基于主动防御模型的IP反向追踪方法

提出了一种基于主动防御模型的IP反向追踪方法 .该方法以安全域为单位 ,利用hash函数序列的相关性和概率标记信息 ,通过主覆盖路由器的协同工作 ,实现了对攻击源的快速定位 ;在可供使用的标记位有限的情况下 ,提出了在标记时对摘要信息进行拆分、在反向追踪时利用异或运算实现对摘要信息拼装的方法 ,从而有效地减少“碰撞”的产生 ,保证了对大范围DDoS攻击的准确定位 .分析结果表明 :本方法大大缩短了标记路径 ,减少了重组攻击路径所需攻击报文数量 .

CoMM:基于协作标记与缓解的实时IP反向追踪模型

实时性对于在DoS或DDoS网络攻击中发送假源地址包的主机进行IP反向追踪非常重要.提出一个IP实时反向追踪的模型CoMM(CooperativeMarkingandMitigation),在受害者主动参与和自治网络协调员的帮助下推测攻击路径,局部推测的攻击路径可以帮助受害者推测的攻击路径进行验证,上游路由器采取限速方式减小攻击程度的同时保证合法用户流量的传输和受害者正常推测攻击路径的流量需要,并有效的降低路由器参加追踪的开销.

大流量优先的实时IP随机包标记反向追踪

在现有IP随机包标记反向追踪算法实时性的研究基础上,分析了标记概率、推测路径需要的数据包数量和攻击路径距离的关系,提出一个大流量优先的实时IP随机包标记反向追踪方法LTFMS,利用路由器节点当前流量统计,受害者可在最短时间内推测出主要攻击路径。通过建立模拟测试环境实验分析,对于大规模DDoS攻击,该方法在相同时间内可比现有方法推测出更多的攻击路径。

使用ns2模拟与改进PPM算法

根据推测路径需要的数据包数量、推测复杂性和误报率等参数,对不同的随机包标记(PPM)算法进行了评价.通过扩充ns2、确定攻击拓扑和攻击流量建立一个模拟测试环境,实际模拟并对比分析了各种PPM算法,可测试大规模DDoS攻击下各种PPM算法反向追踪的执行效果.根据模拟过程和结果,提出PPM的改进方向,从而有效提高了反向追踪的实时性.

检测使用Web反射器的攻击

攻击者在大规模DDoS网络攻击中使用反射器向受害者发送洪水包,Web服务器被攻击者利用为TCP反射器不仅加剧了网络攻击的程度,也消耗了正常Web服务资源。分析了Web反射器所在网络的入出口流量特点,以及攻击者利用Web反射器发起攻击时的数据包特性,利用流入和流出反射器网络TCP数据包的特性,通过对网络流量的异常统计检测和实时在线分析来检测Web反射器。模拟实验表明,可以检测出利用Web服务器进行的大规模DRDoS攻击。