基于Petri网的网络攻击流模型研究

针对网络攻击的智能组织实施问题,提出一种攻击流的概念,选用Petri网作为工具,对网络攻击流进行建模。在此基础上,对3种基本网络攻击流模型进行分析,并结合IP欺骗攻击实例,分析其在IP欺骗攻击中的具体应用及其实现方式。实验结果表明,该模型既利于攻击者构建网络攻击方案,又能被计算机解析并组织实施网络攻击。

网络抖动下疑似攻击流指纹有效监测方法研究

研究网络抖动下疑似攻击流指纹的有效监测时,由于攻击流指纹的隐蔽性及网络数据量大的特性,会出现网络噪声干扰。传统的方法受到这种干扰无法保证监测的实时性与监测结果的准确性。提出基于模糊粗糙集算法的网络抖动下疑似攻击流指纹的监测方法。针对原始监测数据的信息冗余、数据矛盾等问题,进行数据离散化及信息约简预处理,根据模糊粗糙集原理,分别经由数据准备、节点衍生、规则集生成及结果判定的过程,实现对监测数据的有效分类,从而完成对疑似攻击流指纹的有效识别判定。实验结果表明,采用改进算法进行网络抖动下疑似攻击流指纹监测,可以提高监测结果的准确度,减小误报率与漏报率,节约监测成本,具有实际的应用价值。

网络DDoS攻击流的小波分析与检测

将小波分析中的小波变换模极大方法用于检测分布式拒绝服务攻击引起的突发流量。在探讨如何运用小波模极大对突发流量进行判定的基础上,设计了一个检测突发攻击流量的方法,并对实际采集到的网络流量和仿真攻击流量的混合流作了计算机模拟验证。结果表明,当攻击流的突变幅度为正常流量的2倍￣3倍时,检测漏判率不超过5%;当攻击流的突变幅度提升为正常流量均值的3倍￣5倍时,检测漏判率不超过1%。攻击越强,检测漏判率越小。

TCP DDoS攻击流的源端网络可检测性分析

基于源端网络的DDoS防御是一种检测和阻断DDoS攻击源的主动防御策略。以TCP报文的收发比为衡量指标,通过模拟仿真对比研究了匀速发送和组群式发送下DDoS攻击流在其源端网络中的可检测性。基于NS-2的模拟检测结果表明:(1)匀速发送下DDoS攻击流无法兼顾强破坏性和弱可检测性,降低攻击源发送速率并非是增强匀速攻击流隐蔽性的一种理想选择;(2)组群式发送下,DDoS攻击流可以在保持攻击破坏性的同时,通过灵活的组群配置来降低攻击流的可检测性,其中,增加攻击组数目并同时增加攻击源总数是增强攻击流隐蔽性的一种较为有效的方式。

基于水印信息重排序的多流攻击反制方法

网络流水印是一种网络攻击源主动追踪技术,但根据其流间依赖关系实施的多流攻击对流水印可用性构成严重威胁.提出基于水印信息重排序的多流攻击反制方法,对于不同的目标数据流,采用不同的随机种子来随机选择水印信息的不同排列进行嵌入,有效消除了已标记数据流之间的依赖关系.分析与实验结果表明,该方法可抵御多流攻击.与嵌入位置随机化方法相比,误报率低,而且对水印检测器性能影响小,是一种抵御多流攻击的有效方法.

基于动态间隔压缩的鲁棒网络流水印算法

针对基于间隔质心的流水印缺乏纠错能力且难以抵御多流攻击的问题,提出一种基于动态间隔压缩的鲁棒网络流水印算法。该算法在基于间隔质心流水印基础上利用编解码技术增强其纠错能力,将携带同一水印信息的网络流量采用动态间隔压缩的方式调制为多种模式以抵御多流攻击。同时在检测端对水印进行分层检测,减少检测端计算资源浪费。实验结果表明,当检测阈值设为0.8时,误报率低于5%,且水印检测率可高于原始间隔质心方法10%左右,合并多条水印数据流后也无明显静默间隔。可见该算法具有良好的鲁棒性和隐蔽性,能够有效提高网络流水印的可用性。

基于高汇聚流的回推DDoS方案

本文讨论了从资源管理的角度对DDoS攻击流进行有效的抑制从而达到防御的目的。详细讨论高汇聚流的限流算法和回推技术的实施,并提出在回推树的第n层分布式限流的限速层综合方案。

基于特征参数相关性的DDoS攻击检测算法

针对传统方法难以实时有效地检测分布式拒绝服务攻击(DDoS)的问题,通过DDoS攻击的基本特征分析,从理论上严格区分了DDoS攻击流和正常突发流,并且在此基础上提出了一种基于特征参数相关性的DDoS攻击检测算法。该算法能在早期检测出DDoS攻击流,而这时的DDoS攻击包特征并不明显,并且该算法能有效地区分DDoS攻击流和正常的突发流。实验结果表明了该算法的有效性和精确性。

网络流水印技术研究进展

网络流水印技术作为一种主动流量分析手段,可有效追踪恶意匿名通信使用者与跳板链后的真实攻击者,具有准确率高、误报率低和观测时间短等优点,在攻击源追踪、网络监管和攻击取证等领域有着重要应用。首先阐述网络流水印技术的基本框架及主要特点,接着对当前基于包载荷、基于流速率和基于包时间的典型网络流水印技术进行简要介绍,然后概述针对网络流水印技术的时间分析攻击、多流攻击和均方自相关攻击等主要攻击手段与反制对策,最后对网络流水印技术的发展前景进行展望。

网络流水印安全威胁及对策综述

与基于流量特性的被动流关联技术相比,基于流水印的主动流关联技术在跳板攻击溯源和匿名用户追踪等方面准确率更高、误报率更低,观测时间也更短.首先介绍基于包载荷、流速率、包时间等载体的典型流水印技术;然后阐述流水印技术所面临的多流攻击、均方自相关攻击、K-S(KolmogorovSimirnov)测试、PNR(Peng Ning Reeves)攻击、时延规范化攻击、BACKLIT检测、已知流攻击、输出检测和复制攻击等安全威胁;接着分析流水印技术在抵御多流攻击、均方自相关攻击、K-S测试和BACKLIT检测等各类安全威胁时所主要采取的嵌入位置随机化、水印信息重排序、"一流一印"、"一流一码"、嵌入延迟最小化等方法和手段;最后对流水印安全威胁与对策的研究热点及发展趋势进行总结和展望,认为现有流水印技术的抗攻击能力有待进一步加强、流水印隐蔽性的统一评价体系与指标缺乏、其他载体及多重载体流水印技术的攻击手段亟待研究.

采用多流联合质心熵的网络流水印检测方法

随着跳板主机和匿名网络成为隐匿通信关系的常用手段,网络攻击流量的溯源和定位难度日益增大.网络流水印技术在网络隐私安全领域已逐渐成为了一种重要的网络流量追踪和定位手段,设计良好的网络流水印具有强大的鲁棒性和隐蔽性,使得对网络流水印的存在性检测变得异常困难,而对流水印实施有效检测是进一步实现水印移除或水印流量复制的前提.本文提出了一种基于多流联合质心熵的水印盲检测方法,其可以实现针对当前典型的时隙质心类流水印的有效检测.在实际SSH流量上的实验结果表明,所提方法在单密钥情形下可达到与当前普遍采用的多流攻击相近的检测效果,在随机多密钥情形下多流攻击方案失效而本文方案依然可以实现高效检测.

基于蜜网技术的主动式网络安全系统研究

该文提出并设计了一个能将网络攻击流重定向到蜜网环境中的主动式网络安全系统。并对其中的数据流重定向,数据捕获,数据控制与自动告警等功能给出了具体的实现方法。

可增量部署、基于采样流的IP溯源方法

IP溯源能用来查找攻击流量的源头和路径,但迄今为止,还没有因特网规模的溯源方法被实际部署。该文提出了一种基于采样流的部署点自治域(AS)级日志记录类溯源方法SampleTrace。该方法利用路由器已存在的xFlow功能(sFlow、NetFlow和IPFIX)和边界网关协议(BGP)信息来实现溯源,并在因特网上建立覆盖网络以支持增量部署。该文从理论上分析了攻击流被成功溯源的概率与独立采样概率、攻击流所含攻击包数、被成功溯源的跳数3个因素的定量关系。根据Bernoulli大数定律,当使用SampleTrace对因特网中大量的攻击流进行溯源时,成功溯源的经验概率将接近于成功溯源的概率。SampleTrace较好地解决了日志记录类溯源方法的增量部署难题。

IDS测试与评估的方法设计

本文在给出IDS的性能指标之后,提出了IDS测试方案,并以该方案为基础,对网络背景流量仿真、攻击流仿真、误报率测试和漏报率测试等几个重点和难点问题进行了深入研究。其测试结果可以比较客观、准确地反映出IDS的性能,从而使用户或生产商对IDS进行比较准确的评估。