域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.     

域间IP欺骗防御服务净化机制

IP地址真实性验证成为构建可信网络的基础,基于粗粒度的源-目的自治域标识(密钥)的域间IP欺骗报文过滤机制具有处理简单、保护范围广、部署激励高等优点,却存在不能过滤自治域内子网间IP欺骗报文等不足.而细粒度的源-目的子网标识能够解决过滤粒度粗的问题,却带来了更严重的处理复杂、计算和存储开销大等同题.针对IP欺骗防御机制的计算复杂度和过滤粒度之间的矛盾,提出一种新颖的域间IP欺骗防御服务净化机制RISP.RISP立足于域间IP欺骗防御,根据自治域内拓扑结构的稳定性,引入非对称的细粒度的源子网-目的自治域标识方式,实现对自治域间和自治域内子网间IP欺骗报文的检测与过滤.根据主要的IP欺骗报文攻击的流特征,引入流异常检测机制,实现细粒度标识的动态触发,进一步降低细粒度标识的计算和存储开销,同时对子网内恶意数据流进行流速限制.RISP在不增加自治域内防御实体的情况下,使得防御实体能够过滤自治域内子网间IP欺骗报文,计算和存储开销小,过滤粒度细,而且具有较高的部署激励.     

一种基于故障时间的可调域间出口选择算法

在大型Internet服务提供商中,BGP (border gateway protocol)出口路径选择常常采用"热土豆"机制.然而研究表明,该机制具有相当大的局限性以及出口调节的间接性,它容易影响域间路由的健壮性.针对"热土豆"机制的缺点,出现了一些新的BGP出口路径选择机制和算法.然而,这些方法在解决问题时往往忽略网络运行过程中经常出现的IP链路故障或故障持续时间的影响.提出了一种基于故障时间的可调域间出口路径选择算法,该算法能够根据流量工程的目标、路由稳定性等要求进行动态的调整,同时满足路由变化的实时性.模拟实验结果表明,该算法能够有效地在多个目标之间达到平衡.     

浅析防御网络欺骗攻击

随着信息时代的到来,信息对人们生活的重要性日益加重,信息安全的重要性也随之变得日益重要。该文简要介绍各类欺骗攻击的原理、方法及防范此类入侵的方法。     

一种防范BGP 地址前缀劫持的源认证方案

提出了一种基于线索平衡二叉排序哈希树认证委分字典的安全高效的源认证(origin authentication,简称OA)方案,用于防范BGP地址前缀劫持攻击.基于Aiello和McDaniel等人提出的OA服务,通过数值区间对AS号和IP地址前缀这两种BGP前缀宣告资源进行了统一的形式化定义,采用一种方案同时解决了两种前缀宣告资源的源可信问题.该方案不仅解决了原OA服务中存在的"无效分配关系的证据量是有效分配关系证据量的两倍"的问题,而且与原OA服务相比,该方案建树所需要的总节点数降低约一半.同时,委分证据集合的平均长度更小.因此,该源认证方案效率更高.     

Origin Authentication Scheme Against BGP Address Prefix Hijacking

提出了一种基于线索平衡二叉排序哈希树认证委分字典的安全高效的源认证(origin authentication,简称OA)方案,用于防范BGP地址前缀劫持攻击.基于Aiello和McDaniel等人提出的OA服务,通过数值区间对AS号和IP地址前缀这两种BGP前缀宣告资源进行了统一的形式化定义,采用一种方案同时解决了两种前缀宣告资源的源可信问题.该方案不仅解决了原OA服务中存在的“无效分配关系的证据量是有效分配关系证据量的两倍”的问题,而且与原OA服务相比,该方案建树所需要的总节点数降低约一半,同时,委分证据集合的平均长度更小.因此,该源认证方案效率更高.     

IP欺骗的技术分析及防御措施

本文从IP欺骗中的被假冒的信任主机和目标主机两个方向讲述了IP欺骗的实现，围绕TCP／IP握手机制产生的状态转换体现其内在缺陷，并介绍了相关的防御策略。     

SE-BGP:一种BGP安全机制

BGP(bordergatewayprotocol)协议的安全是Internet路由系统安全的关键.目前已提出多种BGP安全机制,但都未能得到部署.对BGP安全机制的部署问题进行深入分析,利用AS(autonomous system)结构的Rich-Club特性,提出AS联盟的概念,设计了一种BGP安全机制:SE-BGP(security enhanced BGP).SE-BGP采用基于AS联盟的安全体系结构,使用一种具有分布式认证中心的新的信任模型——TTM(translato rtrust model).设计了基于TTM模型的认证算法,给出了基于现有BGP协议的扩充实现方法.与已有的安全机制相比,SE-BGP在保证安全能力的同时,所需的证书规模大约为原有机制的1%,具有良好的可扩展性.     

MTD增强的网络欺骗防御系统

计算机网络正在飞速发展,但随之而来的系统破坏、信息泄露等网络安全问题也日益突出。攻击者在正式攻击前通常进行大量的网络侦查,以发现目标网络和系统上的可利用漏洞,而传统网络系统中的静态配置为攻击者发现网络目标和发起攻击提供了极大的优势。为了减轻攻击者持续性网络侦查攻击的有效性,基于软件定义网络开发了移动目标防御（moving target defense,MTD）增强的网络欺骗防御系统。该系统采用网络欺骗技术,混淆攻击者收集到的目标网络和系统信息,延长攻击者扫描到网络内真实脆弱性主机的时间,提高其时间成本;并在此基础上融合移动目标防御技术,动态随机地变换网络内节点的IP地址,增强网络欺骗系统的防御效能。实现了系统原型并对其进行评估,在虚拟网络拓扑规模为3个网段且地址变换周期为30 s的配置下,该系统将攻击者发现脆弱性主机的时间平均延迟7倍,将攻击者成功攻击脆弱性主机的概率降低83%,同时系统额外开销平均在8%以内。     

面向防御的网络欺骗技术研究

随着现代电子技术的迅猛发展,互联网不但成为国际信息传播的重要载体,而且早已渗透到社会生活的方方面面,在人们的生产与生活中发挥着日益显著的作用。但是,自互联网问世以来,信息泄露事件时有发生,信息安全问题突出,网络安全形势日益严峻。基于此,越来越多的人希望寻求更加有效的网络安全防御手段,以确保网络信息的安全性与可靠性。基于此,笔者试分析常见的网络欺骗方式,以及相关的网络欺骗防御技术,希望能够不断提升网络欺骗防御技术水平,促进信息安全与资源共享的协调发展。     

支持域间分布式分组过滤的BGP扩展

可信任是下一代互联网的重要特征.目前,互联网的路由系统只按照分组的目的IP地址转发分组,携带虚假源IP地址的伪造分组也会被传输到目的地,这会在威胁接收方安全的同时,隐藏发送方的真实身份.可信任互联网的路由系统不仅需要能够正确地转发分组,而且能够验证分组来自正确的发送方.基于路由的域间分布式分组过滤是过滤伪造分组的有效方法.提出了BGP的路由选择通知功能扩展,为域间分组过滤提供过滤标准.在扩展的支持下,边界路由器能够鉴别进入本自治系统的分组的真实性,过滤掉伪造其他自治系统地址的分组.模拟结果表明,路由选择通知不会对BGP正常的路由功能产生负面影响,选择合理的路由选择时钟参数,可以在同时取得较小带宽开销和较快收敛速度的情况下,为域间分布式分组过滤提供支持.     

域间多路径路由协议

边界网关协议(border gateway protocol,简称BGP)是当前互联网的核心协议,但是由于BGP是一种单路径路由协议,所以仍存在可靠性差、无法有效使用次优路径以及负载均衡支持较弱等问题.域间多路径路由可以通过发挥底层网络的AS级路径多样性,提高域间路由的可靠性、报文分组转发的总体性能和整个网络资源的利用率.因此,域间多路径路由是解决上述BGP问题的一种有效手段,符合互联网应用不断深入、促进路由技术发展的需求.主要综述域间多路径协议,并将其分为3类:单径通告多路转发协议、多径通告多路转发协议和新型域间多路径路由体系结构提出路径多样性、控制平面和数据平面开销、无环路特性等8项主要路由系统性能指标,并比较、分析了域间多路径路由协议.最后,指出域间多路径路由协议面临的主要挑战和未来的研究方向.     

区分自治系统关系的域间路由体系研究

BGP-4是Internet采用的惟一域间路由协议,但它并不能确保路由收敛,复杂的网络结构加剧了路由潜在振荡的危险性．为此,提出了一种自约束的域间选路机制,在不违反传统流量工程原则和自治系统间结算原则的前提下,通过抑制违背自治系统间关系的路由通告和路由选择,达到维护全系统路由稳定的目的;对昕提方案的技术可行性进行论证,给出了新的选路机制原型系统的定义和关键算法的实现．区分自治系统关系的域间路由体系有效回避了路由策略一致性全局检测这一NP-complete问题．     

SDN与传统IP网络互联架构的设计与实现

所提出的软件定义网络SDN与传统IP网络互联的架构基于以下核心思想:把整体SDN当成一个传统IP网络的"路由器",由IP网络和该"路由器"通过BGP协议进行域间网络层可达性信息NLRI的交互,从而使得全网的NLRI经过路由同步后达到一致。在此思想下分析设计了互联架构,对该互联架构进行了模块功能测试、多SDN场景下的仿真和性能测试。仿真结果表明所提出的互联架构可以完成SDN与传统IP网络的互联互通。设计的互联架构对原有网络设备的改动很少,所做的改动集中在可软件编程的控制器上,这有利于本架构在具体网络环境中的实施和部署。     

MASK: An efficient mechanism to extend inter-domain IP spoofing preventions

IP spoofing hinders the efficiency of DDoS defenses. While recent proposals of IP spoofing prevention mechanisms are weak at filtering spoofing packets due to the complexity in maintaining source IP spaces and the low incentive of deployments. To address this problem, we propose an efficient mechanism to extend the range of inter-domain IP spoofing prevention called MASK. Source MASK nodes inform destination MASK nodes about the source IP spaces and labels of their neighbor Stub-ASes in order to implement the marking and verification of packets towards the Stub-ASes, and limit the number of MASK peers through the propagation of BGP updates so as to reduce the overheads of computing and storing of labels. By utilizing the method of extending the spoofing prevention to Stub-ASes, MASK can not only enlarge the domain of the spoofing prevention service, but also filter spoofing packets in advance. Through analysis and simulations, we demonstrate MASK＇s accuracy and effectiveness.     

校园网内ARP病毒的防治方法

近期校园网内频繁爆发一种叫ARP木马的网络病毒;严重影响了校园网的稳定和安全。该文介绍了ARP协议的工作过程以及ARP欺骗的原理,并提出了切实有效的防治ARP病毒的方法。     

ARP欺骗研究综述

近年来,ARP欺骗已成为网络安全的首要威胁,ARP欺骗的相关研究已成为网络安全领域的热点课题。本文分析ARP协议的工作原理以及ARP欺骗原理,阐述ARP欺骗的主要类型：欺骗主机、欺骗网关和双向欺骗,并在此基础上,研究近几年来ARP欺骗主要的检测和防御方法,如IP与MAC地址匹配方法、SACT检测方法、改进或扩展ARP协议和S_UARP协议等,分析这些方法的工作原理及其优缺点。改进和完善ARP协议将成为ARP欺骗防御的发展趋势。