MANET分簇IDS报文丢弃攻击全局感知方案

在分析现有报文丢弃攻击检测算法的基础上,提出了一种基于簇首协作的报文丢弃攻击全局感知方案,利用IDS簇首协同监视节点报文收发状态,改进现有算法的监测方式和节点状态判定算法。仿真结果表明,该算法具有良好的检测率和误检率,在规避网络中的恶意节点以及维护网络正常吞吐量等方面具有较好的性能。     

传感器网络的报文攻击检测技术研究

提出以基站(BS)为基础的基于一致性检查的代理报文方法,该方法通过代理报文方式验证从CH到BS中的数据报文的正确性,由于代理报文是通过非主路径周期性发送的,BS可接收传感器网络中不同路径传送的2个不同来源的数据报文,并通过比较实现数据的检查,有效地解决了传感器网络的报文在主路径中被丢弃和篡改问题。     

无线传感器网络内部攻击检测方法研究

随着无线传感器网络软硬件技术的发展,内部攻击逐渐成为无线传感器网络面临的主要安全威胁之一。综述了内部攻击检测技术的研究,根据攻击检测的对象将检测方法分为攻击行为检测、攻击节点检则和复件攻击检测,并指出了检测悖论、数目占优和中心模式等作为这些检测方法的安全假设制约了方法的性能。同时,概述了现有的关于移动无线传感器网络的攻击检测方法以及移动节点的加入给无线传感器网络解决内部攻击问题带来的变化,在此基础上,讨论了移动节点给内部攻击检测带来的机遇与挑战,指出了相关研究的未来发展方向。     

无线传感网络中抵抗节点复制攻击新方法

针对伏飞等人提出的LTB（Location and Time Binding）方法的不足：不能完全阻止复制节点加入传感网络;不能阻止新加入节点和复制节点建立共享密钥,提出了一个在传感网络中抵抗节点复制攻击的新方法,该方法通过把传感网络划分成一系列有效区域并把节点的密钥与身份标识和部署位置绑定起来,在共享密钥建立时阻止部署在有效区域外的复制节点建立共享密钥,在复制节点通信时检测出有效区域内的复制节点。该方案能有效地解决LTB带来的安全隐患且和LTB具有相近的通信、存储开销。     

无线自组织网络中DDoS攻击源追踪技术研究综述

无线自组织网络因其自身特点比传统的有线网络更容易遭受拒绝服务攻击。攻击源追踪技术是抵御分布式拒绝服务(DDoS)的一种重要方法,这种技术得到了研究者的广泛关注,成为了一个热点研究问题。但是,目前无线自组织网络中大部分的研究工作都是Internet已有方法的移植,有很大的局限性。将目前无线自组织网络中攻击源追踪技术的研究现状进行分类和介绍,并分析了自组织网络中追踪面临的挑战以及未来的研究发展方向。     

抵抗内部攻击的无线传感器网络身份认证协议

随着微电子技术、计算机技术以及无线通信技术的发展,无线传感器网络被广泛地应用到各种领域。前人的成果已经指出存在攻击者利用注册系统的合法身份对系统发起攻击,但是很少提出相应的解决办法。针对这个问题,本文提出一种抵抗系统内部用户攻击的身份认证协议。安全分析和性能对比表明提出方案是安全有效的。     

无线传感器网络汇聚节点自组织选举协议

无线传感器网络是由能够感知环境信息和能够进行无线通信的传感器节点构成的网络,广泛应用在环境监测、目标跟踪等方面.无线传感器网络中,汇聚节点(Sink)的位置选取关系到整个网络的性能和生命期,并与节点的部署情况、网络的拓扑结构紧密关联.本文对汇聚节点位置对于无线传感器网络性能和生命期的影响进行了分析之后,以全网能耗、平均-最大端到端延迟为权衡指标,设计了汇聚节点选举协议.仿真表明,运行该协议的网络能够以较小的代价,迅速地选举出具备最优权衡指标的Sink,同时网络还体现出优秀的自组织组网能力.     

基于多元分类的无线传感器网络恶意节点检测算法

无线传感器网络是一个暴露在开放环境中的分布式网络,各节点之间相互独立,缺乏中心节点和监控节点,极易受到恶意节点的攻击.为了对无线传感器网络中的大量传感器节点进行恶意节点检测,提出了一种基于多元分类的恶意节点检测方法.提出的检测方法是在已知少量传感器节点类型的前提下,抽取与已知恶意节点类型相关的传感器节点属性,建立关于全...     

轻量级的无线传感器网络选择性转发攻击检测

为了抵抗无线传感器网络(WSNs)选择性转发攻击,提出一种轻量级的无线传感器网络选择性转发攻击检测方案(LSFAD).LSFAD方案通过计算并比较路径的平均丢包率和路径的正常丢包率检测选择性转发攻击路径,通过计算每个节点的平均丢包率和正常丢包率检测定位恶意链路.LSFAD方案设计简单,不需要任何监听节点,不需要任何复杂...     

移动自组织网络中内部丢包的检测模型

无线移动自组织网络中数据的传输是基于中间节点的合作转发的,但由于内部自私节点为了节省带宽和电量或者网络受到恶意节点的攻击,导致丢包行为发生,网络性能严重降低。基于无线自组织网络常用的路由协议AODV,提出了一种新的针对内部丢包攻击的检测模型。该检测模型引入旁信道概念,旁信道节点和看门狗共同检测并记录节点转发报文行为,采用邻居信息表存放检测结果,当相应节点的记录值达到一定下限时就被隔离出网络。由于旁信道可以发送警报报文,该模型能够同时检测到自私节点或合作攻击节点引起的内部丢包攻击。     

防御DDoS攻击的智能过滤模型

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络最大的安全威胁之一,如何防御DDoS攻击已经引起了人们的广泛关注,然而关于在DDoS攻击发生时减轻攻击危害的这方面工作却很少。阐述了一种基于IP返回追踪的数据包智能过滤模型,能够在DDoS攻击正在发生时尽可能响应合法用户的请求,提高合法通信的吞吐量。     

Securing Against Insider Attacks

Abstract

We are all creatures of habit; the way we think and the views we take are conditioned by our education, society as a whole, and, at a much deeper level, our cultural memories or instinct.     

Private Keyword-Search for Database Systems Against Insider Attacks

The notion of searchable encrypted keywords introduced an elegant approach to retrieve encrypted data without the need of decryption. Since the introduction of this notion, there are two main searchable encrypted keywords techniques, symmetric searchable encryption (SSE) and public key encryption with keyword search (PEKS). Due to the complicated key management problem in SSE, a number of concrete PEKS constructions have been proposed to overcome it. However, the security of these PEKS schemes was only weakly defined in presence of outsider attacks; therefore they suffer from keyword guessing attacks from the database server as an insider. How to resist insider attacks remains a challenging problem. We propose the first searchable encrypted keywords against insider attacks (SEK-IA) framework to address this problem. The security model of SEK-IA under public key environment is rebuilt. We give a concrete SEK-IA construction featured with a constant-size trapdoor and the proposed scheme is formally proved to be secure against insider attacks. The performance evaluations show that the communication cost between the receiver and the server in our SEK-IA scheme remains constant, independent of the sender identity set size, and the receiver needs the minimized computational cost to generate a trapdoor to search the data from multiple senders.     

一种可抵抗统计攻击的安全索引

现有的大部分可检索加密方案建立的安全索引面临着统计攻击的威胁.为了抵抗统计攻击,部分方案设计出关键词/文档一一对应的陷门,以检索时多次的陷门计算为代价保证安全性,但是这样又导致检索速度过于慢而无法接受.为此,研究了针对密文的安全检索方案,在克服已有方案缺点的同时保证对于统计攻击的安全性.该方案使用Bloom过滤器为文档的关键词构造索引.为了确保检索效率,对于相同的关键词构造唯一对应的陷门.通过增加伪造的文档索引,并且在索引中进行插值来确保每个关键词在文档集合中出现的次数相似,从而达到语义安全并且能够抵抗统计攻击.在实现中,对索引进行倒排进一步提高检索效率.证明了本方案的安全性,且采用实验验证了其有效性和高效性.     

SDN网络拓扑污染攻击防御机制研究

软件定义网络(software-defined networking, SDN)是一种新型的网络体系结构,SDN网络将传统网络的数据层和控制层进行分离,数据层由支持OpenFlow协议的交换机实现,控制层由控制器来实现.控制器维护全网拓扑信息,集中管理网络流的路由决策.现有研究表明,在控制器的拓扑服务管理中存在严重的漏洞,主要存在于主机发现服务和链路发现服务中,攻击者利用这类漏洞可以进行网络拓扑污染攻击.目前研究者们提出的拓扑污染防御方案存在设计漏洞,很容易被攻击者绕过.故提出一种轻量级的符合SDN场景的防御方案——SecTopo——实现拓扑污染防御.通过在Floodlight控制器上测试SecTopo表明,SecTopo不仅能有效防御攻击,而且仅引入的开销极小.     

无线传感器网络下多因素身份认证协议的内部人员攻击

无线传感器网络技术一经提出,迅速得到学术界、工业界的广泛关注,在国防军事、环境监测、智能家居、健康护理等领域发挥着重要作用.身份认证是保障无线传感器网络实时访问的关键安全技术.基于增强的攻击者模型,提出一种被长期忽略的内部攻击威胁,对无线传感器网络环境下的两个代表性认证协议进行了安全性分析.指出Mir等人的协议无法抵抗内部攻击和智能卡丢失攻击,且未实现前向安全性;指出Fang等人的协议同样无法实现所声称的前向安全性特性,且对内部攻击和智能卡丢失攻击是脆弱的.针对协议具体失误之处,提出相应的解决方案.总结了7类应对内部攻击的解决方案.指出了现有方法的不足,提出了合理的解决方案.     

基于Mobile-Agent的DDoS攻击防御模型

分布式拒绝服务（DDoS）攻击已经成为网络最大的安全威胁之一。如何防御DDoS攻击是人们研究的一个热点问题。文中使用报文标记和移动代理技术，构建基于移动代理的DDoS攻击防御模型，在很大程度上降低了来自ISP域外的分布式拒绝服务攻击对域内主机的影响。并利用移动代理的容错性，使模型中重要元件具有很好的抵抗分布式拒绝服务攻击的性能，提高了防御模型自身的抗攻击性。最后讨论了模型的具体实现。     

一种基于RSA的抗多重攻击安全网络编码方案

为解决无线网络易遭受污染攻击和窃听攻击以及攻击方式多样化等安全问题,在无线网络中引入代标识符和时间戳2个参数并结合RSA签名方案,提出一种抗多重攻击的安全网络编码方案。利用同态性质对组合消息生成有效签名,以降低系统的带宽消耗。将该方案与抗代间污染攻击的网络编码同态签名方案进行对比分析,结果表明,两者的开销比接近1,但所提方案能同时抵御代内污染攻击、代间污染攻击以及重放攻击。     

Generic Certificateless Encryption Secure Against Malicious-but-Passive KGC Attacks in the Standard Model

Despite the large number of certificateless encryption schemes proposed recently, many of them have been found insecure under a practical attack, called malicious-but-passive KGC (Key Generation Center) attack. In this work we propose the first generic construction of certificateless encryption, which can be proven secure against malicious-but-passive KGC attacks in the standard model. In order to encrypt a message of any length, we consider the KEM/DEM (key encapsulation mechanism/data encapsulation mechanism) framework in the certificateless setting, and propose a generic construction of certificateless key encapsulation mechanism (CL-KEM) secure against malicious-but-passive KGC attacks in the standard model. It is based on an identity-based KEM, a public key encryption and a message authentication code. The high efficiency of our construction is due to the efficient implementations of these underlying building blocks, and is comparable to Bentahar et al.’s CL-KEMs, which have only been proven secure under the random oracle model with no consideration of the malicious-but-passive KGC attack. We also introduce the notion of certificateless tag-based KEM (CL-TKEM), which is an extension of Abe et al.’ s work to the certificateless setting. We show that an efficient CL-TKEM can be constructed by modifying our CL-KEM scheme. We also show that with a CL-TKEM and a data encapsulation mechanism secure under our proposed security model, an efficient certificateless hybrid encryption can be constructed by applying Abe et al.'s transformation in the certificateless setting.