一种基于MIPv6的移动目标防御反审查方法

虽然互联网已经成为生活中各个方面的中心,但仍有很多用户无法通过互联网自由地获取信息。攻击者可以通过部署审查者实现对用户特定信息的屏蔽。从网络信息提供者的角度出发,提出一种面向用户的反审查方法,使攻击者的攻击代价大大增加。通过使用移动IPv6来形成移动目标防御策略,使Web服务器从逻辑上表现为移动节点(实际上没有移动)。对该方案进行建模(概率模型)分析,提出一个关键参数—分群比,将攻击者所需资源与实际条件限制进行对比。在该模型的基础上搭建现实原型(对服务器软件和内核进行简单修改而不改变标准移动IPv6协议),以此证明可以在不改变现有网络基础设施的情况下使用该方法。通过实验分析该方法性能开销。     

基于双重地址跳变的移动目标防御方法

网络系统的确定性和静态性使得防御处在被动之中,移动目标防御作为一种改变攻守态势的防御理念被提出.针对嗅探和扫描攻击,文章提出一种基于双重地址跳变的移动目标防御方法——DAH.通过双重虚拟地址跳变频率分级,有效解决通信服务质量和跳变频率之间的矛盾,利用低频虚拟地址跳变保证网络可用性,利用高频虚拟地址跳变抵御嗅探攻击.通过...     

基于移动网络的IPv6网络模型

通过移动无线网络接入Internet的主机可能会经常变换接入点,本文在构建一个完整IPv6网络模型,同时通过引入软切换,有效解决了移动主机在切换过程中可能出现的数据丢失。     

基于移动IPv6的Ad Hoc网络Internet接入方法

通过对移动IP协议与移动Ad Hoc网络的研究,提出了一种基于移动IPv6的Ad Hoc网络Internet接入方法MaMv6.将移动IP技术同移动Ad Hoc网络结合起来,既能使移动结点在移动过程中保持与Internet的连接,又能利用移动Ad Hoc网络的多跳特性来扩展接入点范围,提供了一种在IPv6背景下、在全局范围内实现移动性Intemet连接的可能.     

移动IPv6网络中的QoS

移动互联网是Internet发展的一种趋势.移动IPv6为移动互联网提供了保障.本文概述了移动IPv6技术,指出了现有的QoS体系结构在移动IPv6网络中存在的问题,并详细分析了预先资源预留、QoS对象选项、RSVP和移动IPv6协议结合等几种解决方案.     

移动IPv6网络层次化接入认证方法

对接入用户实施认证是移动IPv6实用化的前提.提出一种适用于移动IPv6网络环境的层次化接入认证方法HAMIPv6,对接入认证和移动注册进行层次化管理,利用认证矢量和消息捎带,减少切换认证过程中移动节点与家乡域的交互. HAMIPv6简化了切换认证处理流程,减小了切换延时和信令开销,实现了用户与网络相互认证及会话密钥发放.通过分析比较证明,HAMIPv6比传统方法处理效率更高,尤其是在MN远离家乡域及在一定范围内频繁微移动的情况下.     

支持IPv6的网络访问控制网关的设计与实现

如何使用户能够方便的访问互联网协议（IPv6）资源,同时有效地管理网络资源成为一个亟待解决的问题。重点研究了NetfiIter框架的运行机制和实现方法、iptables配置工具、网络端口地址转换一协议转换（NAPT-PT）技术和Linux内核模块编程方法,介绍了系统的总体设计目标及设计方案,描述了系统开发环境,阐述了各个模块的设计和模块之间的工作关系。并根据系统模块的划分,具体说明每个模块的功能及其实现的原理和流程。     

移动互联网访问控制支持移动感知的研究

移动互联网的访问控制使移动IPv6面临切换延迟显著增加的困境。本文在分析移动IPv6协议特点与访问控制机制行为特征的基础上,提出了一种在移动互联网访问控制应用中实现快速移动感知的方法,它能有效缩短移动IPv6切换前的认证等待时间。文中给出了实现方法,进行了比较分析。     

下一代网络IPv6的移动切换优化策略

IP移动性是IPv6标准的一部分。由于移动终端的移动性特征,当移动终端发生切换时,保持正在进行的通信,是IPv6支持移动性的一个关键因素。本文研究在IPv6中优化移动节点的移动切换管理,提出分级切换和快速切换机制来优化IPv6网络中的移动切换管理。     

对移动IPv6中的重定向攻击的防御

移动IPv6中的路由优化使移动结点和远端结点能够直接进行信息的交互,从而防止了移动IPv4中存在的三角路由攻击的问题。但是路由优化要求移动结点及时向远端结点发送绑定更新包。没有经过认证的或者假的绑定更新包将带来许多新的安全问题。RR(Retum Routability)协议有效地保证了绑定更新包的安全。但同时也存在着一些问题,其中最重要的就是重定向攻击。该文所做的就是防止这种重定向攻击,同时保证良好的性能和可扩充性。     

MTD增强的网络欺骗防御系统

计算机网络正在飞速发展,但随之而来的系统破坏、信息泄露等网络安全问题也日益突出。攻击者在正式攻击前通常进行大量的网络侦查,以发现目标网络和系统上的可利用漏洞,而传统网络系统中的静态配置为攻击者发现网络目标和发起攻击提供了极大的优势。为了减轻攻击者持续性网络侦查攻击的有效性,基于软件定义网络开发了移动目标防御（moving target defense,MTD）增强的网络欺骗防御系统。该系统采用网络欺骗技术,混淆攻击者收集到的目标网络和系统信息,延长攻击者扫描到网络内真实脆弱性主机的时间,提高其时间成本;并在此基础上融合移动目标防御技术,动态随机地变换网络内节点的IP地址,增强网络欺骗系统的防御效能。实现了系统原型并对其进行评估,在虚拟网络拓扑规模为3个网段且地址变换周期为30 s的配置下,该系统将攻击者发现脆弱性主机的时间平均延迟7倍,将攻击者成功攻击脆弱性主机的概率降低83%,同时系统额外开销平均在8%以内。     

基于路径与端址跳变的SDN网络主动防御技术

为解决已有路径跳变技术难以抵御全局截获分析攻击及已有端址跳变技术跳变同步难、部署难度大等问题,提出基于路径与端址跳变的SDN网络主动防御技术.首先,将路径跳变问题建模为约束求解问题,使用可满足性模理论求解器求解获得满足重复约束和容量约束的多条路径,然后,依据特定跳变时隙向所选跳变路径上的所有OpenFlow交换机下发对应的端址跳变流表项,使这些交换机对数据流进行正确转发的同时,更改其端口与地址信息.理论分析与实验结果表明：所提技术可以以较小的通信时延开销与计算开销实现通信双方传输路径与传输路径上端口与地址的随机跳变,且可提升SDN网络对于全局截获分析攻击、拒绝服务攻击与内部威胁的主动防御能力.     

面向网络层的动态跳变技术研究进展

首先,介绍了网络层跳变技术的基本概念并给出了其所能抵御的安全威胁;接着,从传统网络和软件定义网络给出了网络层跳变技术的两种模型和通信方式;然后,从跳变属性、跳变的实现方式和跳变的触发方式3个方面对网络层跳变技术进行分类,并给出网络层跳变的两种评估模型;最后,总结了网络层跳变技术目前仍然存在的问题,以及相应的发展方向.     

一种基于IPv6的网络入侵检测系统*

在分析了现有网络安全系统的基本原理和IPv6网络主要特点之后,提出了一种IPv6网络入侵检测系统的框架,并着重分析了IPv6网络入侵检测系统的协议分析策略.     

基于透明同步与随机时隙的SDN网络地址端口跳变方案

将地址端口跳变技术引入SDN网络主动防御中,提出基于透明同步和随机时隙的SDN网络地址端口跳变（TSRI-SNAPH）方案。针对严格时间同步和ACK同步技术存在的严格时间同步难达到、同步报文易被截获分析等问题,充分利用SDN网络逻辑集中控制特性,将跳变功能置于SDN控制器,可实现通信双方的透明跳变同步,不但不需要严格的时间同步,也不需要发送额外的同步报文。针对固定跳变时隙方案易被截获分析的问题,提出基于泊松到达过程的随机跳变时隙方案,可有效增加截获分析的难度和开销。理论分析与实验结果表明,TSRI-SNAPH方案在负载增加较少的情况下,可有效抵御截获分析和拒绝服务攻击,且可有效防范内部威胁。     

基于端口跳变的SDN网络DoS防御技术

端口跳变是移动目标防御典型技术,通过持续改变服务端口来隐藏服务标识和迷惑攻击者。利用SDN网络逻辑集中控制与网络可编程特性,提出基于端口跳变的SDN网络防御技术,使用SDN控制器承担服务端的端口跳变功能,不但可减轻服务端负载,且可提前检测过滤恶意数据包,并能抵御内部攻击者。理论分析与实验结果表明,所提技术对SDN控制器负载增加较少,可有效抵御DoS攻击。     

基于IPv6的无线传感器网络接入设计*

无线传感器网络(WSN)与现有网络基础结合是WSN研究中必须解决的技术问题之一。在IPv6协议下,提出了一种大规模无线传感器网络接入国际互联网方式。本接入方式以数据应用为中心,按地理位置为无线传感器网络映射IPv6地址,由此设计了一种基于地理位置信息的顺时针逐格CGRP路由协议,并通过仿真实验分析协议的稳定性和路由分组传输成功率,最后阐述了以网关为路由接口的无线传感器网络与Internet通信机制。该接入方式既能根据IP对无线传感器网络寻址,又能降低无线传感器网络全IP化带来的高额开销,符合无线传感器应用     

一种适合无线环境的IPv6头部压缩方法

头部压缩可以提高链路传输效率,但现有压缩方法基于差分编码方式,压缩效率易受丢包影响,在误码率高的无线链路上反而会降低传输效率。为此,提出一种新的IPv6头部压缩方法SBHC。主要思想是利用IPv6头部变化少的特点,采用基于替换的方式实现压缩行为,克服了差分编码方式存在的弊端。性能测试结果表明,SBHC压缩方法可以有效提高无线链路的传输效率。     

基于多变体的控制软件异构冗余与动态重构技术研究

针对控制软件的防篡改问题,从工控安全角度出发,提出了一种利用多变体技术和虚拟化技术构建控制软件动态目标防御体系的新方法;通过多变体的异构冗余、动态重构和多模表决实现了软件层面的主动防御和安全态势感知,通过虚拟化技术实现了多变体执行环境的快速构建;着重介绍了技术路线、系统架构、动态重构策略、表决算法和同步机制;研究结果表明,该技术在提高控制系统可靠性的同时,使其具备了较强的主动安全防御能力。