面向网络取证的网络攻击追踪溯源技术分析

首先定位网络攻击事件的源头,然后进行有效的电子数据证据的收集,是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而,现有的网络攻击追踪溯源技术研究工作主要从防御的角度来展开,以通过定位攻击源及时阻断攻击为主要目标,较少会考虑到网络取证的要求,从而导致会在网络攻击追踪溯源过程中产生的大量有价值的数据无法成为有效电子数据证据在诉讼中被采用,因而无法充分发挥其在网络取证方面的作用.为此,提出了一套取证能力评估指标,用于评估网络攻击追踪溯源技术的取证能力.总结分析了最新的网络攻击追踪溯源技术,包括基于软件定义网络的追踪溯源技术,基于取证能力评估指标分析了其取证能力,并针对不足之处提出了改进建议.最后,提出了针对网络攻击追踪溯源场景的网络取证过程模型.该工作为面向网络取证的网络攻击追踪溯源技术的研究提供了参考.

五种IP返回跟踪拒绝服务攻击方法的比较

描述了进入过滤、连接测试、登录分析、ICMP跟踪和数据包标记返回跟踪五种IP返回跟踪DoS(拒绝服务)攻击的方法及它们之间的比较。

DDoS攻击源追踪的一种新包标记方案研究

在对包标记方案的收敛性进行研究的基础上,给出了新的标记概率的选取方法,以得到最优化的收敛性; 同时,为了对抗攻击者控制转发节点伪造信息而干扰路径重构算法,提出了一种新的安全的验证包标记方案。最后,对该方案的一些性能进行了仿真验证,结果显示,验证包标记方案的各方面性能均有较大提高。

一种DDoS攻击的防御方案

分布式拒绝服务攻击(DDoS)是一种攻击强度大、危害严重的拒绝服务攻击。Internet的无状态特性使得防止DDoS攻击非常困难,尽管在学术界和工业界引起了广泛的重视,但目前仍然没有可行的技术方案来对付DDoS攻击。文章提出了一种在局部范围内消除DDoS攻击的综合方案,它包括入侵检测系统、IP标记、IP包过滤等功能,该方案具有操作简单、路由器负担小、易于部署、响应快等特点。

命名数据网络中基于包标记的Interest泛洪攻击缓解研究

命名数据网络因其关注请求对象本身而非地址并具有网间缓存等特点,得到了学术界的肯定.但在Interest泛洪攻击中,攻击者恶意占用PIT表等资源,导致其拒绝对合法用户服务,从而使网络遭受严重危害.针对基于熵的Interest泛洪攻击防御方案在定位攻击源、网络开销方面存在的不足,提出了一种基于包标记的缓解方法.该方法通过让Interest包携带边缘路由器信息,在检测到攻击并找出恶意前缀后对攻击源进行定位,然后向下游路由器发送溯源数据包,从而对攻击者采取限制措施.仿真结果表明:该方法可以更加精确地定位攻击源并有效地降低网络中的开销.

复合包标记IP追踪算法研究

在压缩边分段采样算法研究改进基础上,分析攻击路径距离、路由器节点流量统计对标记概率的影响,提出一种复合包标记方法。该方法可以优化算法收敛性,降低运算复杂度和重构路径的差错率,使受害者在最短时间内推测出主要攻击路径,能够很好地应用于多个分布式拒绝服务攻击的攻击源追踪中。

基于随机包标记方案的IP追踪性能分析

在匿名DDoS攻击源追踪的研究领域中,基于随机包标记(probabilistic packet marking)的攻击源追踪方案以其高效和灵活成为关注的焦点,业界已经提出了多种方案,但存在着性能上的差异。本文对目前最具代表性的方案相关性能指标进行了深入探讨,指出了导致差异的关键因素是标记与重构算法以及标记概率的取值,并且伪造包会对性能造成较大的干扰。

基于路由器流量分析的DDoS反向追踪

提出了一种能够基于路由器流量分析的DDoS反向追踪方法.在DDoS攻击发生时,通过输入调试回溯到所有发往受害者流量的入口路由器,然后分析每个入口路由器流量中是否存在攻击流量,从而确定所有攻击流量入口路由器.文中给出了基于流量自相似的攻击流量检测算法,设计了基于蜜罐群的路由器攻击流量检测与追踪平台,并对该追踪方法进行了性能分析.结果表明,提出的反向追踪方法可以精确追踪到全部DDoS攻击流量的入口路由器.

一种基于反向确认的DDoS攻击源追踪模型

在分析高级随机包标记算法(AMS)的基础上,提出了一种基于反向确认的攻击源追踪模型,该模型不再需要AMS过强的假设前提。同时为了弥补其他自适应算法的不足,提出一种自适应边标记算法。理论分析和实验结果证明该算法不仅收敛时间短,而且比AMS算法更稳定。

拒绝服务攻击路径的重构算法研究

根据拒绝服务攻击的原理和特点，提出了对流经路由器的数据包抽样，用相邻两路由器地址来标注包，以使得受害主机能够利用被标注包内的信息重构出攻击路径集，从而追踪到拒绝服务攻击源点的技术。文中分析了数据包标注和路径重构算法。

伪造路径下PPM算法IP追踪性能研究

该文研究了概率分组标记(PPM)IP追踪机制对拒绝服务攻击(DoS)的有效性。在攻击者伪造多条攻击路径的情况下,分析得到PPM可以选取最优追踪标记概率以提高追踪效率;进一步的分析则表明,在伪造路径长度增加时,PPM效率将明显降低。

一种网络攻击路径重构方案

对目前攻击源追踪中的报文标记方案进行了分析,给出了利用IP报文中的选项字段,以概率将流经路由器的地址标注报文,使得受害主机能够根据被标注报文内的地址信息重构出攻击路径的代数方法。运用代数方法记录报文流经路由器的地址,利用报文中记录的信息可重构路径。本方案有很低的网络和路由器开销,也容易扩充到IPv6和未来的主干网。

基于iTrace_v6的IPv6网络攻击溯源研究

网络攻击追踪溯源技术作为一种主动的安全防御反制技术,是信息安全技术体系中应急响应的重要技术手段。IPv4网络的网络攻击溯源技术已有大量的研究成果,但由于路由器算力有限、对链路负面影响较大、日志系统部署困难等因素,一些溯源技术只能停滞在实验验证阶段;已成型的一些网络攻击回溯系统也存在着存储开销大、需要较多人工干预等方面的缺陷;在IPv6网络中,IP数据报格式、路由协议等发生了较大的改变,并且新出现的邻居发现协议等使得网络攻击手段更加多样,IPv6网络迫切需要高效稳定的网络攻击溯源方法。结合IPv6网络的特点,文章提出了一种基于iTrace_v6的IPv6网络攻击溯源方案,通过双重触发机制提高溯源包生成的效率,能够在显著减少对攻击持续时间依赖的情况下完成攻击路径的还原,通过区间阈值的使用来避免对网络链路的负面影响。基于NS3的仿真网络实验表明,本文算法性能优于已有的算法。

一种用于实时追踪DDoS攻击源的分步算法

鉴于因特网出现了越来越多的DDoS攻击事件,而且这些攻击事件大多数都是利用“地址欺骗(IPSpoofing)”的攻击手段,因此DDoS攻击源追踪问题已成为网络安全研究领域的一个新方向.本文提出了一种分步追踪攻击源的新算法,其核心思想是首先由基于自治域系统(AS)的概率标记算法(ASPPM)将攻击源确定在某些AS中,然后在AS自治域范围内再使用随机数标记算法(RNPM)精确定位攻击源位置.与其它DDoS攻击源追踪算法比较,该分步算法具有收敛速度快、路径计算负荷小以及较低的误报率等特点,非常适合实现对DDoS攻击的实时追踪.

一种无日志的快速DDoS攻击路径追踪算法

分布式拒绝服务攻击是目前Internet面临的主要威胁之一.攻击路径追踪技术能够在源地址欺骗的情况下追踪攻击来源,在DDoS攻击的防御中起到非常关键的作用.在各种追踪技术中随机包标记法具有较明显的优势,然而由于较低的标记信息利用率,追踪速度仍然不够快.为了提高追踪速度提出一种无日志的快速攻击路径追踪算法.该算法利用少量路由器存储空间和带内信息传输方式提高标记信息利用率,不仅大大提高了追踪速度,而且避免占用额外的网络带宽.

基于自适应包标记的IP回溯

防御分布式拒绝服务攻击是当前网络安全中最难解决的问题之一。在各种解决方法中,自适应概率包标记受到了广泛的重视,因为算法中路径上的每个路由器根据一定策略自适应的概率标记过往的数据包,从而受害者可以用最短的重构时间,对攻击者进行IP回溯,找出攻击路径并发现攻击源。文中提出了一种自适应的标记策略。通过实验验证相比于常用策略,该策略重构路径所需的数据包明显减少,有效地减少了重构计算量和伪证性。

一种高精度、低开销的单包溯源方法

混合拒绝服务攻击是当前互联网面临的主要威胁之一,针对它的单包溯源技术已成为网络安全领域研究的重点和热点.鉴于已有的单包溯源研究存在处理开销大、溯源精度低等问题,提出一种高精度、低开销的基于标签交换的单包溯源方法,简称S3T.该方法的基本思想是借鉴MPLS网络的交换路径生成原理,在溯源路由器上建立面向反向路由的追踪痕迹,降低溯源存储开销.然后,通过并行化建立追踪痕迹、灵活配置溯源路由器存储容量和自适应调整追踪痕迹存储时间等手段加快溯源路由器处理IP包速率,同时提高溯源精度.通过理论分析和基于大规模真实互联网拓扑的仿真实验,其结果表明,相比以往方案,S3T在溯源开销和溯源精度方面确实有了很大的改善.

IP返回跟踪DoS攻击的三种数据包标记算法

阐述了一种以数据包标记为基础的IP返回跟踪机制,并根据该机制给出了对付DoS(拒绝服务)攻击的三种数据包标记算法。

IP追踪新进展

在信息化社会发展过程中,互联网的应用已成为人们最重要的通信手段.然而,在网络应用大规模发展的同时,网络安全的状况不容乐观,网络安全问题也日益突出.在众多网络安全问题当中,分布式拒绝服务攻击(DDoS)是最具威胁的问题之一.IP源追踪技术是监测和防御DDoS攻击的重要手段,能够实时隔离或阻断攻击,使得各项入侵响应措施更加准确有效,且在提供法律举证和威慑攻击者等方面具有积极作用,对于缔造一个安全可信的网络环境具有重要意义.本文介绍了近几年IP追踪算法的新进展,分析比较各种算法的优缺点,并指出IP追踪技术所面临的问题展望了其今后的发展趋势.

可动态扩展的高效单包溯源方法

由于能够隐藏攻击位置、避开攻击过滤、窃取用户隐私和增强攻击危害,IP匿名已被各类网络攻击广泛使用并造成极大的危害.为此,研究者们提出了IP溯源——一种能够在匿名攻击发生后揭露攻击主机身份的追踪技术.鉴于已有的IP溯源研究在面对大规模网络时存在扩展性差、处理开销大、拓扑隐私泄露等问题,提出了一种可动态扩展的高效单包溯源方法,简称SEE.该方法采用域间和域内相分离的层次化系统架构模型来弱化自治域之间的溯源联系、避免拓扑隐私泄露,并通过域内溯源网络构建、域内溯源地址分配、域内路径指纹建立和提取、域间反匿名联盟构建和域内到域间的平稳过渡等策略来改善系统的扩展性和处理开销.通过理论分析和基于大规模真实和人工互联网拓扑的仿真实验,结果表明,相对于以往方案,SEE在高效性和扩展性方面确实有了很大的改善.