BGP-SIS：一种域间路由系统BGP-LDoS攻击威胁传播模型

针对域间路由系统的低速率拒绝服务攻击(Low-rate denial of service against BGP,BGP-LDoS)通过引起级联失效造成域间路由系统整体瘫痪。研究BGP-LDoS攻击威胁下域间路由系统级联失效的传播机理、影响因素是应对和防范该攻击的基础。通过分析域间路由系统的结构特性以及BGP-LDoS攻击过程,提出这一种基于传染病动力学的BGP-LDoS威胁传播模型BGP-SIS。将系统中每个节点的状态划分为易感态、感染态,利用传染病动力学模型SIS对攻击所造成的级联失效过程进行描述,推导攻击威胁下域间路由系统的最终状态。利用仿真实验对模型及推论的有效性进行验证。实验结果表明BGP-SIS能够有效描述和预测BGP-LDoS攻击下域间路由系统级联失效的传播规律,可为域间路由系统检测和防御BGP-LDoS攻击提供借鉴和参考。     

一种基于AS安全联盟的域间路由系统拟态防护机制

针对域间路由系统的大规模低速率拒绝服务攻击(Low-rate DoS against BGP Session,BGP-LDoS)能够造成域间路由系统的整体瘫痪,而现有的检测方法和防护措施难以有效检测和防御此类攻击。BGP-LDoS攻击实施的前提是对域间路由系统的拓扑进行探测分析,获取关键链路的相关参数信息。网络拟态变换能够通过持续的动态变换来迷惑攻击者,增加攻击者对网络进行探测与分析的代价和复杂度,降低攻击成功的概率。借鉴拟态安全防御思想,提出了一种域间路由系统拓扑动态变换的防护方法,由系统中多个相邻自治系统(Autonomous System,AS)组成AS拟态联盟,在联盟内部进行拓扑等效变换。文中给出了实现的具体过程。对拓扑变换后的网络抗BGP-LDoS攻击的能力进行验证分析,实验结果表明,利用该方法可有效降低攻击者对网络拓扑分析的精确度,干扰其关键链路的选择过程,从而实现对BGP-LDoS攻击的防护。     

基于生灭过程的域间路由系统相继故障模型

大规模BGP-LDoS（Low-rate DoS attack against BGP sessions）攻击是造成域间路由系统大范围相继故障的一种典型且有效的技术手段。在分析BGP-LDoS攻击技术及特性的基础上，提出一种基于生灭过程理论的相继故障模型。将域间路由系统的所有节点视为一个单种群，将BGP-LDoS攻击下的路由节点故障传播过程视为种群的生灭过程，即各个节点在正常态和故障态之间的迁移。通过构建的故障传播主方程，形式化描述节点故障在域间路由系统中的级联传播。理论分析和实验结果都验证了该模型能够有效描述BGP-LDoS攻击导致的域间路由系统节点故障传播过程，可为域间路由系统相继故障预防与控制技术的研究提供理论支持。     

下一代互联网域间路由安全：威胁与对策

基于BGP的域间路由系统是下一代互联网的关键基础设施.本文系统地分析了下一代互联网域间路由系统的脆弱性,建立了下一代互联网域间路由的攻击模型对各种攻击目标和攻击方式进行描述,并从多个层次对BGP-4和BGP4＋的安全能力进行分析与比较.此外,我们给出了路由攻击检测系统方案,该方法可有效实现域间路由系统的安全控制     

基于双毁伤因素的域间路由系统级联失效模型

级联失效建模研究对检测和防御级联失效攻击具有重要意义。针对现有研究存在毁伤因素单一、失效条件不符合实际等问题，提出了基于双毁伤因素的域间路由系统级联失效模型。该模型综合考虑了UPDATE报文和流量重分配对级联失效过程的影响，并基于两者的相互作用关系，系统刻画了级联失效过程。实验结果表明，该模型能够较准确地模拟域间路由系统级联失效过程，验证了模型的有效性。相对于已有模型，使模型与真实数据的预测偏差降低了35%。     

基于人工免疫的工业认知无线网络路由机制

工业互联网（industrial Internet）已成为第四次工业革命的代表技术.根据工业网络数据传输服务的需求,以及针对工业无线网络拓扑相对稳定、流量规律变化等特点,提出了一种基于人工免疫系统（artificial immune system,简称AIS）的工业认知无线网络路由机制,包含基于链路质量的域内静态路由算法和基于多路径的域间动态路由算法,以实现工业网络的可靠路由.根据人工免疫系统特点,将工业网络的拓扑结构进行区域划分：提出了基于链路质量的域内静态路由算法,采用软硬件结合的方式监视网络链路,并根据移动窗口指数加权平均法计算链路丢包率;提出了基于多路径的域间动态路由算法,根据模式距离对节点的流量周期进行预测,防止节点因流量过大而导致丢包.基于OMNET++仿真平台进行仿真实验,结果表明,所提出的路由机制在应对突发流量时与组合定向地理路由算法相比,丢包率及网络开销分别降低1倍;应对链路失效的情况时与图路由算法相比丢包率降低4倍.     

基于传播动力学的域间路由系统关键节点识别方法

域间路由系统是互联网的关键基础设施,对域间路由系统中的关键节点实施保护具有重要意义。针对现有关键节点识别方法识别出的关键节点不能反映节点在失效传播过程中起到关键作用的问题,提出了基于传播动力学的关键节点识别方法。该方法通过综合考虑节点失效后引发的负载重分配和UPDATE报文传播对周围节点和边产生的影响,提出了基于DDF-CFM模型的节点重要性评估模型。实验结果表明,该方法相比已有方法识别关键节点的准确程度至少提高7.3%。同时,在10 000个网络的规模下,仅5个关键节点失效就将导致大规模的域间路由系统级联失效。     

区分自治系统关系的域间路由体系研究

BGP-4是Internet采用的惟一域间路由协议,但它并不能确保路由收敛,复杂的网络结构加剧了路由潜在振荡的危险性．为此,提出了一种自约束的域间选路机制,在不违反传统流量工程原则和自治系统间结算原则的前提下,通过抑制违背自治系统间关系的路由通告和路由选择,达到维护全系统路由稳定的目的;对昕提方案的技术可行性进行论证,给出了新的选路机制原型系统的定义和关键算法的实现．区分自治系统关系的域间路由体系有效回避了路由策略一致性全局检测这一NP-complete问题．     

域间路由安全实时监测系统的设计与实现

域间路由系统是Internet的基础设施和网络的关键支撑，然而由于其自身的脆弱性而存在许多安全方面的问题。从域间路由监测的角度出发，基于路由异常行为规则库和流量模式设计并实现了一个域间路由安全实时监测系统。系统可以实时检测网络流量异常以及非法路由，并向用户提供告警信息，同时根据BGP更新报文生成并维护BGP路由表，为基于路由表分析的监测方法做好了准备。给出了系统试验，并对系统性能进行了评价。     

DDOS攻击检测和防御模型

提出了基于聚集和协议分析防御分布式拒绝服务攻击(aggregate-based protocol analysis anti-DDoS,简称APA-ANTI-DdoS)模型来检测和防御DDoS攻击.APA-ANTI-DDoS模型包括异常流量聚集、协议分析和流量处理.异常流量聚积把网络流量分为正常流量和异常流量;协议分析寻找异常流量中DDoS攻击流量的特征;流量处理则根据当前的DDoS攻击流量特征,过滤异常流量并测试当前聚积流量的拥塞控制特性,恢复被误判的流量.随后实现了APA-ANTI-DDoS系统.实验结果表明,APA-ANTI-DDoS模型能很好地识别和防御DDoS攻击,能在误判时恢复非攻击流量,保证合法的正常网络通信.     

An anomaly-based detection in ubiquitous network using the equilibrium state of the catastrophe theory

It has been increasingly important for Pervasive and Ubiquitous Applications (PUA) of the network traffic, especially anomaly detection which plays a critical role in enforcing a high protection level of the network against threats. In this paper, we present a network traffic anomaly detection method based on the catastrophe theory. In order to characterize the normal behavior of the network, we construct a profile of the normal network traffic by using an equilibrium surface of the catastrophe theory. When anomalies occur, the state of the network traffic will deviate from the normal equilibrium surface. Then, taking the normal equilibrium surface as a reference, we monitor the ongoing network traffic and we use a new index called as catastrophe distance to quantify the deviation. According to the decision theory, network traffic anomalies can be identified by the catastrophe distance. We evaluate the performance of our approach using the DARPA intrusion detection data set. Experiment results show that our approach is significantly effective on the network traffic anomaly detection.     

基于尖点突变模型的联动网络流量异常检测方法

针对现有方法没有考虑联动网络流量的非线性动力学特性,以及不能有效区分正常联动业务流量和异常攻击流量的问题,提出了一种基于尖点突变模型的联动流量异常检测方法。通过对联动网络流量非线性动力学特征参数的分析与提取,建立正常流量的尖点突变模型;利用模型的平衡曲面来描述网络流量系统的行为,构造正常网络流量行为的平衡曲面;并以网络流量行为相对于正常平衡曲面的偏离程度作为异常检测的依据。实验结果表明,所提方法具有较高的检测率和较低的误报率。     

MP-MID: Multi-Protocol Oriented Middleware-level Intrusion Detection method for wireless sensor networks

It is very difficult to detect intrusions in wireless sensor networks (WSN), because of its dynamic network topology and diverse routing protocols. Traditional Intrusion Detection Systems (IDS) for WSN only focus attention on some one routing protocol, which lacks universality and flexibility. To solve the problem of multi-protocol intrusion detection, this paper proposes a universal method: MP-MID (Multi-Protocol Oriented Middleware-level Intrusion Detection). Our work can generate all known attack types for any routing protocol of WSN, and furthermore, all of them can be detected with the automatically generated rules. In this work, we formalize the routing protocol with the Process Algebra for Wireless Mesh Networks (AWN) language, and propose the conception of attack points to find out all attack types. Combining attack points with formalized protocol in AWN, we get co-sentences which represent the attack features in the protocol. With program slicing technology, all known attack types can be found out based on co-sentences. According to the characteristic of the key variables of the attack types, MP-MID can generate misused based detection or anomaly based detection. Our case study of ADOV (Ad hoc On-demand Distance Vector) protocol shows that our method generated all types of attacks, which outperforms other work. Experimental results show that our generated detection methods have a relatively high detection accuracy rate as we claimed. Our MP-MID method could be used as a flexible and universal tool to analyze and detect attack types for multi-protocol in WSN effectively.     

基于信息融合度传递的频域徙动入侵特征挖掘算法

在功率自激混合组合网络中,路由之间的相群特征相异性会产生谐振信号,因此需要有效挖掘入侵信号的频域徙动特征来实现对入侵信号的拦截。传统方法采用混合蛙跳算法挖掘入侵特征并且聚类中心矢量向模糊边缘贴近,因此搜索和挖掘精度不高。提出了一种基于混合蛙跳最优模因组信息融合度传递的频域徙动入侵特征挖掘算法。构建功率自激组合网络的系统模型和入侵信号数学模型,基于频域谐振慢变衰落幅度均衡原理,得到多源网络攻击源信号在相干点积功率累积尺度坐标,采用多普勒频移模糊搜索对入侵信号进行平滑处理,计算入侵信号的多普勒频移状态空间固有模态函数,得到入侵信号的频域特征包络幅度估计值。采用IIR滤波算法,对信号进行降噪滤波处理,提高信号的纯度,提出基于信息融合度传递的混合蛙跳入侵信号检测算法,优化特征挖掘结果,完成入侵信号的频域徙动特征挖掘算法改进。仿真实验结果表明,该算法能准确挖掘入侵信号的频域徙动特征,特征的波脊亮点明显,在低信噪比下提高了入侵信号的检测性能。     

基于SVM的MANET路由层入侵检测*

针对MANET（移动自组织网络）路由层的攻击,通过对MANET路由层AODV（Ad hoc on-demand distance vector）路由协议交互行为的分析,提取了9个路由交互过程特征,将入侵检测问题转换为对正常行为和异常行为分类识别问题,采用SVM（支持向量机）算法,设计了一种分布式异常检测系统。仿真结果表明,使用该检测系统的检测率达到97%以上,从而验证了该系统的可行性,同时也验证了所提取的路由交互行为特征的有效性。     

OSPF路由监测系统

OSPF协议是一种广泛使用的内部网关路由协议。设计了一种OSPF路由监测系统,并分别实现了适用于IPv4和IPv6平台的版本。该监测系统通过被动地侦听OSPF协议的洪泛信息—LSA(Link State Advertisement),对域内的路由状态进行跟踪重现。实时监测路由变化,并以路由负载变更图的形式,及时准确地呈现域内路由变更。经过在Cernet2上的系统部署实验,收集到大量有效数据,同时表明这是一个轻载且易用的监测系统。