-
题名域间IP欺骗防御服务净化机制
被引量:9
- 1
-
-
作者
吕高锋
孙志刚
卢锡城
-
机构
国防科学技术大学计算机学院
-
出处
《计算机学报》
EI
CSCD
北大核心
2009年第3期552-563,共12页
-
基金
国家"九七三"重点基础研究发展规划项目基金(2009CB320503
2005CB321801)资助~~
-
文摘
IP地址真实性验证成为构建可信网络的基础,基于粗粒度的源-目的自治域标识(密钥)的域间IP欺骗报文过滤机制具有处理简单、保护范围广、部署激励高等优点,却存在不能过滤自治域内子网间IP欺骗报文等不足.而细粒度的源-目的子网标识能够解决过滤粒度粗的问题,却带来了更严重的处理复杂、计算和存储开销大等问题.针对IP欺骗防御机制的计算复杂度和过滤粒度之间的矛盾,提出一种新颖的域间IP欺骗防御服务净化机制RISP.RISP立足于域间IP欺骗防御,根据自治域内拓扑结构的稳定性,引入非对称的细粒度的源子网-目的自治域标识方式,实现对自治域间和自治域内子网间IP欺骗报文的检测与过滤.根据主要的IP欺骗报文攻击的流特征,引入流异常检测机制,实现细粒度标识的动态触发,进一步降低细粒度标识的计算和存储开销,同时对子网内恶意数据流进行流速限制.RISP在不增加自治域内防御实体的情况下,使得防御实体能够过滤自治域内子网间IP欺骗报文,计算和存储开销小,过滤粒度细,而且具有较高的部署激励.
-
关键词
ip欺骗防御
非对称标识
动态标记
可信网络
-
Keywords
ip spoofing prevention
unsymmetrical fine-grained label
dynamic marking
trustworthy network
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名域间IP欺骗防御服务增强机制
被引量:4
- 2
-
-
作者
吕高锋
孙志刚
卢锡城
-
机构
国防科学技术大学计算机学院
-
出处
《软件学报》
EI
CSCD
北大核心
2010年第7期1704-1716,共13页
-
基金
国家重点基础研究发展计划(973)Nos.2005CB321801
2009CB320503~~
-
文摘
IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.
-
关键词
ip欺骗防御
BGP(border
GATEWAY
protocol)
可信网络
-
Keywords
ip spoofing prevention
BGP (border gateway protocol)
trustworthy network
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名域间IP欺骗防御服务扩展
- 3
-
-
作者
卢锡城
吕高锋
朱培栋
陈一骄
-
机构
国防科技大学计算机学院
-
出处
《中国科学(E辑)》
CSCD
北大核心
2008年第10期1636-1651,共16页
-
基金
国家重点基础研究发展计划(批准号:2003CB314802
2005CB321801)资助项目
-
文摘
拒绝服务攻击严重影响Internet的可用性,而攻击者通常采用源IP欺骗方式,使得网络防御更加困难.尽管已经提出许多防御IP欺骗的机制,但只是部分部署,防御效果差.本文首次提出一种域间IP欺骗防御服务扩展机制-MASK,在给定防御节点覆盖的情况下,延伸防御机制保护范围,增强节点的防御能力.借鉴Transit-Stub AS模型,根据BGP消息MASK节点代理邻居中Stub AS与目的端AS协商标识,共享源IP地址空间信息,向Stub AS提供IP欺骗防御服务.同时利用BGP消息约束源-目的端之间MASK会话数,减小了标识的计算和存储开销.MASK不仅扩大了防御机制保护范围,且提前过滤了IP欺骗数据流.应用Routeview提供的RIB进行评估,MASK在相同覆盖下能够扩展IP欺骗防御机制的保护范围,是一种高效的域间IP欺骗防御机制,可为建设新一代可信网络提供有力支撑.
-
关键词
DOS攻击
ip欺骗防御
BGP
可信网络
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
TP393.4
[自动化与计算机技术—计算机应用技术]
-