基于网络测量系统的SYN Flooding攻击防御机制

探索了SYN Flooding攻击的特征,提出了判断攻击发生的关键指标。介绍了网络测量系统的架构,详细阐述了具有服务保护与攻击消除功能的检测方法、攻击源追踪方法。最后分别给出了验证检测机制和追踪机制的实验与结果。     

DDoS攻击原理及防御

分布式拒绝服务攻击（Distributed Denial of Service，DDOS）是近年来对Internet具有巨大影响的恶意攻击方式，给互联网业务带来了不可估量的损失。互联网的攻击手段层出不穷，而分布式拒绝服务攻击是其中的佼佼者，由于其简单、破坏性很大，而被攻击者广泛使用。DDoS攻击分析和防御方法是当前网络安全领域的重要前沿。本文阐述了DoS攻击的原理和DDoS攻击的原理，提出了DDoS的防御措施。     

基于主动网的SYN攻击防御

针对目前传统网防御TCP同步泛滥攻击的服务器主机、路由器过滤、防火墙方法的局限性,利用主动网的动态特性,提出一种基于主动网的同步泛滥防御机制,并通过仿真实验将它与传统网环境下的防火墙防御进行了性能比较和分析,结果表明主动网技术为同步泛滥攻击提供了良好的防御性能。     

防火墙设计中的有关技术

针对网络上存在的安全问题,结合网络新技术,分析了防火墙的设计策略、体系结构和设计技术。在对其评价的同时,就其实现中的一些值得注意的问题作了有益的分析和探讨。     

基于DDoS攻击的检测与防御实验系统的设计

DDoS是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,它对网络和网络服务的可用性构成极大的威胁,同传统的DDoS相比,基于应用层的DDoS攻击隐藏效果更好,破坏力更强。DDoS攻击检测是整个安全防范体系的重要一环,通过快速、准确地检测和识别攻击,为安全防御提供有效支撑。现有的大多数DDoS检测方法难以区分攻击者的攻击行为和突发的大流量正常请求行为,基于网络行为分析的检测方法对于攻击者的异常行为能够较好的辨识,因此基于网络行为分析的DDoS检测方法的实验系统对教学显得尤为必要。     

基于linux系统的网络防火墙设计与实现

由于linux9.0有较好的网络安全功能,采用其具备的网络过滤和代理功能,可实现透明网关和透明代理,两功能配合使用可配置完成软件防火墙。实现过程中采用iptables和squid,并简述了两软件的原理,给出实现的详细步骤,分析存在的问题和改进方案。     

DNS安全分析及防御技术研究

DNS服务是Internet的基本支撑,其安全性对整个Internet起着举足轻重的作用。随着网络应用的不断深化,DNS已成为DDoS攻击的热点目标。针对DNS服务架构的特点,解析了DNS面临的安全问题,并提出了相应的解决方法和防御方案。     

TCP SYN端口扫描的研究

根据TCP SYN端口扫描原理,在Windows2000的平台上，用VisualC 6.0开发工具研究TCP SYN端口入侵及其扫描检测的实现。其中，使用了原始套接字（raw socket）编程来发达自己构造的IP数据包和接受网络层的IP数据包。     

DDoS原理及防御策略的研究

DDoS(分布式拒绝服务)是Internet面临的最严峻的威胁之一.近年来DDoS攻击的数量一直呈快速增长的趋势,它给全世界带来了巨大的经济损失和影响.本文介绍了DDoS攻击的原理及体系结构,在此基础之上着重分析了DDoS的防御策略及模型,对于有效的构筑全面的网络安全体系,提高网络的抗攻击性具有一定的理论指导意义.     

基于端口检测的DDoS攻击防御策略研究

文章介绍了DDoS攻击体系和攻击过程,提出了一种新型的基于端口检测的DDoS防御策略,对DDoS攻击进行有效地防御,同时不会对网络性能造成比较大的影响.     

DoS/DDoS攻击原理与防范再探

拒绝服务攻击(DoS)以及分布式拒绝服务攻击(DDoS)是目前严重影响网络安全和网上服务质量的一种常用攻击手段。通过对DoS攻击原理的讨论和对现有防范技术的深入剖析,提出了防范DoS(DDoS)攻击的一些积极的建议。     

一种改进的TCP分布式拒绝服务攻击防御方法

SYN Flood攻击是最常见的分布式拒绝服务攻击方式之一,本文提出一种改进的SYN Cookie方法,通过设计新的Cookie验证算法并改变Cookie字段定义,在不降低安全性的同时,降低算法计算复杂度.实验结果表明,新方法可有效防御针对TCP协议的SYN Flood攻击,与传统算法相比,新算法效率提高约30%.     

DDoS攻击防御模型的仿真研究

针对DDoS攻击的特点,提出一个基于协议类型判断和流量控制以及拥塞控制的DDoS攻击防御模型,并给出了模型中相关统计值的表达式,以及检测和防御的算法流程．在OPNET中针对典型的TCP SYN flood攻击防御给出了详细的节点建模过程．运用二组不同强度的攻击流进行试验,分析在启用防御机制和未启用防御机制时服务器对攻击流的处理效果．仿真实验表明,此模型对于不同强度的攻击流都有较好的抑制作用,证明了此模型的有效性．     

分布式拒绝服务攻击的攻击树建模

分布式拒绝服务(distributeddenialofservice,DDoS)攻击严重威胁了网络的安全性。网络攻击的攻击树建模方法是卡内基梅隆大学提出的一种以结构化、可重用的方式来描述攻击信息建模方法;介绍了攻击树建模方法,研究了分布式拒绝服务攻击的攻击树,给出了分布式拒绝服务攻击的具体的攻击树模型,并分析了其可重用性,探讨了如何结合攻击树采取措施提高网络安全性;安全分析和设计人员可借此构造更安全的信息系统。     

DDoS攻击与IP拥塞控制研究

IP网络的流量控制是在网络正常工作时采取的一系列措施,通过避免出现发生网络拥塞所需的条件,来进行拥塞控制。该文讨论了现有的主流方法,并对其应用于DDoS攻击防护的性能进行了分析和比较。结果表明,其中的任何一种方法都需要在改进后,才能有效地应用于控制DDoS攻击所造成的网络拥塞。     

基于时间序列分析的DNS服务器的DDoS攻击检测

分析了针对DNS服务器DDoS攻击的特征,提出了一种基于攻击流特征(AFC)时间序列的DDoS攻击检测方法.通过自适应自回归模型的参数拟合,将AFC时间序列变换为多维空间内的自适应自回归AAR模型参数向量序列,然后使用支持向量机进行分类.实验结果表明,该方法能有效检测针对DNS服务器的DDoS攻击.     

支持泛洪攻击检测的命名数据网PIT

针对命名数据网待定兴趣转发表中高效的变长名称数据索引、硬件可支持的存储消耗以及兴趣包泛洪攻击检测等问题,提出了基于字符卷积神经网络的认知索引模型（C&I）,该模型能够支持路由名称数据的分类、聚合,降低名称数据的存储消耗.同时,基于C&I提出了支持兴趣包泛洪攻击检测的待定兴趣转发表（PIT）存储结构C&I-PIT及其数据检索算法,通过多级存储器部署方式,分别在片上和片下的存储器中部署索引结构及存储空间.实验结果表明,C&I-PIT在名称数据聚合、存储消耗、泛洪攻击检测等方面具有良好的性能.     

黑客攻击机制与防范

随着网络的发展、普及,黑客逐渐走近我们,并影响着我们的生活和工作。本文从黑客攻击的步骤、方法、原理入手,分析黑客攻击的常见机制、常用方法及其防范措施。     

分布式DDoS攻击源入侵追踪模型设计

针对DDoS攻击源追踪过程中入侵追踪设备间缺少分布式协同的问题,提出了分布式入侵追踪模型.设计了分布式入侵追踪设备部署策略和追踪算法,建立了入侵追踪设备Agent模型和OMNeT＋＋仿真模型.实验证明,相对于非分布式入侵追踪模型,分布式入侵追踪模型能够更有效地追踪攻击源,提高了追踪能力.