防御数据窃听攻击的路由交换范式体系

近年来,利用路由交换设备漏洞窃听用户流量的攻击事件不断曝光,凸显了核心网络信息安全传输的重要性.由于用户和网络运营商不掌握设备漏洞控制权,导致此类攻击具有成本低、隐蔽、单向和顽固等特点,不易被识别和约束.文中通过分析嵌入漏洞的路由交换设备可能执行的异常服务行为,提出了一种静态路由交换范式体系.该体系对利用设备漏洞窃听用户流量攻击的安全完备性可论证,范式规则通用于TCP/IP网络,并基于该体系设计范式检测设备模型,该模型可设计实现,利用该设备可检测路由交换设备违反范式的输出分组.系统仿真实验结果显示,文中设计的范式设备可放行全部正常分组,同时可识别和约束99.92%以上的窃听分组,被检测路由交换设备吞吐率可达Gbps级.

基于路由交换方式构建安全可信网络的分析与研究

互联网已经成为人们交互信息的重要媒介,一旦网络路由交换设备遭到入侵,攻击者就能轻易获取成千上万、甚至数十万台计算机的通信情况。因此,如何保证网络路由交换设备的安全是至关重要的问题。随着路由交换技术的不断演进,路由交换设备软硬件开放程度逐步提高,可编程能力不断增强。可编程设备在给功能更新带来方便的同时,也给网络攻击者带来更多的可乘之机。网络故障检测和行为验证一直是学术界关注的热点问题。