击者伪造的垃圾数据包。采用基于密钥集序列的HMAC算法，对标记信息进行认证，防止攻击者修改已有的标记信息，达到较高的安全性和抗干扰性。     

基于可变概率的快速IP包追踪方案

为了改进概率包标记方案的性能,提出两个能追踪大规模拒绝服务攻击可变概率包标记方案。采用可变概率标记,可识别和排除攻击者虚假标记信息。通过在路由器中记录IP地址发送状态,对包分片进行有序发送,降低了受害者重构路径时所需接收包的数量。     

非固定概率包标记的IP追踪研究

概述了IP回溯和包标记追踪问题,分析了固定概率包标记方案存在的缺陷,并研究了现有的非固定概率包标记方案,着重对基于三种距离度量的非固定概率包标记进行了分析,指出并部分改进了其中不合理之处。还提出了一种基于攻击者到标记路由器距离的非固定包标记的改进方案,并进行了性能分析。     

基于可变概率包标记的对等网DDoS攻击防御

DDoS攻击是对等网络所面临的主要安全威胁,针对已有的概率包标记算法计算量繁重、无法识别虚假标记数据包欺骗等方面的缺陷,提出一种可变概率包标记算法。通过采用可变概率标记方法及在路由器中记录IP地址发送状态,使方案具有能够追踪大规模拒绝服务攻击、识别和排除攻击者虚假标记信息、大大降低受害者重构路径时需接收包数量的优点,从而达到有效防御DDoS的目的。和同类方法相比,该方案具有较强的实用性。     

基于AS协同的分布式拒绝服务攻击追踪机制研究

提出一种基于自治系统协同的分布式拒绝服务攻击的追踪算法.在该算法中,自治系统边界路由器把所在的AS信息以一定的概率对经过的数据包进行标记,受害者可通过数据包中所标记的路径信息重构出攻击路径,从而追踪到攻击源.带认证的标记方法有效地防止了攻击者伪造和篡改数据包中的路径信息.与其它追踪算法相比,该算法实现了快速实时追踪攻击源,有效地抑制了攻击流进入其它的网络,及时缓减了攻击带来的影响.     

跨域的混合包标记编码方案

在自适应概率包标记的基础上提出了一种基于跨域的自适应概率包标记编码方案。模拟实验表明：采用该方法在重构路径时,所需要的包个数低于同类型的自适应概率包标记方案和高级包标记方案。     

基于追踪部署的着色包标记算法的研究 *

基于追踪部署的相关理论和着色包标记算法,针对当前危害很大的分布式拒绝服务攻击,提出一种基于追踪部署的IP回溯算法。该算法是以贪心算法为基础,利用K-剪枝算法在网络拓扑图中找出一些关键的路由器,利用这些路由器也就是只让tracers对过往的数据包按照着色包标记算法进行标记,这样不但减少了重构路径所需的数据包数,降低了路径误报率,提高了追踪到攻击者的速度,而且大大减轻了路由器标记的负担,从而能够迅速准确地找到攻击源。     

基于追踪部署的着色包标记算法的研究 *

基于追踪部署的相关理论和着色包标记算法 ,针对当前危害很大的分布式拒绝服务攻击 ,提出一种基于追踪部署的 IP回溯算法。该算法是以贪心算法为基础 ,利用 K-剪枝算法在网络拓扑图中找出一些关键的路由器 ,利用这些路由器也就是只让 tracers对过往的数据包按照着色包标记算法进行标记 ,这样不但减少了重构路径所需的数据包数 ,降低了路径误报率 ,提高了追踪到攻击者的速度 ,而且大大减轻了路由器标记的负担 ,从而能够迅速准确地找到攻击源。     

防TTL值欺骗的数据包标记算法研究

分布式拒绝服务攻击是目前最难处理的网络难题之一,针对分布式拒绝服务攻击提出了多种应对方案,这些方案都各有优缺点,但其中自适应概率包标记受到了广泛地重视和运用。针对攻击者对TTL初始值的伪造提出了一种自适应策略,有利于防止TTL值的伪造,减少路由器处理器的负担,节省了IP包头的空间。     

基于边界网关的自适应DDoS攻击防御策略

传统基于主机的防御无法应对分布式拒绝服务(DDoS)攻击对整个自治系统的冲击.提出了双过滤并行净化网络方案、基于自治系统的自适应概率包标记方案和基于源地址验证的单播反向路径转发策略,形成了基于边界网关的DDoS攻击防御体系,提高了包标记方案的效率,简化了防御部署.实验验证了该防御体系的有效性.