网络扫描攻击以及拒绝服务攻击的检测方法

网络扫描攻击和拒绝服务攻击是2种非常重要的攻击类型,而且检测比较困难,分析了它们的共同特征,提出了运用计数器的检测方法,并设计实现了一个高效的计数器算法.

SDN环境下基于PCA-DNN的扫描攻击检测模型研究

随着互联网技术的飞速发展,网络安全问题凸显。攻击者通常使用网络扫描来获取相关信息,为下一步入侵所使用。通过扫描检测来抵御和阻止相关攻击至关重要。软件定义网络(software define network,SDN)的可编程性和控制器的全局视图能力能够快速响应网络中的问题。深度学习在垃圾邮件过滤、智能防火墙、入侵检测和网络管理等方面取得了长足的进步。本文提出了一种SDN中基于主成分分析-深度神经网络(principal component analysis-deep neural networks,PCA-DNN)的扫描攻击检测模型,模拟地址解析协议(address resolution protocol,ARP)、传输控制协议(transmission control protocol,TCP)、用户数据包协议(user datagram protocol,UDP)和因特网控制报文协议(internet control message protocol,ICMP)等4种类型的扫描流量来评估模型。实验表明,该模型节省了计算时间,确保了检测精度,对4种扫描流量的精确率和召回率均达到98%。

基于Grover算法的ECC扫描式攻击

相对于传统的RSA等公钥密码,ECC具有密钥长度短,计算复杂度高等特点,因此针对ECC加密体制的攻击复杂度高、难度大。研究针对ECC公钥密码的攻击方法有利于提前完善和防止不必要的损失。Grover算法作为一种量子搜索算法,将搜索步数从经典算法的N缩小到N^(1/2),实现了对经典搜索算法的二次方加速作用,能更快速地寻找所需的解。扫描式攻击作为一种新生的侧信道攻击技术,它的出现给当前密码系统的安全性带来了极大的威胁。文章利用量子Grover搜索算法的快速搜索优点,对Rynuta提出的针对ECC密码芯片的扫描式攻击进行了改进,提出了基于Grover算法的ECC扫描式攻击方法。该算法对于密钥长度为N的ECC,计算复杂度由2~N降低到2N^(3/2),进一步提高了破解效率。由于Grover搜索算法的确定性,该算法的攻击成功率为100%。

基于授权机制的抗扫描旁路攻击方法研究

研究了针对加密电路的扫描旁路攻击方法和安全扫描设计技术,考虑到现有的安全扫描设计存在故障覆盖率损失或者抵抗攻击性不足的问题,提出一种新的基于授权机制的抗扫描旁路攻击方法。该方法充分利用功能指令序列多样性和高复杂度的特点,通过功能指令序列对测试模式进行授权,将测试模式分为非安全测试模式和安全测试模式。非安全测试模式下,加密电路的密钥被屏蔽,无法通过扫描测试获取。安全测试模式下,加密电路可以进行正常的扫描测试。实验结果表明,采用上述基于授权机制的抗扫描旁路攻击方法的电路后,不仅可以保证安全测试模式下扫描测试故障覆盖率不变,而且非安全测试模式下攻击者无法通过现有的攻击方式获取密钥。同原始电路相比,该方法只需要添加极少的硬件电路,面积开销仅为0.3%。

一种基于奇异值的抗打印/扫描的彩色图像零水印方案

为提高水印抗打印/扫描的鲁棒性,设计了一种抗打印/扫描的彩色图像零水印方案。采用对宿主图像分层、一次Haar小波分解、分块、提取每块最大奇异值作为图像纹理特征来构造零水印信息,及对印品图像分层、亮度调整、一次Haar小波分解、分块、提取每块最大的奇异值作为印品图像纹理特征来构造零水印信息。然后对比打印/扫描前后零水印信息的相似度,若完全相同,说明此方案抗打印/扫描攻击。试验结果表明,图像打印/扫描前后的零水印信息完全相同,该方案具有理想的抗打印/扫描性能。

打印扫描不变的多轮廓像素翻转文本图像水印算法

基于打印扫描不变量,提出一种多轮廓像素翻转的文本图像水印算法,其中包含三个措施:提出一种水印压缩预处理方法,通过压缩水印信息,在总嵌入容量一定的情况下,增加水印嵌入的次数,从而提高水印鲁棒性;提出多轮廓像素翻转策略,降低水印错误嵌入的可能性,进一步提高水印鲁棒性;以打印扫描不变量为特征值,结合离散余弦变换和多轮廓像素翻转策略提出一种优化的双域结合的水印嵌入及提取算法,在保证水印不可见性的同时,提高水印抵抗打印扫描攻击的能力。实验表明,本文算法能够在保证水印不可见性的前提下,提高水印对打印扫描攻击的鲁棒性,同时也能够抵抗常见的图像攻击。

实时的移动互联网攻击盲检测与分析算法

大规模移动互联网攻击检测算法需要攻击行为的先验信息或者需要对攻击行为进行监督学习,降低了攻击检测算法的实时性与实用性,为此提出了一种实时的移动互联网攻击盲检测与分析算法。首先,提取每个时段网络流量的最大特征值,结合最大特征值与模型阶数选择技术检测每个时段是否存在攻击行为;然后,通过特征值分析技术来识别攻击的类型,识别出特征值的变化细节;最终,设计了相似性分析方案来分析攻击的端口与时间等细节信息。基于真实实验与公开网络流量数据集的仿真结果表明,该算法获得较高的攻击检测准确率。

网络攻击类型研究与介绍

本文主要对当今网络攻击的形式进行了分类,并对主流的攻击手段进行了原理上的阐述,给出了相应的解决方法。

基于字符扰动变形和字库替换的鲁棒中文文本水印

为了解决当前中文文本数字水印鲁棒性低、无法适用于非格式化文件等问题,提出了一种基于汉字字符扰动变形和字库替换的鲁棒中文文本水印方法.通过修改汉字的笔画结构特征来生成扰动变形汉字字库,将同一汉字字符的不同扰动变形进行编号实现水印信息嵌入.根据汉字的使用频率及字符之间的相关性,设计了一种扰动变形字符分组算法,以提升水印嵌入和提取的效率和性能.通过仿真实验确定了最佳的分组长度以及适宜的变形字符数量,并通过消融实验和对比实验来证明本文方法的有效性.在手动设计的变形字库中使用本文方法可以将水印的提取准确率提升12.96个百分点,在通过网络模型自动生成的变形字库中本文方法也能将水印提取准确率提高13.30个百分点,表明了本文方法的可用性和普适性.对于常见的数字噪声干扰,本文方法在实验中也表现出了更强的鲁棒性.此外,还测试了针对载体不完整情况下的水印提取效果,展现了本文方法的高容错性和通用性.

抗内存攻击的加密芯片双重动态混淆策略

目前,基于线性反馈移位寄存器(Linear Feedback Shift Register, LFSR)的动态混淆策略和测试授权策略是保护加密芯片免受扫描旁路攻击威胁的主流方法,然而存储在内存中的LFSR种子或测试授权密钥极易受到针对内存的攻击.针对此问题,从应对扫描旁路攻击和应对内存攻击两个角度出发,设计双重动态混淆架构并基于此架构构建双重动态混淆策略.其中,构建基于LFSR自更新模块的扫描链数据动态混淆策略以应对扫描旁路攻击;构建LFSR输出序列动态混淆策略以应对内存攻击.实验表明,相较于目前主流的安全扫描策略,双重动态混淆策略在不影响芯片可测试性的同时,可以使加密芯片免受扫描旁路攻击和内存攻击的威胁;在LFSR自更新模块位数为64位、插入混淆逻辑门中异或门和同或门数量各为8位的的情况下,面积开销为0.31%,攻击人员暴力破解双重动态混淆策略所需应用的测试向量至少为6.29×10^18个.

基于二维条码的信息隐藏技术

提出一种基于二维条码进行信息隐藏的技术。利用变形技术对二维条码PDF417符号字符中的各组成单元宽度加以适量的变动,采用误差累积的方式实现隐藏信息的嵌入和提取。实验结果和安全性分析表明,该方法可以有效的抵御打印扫描攻击,具有安全性高、隐藏信息容量大、信息提取率高等优点。

彩色照片中隐藏水印信息的分析与实现

针对利用数字水印技术进行证件真伪鉴别的应用背景,提出一种在证件的彩色照片中隐藏水印信息的方法,通过分析证件上的彩色照片在证件制作、使用以及鉴别过程中经受的三种主要攻击,提出在彩色图像的L*a*b*颜色空间的L*亮度分量中嵌入水印,将预测滤波器融于空域水印算法,自然鲁棒的水印模式用于对抗中轻度的几何失真以及局部的、小的非线性几何变形,并采用基于Hausdorff distance的方法校正大的几何失真的水印图像。实验结果表明本文水印算法对打印扫描攻击具有鲁棒性。

数字水印在车牌照检测中的应用

机动车已成为市民出行的主要交通工具之一,假牌套牌运算为机动车的有效管理保驾护航。然而交通运算中假牌套牌运算数据量大,即使仅考虑一个城市的次干道级别的所有道路1.5小内的车辆套牌假牌运算都会因数据量过大难以满足工程需要,假牌套牌处于无管制状态。笔者提出用图像水印实现交通运算中套牌假牌的运算,这将大大提高交通运算的效率。利用图像经打印照相后其能量分布不会改变的特性,在DCT域嵌入水印信息,实现实物车牌的版权保护。给出了具体实现步骤,通过仿真实验证明该方法的可行性。

浅议高校图书馆WEB安全机制和防范措施

本文以江汉大学图书馆WEB网站系统的安全建设为实例,深入细致地分析了各层面的安全问题以及如何应对的安全策略,旨在提供一个较系统、较科学的分析和解决WEB安全问题的思路,为目前高校图书馆的WEB安全建设提供一些参考。

基于TCP报文数量比值分布的网络异常快速预警

对CERNET江苏省省网主干的TCP标志报文的数量进行了统计，首先分析了一般情况下TCP各种标志报文数量的比值分布，在此基础上进行了对比，发现各种标志报文数量的统计比例在一般情况下(网络上无攻击等异常的发生)是相对稳定的，随后表明以这个相对稳定的比例作为一个指标，并快速衡量出以某种标志报文数量突变为现象的扫描攻击的可能性。最后以某一时间CERNET江苏省网主干TCP标志报文的实例对比了正常与异常的情况，并分析了异常情况的具体原因。

Linux防火墙远程控制系统的开发

针对现有局域网防火墙无法有效监控用户访问行为、恶意攻击等问题,提出基于Linux Socket特定端口的远程控制防火墙方案:利用Linux操作系统平台的动态包过滤技术,将防火墙的包过滤、常用服务配置和IP黑名单功能进行整合;再利用Linux Socket通信程序设计架构实现防火墙的远程控制;然后采用GTK+设计一个基于C/S模式的图形界面客户端管理与配置程序,以便网络管理员配置防火墙策略.测试结果表明,该防火墙系统针对网内用户访问行为控制、网外的DDoS和端口扫描攻击等问题,具备一定的解决能力,并对IPv6数据包过滤策略具备一定的扩展功能,可保障网内各终端的信息安全.

基于Netflow的网络安全大数据可视化分析

近年来网络安全日志数据呈现出爆炸式的增长,但现有的可视化技术难以支持高维度、多粒度的Netflow日志实现完善的可视化分析.因此本文提出了一种全新的网络安全可视化框架设计方案,采用三维柱状图展示Netflow日志的流量时序图,以帮助用户快速了解和掌握网络中的异常时刻.引用信息熵算法针对平行坐标轴的维度数据进行处理,便于用户对多维度图形的理解,利用矩阵图、气泡图和流量时序图进行细节分析,最后利用该系统实现了对DDOS攻击和端口扫描攻击的网络异常案例分析.研究证明本系统丰富的可视化图形以及简单易用的协同交互,能较好的支撑网络安全人员从网络整体运行状态分析,到定位异常时刻、监测网络行为细节的全部过程.

面向网络层的动态跳变技术研究进展

首先,介绍了网络层跳变技术的基本概念并给出了其所能抵御的安全威胁;接着,从传统网络和软件定义网络给出了网络层跳变技术的两种模型和通信方式;然后,从跳变属性、跳变的实现方式和跳变的触发方式3个方面对网络层跳变技术进行分类,并给出网络层跳变的两种评估模型;最后,总结了网络层跳变技术目前仍然存在的问题,以及相应的发展方向。

一种对抗网络侦察的自适应欺骗防御机制

静态配置的网络主机信息在面对攻击者侦察时易于暴露,进而带来了严重的安全隐患。主机地址跳变及部署虚假节点等欺骗方法能够扰乱攻击者对网络的认知,增加其网络侦察的难度。但如何高效地利用这些手段来对抗攻击者的侦察行为仍存在诸多困难。为此,在对攻防双方行为进行建模描述的基础上,提出了一种高效的自适应欺骗防御机制(Self-adaptive Deception Method,SADM)来应对网络侦察。SADM结合网络侦察过程中攻防双方多阶段持续对抗的特点,以资源约束下防御方的综合收益最大化为目标进行建模,并在此基础上通过启发式方法进行自适应防御决策,以快速应对攻击者的多样化扫描行为。仿真实验结果表明,SADM能够有效延缓攻击者的探测速度,在保证防护效果的同时降低部署欺骗场景的代价。

HTTP-sCAN:Detecting HTTP-Flooding Attack by Modeling Multi-Features of Web Browsing Behavior from Noisy Web-Logs

HTTP-flooding attack disables the victimized web server by sending a large number of HTTP Get requests.Recent research tends to detect HTTP-flooding with the anomaly-based approaches,which detect the HTTP-flooding by modeling the behavior of normal web surfers.However,most of the existing anomaly-based detection approaches usually cannot filter the web-crawling traces from unknown searching bots mixed in normal web browsing logs.These web-crawling traces can bias the base-line profile of anomaly-based schemes in their training phase,and further degrade their detection performance.This paper proposes a novel web-crawling tracestolerated method to build baseline profile,and designs a new anomaly-based HTTP-flooding detection scheme(abbr.HTTP-sCAN).The simulation results show that HTTP-sCAN is immune to the interferences of unknown webcrawling traces,and can detect all HTTPflooding attacks.