抵御SIP分布式洪泛攻击的入侵防御系统

针对SIP分布式洪泛攻击检测与防御的研究现状,结合基于IP的分布式洪泛攻击和SIP消息的特点,提出了一种面向SIP分布式洪泛攻击的两级防御分布式拒绝服务(DDoS)攻击体系结构(TDASDFA):一级防御子系统(FDS)和二级防御子系统(SDS)。FDS对SIP的信令流进行粗粒度检测与防御,旨在过滤非VoIP消息和丢弃超出指定速率的IP地址的SIP信令,保证服务的可用性;SDS利用一种基于安全级别设定的攻击减弱方法对SIP信令流进行细粒度检测,并过滤具有明显DoS攻击特征的恶意攻击和低流量攻击。FDS和SDS协同工作来实时检测网络状况,减弱SIP分布式洪泛攻击。实验结果表明,TDASDFA能实时地识别和防御SIP分布式洪泛攻击,并且在异常发生时有效地减弱SIP代理服务器/IMS服务器被攻击的可能性。     

基于扩展状态机的SIP洪泛攻击自适应检测

IP多媒体子系统(IMS)中现有的会话初始协议(SIP)洪泛检测方法不能根据网络状况进行自适应检测。针对该问题,提出一种基于扩展状态机的SIP洪泛自适应检测方法。通过增加描述网络受到攻击或出现异常时的状态,构造IMS网络中的SIP扩展状态机,基于卡尔曼滤波设计自适应阈值调整算法,对SIP洪泛攻击进行自适应检测。实验结果表明,该方法比固定阈值的检测方法具有更好的检测性能,更适用于真实网络。     

一种IMS网络中的SIP洪泛攻击检测方法

IMS（IP Multimedia Subsystem,IP多媒体子系统）是3G系统中核心网的重要部分,它由SIP协议提供的会话发起能力建立起端到端的会话,并获得所需要的服务质量。针对IMS网络中存在的SIP洪泛攻击,本文在详细分析SIP洪泛攻击原理和实现过程的基础上,提出了一种基于累积和算法的SIP洪泛攻击检测方法。该方法首先通过对接收到的SIP数据包中的INVITE消息的数量进行统计,然后将统计结果输入到累积和算法,以检测是否发生SIP消息洪泛攻击,最后通过设置的阙值来判决检测结果。实验结果表明,本文提出的方法能够有效地检测到IMS网络中的SIP洪泛攻击。     

基于SIP的DoS攻击防御策略的改进

随着SIP协议应用的不断增多,系统安全性能逐渐成为人们关注的焦点。本文从DoS攻击者的角度分析得出防御请求消息洪泛攻击是DoS攻击防御的重中之重。提出利用IDS检测的反馈信息,对SIP系统中的攻击流进行抛弃这一防御策略。达到对SIP协议下的DoS攻击的防御。     

一种SIP分布式洪泛攻击的减弱方法

对会话初始化协议(SIP)分布式洪泛攻击的原理进行研究,结合SIP协议自身的特点提出一种基于安全级别设定的攻击减弱方法.该方法将SIP消息按照历史记录、协议自身进行安全级别分类,利用流量监控对SIP流量监控.当发生分布式洪泛攻击时,通过设定合适的安全级别减弱攻击造成的影响.仿真实验结果表明基于安全级别的方法能够识别和防御SIP分布式洪泛攻击,有效地减弱SIP代理服务器/IMS服务器被攻击的可能性.     

一种依靠节点间相互协作来抵抗洪泛DDoS攻击的方法

针对结构化P2P网络对基于查询消息的洪泛攻击不能进行有效抵抗的问题,提出一种依靠节点间相互协作来抵抗洪泛DDoS攻击的节点模型及其方法.该方法通过回溯算法从节点0开始依次逐层检测以本节点为目的节点的消息数量是否超过阈值,识别排查并定位恶意节点,阻断对恶意消息的转发传播,从而增强抵御DDoS攻击的效能.仿真实验结果表明,基于节点协助的防御方法能有效地隔离恶意节点的消息数,能提高基于DHT结构的P2P网络抵御洪泛DDoS攻击的能力.     

一种基于BP神经网络的SIP DoS洪泛攻击检测方法

为了检测IMS网络中的SIP洪泛攻击,提出一种基于BP神经网络的洪泛攻击检测方法,并分析产生SIP洪泛攻击的原因,由此确定BP神经网络特征输入量,仿真试验结果表明该方法具有较好的检测性能。     

基于优先级队列的SIP DoS洪泛攻击防御模型

研究了NGN中的DoS攻击防御机制,利用排队论方法搭建出SIP DoS攻击M/M/1/K队列分析模型,设计出一种SIPDoS攻击防御模型.该模型将优先级队列引入到SIP服务器的消息处理中,从而减轻INVITE洪泛攻击对服务器的影响.最后通过NS2仿真工具对防御模型的性能进行了仿真分析,仿真结果表明,基于优先级队列的SIPDoS洪泛攻击模型能够有效地降低系统的响应时间.     

定制加权公平队列调度下的SIP DoS攻击防御机制

SIP由于协议的开放性而容易受到DoS洪泛攻击,队列调度方案可以大大减轻洪泛攻击对SIP服务器的影响。通过对SIP消息特征和现有队列调度方案的分析,提出了一种基于定制加权公平队列调度的SIP DoS洪泛攻击防御机制,并对该机制进行了性能仿真。仿真结果显示该方案在防御INVITE洪泛攻击方面比单队列和优先级队列更为有效。     

基于相对熵的SIP DoS洪泛攻击检测算法和仿真

随着SIP协议的广泛应用,SIP网络的安全机制也逐渐成为研究热点.针对SIP DoS洪泛攻击,本文将相对熵引入SIP网络,提出了一种基于相对熵的检测算法,并与传统的信息熵检测算法进行比较.实验结果表明:正常网络流量下信息熵值和相对熵值都基本稳定,在发生DoS攻击时相对熵值波动明显,比信息熵检测算法检测率更高,检测结果更准确.     

Prevention of selective black hole attacks on mobile ad hoc networks through intrusion detection systems

A black hole attack on a MANET refers to an attack by a malicious node, which forcibly acquires the route from a source to a destination by the falsification of sequence number and hop count of the routing message. A selective black hole is a node that can optionally and alternately perform a black hole attack or perform as a normal node. In this paper, several IDS (intrusion detection system) nodes are deployed in MANETs in order to detect and prevent selective black hole attacks. The IDS nodes must be set in sniff mode in order to perform the so-called ABM (Anti-Blackhole Mechanism) function, which is mainly used to estimate a suspicious value of a node according to the abnormal difference between the routing messages transmitted from the node. When a suspicious value exceeds a threshold, an IDS nearby will broadcast a block message, informing all nodes on the network, asking them to cooperatively isolate the malicious node. This study employs ns2 to validate the effect of the proposed IDS deployment, as IDS nodes can rapidly block a malicious node, without false positives, if a proper threshold is set.     

移动Ad Hoc网中一种路由DoS攻击的分布式防御机制

在移动AdHoc网中,路由安全值得关注。恶意路由泛洪攻击会造成对正常节点的DoS攻击以及对网络资源的消耗。路由请求泛洪攻击是一类易于发起的典型泛洪攻击,但由于恶意节点除了进行路由发现的次数比其他节点频繁以外,其他操作与正常节点没有大的差别,所以这种攻击很难被检测出来。提出了一种分布式的过滤机制来减轻网络性能的下降,防御这一类的DoS攻击。本方案对于已有的路由结构和功能只需要做较小的修改,且不需要额外的网络带宽。     

内容中心网络中DoS攻击问题综述

“内容中心网络”（Content Centric Networking,CCN）是未来互联网架构体系群中极具前景的架构之一。尽管CCN网络的全新设计使其能够抵御目前网络存在的大多数形式DoS攻击,但仍引发了新型的DoS攻击,其中危害较大的两类攻击是兴趣包泛洪攻击和缓存污染攻击。这两类DoS攻击利用了CCN网络自身转发机制的安全逻辑漏洞,通过泛洪大量的恶意攻击包,耗尽网络资源,并导致网络瘫痪。与传统IP网络中DoS攻击相比,CCN网络中的内容路由、内嵌缓存和接收者驱动传输等新特征,对其DoS攻击的检测和防御方法都提出了新的挑战。本文首先介绍CCN网络的安全设计和如何对抗已有的DoS攻击,然后从多角度描述、比较CCN中新型DoS攻击的特点,重点阐述了兴趣包泛洪攻击和缓存污染攻击的分类、检测和防御方法,以及它们所面临的问题挑战,最后对全文进行总结。     

Compiling network traffic into rules using soft computing methods for the detection of flooding attacks

The ability to dynamically collect and analyze network traffic and to accurately report the current network status is critical in the face of large-scale intrusions, and enables networks to continually function despite of traffic fluctuations. The paper presents a network traffic model that represents a specific network pattern and a methodology that compiles the network traffic into a set of rules using soft computing methods. This methodology based upon the network traffic model can be used to detect large-scale flooding attacks, for example, a distributed denial-of-service (DDoS) attack. We report experimental results that demonstrate the distinctive and predictive patterns of flooding attacks in simulated network settings, and show the potential of soft computing methods for the successful detection of large-scale flooding attacks.