基于SD-IoT的DDoS攻击防御方法

为解决软件定义物联网中防御DDoS攻击的问题,提出一种攻击溯源与防御方法.该方法部署在软件定义物联网控制器中,当检测到网络中有DDoS攻击发生时,进行节点流量特征提取,利用提出的基于信任模型-自组织映射(trust model-self organizing map,T-SOM)算法的DDoS攻击溯源方法,根据提取到的节点流量特征对网络内节点进行聚类,通过控制器中的网络拓扑找出攻击节点的M ac地址.由防御模块进行端口封禁和packet_in报文过滤实现DDoS攻击防御.实验结果表明,该方法能够对DDoS攻击节点进行有效溯源,快速下发流表隔离攻击节点并过滤packet_in报文.     

拟态防御体系攻击检测研究与分析

网络空间拟态防御技术是一种采用动态异构冗余架构的新型主动防御技术,论述了基于拟态防御体系的攻击检测方法,能够检测定位漏洞并及时修复,完成从静态防御到动态防御的转变,提高对未知漏洞和后门攻击的防御能力。     

拟态防御Web服务器设计与实现

Web服务器系统作为重要的服务承载和提供平台,面临的安全问题日益严重.已有的防御技术主要基于已知攻击方法或漏洞信息进行防御,导致难以很好地应对未知攻击的威胁,从而难以全面防护web服务器系统的安全.论文首先提出了攻击链模型,对已有技术的问题和不足进行了深入的分析.在此基础上,提出了基于“动态异构冗余”结构的拟态防御模型,并描述了拟态防御模型的防御原理和特点.基于拟态防御模型构建了拟态防御web服务器,介绍了其架构,分析了拟态原理在web服务器上的实现.安全性和性能测试结果显示拟态防御web服务器能够在较小开销的前提下,防御测试中的全部攻击类型,说明拟态防御web服务器能够有效提升系统安全性,验证了拟态防御技术的有效性和可行性.最后讨论了拟态防御技术今后的研究前景和挑战.     

拒绝服务攻击防御技术探讨

在当今时代,世界高度依赖于互联网,而互联网被认为是全球信息社会的主要基础设施,互联网的可用性对于社会的经济增长非常关键。然而,互联网架构的固有弱点,为很多针对互联网基础设施和服务进行的攻击提供了可能性。拒绝服务攻击就是这类攻击中的一种,它对网络安全成了巨大的威胁。一些特性使得拒绝服务攻击很难被有效的防御。第一,数据包中包含的源地址可能是伪造的,而且攻击可能会来自多个源,使得很难定位到真正的攻击者;第二,攻击流量可能会很大,超出了大多数企业网和网络设备的承受范围;第三,攻击流量与正常流量的区分度很低,使得在不影响正常流的前提下过滤掉攻击流量变成一件很困难的事情。本文对拒绝服务攻击防御技术和防御方法进行探讨。     

软件定义网络下的拟态防御实现架构

针对传统防御技术难以应对未知漏洞和后门的问题,拟态安全防御（MSD,mimic security defense）通过构造动态异构冗余模型,提高系统的不确定性,增加攻击者的攻击难度和成本,提升网络安全性能。基于软件定义网络,提出了一种拟态防御的实现架构,首先,按照非相似余度准则构建异构冗余执行体,而后借助软件定义网络的集中管理控制实现动态选调和多模判决等功能。实验验证了架构的入侵容忍能力和可用性。     

IPSec VPN安全性漏洞分析及验证

网络边界是提供访问服务的主要通道,而IPSec VPN作为网络边界防护中的关键技术,对于保障网络整体安全至关重要。分析IPSec VPN中IKE协议激进模式和OSPF路由选择协议的安全性漏洞,研究三种常规OSPF路由欺骗方式在IPSec VPN中间人攻击中的性能表现,构建IPSec VPN流量劫持模型及攻击数据包,设计IPSec VPN流量劫持算法与KEYMAT密钥获取算法。通过搭建仿真环境并选取双LSA注入路由欺骗攻击方式,实现跨网段IPSec VPN中间人攻击并验证了IPSec VPN协议的脆弱性,该结论对于网络边界设备防护、骨干网络流量保护具有重要作用。     

基于演化博弈的NFV拟态防御架构动态调度策略

构建网络功能虚拟化（NFV）拟态防御架构能够打破防御滞后于攻击的攻防不对等格局,其中动态调度策略是关键实现技术。然而,现有拟态防御架构中的动态调度策略大多根据执行体自身固有的特点进行调度,没有进一步利用裁决机制对异常执行体的定位感知能力做优化调整。通过引入演化博弈理论,设计一种新的NFV拟态防御架构动态调度策略。在NFV拟态防御架构中增加一个分析器,用于对历史裁决信息进行分析研究。根据分析器中得到的反馈信息,从攻防双方的有限理性出发构建多状态动态调度演化博弈模型,并采用复制动态方程求解该博弈模型的演化均衡策略,利用李雅普诺夫间接法对均衡策略进行稳定性分析,提出基于演化博弈的动态调度策略选取算法。仿真结果表明,该策略能够利用裁决机制对异常执行体的定位感知能力,通过深入分析研究和不断调整优化选择具有适应性和针对性的调度策略,有效提升系统的安全收益和防御效能。     

进程控制流劫持攻击与防御技术综述

控制流劫持攻击是一种常见的针对计算机软件的攻击,给计算机软件安全带来了巨大的危害,是信息安全领域的研究热点。首先,从攻击代码的来源角度出发,阐述了进程控制流劫持攻击的相关研究;其次,根据控制流劫持攻击技术的发展现状,基于不同防御思想介绍了近年来国内外的相关防御技术;最后对控制流劫持攻防技术发展趋势进行总结和展望。     

SYN Flood攻击的原理及防御

SYN-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。为了有效防范这种攻击,在分析攻击原理的基础上,发现可以使用TCP代理防御及TCP源探测防御方法来解决这个问题,经过测试证明,该办法能够有效降低SYNFlood攻击造成的危害。     

基于拟态防御架构的多余度裁决建模与风险分析

网络空间拟态防御技术以动态异构冗余的内生安全特性作为架构核心,通过多余度裁决方保证服务质量并阻断攻击威胁。然而,目前对于多余度裁决的方法,并没有对其防御的代价和风险进行有效分析和评估。本文根据拟态防御与多余度裁决模型之间的关系,针对多余度裁决方法的防御能力、运行效率和系统恢复三方面进行建模和分析。根据模型分析方法挖掘出模型的三项指标之间的潜在关系和部分同构的部署策略下裁决模型的风险隐患问题,并通过实验验证了该方法的有效性。最后,根据模型的评估结果给出了实际部署意见并总结了模型的不足和改进方向。     

内存数据污染攻击和防御综述

内存数据被污染往往是程序漏洞被利用的本质所在,从功能角度把内存数据划分为控制相关和非控制相关,由此引出控制流劫持攻击和非控制数据攻击。两者危害程度相当,前者因利用成本较低而成为主流,但随着控制流劫持防御方法的不断完善,非控制数据攻击逐渐被重视。研究者先后在顶级会议上提出了数据导向攻击得自动化利用框架Data-oriented Exploits （DOE）以及图灵完备性地证明Data-oriented Programming （DOP）,使得非控制数据攻击成为热点。本文基于这两种攻击形式,首先简化内存安全通用模型,并对经典内存数据污染攻击和防御的原理进行分析,其次分别论述新型控制流劫持和非控制数据攻击与防御的研究现状,最后探讨内存安全领域未来的研究方向,并给出两者协作攻击和防御的可能方案。     

一种拟态构造的Web威胁态势分析方法

基于裁决差异性判别进行威胁推测是拟态防御系统屏蔽和阻断攻击威胁的重要机制,然而现有的拟态裁决机制无法对拟态防御系统安全态势进行有效归纳分析和威胁管控。为此,以拟态Web服务系统为例,将网络态势感知技术融入到拟态防御架构中,提出一种改进的Web威胁态势分析方法。对多层次的拟态裁决告警日志进行数据关联,挖掘及分类融合提取的特征数据信息,并对不同类型的分类数据进行可视化展示。实验结果表明,该方法能够显示拟态防御系统的安全状态,及时获悉异常执行体的运行情况,从而实现对拟态防御系统的安全态势进行分析与评估。     

一种基于执行体异构度的拟态裁决优化方法

网络空间拟态防御技术通过构建动态异构冗余的系统架构来提高系统的安全性能,而裁决器的表决机制是防御链中的关键步骤,直接影响拟态系统的安全性和效率。针对拟态表决环节的任务特性,对一致表决算法进行改进,设计基于执行体异构度的拟态裁决优化方法。结合拟态防御系统的异构特性,在选择执行体表决输出时引入执行体间的异构度作为决策因素,同时综合考虑执行体数目和历史记录信息,使表决算法更适用于拟态架构面临的威胁场景。实验结果表明,与一致表决算法相比,该算法能够显著提高拟态系统的安全性能,有效规避共模逃逸的风险。     

基于SOA的DDoS网络攻击防御框架

给出一种运用SOA理念构建的DDoS防御框架,实现在攻击源端阻挡入侵流量.通过引入SOA和覆盖网络,使得框架和外界保持松耦合,并实现其通用性的底层架构,在此基础上基于加解密方法构建可保障架构安全的凭证体系.实验表明,该框架可有效保护正常客户机和服务网络不受恶意攻击者损害.     

基于SOA的DDoS网络攻击防御框架

给出一种运用SOA理念构建的DDoS防御框架,实现在攻击源端阻挡入侵流量。通过引入SOA和覆盖网络,使得框架和外界保持松耦合,并实现其通用性的底层架构,在此基础上基于加解密方法构建可保障架构安全的凭证体系。实验表明,该框架可有效保护正常客户机和服务网络不受恶意攻击者损害。     

无线传感器网络中基于节点ID验证的防御DOS攻击策略

无线传感器网络广播认证存在DOS攻击问题,攻击者可以通过伪造大量的广播包,耗费接收节点大量能量进行数字签名验证,从而使目标节点致命.针对这种情况,提出一种无线传感器网络中基于节点ID验证的防御DOS攻击策略,充分利用节点ID验证,先于复杂的数字签名验证,有效地防御DOS攻击,且避免了对同一数据包的重复数字签名验证.从仿真实验结果看出,该策略比现有的两个方案具有较强的攻击防御性和较低的时耗和能耗.     

基于SDN构架的DoS/DDoS攻击检测与防御体系

针对Do S/DDo S的攻击检测算法大多应用于攻击的目的端,只能实现检测效果、并不能缓解攻击的问题,提出利用SDN架构的集中控制等特点,在攻击的源头实现流量实时监控,使用源IP防伪、接入层异常检测、链路流量异常检测形成多重防御体系,尽可能早地发现攻击,逐渐过滤异常流量,实现网络层DDo S攻击在源端的检测和防御。提出防御体系概念,便于应用更先进的检测算法完善防御体系。     

DDoS攻击原理与防御

该文介绍了DDoS攻击原理和攻击过程,从预防、检测和响应3个方面分析了防御DDoS攻击的技术和方法,阐述了几种较为典型的应用。最后,针对目前DDoS攻击防御研究现状提出了防御攻击的方法和建议。     

网络空间拟态防御发展综述：从拟态概念到“拟态+”生态

网络空间拟态防御（CMD,cyberspace mimic defense）基于动态异构冗余架构实现多体执行、多模裁决和多维重构,以不确定性系统应对网络空间泛在化的不确定性威胁。从纵向、横向、当前、发展和未来5个视角对其8年来的演进进行系统综述：纵向观,概述了CMD从概念提出,到理论、实践层面形成发展的历程;横向观,阐述了CMD的DHR（dynamical heterogeneous redundancy）核心架构、以CMD三定理为支柱的原理、安全增益、性能开销,将其与入侵容忍、移动目标防御、零信任架构、可信计算和计算机免疫学 5 类其他主动防御技术进行了综合对比辨析;当前观,综述了拟态路由器、拟态处理机、拟态 DNS服务器、拟态云平台等 11 类现有主要拟态产品的实现要素、性能表现、系统架构、异构策略、调度策略、表决策略等共性技术模式与特性技术特点;发展观,结合人工智能、物联网、云计算、大数据和软件定义网络5类新型技术探讨了“拟态+”AICDS（拟态+AI/ IoT/Cloud/Data/SDN）共生生态,提出了相应技术结合点和交叉研究价值;未来观,展望了未来拟态基线 2.0 产品生态、“拟态+5G/6G”“拟态+边缘计算”“拟态+云”和“拟态+区块链”5 类“拟态+”应用场景,分析归纳了拟态防御技术面临的存在多模决策攻击逃逸空间、异构与同步互制约、安全与功能难平衡和现有内生安全组件变换空间有限4点挑战。     

基于可信度的应用层DDoS攻击防御方法

针对应用层DDoS(application layer DDoS,App-DDoS)攻击行为的特点,提出了一种基于可信度的App-DDoS攻击防御方法.该方法从服务请求的速率和负载两个方面,统计分析正常用户的数据分布规律,并以此作为确定会话可信度的依据.调度策略再根据会话可信度实现对攻击的防御.最后,通过模拟攻击实验验证了防御方法的有效性.实验结果证明了该方法能够快速有效地实现对App-DDoS攻击的防御.