用流量分析法检测强制口令破解网络入侵

通过检测网络中每台计算机各个端口的数据流量,发现当入侵者试图破解Telnet或 Ftp口令而入侵主机系统时,被攻击的主机及实施攻击的客户机之间的数据流量与正常情况有明显差异.这种方法可以用于检测网络入侵.     

基于流记录的HTTP 80端口服务检测和分析

为了定位Web服务器并对其流量行为进行分析,提出了一个以网络边界路由器提供的流记录为分析数据源,定位网内HTTP80端口服务主机的算法.算法实现在了CERNET南京主节点所覆盖的网络.对算法的检测结果用传统的扫描定位方式进行了检验,结果表明:本算法只须探测全网3%左右的IP地址空间,便可成功定位超过98%的HTTP80服务器.根据算法执行过程中获得的信息,还可以检测分析网络中的一些安全隐患,包括定位使用Web服务器缺省首页的主机和存在80端口滥用情况的主机等.该算法还具有较好的通用性,调整有关检测条件后可以用于包括DNS在内的其他服务器的角色定位.     

一种利用域名系统支持主机移动的路由协议

当网络主机改变网络接入点时。传统的TEP／IP协议无法正常运作。这是由于IP地址的双重作用(既是主机的名也指明主机当前的网络位置)引起的，支持主机移动的网络协议SHMUD(Supporting Host Mobility Using DNS)用域名作为主机名。保留主机IP地址指示其当前网络位置的作用，解决了这一问题，SHMUD以域名服务系统作为它的位置目录，在每个移动主机可能访问的网络中安装移动代理，当移动主机从一个网络移动到另一个网络。并通过DHCP服务器获得了当地网络的一个IP地址后。向它的归属代理(Home Agent)发送登记请求，归属代理根据该移动主机的请求通知DNS服务器。DNS服务器就更新该移动主机的域名—地址映射。这样网络中其它主机利用域名与该移动主机通信时就可以直接将IP报发往该移动主机的当前IP地址了，在移动主机改变网络接入点的过程中，可能与其它主机正在进行通信。为保证通信不被中断(称为平滑越区)。SHMUD提出了一种新的机制以实现主机的平滑越区。此外，SHMUD还提供必要的安全措施使各个移动代理和DNS服务器不受网络攻击。最后，给出了SHMUD的原型系统和性能分析，与其它支持主机移动的路由方案如Mobile-IP相比，SHMUD实现了路径优化、资源的分布式管理、平滑越区以及身份验证等。此外，它只需要在移动主机可能访问的网络中安装移动代理，并在移动主机上安装必要的软件即可运行，不必进行大规模的软件升级，因此较适于在因特网中推广。     

基于静态非合作博弈的网络报文取样模型

为了提高网络入侵检测系统的性能,运用博弈论建立网络入侵报文取样模型.基于静态非合作博弈的分析思路,通过网络安全系统和网络攻击者调整自身的策略以取得最大化的效用,推导出混合策略Nash均衡的解析解,并根据该策略设计了网络报文动态取样算法(DDPSA)和集中式增量取样算法(CIPSA),以等概率攻击、随机攻击和博弈攻击等3种方式的攻击报文来检验2种算法的性能.仿真结果表明,CIPSA算法比DDPSA算法更为有效.CIPSA算法在3种攻击方式下均有相同的取样成功率,不仅表明CIPSA算法的稳定性,也验证了入侵报文取样模型混合策略的合理性.     

Ad hoc网络中基于分簇的多级移动数据库模型

提出了建立在Ad hoc网络分簇结构上的多级移动数据库模型.该模型在Ad hoc网络分簇的基础上建立了多级数据服务系统,形成了由主服务器、多级本地服务器和移动主机组成的多级结构.仿真实验证明:该模型相对传统移动数据库模型有更高的效率和可靠性,有效减少因为路由造成的巨大通信流量,减轻网络负载,而且随着网络节点数量的增加,该模型的优势更加明显.     

服务器的安全防护

服务器作为IT系统中的核心设备,因此,服务器的安全是每个用户都必须重视的问题.本文从服务器漏洞的修补、HIPS--主机入侵防护系统的应用、对"拒绝服务攻击"的防范、从系统内核入手的保护四个方面进行论述,旨在保护服务器,使其免受来自网络的威胁.     

一种针对DDoS攻击的防御响应策略

通过对现在网络上流行的DDoS攻击的特征进行分析,提出通过流量异常机制来检测是否遭受攻击,通过IP源回溯技术切断可疑链路,通过应答响应机制来恢复服务器的正常运行.     

一种扩展应用边界安全设备认证能力的方法

为了保护内部网络的安全,必须设置应用边界安全设备.本文采取双服务器认证的方式,提出了一种扩展应用边界安全设备的认证方法,解决了一般的应用边界安全设备(如Socksv5服务器)使用用户名/口令字认证易受被动攻击等问题.新提出的用户名/口令字认证方式在安全性上比原有的方式具有更高的抗攻击的能力,而且用户还能自由地更改应用边界安全设备上自己的口令字.实验结果表明,效率上与原有的用户名/口令字认证方式基本保持一致.     

链路洪泛攻击的SDN移动目标防御机制

针对Crossfire分布式拒绝服务(distributed denial of service,DDoS)攻击,该文提出一种基于软件定义网络(software defined network,SDN)的攻击防御机制。在对Crossfire攻击分析基础上,设计一个SDN流量层级的集中监测及分流控制模型并部署到防御机制中,利用SDN的重路由策略疏解被攻击链路的拥塞负载,通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。利用SDN的移动目标防御(mobile target defense,MTD)机制动态调整网络配置和网络行为并诱使攻击者对攻击流量进行调整,提高诱饵服务器对攻击的检测效率。实验结果表明:该机制可以有效防御Crossfire攻击且SDN的防御机制和重路由策略不会造成显著开销。     

基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.