面向网络取证的网络攻击追踪溯源技术分析

首先定位网络攻击事件的源头,然后进行有效的电子数据证据的收集,是网络取证的任务之一.定位网络攻击事件源头需要使用网络攻击追踪溯源技术.然而,现有的网络攻击追踪溯源技术研究工作主要从防御的角度来展开,以通过定位攻击源及时阻断攻击为主要目标,较少会考虑到网络取证的要求,从而导致会在网络攻击追踪溯源过程中产生的大量有价值的数据无法成为有效电子数据证据在诉讼中被采用,因而无法充分发挥其在网络取证方面的作用.为此,提出了一套取证能力评估指标,用于评估网络攻击追踪溯源技术的取证能力.总结分析了最新的网络攻击追踪溯源技术,包括基于软件定义网络的追踪溯源技术,基于取证能力评估指标分析了其取证能力,并针对不足之处提出了改进建议.最后,提出了针对网络攻击追踪溯源场景的网络取证过程模型.该工作为面向网络取证的网络攻击追踪溯源技术的研究提供了参考.

一种基于日志关联的网络攻击追踪系统模型

在论述日志关联分析平台的体系结构与功能模块的基础上,提出一种新的网络攻击追踪系统模型。阐述该模型的总体结构与工作流程,提出基于登录链的追踪算法。模拟实验结果表明,该模型能够在可控网络内准确地找到攻击者的真实位置以及攻击路径。最后,分析系统可能存在的问题,并提出解决方案。

网络攻击追踪溯源层次分析

近年来,为了有效防御网络攻击,人们提出了网络攻击追踪溯源技术,用于追踪定位攻击源头.网络安全系统能在确定攻击源的基础上采取隔离或者其他手段限制网络攻击,将网络攻击的危害降到最低.由于攻击追踪溯源技术能够为网络防御提供更加准确攻击源、路径等信息,使得防御方能够实施针对性的防护策略,其相关技术及研究得到了越来越多的关注与发展.介绍了追踪溯源四层次划分,重点分析追踪溯源各层次问题,并就相应技术及追踪过程进行了深入讨论,以期对追踪溯源有一个全面的描述,提高对网络攻击追踪溯源的认识.

多源网络攻击追踪溯源技术研究

网络攻击追踪溯源在定位攻击源、阻止或抑制网络攻击、提供法律举证、威慑攻击者等方面具有非常积极的意义。近年来,学术界对此开展了大量的研究,并提出了多种追踪溯源技术体制。分析了在大规模网络环境下网络攻击追踪溯源所面临的问题,以及当前主要技术体制的优缺点和适用性,提出了融合多种追踪溯源机制的多源追踪溯源技术思路,设计了基于信息融合的扩展性强、易于部署建设的MSNAA网络攻击追踪溯源系统架构。

可控网络攻击源追踪技术研究

提出一种新的基于网络入侵检测的攻击源追踪方法 给出了系统模型 ,深入分析了攻击链路集合构造和攻击链路上下游关系的确定方法 ,在此基础上提出攻击路径构造算法 实验结果表明 ,该系统能够在可控网络环境下实时、准确地对攻击源进行追踪 和已有方法相比 ,新的方法在实用性、追踪的准确性。

移动IPv6中的攻击源追踪问题研究

着重于移动IPv6架构下的攻击源追踪问题研究,给出了IPv6中新的包标记算法和包采样算法,并针对移动环境中不同的攻击模式提出了有针对性的攻击源追踪策略。该方法的结合使用可以有效降低移动IPv6中的攻击源追踪难度。

网络攻击源追踪系统模型

入侵检测是识别网络攻击的主要手段 ,现有的入侵检测系统可以检测到大多数基于网络的攻击 ,但不能提供对真实攻击来源的有效追踪 .据此 ,结合现有的入侵检测技术提出了网络攻击源追踪系统的模型 ,阐述了该系统的体系结构和各部分的主要功能 ,给出了利用相关性分析对攻击者的攻击路径进行回溯的基本思想 .模拟结果表明 ,所提出的系统模型和相关性分析的思想是可行有效的 .最后 ,从安全性。

DDoS攻击源追踪的一种新包标记方案研究

在对包标记方案的收敛性进行研究的基础上,给出了新的标记概率的选取方法,以得到最优化的收敛性; 同时,为了对抗攻击者控制转发节点伪造信息而干扰路径重构算法,提出了一种新的安全的验证包标记方案。最后,对该方案的一些性能进行了仿真验证,结果显示,验证包标记方案的各方面性能均有较大提高。

一种通用的大规模DDoS攻击源追踪方案研究

本文提出了一种通用的基于概率包标记大规模DDoS攻击源跟踪方法.相比其它方法,该方法通过引入包标记中继算法既适用于直接类型的DDoS攻击路径恢复,也适用于反射类型的DDoS攻击路径恢复.此外,本文通过巧妙运用方程组唯一解判定原理对路由IP实施编码,运用基于一次性密钥的HMAC方法对攻击路径的每条边进行编码和验证,不需要ISP路由拓扑,便能够在被攻击点相应的解码并高效可靠的恢复出真实的攻击路径.分析表明,该种方法能与IPv4协议较好的兼容,具有较好的抗干扰性.通过仿真实验证实,该方法相比FMS、CHEN等人提出的方法在收敛性和误报方面体现了较强的优势.

一种基于反向确认的DDoS攻击源追踪模型

在分析高级随机包标记算法(AMS)的基础上,提出了一种基于反向确认的攻击源追踪模型,该模型不再需要AMS过强的假设前提。同时为了弥补其他自适应算法的不足,提出一种自适应边标记算法。理论分析和实验结果证明该算法不仅收敛时间短,而且比AMS算法更稳定。

一种基于协同机制的攻击源追踪方法

为了在分布式网络追踪系统中协调监控代理,及时共享多点采集的追踪数据合作定位网络攻击源,提出一种基于协同机制的攻击源追踪方法。该方法设计了自适应协同聚生追踪协议,通过在各监控代理间交互查询消息来实现监控代理间的协同追踪和攻击路径重构。实验分析表明,该方法提高了追踪信息的有效聚生和攻击源定位的准确性。

一种无日志的快速DDoS攻击路径追踪算法

分布式拒绝服务攻击是目前Internet面临的主要威胁之一.攻击路径追踪技术能够在源地址欺骗的情况下追踪攻击来源,在DDoS攻击的防御中起到非常关键的作用.在各种追踪技术中随机包标记法具有较明显的优势,然而由于较低的标记信息利用率,追踪速度仍然不够快.为了提高追踪速度提出一种无日志的快速攻击路径追踪算法.该算法利用少量路由器存储空间和带内信息传输方式提高标记信息利用率,不仅大大提高了追踪速度,而且避免占用额外的网络带宽.

一种可认证DDoS攻击源追踪方案研究

提出了一种通用的基于概率包标记大规模DDoS攻击源跟踪方法。相比其他方法,该方法通过引入包标记中继算法既适用于直接类型的DDoS攻击路径恢复,也适用于反射类型的DDoS攻击路径恢复。此外,通过巧妙运用方程组惟一解判定原理对路由IP实施编码,运用基于一次性密钥的HMAC方法对攻击路径的每条边进行编码和验证,不需要ISP路由拓扑,便能够在被攻击点相应的解码并高效可靠地恢复出真实的攻击路径。分析表明,该方法能与IPv4协议较好地兼容,具有较好的抗干扰性。

RFID安全协议追踪攻击的形式化分析

针对当前RFID安全协议可能存在的恶意追踪问题,文章提出了一个追踪攻击的形式化分析模型。该模型首先定义了攻击者消息元素集合的概念,之后根据攻击者消息元素集合中消息使用的代数运算,推导出攻击者的攻击行为,并由此确定攻击者行为集合。通过攻击者元素集合和攻击者行为集合,规范了攻击者攻击行为和攻击对象。之后通过引入标签特征值的概念,确定了RFID安全协议存在追踪攻击的条件,明确了攻击者发起追踪攻击的目标。最后,使用该模型对一个RFID安全协议进行了分析,计算出了该协议的标签特征值,由此发现了新的追踪攻击,证明了模型的可靠性。

基于包标记的DDoS攻击源追踪方案研究

依据FMS标记思想,结合密码学的数字签名方法,设计了自适应hash签名标记方案AHSM。该方案是在包经过的路由器处,路由器按一个变化的概率对包进行hash签名。采用hash签名,签名速度快、误报率低、重构开销小,实现了IP地址的防篡改和发送者的不可否认,能有效地防止路由器假冒。采用变化的概率,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。

针对可自适应帧标记的IEEE802.11的DoS攻击抵御追踪方案

由于针对低层协议的拒绝服务(Denial of Service,DoS)攻击有可能对战场网络进行大规模的破坏,被攻击者必将把攻击源追踪技术引入到低层协议。针对采用自适应帧标记技术的可追踪攻击源的改进802.11协议,提出了一种简单的DoS攻击抵御追踪方案,把自适应帧标记降级为确定帧标记。通过性能分析,可以看出提出方案增加了被攻击者追踪攻击者的难度。

粒子群算法追踪DDoS攻击源技术研究

研究DDo S攻击源追踪技术,采用粒子群算法对概率包标记提出改进策略,设计攻击源追踪实现方案。通过在NS2仿真平台上测试,对仿真结果进行比较分析,仿真实现了基于粒子群算法对DDo S攻击源的追踪,满足攻击路径重构的快速、准确的性能要求。

DDoS攻击源追踪算法综述

鉴于因特网出现了越来越多的DDoS攻击事件,结合DDoS攻击追踪方法的最新研究情况,对DDoS攻击追踪算法进行系统分析和研究,对不同的追踪算法进行比较,提出了追踪算法的重点,结合参考文献给出了解决问题的方法和意见,讨论了当前该领域存在的问题及今后研究的方向。

基于反向节点标记的攻击源追踪方法

在防范拒绝服务攻击的问题上,随机包标记方法是比较好的策略。已有方法之一是Savage提出的NodeSampling算法。ReverseNodeSampling在对NodeSampling算法性能进行理论分析的基础上,针对其缺陷做出一定程度上的改进。对改进后的算法在理论上进行性能分析,并在实验中验证。通过实验结果的比较,验证了改进后的算法在性能上大大优于原有的NodeSampling算法。