基于IP地址重拼接的DDOS攻击源追踪算法

为了提高对分布式拒绝服务(DDoS)攻击源反向追踪的效率和准确度,提出了一个新算法.此算法不同于AMS(Advanced Marking Schemes)算法,是利用IP地址拼接技术,重定义IP数据包头部分字段,利用一种新的路由器地址编码格式,使得一个数据包携带更多路由地址信息,提高重构路径的效率,大幅降低误报率.相对于AMS算法,新算法明显提高了IP反向追踪的性能,降低了误报率.     

基于椭圆曲线的改进RC4算法

针对流密码（RC4）算法存在不变性弱密钥、密钥流序列随机性不高和算法初始状态可以被破解等问题，提出一种基于椭圆曲线的RC4改进算法。该算法利用椭圆曲线、哈希函数和伪随机数产生器生成初始密钥，在S盒和指针的作用下进行非线性变换最终生成具有高随机性的密钥流序列。美国国家标准与技术研究院（NIST）随机性测试结果表明，改进算法的频率检验、游程检验和Maurer指标比原RC4算法分别高出0.13893，0.13081和0.232050，能有效防止不变性弱密钥的产生，抵抗"受戒礼"攻击；初始密钥是一个分布均匀的随机数，不存在偏差，能够有效抵御区分攻击；椭圆曲线、哈希函数具有单向不可逆性，伪随机数产生器具有高密码强度，初始密钥猜测赋值困难，不易破解，能够抵抗状态猜测攻击。理论和实验结果表明改进RC4算法的随机性和安全性高于原RC4算法。     

一种新的IP追踪的分片标记方法

拒绝服务攻击（DoS）是难以解决的网络安全问题。IP追踪技术是确定DoS攻击源的有效方法。针对用于IP追踪的压缩边分片采样算法（CEFS）存在的不足,提出了新分片标记算法（NFMS）,该算法通过扩大标记空间和采用自适应概率的方法,减少了重构路径所需数据包数,并通过给分片加标注,减少了重构路径的计算量和误报率,并且将点分片（路由器分片）、边分片（该路由器分片与同偏移值的下游相邻路由器分片的异或值）分开存放,可验证重构路径时所得攻击路径中节点的正确性。分析和仿真结果表明NFMS算法的性能较优。     

重叠哈希分片的概率包标记方法

针对压缩边分片采样算法复杂度和重构路径误报率过高的问题,提出一种改进的压缩边分片采样概率包标记方法,即重叠哈希分片(OHF)的概率包标记方法。该方法在不增加包标记位的前提下,通过构造相邻的IP哈希分片之间的4位哈希关系,降低重构算法复杂度,同时改善边采样误报率。在NS2环境下的仿真实验表明了OHF方法的有效性。     

DOS攻击的逆向路径追踪算法研究

在当前 IP源地址可欺骗的情况下 ,准确、快速追踪攻击源是防范网络攻击尤其是 DOS攻击的关键 .本文给出了逆向路径追踪 DOS攻击的模型和评价指标 ,分析了已有算法的性能 .在此基础上 ,提出一种新的基于消息鉴别码的随机数据包标记算法 MPPM.在该算法中路由器随机标记转发的数据包 ,标记信息包括路由器自身及其下游路由器组成的边标记的分片以及 MAC值 ,DOS攻击的受害者利用 MAC把不同攻击数据包中的边标记分片重组以得到边标记及攻击路径 ,并可鉴别标记的真伪 .分析和模拟结果表明 ,该算法具有线性的计算复杂度 ,追踪速度快 ,误差较小 ,高效可行     

一种基于反向确认的DDoS攻击源追踪模型

在分析高级随机包标记算法(AMS)的基础上,提出了一种基于反向确认的攻击源追踪模型,该模型不再需要AMS过强的假设前提。同时为了弥补其他自适应算法的不足,提出一种自适应边标记算法。理论分析和实验结果证明该算法不仅收敛时间短,而且比AMS算法更稳定。     

一种用于实时追踪DDoS攻击源的分步算法

鉴于因特网出现了越来越多的DDoS攻击事件，而且这些攻击事件大多数都是利用“地址欺骗（IP Spoofing）”的攻击手段，因此DDoS攻击源追踪问题已成为网络安全研究领域的一个新方向．本文提出了一种分步追踪攻击源的新算法，其核心思想是首先由基于自治域系统（AS）的概率标记算法（ASPPM）将攻击源确定在某些AS中，然后在AS自治域范围内再使用随机数标记算法（RNPM）精确定位攻击源位置．与其它DDoS攻击源追踪算法比较，该分步算法具有收敛速度快、路径计算负荷小以及较低的误报率等特点，非常适合实现对DDoS攻击的实时追踪．     

基于动态IP黑名单的入侵防御系统模型

通过分析网络入侵防御系统(network intrusion prevention system,NIPS)在处理超大网络攻击流量时存在的不足和性能瓶颈,提出并建立一种基于动态IP黑名单技术的NIPS模型,使NIPS维护一个存储攻击主机IP地址和其威胁度信息的哈希表,通过威胁度评估算法周期计算攻击源IP的威胁度并更新到哈希表内,预过滤模块将根据IP黑名单和过滤策略来对整个网络数据包进行预先过滤。实验结果表明,该模型在处理超大网络攻击流量时比传统NIPS更加快速高效,并且能更好地保护NIPS身后的网络。     

基于哈希链与同步性机制的Modbus/TCP安全认证协议

针对Modbus/TCP协议的安全缺陷,基于密码学技术提出一种安全的Modbus协议（Sec_Modbus协议）：采用对称加密和数字签名技术实现保密性要求及认证,利用同步性原理和哈希函数的单向性设计基于哈希链的防重放方法,通过随机函数产生索引号动态指定通信密钥,最终在不增加通信过程的情况下实现安全通信。实验结果表明：Sec_Modbus协议能够防止攻击者针对指令的认证类攻击、中间人攻击及重放攻击,与已有方法相比,该方法不仅安全性更高,且具有更好的时间性能,能更好地满足工业控制系统对安全性及实时性的要求。     

基于节点随机采样的AS级IP追踪

建立了PPM算法的通用数学模型,提出了一种新的基于节点采样的IP追踪方案。该方案采用新的标记信息编码机制,解决了传统包标记方案中由于地址分片带来的组合爆炸和误报率高的问题,标记过程以AS路径代替传统的IP路径,使用最优标记策略,使得路径重构过程具有更低的计算复杂性和更短的收敛时间。仿真分析表明,此方案具有应对大规模DDOS攻击源追踪的有效性和实时性。     

分布式拒绝服务防御技术研究

分布式拒绝服务（Distributed Denial of service,DDoS）攻击是网络安全的主要威胁之一。由于攻击源多采用虚假源IP地址,对攻击行为的溯源和应急处置工作面临很大困难。文章基于路由器的DDoS防御技术进行了分析,重点研究了边采样算法。通过ISP在传输网络路由器上设置DDoS防御系统是可行和有效的。     

自然着色聚类过程中的网络安全事件计算

自然着色过程利用有部分重叠的短比特串映射,使两个Hash函数间带有相同的颜色,为判定两个Hash串是否同源提供了重要依据.在商集映射的视角下分析了多个不同的聚类函数间的差异和着色关系,结果表明聚类函数间的内部平衡性结合自然着色过程可以得到源串部分比特串的聚类特性,同时TCP宏观平衡性仍然保持不变.实验表明,利用这个特性可以从多个具有着色关系的短比特串映射的Hash存储空间得到如蠕虫爆发、DDoS之类的TCP宏观异常中发起者、受害者的聚类信息.因此自然着色过程大大扩展了TCP宏观平衡性的应用领域,为网络安全检测、监测和安全事件分布评估提供了有力的支持.     

基于随机包标记的不重复标记追踪模型*

DDoS攻击传统的防御措施包括如防火墙、入侵检测系统等采取的是被动防御的策略,防御效果不够理想。采用主动防御策略的攻击源追踪技术,提出一种新的攻击源追踪模型,不需要AMS算法所要求的受害者预先具备上游拓扑数据的强假设前提。新的标记算法对标记过边信息的包不再重复标记,通过上游路由器的配合确认就能定位攻击源,与AMS算法和改进后的AEMS算法相比收敛速度更快,受标记概率和路径长度的影响更小、更稳定。     

基于IAD的防DDoS攻击的实现

DDoS攻击是威胁因特网安全的重要手段,本文提出了一种基于IP地址数据库的实用方法来有效防御DDoS攻击,边界路由器保存所有以往在网络上出现的合法IP地址的记录,当边界路由器业务量过载时,利用这一记录来决定是否接受输入的IP包。     

基于宏观网络流相关性的DDoS攻击检测

针对现行分布式拒绝服务(DDoS)攻击检测方法存在检测效率低、适用范围小等缺陷,在分析DDoS攻击对网络流量大小和IP地址相关性影响的基础上,提出基于网络流相关性的DDoS攻击检测方法。对流量大小特性进行相关性分析,定义Hurst指数方差变化率为测度,用以区分正常流量与引起流量显著变化的异常性流量。研究IP地址相关性,定义并计算IP地址相似度作为突发业务流和DDoS攻击的区分测度。实验结果表明,对网络流中流量大小和IP地址2个属性进行相关性分析,能准确地区分出网络中存在的正常流量、突发业务流和DDoS攻击,达到提高DDoS攻击检测效率的目的。     

IP流检测中基于信息熵的哈希算法改进

介绍流检测中常见的哈希算法,从信息熵的角度分析异或移位(XOR-SHIFT)算法。将异或运算扩展到字节,利用区域网络检测中数据包IP地址低字节比高字节变化频繁的特点,通过对称交叉异或运算,将五元组中的信息量尽可能更大化地表现在哈希值中,从而优化哈希算法的散列性能,使后续以流标识为约束进行的IP流处理更高效。     

基于时间序列分析的分布式拒绝服务攻击检测

该文分析了分布式拒绝服务(DDoS)攻击的特点,提出了一种基于流连接密度(FCD)时间序列分析的DDoS攻击检测方法,该方法通过拟合FCD时间序列的自适应自回归模型,获得能够在多维空间描述当前流量状态的AAR模型参数向量序列,然后使用经过样本训练的支持向量机(SVM)分类器进行攻击识别;充分考虑了报警的时间间隔及分布情况,提出一种报警可信度评估算法对SVM分类结果进行二次处理,以消除网络流量噪声及分类错误所带来的影响．实验结果显示,该检测方法能够有效检测DDoS攻击,可信度评估算法能够明显减少误报,降低误报率,显著提高检测质量．     

基于流连接信息熵的DDoS攻击检测算法

分析了分布式拒绝服务(DDoS)攻击的特点,提出了流连接信息熵的定义,并通过对流连接信息熵时间序列的分析,采用非参数CUSUM算法进行DDoS攻击检测。该检测方法对固定IP、端口号随机变化的DDOS攻击有比较好的检测效果。实验结果证明,该方法能够以较高的精确度及时地检测出DDoS 攻击行为。