基于扩展头随机标记的IPv6攻击源追踪方案

针对IPv4网络环境下的随机包标记法不能直接应用于IPv6的问题,依据IPv6自身的特点提出了一种基于扩展报头随机标记的IPv6攻击源追踪方案。对IPv6报头进行分析研究,选取了合适的标记区域及编码格式,对PMTU算法进行了修改以更好地满足追踪的需要,采用攻击树生成算法重构攻击路径。理论分析与仿真实验结果表明,该方案能够有效地重构攻击路径,实现对IPv6攻击源的追踪。     

基于IPv6改进的AMS-v6与APPM-v6方案研究

包标记算法是IPv4下追踪DDOS攻击源最多的一种方法,但IPv6下实施困难.由此对IPv6下包标记方法的可行性进行了研究.为有效和安全的部署和实施数据包标记算法,利用IPv6新的特点,并结合标记流标签等字段,提出两种基于IPv6的改进方案AMS-v6和APPM-v6.在IPv4和IPv6协议下设计模型分别对两种算法进行实验对比,仿真实验结果表明了该算法在IPv6下数据包标记的有效性和适用性,并有效减少重构时间和所需数据包数量,提高重构攻击路径的速度.     

基于IPv6的概率包标记路径溯源方案

针对现有IPv6路由追踪技术匮乏,以及IPv4路由追踪技术不能直接移植到IPv6网络环境中的问题,根据IPv6的自身特点,提出了一种基于概率包标记的IPv6攻击源追踪方案。该方案在原有IPv4概率包标记方法的基础上进行了有效的改进,重新规划标记区域,分别在IPv6的基本报头和扩展报头上划分合适的标识域和信息域,既解决标记空间不足的问题,又能规范标记信息的存放秩序;采用动态标记概率,区分对待未标记数据包和已标记数据包,解决标记信息覆盖问题,同时,优化标记算法,实现IPv6网络环境下路径追踪的快速、准确。理论分析与实验结果表明,该方案能有效追踪攻击源,且效果优于原IPv4追踪技术。     

基于IPv6拒绝服务攻击和改进确定包算法研究

对IPv6下拒绝服务攻击进行了研究,并根据IPv6协议的特点,提出一种基于IPv6的MAC认证改进确定包标记(ADPM-v6)算法。ADPM-v6利用IPv6新特性,即逐跳选项和改进的MAC认证方法,有效解决了受控路由器修改标记的问题,能直接快速地追踪攻击源。同时分析验证了IPv6真实攻击环境的数据包大小分布,使得算法有效且更具有较强的实用性。理论分析和仿真实验结果表明,该算法在IPv6下大大缩短了重构时间,减少了重构计算量和误报率。     

基于确定线性网络编码的IPv6追踪

针对IPv6的概率包标记(PPM)IP追踪方法的重构路径算法复杂度和误报率过高等不足,提出基于确定线性网络编码的IPv6追踪方法。该方法采用IPv6逐跳选项扩展报头作为标记区域,将确定线性网络编码应用到概率包标记中,同时添加了64bit的攻击路径采样。理论分析和在NS2环境下的仿真实验结果表明,该方法减少了占用的网络带宽和重构路径所需要的数据包数,降低了重构算法复杂度和误报率,提高了标记效率。     

IPv6下基于改进的SPIE源追踪方案

源追踪技术提供对真实攻击来源的有效追踪,有利于实时阻断、隔离DDoS等网络攻击。目前的源追踪方法大多是使用IPv4包头中很少使用的16位标识域保存经过的路由器信息,不适用于IPv6环境。本文提出一种IPv6下基于改进的SPIE源追踪方案。该方法利用路由器,使用Bloom filters数据结构保存转发的数据包的摘要,减少了耗费的存储空间,同时时保护了数据包的机密性;它不但适合DDoS攻击的源追踪,还能进行单个数据包的源追踪。     

基于AS协同的分布式拒绝服务攻击追踪机制研究

提出一种基于自治系统协同的分布式拒绝服务攻击的追踪算法.在该算法中,自治系统边界路由器把所在的AS信息以一定的概率对经过的数据包进行标记,受害者可通过数据包中所标记的路径信息重构出攻击路径,从而追踪到攻击源.带认证的标记方法有效地防止了攻击者伪造和篡改数据包中的路径信息.与其它追踪算法相比,该算法实现了快速实时追踪攻击源,有效地抑制了攻击流进入其它的网络,及时缓减了攻击带来的影响.     

可避免数据包重复标记的可变概率分片标记算法

提出了可避免数据包重复标记的可变概率分片标记算法.通过模拟试验对比该提出的算法和基本包标记算法,结果表明该方法能够消除对数据包的重复标记问题,并显著地减少反向追踪攻击源所需数据包的数目,提高了对攻击源定位的追踪的准确性和实时性.     

一种增强移动IPv6安全性的改进返回路由性过程

随着互联网的发展，IPv4逐渐暴露出其局限性，因此IPv6作为下一代的互联网协议正在不断推广．同时随着众多移动终端的接入，支持移动主机的移动IPv6协议(Mobile IPv6)成为研究的热点，并将标准化．分析了移动IPv6协议在安全方面存在的问题，以及针对新的移动信令的攻击，研究了抵御这些攻击的方法．接着对移动IPv6协议采用的返回路由性过程算法进行了分析，指出了其存在的缺陷，并结合CAM(Child—proof Authentication for MIPv6)方法，提出了改进的返回路由性过程算法。     

移动IPv6网络中的DoS攻击

介绍了移动IPv6协议的工作原理,分析总结了移动IPv6网络中三种主要的DoS攻击。针对NS-2环境提出了一套模拟移动IPv6中DoS攻击的具体实现方案。经过对仿真实验结果分析表明,DoS攻击对移动IPv6网络性能造成很大的影响。     

基于包验证的面向IPv6翻译机制的IP追溯方法

IP地址安全一直是互联网面临的核心问题,在IPv6过渡时期,多种IP地址分配方式,IPv6过渡技术和IP欺骗引起的IP地址不确定性向IP地址资源安全提出了挑战。新兴IPv6家庭网络、小企业网、校园网与传统IPv4网络互联互通的IPv6翻译场景是典型的IPv6过渡场景,然而,传统的IP追溯技术无法直接应用于IPv6翻译场景。基于这种现状,提出一种IP追溯方案来解决IPv6翻译场景下的IP追溯问题,该方案打通了IPv6翻译网关,实现了目的网络对源网络的可知性,进而保证了互联网的IP地址资源安全。     

移动IP环境下IP追踪的研究

针对DoS和DDoS攻击对移动IP环境下的IP追踪进行了详细的分析,给出了其各个功能实体受攻击时进行IP追踪的方法,并且在此基础上提出了一种新的ICMP消息来完善移动IP环境下IP追踪机制的方法。     

一种通用的大规模DDoS攻击源追踪方案研究

本文提出了一种通用的基于概率包标记大规模DDoS攻击源跟踪方法.相比其它方法,该方法通过引入包标记中继算法既适用于直接类型的DDoS攻击路径恢复,也适用于反射类型的DDoS攻击路径恢复.此外,本文通过巧妙运用方程组唯一解判定原理对路由IP实施编码,运用基于一次性密钥的HMAC方法对攻击路径的每条边进行编码和验证,不需要ISP路由拓扑,便能够在被攻击点相应的解码并高效可靠的恢复出真实的攻击路径.分析表明,该种方法能与IPv4协议较好的兼容,具有较好的抗干扰性.通过仿真实验证实,该方法相比FMS、CHEN等人提出的方法在收敛性和误报方面体现了较强的优势.     

基于IPv4向IPv6过渡的IP追溯技术研究*

随着IPv4地址的耗尽及IPv6网络的加速部署,将面临IPv4网络和IPv6网络长期共存的局面.目前学术界和工业界提出了多种IPv4向IPv6过渡的技术,这些过渡技术的复合使用将增加IPv4/IPv6混合网络的复杂性,给安全事件的处理和追溯带来了新的挑战,因此复杂过渡网络环境中的IP追溯问题亟待解决.对IP地址安全管理体系下的IP地址的可追溯性及IP追溯技术的最新研究进展进行了综述,同时对IPv4/IPv6混合网络中的IP追溯问题的可能解决方案进行了深入的探讨和分析,最后阐述了IP追溯技术所面临的新挑战,指出了未来研究的方向.     

IPv6中拒绝服务攻击的回溯研究

IP回溯技术是一种有效应对拒绝服务攻击的主动防御技术。本文在仔细研究了IPv6协议框架中安全机制的基础上,指出了其易受拒绝服务攻击的脆弱性,并提出了将IPv4中有效的概率包标记算法应用于IPv6中的设计方案。在NS2平台上所做的仿真实验表明该方案是有效可行的。     

IPv6环境下网络溯源系统

随着IPv4地址资源的逐渐告罄,而部署IPv6又需要相当长的时间,因此当前和相当长时间内我国将处于IPv4和IPv6并存的网络现状。于此同时,网络中存在多种拒绝服务式攻击。本文旨在提出一种可面向IPv6网络环境的攻击溯源系统,系统采用基于网络层数据报文分析的网络溯源技术。在处理网络层五元组数据时,采用双重型BloomFilter可以显著提升溯源的准确率,并降低时间空间消耗。     

层次分析法在IP返回跟踪DoS攻击方法中的应用研究

将运筹学中的层次分析法应用于IP返回跟踪DoS攻击的方法中,可以为网络安全决策提供支持。首先介绍了层次分析法和几种IP返回跟踪DoS攻击的方法,在此基础上建立了IP返回跟踪DoS攻击方法的层次分析模型,用层次分析法对六种IP返回跟踪DoS攻击方法做了实证地比较和分析。