一种测量和评估网络安全性的方法

基于网络数据传输过程中的主动防御模型,提出了一种对网络数据传输过程中的安全性进行测量、量化和评估的方法.它利用主动防御模型中的诱骗数据报文,在对攻击进行诱骗的同时,根据网络状态参数对网络数据传输的安全性进行测量和评估.该方法为网络数据传输策略的制定和网络数据的安全传榆提供了有效的标准.     

一个分层的入侵防御系统模型

天侵防御系统是网络安全技术领域一个重要研究内容。提出了一种分层的入侵防御系统模型,在该模型中按网络协议类型对数据包进行分类．利用分类多过滤器实现对数据过滤,提高了系统效率,实现了系统的防御能力。     

Multicast-Unicast Data Delivery Method in Wireless IPv6 Networks

Multicast IPv6 is an efficient way of transmitting data simultaneously to a group of IPv6 users. It has the advantage of reducing the required bandwidth of IPv6 data delivery compared to unicast transmission. The data rate of multicast transmission over WLAN is confined by the user with the lowest rate in the multicast group, which is called the fixed base rate problem. This paper proposes a delivery method that incorporates both multicast and unicast transmissions to solve the fixed base rate problem. The proposed method divides the IPv6 network into two levels: multicast mode for the upper level of the network [IPv6 server to Access Point (AP)], and unicast mode for the lower level (AP to mobile nodes). To maintain the end-to-end multicast transmission, the AP is responsible for converting multicast packets to unicast packets. Such a combination enables the proposed method to inherit the advantages of both multicast and unicast transmissions. The performance of our proposed method is evaluated in a test-bed environment that considers the transmission of real-time video application. The proposed multicast-unicast is able to improve the throughput and video quality experienced by the end user, with low packet loss and transmission delay.     

一种基于证书机制的主动网络安全方案

缺乏加密与认证措施的主动网络面临诸多安全问题，而传统的加密与认证模式不能很好地适应主动网络的需要。通过对传统证书机制进行改进，提出了一种适用于主动网络的安全方案。利用该方案，发送节点可以让主动包只在可信的中间节点上执行；中间结点则可以只执行可信的节点发出的主动包；同时保证了主动包的真实性、机密性、完整性。     

基于TePA的无线传感器网络安全方案

针对无线传感器网络的安全需求, 结合TePA技术提出了一种基于TePA的无线传感器网络安全方案。该方案简化了TePA技术的身份认证分组和分组字段, 解决了无线传感器网络在传感器节点接入和密钥协商的问题。采用改进的BSW逻辑验证了协议, 并从协议安全性和网络性能方面分析了方案, 结果表明方案能抵抗中间人攻击和重放攻击, 并适合无线传感器网络。     

A self-adaptive probabilistic packet filtering scheme against entropy attacks in network coding

In this paper, based on a novel self-adaptive probabilistic subset linear-dependency detection (S-PSLD) algorithm, we propose an efficient packet filtering scheme against entropy attacks in network coding. The scheme verifies the received packets probabilistically instead of exactly, and thus it can rapidly filter out the resultant packets from entropy attacks. Moreover, to minimize the packet detection cost at forwarder while keeping the false positive rate at an expected low level, a self-adaptive algorithm is introduced such that each forwarder can dynamically tune the system security parameters according to the available bandwidth or the number of the received packets in buffer. Theoretical analysis and performance evaluation are given to demonstrate the validity and efficiency of the proposed scheme.     

一种应用干扰消除进行冲突消解的分布式无线MAC协议

媒介接入控制(MAC)用以协调无线节点对公共信道的共享,对无线网络性能有至关重要的影响。传统的MAC协议只能抑制冲突,不能根除及处理冲突。提出了一种基于已知干扰消除技术的新型消解冲突方法,并以此为基础设计了一个全新的MAC协议——CR-MAC。在CR-MAC协议中,无线接入点(AP)通过将部分报文传输与已知干扰消除相结合来解码冲突所包含的所有报文。因此发生冲突的报文传输过程能够被充分利用,且所需的报文重传减少了。实验结果表明,在网络吞吐率及预期报文时延指标上,CR-MAC协议较普遍采用的IEEE 802.11DCF协议均有明显优势。     

小IP报文攻击的入侵检测方法研究

入侵检测技术是网络安全领域中的新技术,但它发展还不成熟,很多攻击方法利用它的缺陷进行攻击。其中小IP报文攻击利用Windows和Linux对有数据重叠的报文处理方式不一样进行攻击。论文提出了小IP报文攻击的入侵检测方法,并采用Snort工具进行实验,使得Snort和被保护主机对有数据重叠的报文的处理方式一致,从而使Snort发生误报、漏报的次数明显减少,为实现网络安全提供了有益的借鉴。     

基于移动代理的虚拟专用网安全系统

针对现在网络信息交换中的安全问题,结合虚拟专用网(VPN)和移动代理这两大技术,提出了一种新的VPN安全体系结构——VPNAgent系统,系统中有一个移动代理VPNClientAgent,作为服务器端防火墙的一个代表作用在客户端,检测数据包并对合法的数据包签名,并护送数据包到防火墙处。防火墙上嵌有一个静态代理StaticAgent,由StaticAgent检测数据包的签名,签名有效的数据包不用解密即可通过防火墙,从而达到提高安全性的目的。     

基于网络安全芯片的DDoS攻击识别IP核设计

分布式拒绝攻击(distributed denial of service, DDoS)作为一种传统的网络攻击方式,依旧对网络安全存在着较大的威胁.本文研究基于高性能网络安全芯片SoC+IP的构建模式,针对网络层DDoS攻击,提出了一种从硬件层面实现的DDoS攻击识别方法.根据硬件协议栈设计原理,利用逻辑电路门处理网络数据包进行拆解分析,随后对拆解后的信息进行攻击判定,将认定为攻击的数据包信息记录在攻击池中,等待主机随时读取.并通过硬件逻辑电路实现了基于该方法的DDoS攻击识别IP核(intellectual property core), IP核采用AHB总线配置寄存器的方式进行控制.在基于SV/UVM的仿真验证平台进行综合和功能性测试.实验表明, IP核满足设计要求,可实时进行DDoS攻击识别检测,有效提高高性能网络安全芯片的安全防护功能.     

TCP报文在操作系统探测系统中的应用

操作系统探测是网络攻防研究的一项重要内容,它既可以为安全检测服务,也可以为网络攻击提供基础。本文首先深入分析现有国内外操作系统探测工具存在的问题,然后在研究TCP报文结构的基础上提出了基于TCP报文分析的操作系统探测方法,并利用该方法实现了基于TCP报文的OS探测系统。系统能够直接对目标主机进行探测,分析操作系统类型 、开放端口服务等。     

结合遗传算法的NIDS多媒体包多线程择危模型

当网络流量超出网络入侵检测系统（NIDS）负载能力时,漏检将不可避免,此时应选择较危险的数据包优先处理。因多媒体数据包在流量中所占比例较大,故曾提出对其识别和特殊处理的方法,收效良好。在此基础上,提出结合遗传算法的NIDS多媒体包多线程择危模型,该模型能在漏检发生时,根据不同线程的最大处理能力,按照多媒体数据包的危险程度择危优先处理。实验结果表明,使用该模型能够有效提高NIDS在每个线程内所选择的多媒体数据包序列的危险系数。     

An efficient homomorphic MAC-based scheme against data and tag pollution attacks in network coding-enabled wireless networks

Recent research efforts have shown that wireless networks can benefit from network coding (NC) technology in terms of bandwidth, robustness to packet losses, delay and energy consumption. However, NC-enabled wireless networks are susceptible to a severe security threat, known as data pollution attack, where a malicious node injects into the network polluted packets that prevent the destination nodes from decoding correctly. Due to recoding, occurred at the intermediate nodes, according to the core principle of NC, the polluted packets propagate quickly into other packets and corrupt bunches of legitimate packets leading to network resource waste. Hence, a lot of research effort has been devoted to schemes against data pollution attacks. Homomorphic MAC-based schemes are a promising solution against data pollution attacks. However, most of them are susceptible to a new type of pollution attack, called tag pollution attack, where an adversary node randomly modifies tags appended to the end of the transmitted packets. Therefore, in this paper, we propose an efficient homomorphic message authentication code-based scheme, called HMAC, providing resistance against data pollution attacks and tag pollution attacks in NC-enabled wireless networks. Our proposed scheme makes use of three types of homomorphic tags (i.e., MACs, D-MACs and one signature) which are appended to the end of the coded packet. Our results show that the proposed HMAC scheme is more efficient compared to other competitive tag pollution immune schemes in terms of complexity, communication overhead and key storage overhead.     

基于同态加密的物联网隐私保护计算方案

在节点能量、计算能力有限、存储空间较小、网络链路容易断裂的物联网中,节点需要将收集到的数据包快速、安全地传送给基站,针对节点在进行路由选择时可能导致的隐私泄露问题,提出了一种基于同态加密的新型物联网信息隐私计算方案。在路径不确定的情况下,该方案能保证节点收集的数据信息以最大可能性发送给目标节点,同时在进行节点之间相遇概率的比较时,采用同态加密函数进行加密,不仅隐藏了节点之间的相遇概率,也有利于节点之间相遇概率的比较,保护了相关节点的隐私。实验表明,该计算方案比同类型的方法计算量减少24%,最后,分析了该方案的安全性。     

基于边界检测的IPSec VPN协议的一致性测试方法

移动办公环境存在诸多安全威胁,为保证信息安全传输,通常采用移动VPN接入方案。文章探讨了一种针对移动智能终端的基于边界检测的IPSec VPN协议的一致性测试方法。该方法利用Hostapd搭建SoftAP,并通过调用libpcap函数库抓取IPSec VPN连接过程报文,采用基于协议会话状态的检测方法,根据协议会话状态的跳转,检测消息报文的格式与标准规范格式的一致性。测试结果表明,本方法可以智能的分析和识别非标准协议格式的IPSec VPN报文,而且实现简单,性能稳定。     

基于t-SNE降维预处理的网络流量异常检测

网络流量中大多数流量都是正常的,但经常会出现偏离正常范围的异常流量,主要由DDOS攻击、渗透攻击等恶意的网络行为引起,这些异常行为通常会导致网络质量下降,甚至网络直接瘫痪。因此引入网络安全态势的预测,在仅知道正常网络流量的情况下判断网络中的异常。异常检测是一种网络安全态势的预测方法,用来判断网络中是否有异常。现有的异常检测算法由于无法准确提取网络数据包的低维特征导致算法的性能不佳,因此,需要找到网络数据包的准确的低维特征表示,该低维特征表示能够区分网络数据包是正常的还是有攻击的。为此,本文引入基于t-SNE降维的NLOF异常检测算法。该算法采用t-SNE算法自动预处理网络数据包以获得低维的网络数据包特征,之后将得到的低维的网络数据包特征作为NLOF算法的输入进行异常检测。其中,本文的NLOF算法首先采用k-means算法将网络数据包聚类成为K个簇,并将网络数据包数量小于N个的簇标记为异常簇,之后将未被标记为异常簇的网络数据包作为LOF算法的输入进行异常检测。在ISCX2012数据集上的实验结果表明,基于t-SNE降维的LOF算法达到最优性能时,准确率为98.46%,精确度为98.38%,检测率为98.54%,FAR为0.66%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.18个百分点、0.02个百分点和0.01个百分点。基于t-SNE降维的NLOF算法达到最优性能时,准确率为98.53%,精确度为98.86%,检测率为98.86%,FAR为0.32%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.25个百分点、0.34个百分点和0.41个百分点。这是异常检测中首次采用t-SNE算法自动提取低维的网络数据包特征。此外,LOF算法仅能捕获异常点,而本文的NLOF算法能够同时捕获异常点和异常簇。     

基于邻居表的滑动平均值切换策略研究

针对IEEE802.11标准中有关无线切换规定的不足,提出一种基于无线接入点(AP)邻居表的滑动平均值预测策略.通过运用背景扫描机制获取AP信号强度,该策略动态地计算信号强度平均值以决策移动终端(MH)发起切换的时间点.为降低切换过程中数据传输的丢包率,该策略还结合了邻居表将数据路由至候选AP,使得MH与候选AP建立连接后接收到数据.实验结果表明,该策略有效地减少了MH切换过程所消耗的时间,同时保证了切换过程数据传输的可靠性.     

基于AP2DR2指挥信息系统的安全防护体系研究

本文首先介绍了指挥信息系统安全防护的基本概念和特点,然后从网络安全技术和网络安全管理等方面分析了如何实现指挥信息系统完全,提出了一种基于AP2DR2模型的指挥信息系统安全防护体系,论述了AP2DR2安全模型是一个多层次、全方位的动态防御体系,指挥信息系统安全防护体系从静态、被动向动态、主动转变,有效地保障了指挥信息系统信息的安全。     

一种增加防火墙可靠性的方法──记录路由法

介绍了一种实验性的防火墙系统,与传统设计不同之处是其基于ＰＣＭ模型,可以将每次网络服务请求的ＩＰ数据包的路由作为包过滤的根据。这有助于减少防火墙被欺骗的可能性,并在一定程度上避免了外部客户机使用不可信的路由。     

SDN数据安全处理机制关键模块的研究与实现

针对软件定义网络（SDN）的数据平面数据泄露问题、提出一种新的基于OpenFlow协议的数据安全处理机制。首先,重构OpenFlow协议的流表结构,设计实现包括安全匹配字段、安全动作在内的OpenFlow数据安全策略;然后,设计中心化管理控制器,通过开发的多个功能模块使控制器及时感知网络变化,有效管控全局网络,维护和下发数据加（解）密密钥、数据安全策略;其次,深度重构开放虚拟交换机OVS架构,设计实现数据安全策略匹配和数据安全处理的完整流程,编写数据净载信息提取接口,通过开发的多个功能模块使OVS能够根据数据安全策略细粒度匹配数据包,并对匹配成功的数据包进行完整数据安全处理操作;最后,搭建软硬件平台,对该机制的加解密处理结果和延时、吞吐量以及CPU使用率进行测试。实验结果表明：该机制可以准确对数据进行加解密操作,延时和吞吐量均处于正常水平;但CPU使用率在45%~60%浮动,开销较大,有待后续优化。