IP Traceback技术综述

拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）一直是网络上使用频率最高的攻击方式。为了能够找到网络攻击的发起源以便对攻击发起人进行法律和经济上的惩罚，也为了威慑那些试图进行网络攻击的人以减少攻击发起的数量，人们开始研究IP traceback技术。本文系统地介绍了各种IP traceback技术的研究成果，对其在性能和效率上做了纵向和横向的比较，并对该技术的发展趋势做了简单的分析。

Discovering Attack Path Oriented-IP Traceback

The technique of IP traceback may effectively block DOS (Denial Of Service) and meet the requirement of the computer forensic, but its accuracy depends upon that condition that each node in the Internet must support IP packet marking or detected agents. So far, this requirement is not satisfied. On the basis of traditional traceroute,this paper investigates the efficiency of discovering path methods from aspects of the size and order of detecting packets, and the length of paths.It points out that the size of padding in probed packets has a slight effect on discovering latency, and the latency with the method of bulk sending receiving is much smaller than one with the traditional traceroute. Moreover, the loss rate of packets with the technique of TTL (Time To Live) which increases monotonously is less than that with the technique of TTL which decreases monotonously. Lastly,OS (Operating System) passive fingerprint is used as heuristic to predict the length of the discovered path so as to reduce disturbance in network traffic.

A Coding-Based Incremental Traceback Scheme against DDoS Attacks in MANET

Due to constrained resources, DDoS attack is one of the biggest threats to MANET. IP traceback technique is useful to defend against such type of attacks, since it can identify the attack sources. Several types of traceback schemes have been proposed for wired networks. Among all the existing schemes, probabilistic packet marking (PPM) scheme might be the most promising scheme for MANET. However its performance in MANET is not as good as that in Internet. In this paper, a new scheme based on the codingtechnique (CT) is proposed for traceback in MANET. Furthermore, a new idea of Incremental traceback is raised to cope with the situation of incremental attack (ICT). We present the protocol design and conduct theoretical analysis of this scheme. Additionally, we conduct experiments to compare it with the traditional PPM scheme. The experimental results show that the new coding-based traceback scheme outperforms the PPM scheme in MANET.

基于CNN-LSTM的工控协议同源攻击检测方法

攻击者溯源对于维护工业控制系统(Industrial Control System,ICS)安全十分重要。通过部署分布式工控蜜罐,收集工控恶意流量,提出基于CNN-LSTM的工控协议同源攻击检测方法,运用CNN和基于注意力机制的LSTM对数据包和流量特征进行学习,根据BP反向传播算法对模型进行迭代寻优分类。模型相比较其他方法,具有更高的准确率和F值,对处理离线工控蜜罐数据具有相当的优势,准确率达到93.7%;找到包括Shodan、Cencys这类知名设备搜索引擎在内的10个组织,涉及到的IP节点超过200个。

数据中心网络流量安全管控方法研究

通过分析数据中心通信网络的安全现状以及业务流量特点,结合已有网络流量管控手段,进行了网络流量安全管控方法的研究。针对数据中心网络流量特点,提出了接入认证、流量分析、流量控制、流量回溯、入侵检测、安全审计、态势感知分析等系列流量管控方法的思路,可实现对数据中心流量的入、转、出环节全流量的管控,对异常流量的检测、分析和预警能力,提升数据中心网络安全管控能力。

分布式拒绝服务攻击研究综述

分布式拒绝服务攻击 (distributed denial- of- service,DDo S)已经对 Internet的稳定运行造成了很大的威胁 .在典型的 DDo S攻击中 ,攻击者利用大量的傀儡主机向被攻击主机发送大量的无用分组 ,造成被攻击主机 CPU资源或者网络带宽的耗尽 .最近两年来 ,DDo S的攻击方法和工具变得越来越复杂 ,越来越有效 ,追踪真正的攻击者也越来越困难 .从攻击防范的角度来说 ,现有的技术仍然不足以抵御大规模的攻击 .本文首先描述了不同的 DDo S攻击方法 ,然后对现有的防范技术进行了讨论和评价 .然后重点介绍了长期的解决方案 - Internet防火墙策略 ,Internet防火墙策略可以在攻击分组到达被攻击主机之前在

无线传感器网络恶意节点溯源追踪方法研究

传感器节点可能被攻击者俘获用来发送大量虚假数据,从而耗尽整个网络的资源.本文提出一种实用的溯源追踪解决方案:基于概率包标记算法,每个节点按照一定概率标记其转发的包,标记信息填写于包头中的确定域,通过收集到足够多的数据包,汇聚节点能够重建一条到源节点的路径.本文证明了此方案能够应对所有类型的攻击,并针对基本标记方法的不足提出了两种改进标记方法.实验结果表明该溯源追踪解决方案是高效以及实用的.

一种分块包标记的IP追踪方案

DDoS攻击以其高发性、高破坏力和难以防范的特点,近年来成为互联网的主要安全威胁之一·研究者们提出了多种对抗DDoS攻击的方法·其中,Savage等人提出的概率包标记方案以其易于实施消耗资源小等优点,引起人们的重视·然而概率包标记方案存在两个明显缺陷:多攻击路径重构时的高误报率和高计算复杂度·在概率包标记的基础上,提出了一种分块包标记方案,该方案与概率包标记方案相比具有较低的误报率和较低的计算复杂度,因而具有更高的实际应用意义·

面向网络取证的网络攻击追踪溯源技术分析

首先定位网络攻击事件的源头,然后进行有效的电子数据证据的收集,是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而,现有的网络攻击追踪溯源技术研究工作主要从防御的角度来展开,以通过定位攻击源及时阻断攻击为主要目标,较少会考虑到网络取证的要求,从而导致会在网络攻击追踪溯源过程中产生的大量有价值的数据无法成为有效电子数据证据在诉讼中被采用,因而无法充分发挥其在网络取证方面的作用.为此,提出了一套取证能力评估指标,用于评估网络攻击追踪溯源技术的取证能力.总结分析了最新的网络攻击追踪溯源技术,包括基于软件定义网络的追踪溯源技术,基于取证能力评估指标分析了其取证能力,并针对不足之处提出了改进建议.最后,提出了针对网络攻击追踪溯源场景的网络取证过程模型.该工作为面向网络取证的网络攻击追踪溯源技术的研究提供了参考.

DDoS防御与反应技术研究

DDoS(DistributedDenialofService)攻击是Internet面临的最大威胁之一。该文综合分析了近年来DDoS防御与反应技术的研究成果,指出了现有方法的不足,讨论了新的防御机制应具有的特性,给出了新的研究方向和需要重点研究的内容。

基于有序标记的IP包追踪方案

包标记方案是一种针对DoS攻击提出的数据包追踪方案,由于其具有响应时间快、占用资源少的特点,近年来受到了研究者的广泛关注.但由于包标记方案标记过程的随机性,使得受害者进行路径重构时所需收到的数据包数目大大超过了进行重构所必需收到的最小数据包数目,从而导致重构误报率的提高和响应时间的增长.本文提出了一种基于有序标记的IP包追踪方案,该方案通过存储每个目标IP地址的标记状态,对包标记的分片进行有序发送,使得在DoS发生时,受害者重构路径所需收到的标记包的数目大大降低,从而提高了对DoS攻击的响应时间和追踪准确度.该算法的提出进一步提高了包标记方案在实际应用中的可行性.

基于权重包标记策略的IP跟踪技术研究

针对Internet中普遍存在的匿名服务拒绝攻击 (DistributedDenialofService ,DDoS) ,该文提出权重标记IP跟踪策略 (WeightMarkingScheme ,WMS) .现有的IP跟踪策略存在较高的误报率 ,WMS通过引入HASH函数 ,将 32× 2位的IP地址压缩到 11位 ,减少跟踪路径的误报率 .另一方面 ,已有的IP包跟踪技术构造的多个候选攻击路径间没有权重的差异 ,WMS将权重信息加入到各个候选攻击路径 ,通过和正常情况下的候选攻击路径权重进行比较 ,可更好地分析真正攻击源 .理论和实验结果表明该策略与FMS(FragmentMarkingScheme)、AMS(AdvancedMarkingScheme)相比较 ,在降低误报率、发现真正的攻击源和算法复杂度等方面有较大的提高 .

可控网络攻击源追踪技术研究

提出一种新的基于网络入侵检测的攻击源追踪方法 给出了系统模型 ,深入分析了攻击链路集合构造和攻击链路上下游关系的确定方法 ,在此基础上提出攻击路径构造算法 实验结果表明 ,该系统能够在可控网络环境下实时、准确地对攻击源进行追踪 和已有方法相比 ,新的方法在实用性、追踪的准确性。

网络入侵追踪研究综述

1引言 在制定目前Internet上使用的网络协议标准时,设计者们更多的是考虑到网络协议的可靠性和可扩展性,而不是它们所提供的安全服务和审计功能.

使用递增性延迟建立攻击连接链的关联

提出一个主动干扰跳板机连接中数据包间隔延迟的方法,在攻击者所能干扰跳板机连接数据包延迟间隔允许范围之内,使检测窗口内包间延迟的平均值循环递增.通过分析两个连接链包间延迟平均值的递增性,确定攻击连接链的关联.这个方法可以有效地减少连接关联计算量,提高跳板机检测的有效性.

一种高精度、低开销的单包溯源方法

混合拒绝服务攻击是当前互联网面临的主要威胁之一,针对它的单包溯源技术已成为网络安全领域研究的重点和热点.鉴于已有的单包溯源研究存在处理开销大、溯源精度低等问题,提出一种高精度、低开销的基于标签交换的单包溯源方法,简称S3T.该方法的基本思想是借鉴MPLS网络的交换路径生成原理,在溯源路由器上建立面向反向路由的追踪痕迹,降低溯源存储开销.然后,通过并行化建立追踪痕迹、灵活配置溯源路由器存储容量和自适应调整追踪痕迹存储时间等手段加快溯源路由器处理IP包速率,同时提高溯源精度.通过理论分析和基于大规模真实互联网拓扑的仿真实验,其结果表明,相比以往方案,S3T在溯源开销和溯源精度方面确实有了很大的改善.

网络攻击源追踪技术研究综述

在网络空间中,网络攻击源追踪是指当检测到网络攻击事件发生后,能够追踪定位真正的攻击者的主机,以帮助司法人员对攻击者采取法律手段。近二十年,研究人员对网络攻击源追踪技术进行了大量研究。本文对这些研究进行了综述。首先,明确了问题的定义,不同的攻击场景所采用的追踪技术也有所不同,将问题分为5类:虚假IP追踪、Botnet追踪、匿名网络追踪、跳板追踪、局域网追踪,分别总结了相关的研究成果,明确各种方法所适用的场景。最后,将各类方法归纳为4种类型,对比了这4类方法的优缺点,并讨论了未来的研究方向。

一种DDoS攻击的防御方案

分布式拒绝服务攻击(DDoS)是一种攻击强度大、危害严重的拒绝服务攻击。Internet的无状态特性使得防止DDoS攻击非常困难,尽管在学术界和工业界引起了广泛的重视,但目前仍然没有可行的技术方案来对付DDoS攻击。文章提出了一种在局部范围内消除DDoS攻击的综合方案,它包括入侵检测系统、IP标记、IP包过滤等功能,该方案具有操作简单、路由器负担小、易于部署、响应快等特点。

基于主动防御模型的IP反向追踪方法

提出了一种基于主动防御模型的IP反向追踪方法 .该方法以安全域为单位 ,利用hash函数序列的相关性和概率标记信息 ,通过主覆盖路由器的协同工作 ,实现了对攻击源的快速定位 ;在可供使用的标记位有限的情况下 ,提出了在标记时对摘要信息进行拆分、在反向追踪时利用异或运算实现对摘要信息拼装的方法 ,从而有效地减少“碰撞”的产生 ,保证了对大范围DDoS攻击的准确定位 .分析结果表明 :本方法大大缩短了标记路径 ,减少了重组攻击路径所需攻击报文数量 .

垃圾短信的识别与追踪研究

首先分析了短信传输方式:SP-手机和手机-手机,给出基于内容的识别和基于状态的识别方法,设置黑白名单和利用随机验证码的技术在一定程度上可以预防垃圾短信。最后,从短信的传输入手,提出了垃圾短信追踪的两种途径,最终为垃圾短信的诉讼提供法律保证。