正态分布与分布式拒绝服务攻击的主动预防

随着信息技术的发展和应用的普及,网络安全问题已经成为人们关注的焦点问题。目前分布式拒绝服务(DDoS,Distributed Denial of Service)攻击已经成为影响Internet正常运行的一个比较严重的问题,并影响合法用户获得正常的服务。文中首先阐述了DDoS形成的原理,然后分析了预防DDoS攻击的措施和机制。随后借助于SSFNet(Scalable Simula-tion Framework Net)仿真软件构建相应的网络环境,模拟了一种分布式拒绝服务攻击。针对在实验中发现的攻击特征,即攻击发生时通过路由器的新IP数量呈现正态分布的变化趋势,结合统计学中正态分布的概率理论知识,提出了一种通过正态分布模型结合网络中新IP数量变化趋势应对分布式拒绝服务攻击的主动防御方案。然后利用实验中采集的数据,对所提出的应对分布式拒绝服务攻击的防御方案进行了验证。     

防御DDoS攻击的智能过滤模型

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络最大的安全威胁之一,如何防御DDoS攻击已经引起了人们的广泛关注,然而关于在DDoS攻击发生时减轻攻击危害的这方面工作却很少。阐述了一种基于IP返回追踪的数据包智能过滤模型,能够在DDoS攻击正在发生时尽可能响应合法用户的请求,提高合法通信的吞吐量。     

基于确定包标记的DDoS攻击防御

针对已有的基于包标记的分布式拒绝服务攻击防御机制在安全性、标记利用率低、可扩展性差等方面的缺陷,提出一种基于确定包标记的DDoS攻击防御方案。通过采用一种新的编码机制,在IP数据包中嵌入一个与入口点地址相关的29位标识,将这个标识完整地记录在一个包上,使该方案具有单包追踪且零误报、保护ISP内部网络拓扑信息和应对大规模DDoS攻击的优点,从而达到有效防御DDoS的目的。和同类方法相比,该方案具有较强的实用性。     

新的基于Huffman编码的追踪方案

面对DDoS攻击,研究人员提出了各种IP追踪技术寻找攻击包的真实源IP地址,但是目前的追踪方案存在着标记过程中的空间问题、追踪源是否准确及追踪所需包的数量等问题.提出一种新的基于Huffman编码的追踪方案,可以节省大量的存储空间,提高空间效率,而且当遭遇DoS(拒绝服务攻击)和DDoS的攻击时能迅速作出反应,仅仅收到一个攻击包即可重构出攻击路径,找到准确的攻击源, 将攻击带来的危害和损失减小到最低程度.     

DDoS攻击的检测与溯源探析

分布式拒绝服务攻击是当前流行的网络攻击手段之一,影响力巨大。本文主要探讨了DDoS攻击的检测方法和IP溯源技术,重点分析3种DDoS检测方法:流量、日志、数据包分析法,提出了运用数据包切片标记实现对伪造IP攻击溯源的方法。通过搭建分布式DDoS攻击实验环境,综合应用流量监控、日志分析和数据包切片标记的方法实现了对DDoS的IP溯源。通过反复实验测试,证明方法的可行性、准确率可达90%。     

基于自适应包标记的IP源追踪方案

防御分布式拒绝服务(DDoS)攻击是当前网络攻击研究的重要课题,本文提出了一种DDoS攻击追踪方案的构想,在自适应包标记理论的基础上,提出了新的改进算法,该方案利用了TTL域和并提出了一种伸缩性的包标记策略,可以通过更少的数据包更快的定位出攻击源。同以往方法比较,该算法的灵活性好,并且误报率很低。经仿真实验证明该系统用较少的数据包即追踪IP源,最大限度的减少了攻击带来的损失。     

基于攻击特征的ARMA预测模型的DDoS攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点。本文提出一个能综合反映DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等多个本质特征的IP流特征(IFFV)算法,采用线性预测技术,为正常网络流的IFFV时间序列建立了简单高效的ARMA(2,1)预测模型,进而设计了一种基于IFFV预测模型的DDoS攻击检测方法(DDDP)。为了提高方法的检测准确度,提出了一种报警评估机制,减少预测误差或网络流噪声所带来的误报。实验结果表明,DDDP检测方法能够迅速、有效地检测DDoS攻击,降低误报率。     

小型DDoS更加普遍 更加危险

分布式拒绝服务攻击类型在不断"进步"。企业总是害怕高带宽的网络暴力攻击,而小型基于应用程序的分布式拒绝服务攻击则更普遍、更危险。网络上大型DDoS攻击通过消耗大量带宽造成严重破坏,而小型DDoS攻击通过小麻烦带来更大的问题。在监控下,这些小型DDoS攻击用合法IP地址(而非欺骗地址)模仿真实用户流量。报告发现2011年76%的DDoS攻击占用带宽不到1Gbps。只有9%的DDoS攻击超过10Gbps。报告分析了40个不同企业的DDoS案例,发现     

一种新的DDoS攻击方法及对策

分布式拒绝服务攻击(DDoS)利用了网络协议的弱点,其攻击方式简单,但危害巨大。该文通过分析一种新出现的DDoS攻击方法-利用反弹技术实现的DDOS攻击,讨论其工作原理,提出了一种新的抗攻击方案。该方案不仅对这种新的攻击方法有效,而且同样适用于其他的DDoS攻击。     

正态分布与分布式拒绝服务攻击的主动预防

随着信息技术的发展和应用的普及，网络安全问题已经成为人们关注的焦点问题。目前分布式拒绝服务（DDos，Distributed Denial of Service）攻击已经成为影响Internet正常运行的一个比较严重的问题，并影响合法用户获得正常的服务。文中首先阐述了DDoS形成的原理，然后分析了预防瞄攻击的措施和机制。随后借助于SSFNet（Scalable Simulation Framework Net）仿真软件构建相应的网络环境，模拟了一种分布式拒绝服务攻击。针对在实验中发现的攻击特征，即攻击发生时通过路由器的新IP数量呈现正态分布的变化趋势，结合统计学中正态分布的概率理论知识，提出了一种通过正态分布模型结合网络中新IP数量变化趋势应对分布式拒绝服务攻击的主动防御方案。然后利用实验中采集的数据，对所提出的应对分布式拒绝服务攻击的防御方案进行了验证。     

A router-based technique to mitigate reduction of quality (RoQ) attacks

We propose a router-based technique to mitigate the stealthy reduction of quality (RoQ) attacks at the routers in the Internet. The RoQ attacks have been shown to impair the QoS sensitive VoIP and the TCP traffic in the Internet. It is difficult to detect these attacks because of their low average rates. We also show that our generalized approach can detect these attacks even if they employ the source IP address spoofing, the destination IP address spoofing, and undefined periodicity to evade several router-based detection systems. The detection system operates in two phases: in phase 1, the presence of the RoQ attack is detected from the readily available per flow information at the routers, and in phase 2, the attack filtering algorithm drops the RoQ attack packets. Assuming that the attacker uses the source IP address and the destination IP address spoofing, we propose to detect the sudden increase in the traffic load of all the expired flows within a short period. In a network without RoQ attacks, we show that the traffic load of all the expired flows is less than certain thresholds, which are derived from real Internet traffic analysis. We further propose a simple filtering solution to drop the attack packets. The filtering scheme treats the long-lived flows in the Internet preferentially, and drops the attack traffic by monitoring the queue length if the queue length exceeds a threshold percent of the queue limit. Our results show that we can successfully detect and mitigate RoQ attacks even with the source and destination IP addresses spoofed. The detection system is implemented in the ns2 simulator. In the simulations, we use the flowid field available in ns2 to implement per-flow logic, which is a combination of the source IP address, the destination IP address, the source port, and the destination port. We also discuss the real implementation of the proposed detection system.     

层次分析法在IP返回跟踪DoS攻击方法中的应用研究

将运筹学中的层次分析法应用于IP返回跟踪DoS攻击的方法中,可以为网络安全决策提供支持。首先介绍了层次分析法和几种IP返回跟踪DoS攻击的方法,在此基础上建立了IP返回跟踪DoS攻击方法的层次分析模型,用层次分析法对六种IP返回跟踪DoS攻击方法做了实证地比较和分析。     

Spear and Shield: Evolution of Integrated Circuit Camouflaging

Intellectual property (IP) protection is one of the hardcore problems in hardware security. Semiconductor industry still lacks effective and proactive defense to shield IPs from reverse engineering (RE) based attacks. Integrated circuit (IC) camouflaging technique fills this gap by replacing some conventional logic gates in the IPs with specially designed logic cells (called camouflaged gates) without changing the functions of the IPs. The camouflaged gates can perform different logic functions while maintaining an identical look to RE attackers, thus preventing them from obtaining the layout information of the IP directly from RE tools. Since it was first proposed in 2012, circuit camouflaging has become one of the hottest research topics in hardware security focusing on two fundamental problems. How to choose the types of camouflaged gates and decide where to insert them in order to simultaneously minimize the performance overhead and optimize the RE complexity? How can an attacker de-camouflage a camouflaged circuit and complete the RE attack? In this article, we review the evolution of circuit camouflaging through this spear and shield race. First, we introduce the design methods of four different kinds of camouflaged cells based on true/dummy contacts, static random access memory (SRAM), doping, and emerging devices, respectively. Then we elaborate four representative de-camouflaging attacks: brute force attack, IC testing based attack, satisfiability-based (SAT-based) attack, and the circuit partition based attack, and the corresponding countermeasures: clique-based camouflaging, CamoPerturb, AND-tree camouflaging, and equivalent class based camouflaging, respectively. We argue that the current research efforts should be on reducing overhead introduced by circuit camouflaging and defeating de-camouflaging attacks. We point out that exploring features of emerging devices could be a promising direction. Finally, as a complement to circuit camouflaging, we conclude with a brief review of other state-of-the-art IP protection techniques.     

小IP报文攻击的入侵检测方法研究

入侵检测技术是网络安全领域中的新技术,但它发展还不成熟,很多攻击方法利用它的缺陷进行攻击。其中小IP报文攻击利用Windows和Linux对有数据重叠的报文处理方式不一样进行攻击。论文提出了小IP报文攻击的入侵检测方法,并采用Snort工具进行实验,使得Snort和被保护主机对有数据重叠的报文的处理方式一致,从而使Snort发生误报、漏报的次数明显减少,为实现网络安全提供了有益的借鉴。     

基于Petri网的网络攻击流模型研究

针对网络攻击的智能组织实施问题,提出一种攻击流的概念,选用Petri网作为工具,对网络攻击流进行建模。在此基础上,对 3种基本网络攻击流模型进行分析,并结合IP欺骗攻击实例,分析其在IP欺骗攻击中的具体应用及其实现方式。实验结果表明,该模型既利于攻击者构建网络攻击方案,又能被计算机解析并组织实施网络攻击。     

内容中心网络中DoS攻击问题综述

“内容中心网络”（Content Centric Networking,CCN）是未来互联网架构体系群中极具前景的架构之一。尽管CCN网络的全新设计使其能够抵御目前网络存在的大多数形式DoS攻击,但仍引发了新型的DoS攻击,其中危害较大的两类攻击是兴趣包泛洪攻击和缓存污染攻击。这两类DoS攻击利用了CCN网络自身转发机制的安全逻辑漏洞,通过泛洪大量的恶意攻击包,耗尽网络资源,并导致网络瘫痪。与传统IP网络中DoS攻击相比,CCN网络中的内容路由、内嵌缓存和接收者驱动传输等新特征,对其DoS攻击的检测和防御方法都提出了新的挑战。本文首先介绍CCN网络的安全设计和如何对抗已有的DoS攻击,然后从多角度描述、比较CCN中新型DoS攻击的特点,重点阐述了兴趣包泛洪攻击和缓存污染攻击的分类、检测和防御方法,以及它们所面临的问题挑战,最后对全文进行总结。     

针对ARP攻击的网络防御模式设计与实现

利用数据链路层地址解析协议(ARP)可以进行IP冲突、ARP欺骗、ARP溢出等方式的网络攻击。因为ARP具有实现IP地址到网络接口硬件地址(MAC)的映射功能,所以利用此特性在数据链路层发动的攻击具有很强的隐蔽性。针对ARP攻击的网络防御模式通过跟踪网络主机ARP缓存的变化、统计ARP数据包、主动验证ARP数据包3种方法．可以有效地侦测ARP攻击,并提供了网络防御的方法。     

基于网络安全芯片的DDoS攻击识别IP核设计

分布式拒绝攻击(distributed denial of service, DDoS)作为一种传统的网络攻击方式,依旧对网络安全存在着较大的威胁.本文研究基于高性能网络安全芯片SoC+IP的构建模式,针对网络层DDoS攻击,提出了一种从硬件层面实现的DDoS攻击识别方法.根据硬件协议栈设计原理,利用逻辑电路门处理网络数据包进行拆解分析,随后对拆解后的信息进行攻击判定,将认定为攻击的数据包信息记录在攻击池中,等待主机随时读取.并通过硬件逻辑电路实现了基于该方法的DDoS攻击识别IP核(intellectual property core), IP核采用AHB总线配置寄存器的方式进行控制.在基于SV/UVM的仿真验证平台进行综合和功能性测试.实验表明, IP核满足设计要求,可实时进行DDoS攻击识别检测,有效提高高性能网络安全芯片的安全防护功能.     

神经网络和IP标记在DDoS攻击防御中的应用

DDoS(Distributed Denial of Service)攻击是在传统的DoS攻击上产生的新的网络攻击方式,是Internet面临的最严峻威胁之一,这种攻击带来巨大的网络资源消耗,影响正常的网络访问.DDoS具有分布式特征,攻击源隐蔽,而且该类攻击采用IP伪造技术,不易追踪和辨别.任何网络攻击都会产生异常流量,DDoS也不例外,分布式攻击导致这种现象更加明显.主要研究利用神经网络技术并借助IP标记辅助来甄别异常流量中的网络数据包,方法是:基于DDoS攻击总是通过多源头发起对单一目标攻击的特点,通过IP标记技术对路由器上网路包进行标记,获得反映网络流量的标记参数,作为神经网络的输入参数相量;再对BP神经网络进行训练,使其能识别DDoS攻击引起的异常流量;最后,训练成熟的神经网络即可在运行时有效地甄别并防御DDoS攻击,提高网络资源的使用效率.通过实验证明了神经网络技术防御DDoS攻击是可行和高效的.