命名数据网络中基于增强隔离林的Interest包洪泛攻击检测方法

IFA是NDN中的恶意攻击之一,危害较大.针对IFA,提出基于增强隔离林的IFA检测方法,通过在构造增强隔离林的过程中区分Interest包所携带的合法前缀与异常前缀,对异常前缀进行进一步判断,从而准确地检测出恶意前缀.所提出的方法将检测出的恶意前缀列入黑名单中,限制携带恶意前缀的Interest包转发.仿真结果表明:该方法能够有效地缓解IFA.

PrNet:一种应对链路洪泛攻击的机制

网络拓扑的特性造成了拓扑中会出现大多数流量汇聚到少部分关键节点和链路的情况,这部分节点和链路会成为链路洪泛攻击所针对的网络瓶颈。现有的防御工作主要围绕隐藏网络瓶颈展开,但对于网络瓶颈的计算度量标准较为单一,且无法应对攻击者发起的盲攻击。为了解决这些问题,提出了一种基于SDN的应对机制PrNet。PrNet首先从静态和动态的角度定义了形成网络瓶颈的度量指标,然后生成针对测绘流量的混淆拓扑,通过识别测绘流量并将其引向绕开网络瓶颈的混淆路径,使攻击者得到错误的信息,最后通过概率路径转发算法为节点之间的所有可达路径分配概率,主动分散网络拓扑中的流量,从而减少网络瓶颈的产生。仿真实验表明,PrNet能够生成具有良好安全性的混淆拓扑,能够根据流量及时调整数据包的转发路径,在应对攻击者发起链路洪泛攻击时具有可行性,并且能够有效缓解盲攻击。

抵御SIP分布式洪泛攻击的入侵防御系统

针对SIP分布式洪泛攻击检测与防御的研究现状,结合基于IP的分布式洪泛攻击和SIP消息的特点,提出了一种面向SIP分布式洪泛攻击的两级防御分布式拒绝服务(DDoS)攻击体系结构(TDASDFA):一级防御子系统(FDS)和二级防御子系统(SDS)。FDS对SIP的信令流进行粗粒度检测与防御,旨在过滤非VoIP消息和丢弃超出指定速率的IP地址的SIP信令,保证服务的可用性;SDS利用一种基于安全级别设定的攻击减弱方法对SIP信令流进行细粒度检测,并过滤具有明显DoS攻击特征的恶意攻击和低流量攻击。FDS和SDS协同工作来实时检测网络状况,减弱SIP分布式洪泛攻击。实验结果表明,TDASDFA能实时地识别和防御SIP分布式洪泛攻击,并且在异常发生时有效地减弱SIP代理服务器/IMS服务器被攻击的可能性。

应用层洪泛攻击的异常检测

从近年的发展趋势看,分布式拒绝服务攻击已经从原来的低层逐渐向应用层发展,它比传统的攻击更加有效且更具隐蔽性。为检测利用合法应用层HTTP请求发动的洪泛攻击,本文把应用层洪泛攻击视为一种异常的用户访问行为,从用户浏览行为的角度实现攻击检测。基于实际网络流的试验表明,该模型可以有效测量Web用户的访问行为正常度并实现应用层的DDoS洪泛攻击检测。

命名数据网络中基于信息熵的Interest洪泛攻击检测与防御

在命名数据网络中,兴趣包洪泛攻击通过向网络发送大量恶意interest包来消耗网络资源,从而对NDN造成较大危害.针对目前所提出的IFA攻击检测与防御方法存在攻击模式单一、在应对复杂攻击模式时效果不明显等局限,提出一种基于信息熵的改进方法(EIM),该方法通过与NDN路由器相连的用户的信誉值和信息熵相结合来限制攻击者发送的恶意interest包,很好地解决了现有方法在应对复杂的攻击模式时的局限性.仿真结果表明EIM较信息熵方法能够更有效地缓解IFA.

一种SIP分布式洪泛攻击的减弱方法

对会话初始化协议(SIP)分布式洪泛攻击的原理进行研究,结合SIP协议自身的特点提出一种基于安全级别设定的攻击减弱方法.该方法将SIP消息按照历史记录、协议自身进行安全级别分类,利用流量监控对SIP流量监控.当发生分布式洪泛攻击时,通过设定合适的安全级别减弱攻击造成的影响.仿真实验结果表明基于安全级别的方法能够识别和防御SIP分布式洪泛攻击,有效地减弱SIP代理服务器/IMS服务器被攻击的可能性.

一种高效抵御SIP洪泛攻击的防御模型

根据会话初始协议(SIP)拒绝服务攻击的原理和方式,将阈值动态调整和实时动态防御相结合,提出一种抵御SIP洪泛攻击的防御模型,利用卡方流量判定模型与累计和统计模型动态调整阈值,并检测SIP洪泛攻击,通过IP防御模型动态抵御基于IP的SIP洪泛攻击。实验结果表明,该模型可以实时、高效地检测SIP洪泛攻击,在异常发生时有效防止SIP/IMS服务器被攻击。

命名数据网络中Interest洪泛攻击检测与防御

根据命名数据网络使用数据名称进行数据转发的特性,目前NDN中出现了一种基于兴趣包洪泛攻击的分布式拒绝服务攻击,对NDN网络危害较大.针对IFA,提出了一种基于Poseidon的改进方法——PAP,检测NDN路由器接口是否存在IFA,并构建interest包超时未响应表判断疑似恶意前缀.若存在IFA,则概率性限制该接口接收名称包含疑似恶意前缀的interest包速率,仿真结果表明PAP能够有效缓解IFA.

Ad Hoc网络洪泛攻击防御的研究

针对移动AdHoc网络反应式路由的洪泛攻击,分析了现有的抵御洪泛攻击的FAP方案的安全漏洞,提出了一种简单易行的CSR方案,并与FAP方案进行了对比。

一种面向SIP洪泛攻击的检测方法

针对SIP洪泛攻击检测与防御的研究现状,结合SIP洪泛攻击的流量和SIP用户的实际环境特点,提出了一种基于泊松分布的自适应网络环境变化的检测方法,包括参数初始化、基于概率密度的检测机制和SIP消息过滤器。根据泊松分布和正态分布建立请求消息数目模型,利用概率密度和检测因子建立检测机制可信度,SIP消息过滤器利用指数加权移动平均(EWMA)机制解决因为网络环境的变化导致检测效率下降问题。模拟实际的SIP网络环境进行建模,采用SIP模拟呼叫器发起不同概率的呼叫模拟不同的网络状况。实验结果表明,设计的方法能够实时地检测SIP洪泛攻击,有效地改善针对不同时间段的SIP洪泛攻击的检测效率,适应复杂的网络环境。

一种IMS网络中的SIP洪泛攻击检测方法

IMS（IP Multimedia Subsystem,IP多媒体子系统）是3G系统中核心网的重要部分,它由SIP协议提供的会话发起能力建立起端到端的会话,并获得所需要的服务质量。针对IMS网络中存在的SIP洪泛攻击,本文在详细分析SIP洪泛攻击原理和实现过程的基础上,提出了一种基于累积和算法的SIP洪泛攻击检测方法。该方法首先通过对接收到的SIP数据包中的INVITE消息的数量进行统计,然后将统计结果输入到累积和算法,以检测是否发生SIP消息洪泛攻击,最后通过设置的阙值来判决检测结果。实验结果表明,本文提出的方法能够有效地检测到IMS网络中的SIP洪泛攻击。

面向VNDN的兴趣包洪泛攻击检测

在车载命名数据网络(VNDN)中,兴趣包洪泛攻击(IFA)通过发送大量恶意兴趣包占用甚至耗尽网络资源,导致合法用户的请求无法被满足,严重危害了车联网的运行安全.针对上述问题,本文提出了一种基于流量监测的IFA检测方法.首先构建基于RSU的分布式网络流量监测层,每个RSU监测其通讯范围内的网络流量,RSU之间通信互联形成RSU网络流量监测层.其次,设定固定时间窗口,对每个窗口内的网络流量通过信息熵、网络自相似性和奇异点3个维度进行分析.其中,为了利用信息熵反映兴趣包来源的分布,在兴趣包中添加了新的字段.最后,综合上述3个指标,判断兴趣包洪泛攻击的存在.仿真实验结果表明,本文提出的方法有效地提升了兴趣包洪泛攻击检测的准确率,降低了误判率.

面向内容网络的请求洪泛攻击检测方法研究

作为一种新型的网络,内容网络难免会遭受网络攻击的威胁。请求洪泛(Request Flooding,REF)攻击是分布式拒绝攻击在内容网络中的表现形式,提出一种高效的REF攻击检测和防御方法。为了降低网络开销,检测和防御仅实现在一部分的路由器上。仿真实验结果表明,检测防御方法能够有效地实现对REF攻击的检测和防御。

基于相对熵的SIP DoS洪泛攻击检测算法和仿真

随着SIP协议的广泛应用,SIP网络的安全机制也逐渐成为研究热点.针对SIP Do S洪泛攻击,本文将相对熵引入SIP网络,提出了一种基于相对熵的检测算法,并与传统的信息熵检测算法进行比较.实验结果表明:正常网络流量下信息熵值和相对熵值都基本稳定,在发生Do S攻击时相对熵值波动明显,比信息熵检测算法检测率更高,检测结果更准确.

NDN中基于神经网络的兴趣洪泛攻击综合防御方案

命名数据网络(named data networking,NDN)中的请求-应答通信模式及有状态的转发滋生了新的分布式拒绝服务(distributed denial of service,DDoS)攻击方式-兴趣洪泛攻击(interest flooding attack,IFA)。IFA是NDN中主要的拒绝服务威胁,虽然IFA防御方案被广泛研究,但目前缺乏系统的解决方案。针对这一问题,基于粒子群优化的后向传播神经网络算法提出一种新的IFA检测方法,并结合基于基尼不纯度的恶意前缀识别方法和兴趣包回溯方法来缓解攻击危害,形成一种综合的防御方案。通过ndnSIM仿真实验证明,提出的方案不仅可以准确检测和有效防御IFA攻击,而且解决了基于窗口检测方案无法检测连续攻击的问题。

基于扩展状态机的SIP洪泛攻击自适应检测

IP多媒体子系统(IMS)中现有的会话初始协议(SIP)洪泛检测方法不能根据网络状况进行自适应检测。针对该问题,提出一种基于扩展状态机的SIP洪泛自适应检测方法。通过增加描述网络受到攻击或出现异常时的状态,构造IMS网络中的SIP扩展状态机,基于卡尔曼滤波设计自适应阈值调整算法,对SIP洪泛攻击进行自适应检测。实验结果表明,该方法比固定阈值的检测方法具有更好的检测性能,更适用于真实网络。

一种基于支持向量机和免疫规则生成的洪泛攻击检测方法

分析了洪泛攻击的攻击原理并提出了一种有效的针对此类攻击的检测方法:在用基于支持向量机的异常检测分类器分类出异常报文中,依据报文相似度生成免疫规则从而阻断所有经过IP变换的攻击报文,并列出了试验结果。

SYN洪泛攻击原理及其防范策略

SYN洪泛攻击是出现在这几年的一种具有很强攻击力而又缺乏有效防御手段的Internet攻击手段,是目前网络安全界研究的热点。TCP SYN洪流攻击是最常见的DoS攻击手段之一。文中着重对TCP SYN洪流攻击及其防范措施进行了深入研究,提出了一种新的综合攻击检测技术,较好地解决了对此类攻击的防范问题。

面向链路洪泛攻击的多维检测与动态防御方法

针对现有链路洪泛攻击检测存在的不足,提出了多维指标检测算法,通过会话连接时长、数据分组低速比例、数据分组距离均匀性、平均低速率数据分组占比、低速数据分组占比变化率5维要素对存在异常的转发链路进行多维检测,改善了现有方法误报率高的情况。进一步,提出基于染色理论的“控制器.交换机”动态部署方法,解决了现有防御缓解机制存在的“难以实际部署在交换机变体类型受限的实际环境中”问题。最后,实验验证所提方法的有效性。

Ad hoc网络中的RREQ洪泛攻击及其防御

RREQ洪泛攻击会大量消耗Ad hoc网络的带宽、能量等资源,影响网络的连通性,致使控制报文和数据报文无法正常传输,已经成为Ad hoc网络的主要威胁之一。文章在介绍RREQ洪泛攻击的基本概念基础上,分析了该攻击行为对Ad hoc网络的影响,研究了一种将邻节点监听和节点信誉评价相结合的机制,模拟结果表明该机制能够较好的防御Ad hoc网络中的RREQ洪泛攻击。