中间人攻击下增强身份保护的IKEv2改进

首先探讨了IKEv2协议可能遭受中间人攻击和密钥生成方案面临蜕化消息攻击的缺陷,针对退化消息攻击的威胁提出了基于共享密钥的密钥生成方案.针对存在的身份保护缺陷进行了分析,并相应地对IKEv2协议进行改进,提出的方案能够有效地进行身份保护.改动后的实现代价并不大,也不破坏ISAKMP框架及交换的对称性.     

浅谈无线传感器网络安全机制

针对无线传感器网络的特点,分析了无线传感器网络安全需求和可能受到的攻击并总结了防御措施,其次概括了无线传感器网络的安全技术,详细综述了无线传感器网络现有的密钥管理协议,其中包括分密钥预共享协议和随机密钥预分配协议。最后对防御拒绝服务攻击做了简单介绍。     

一个高效的无证书签名方案分析与改进

对一种基于双线性对的高效无证书签名方案进行安全性分析,表明该方案对于公钥替换攻击和恶意的密钥生成中心攻击是不安全的。提出了一种可避免这些攻击的改进方案。在随机预言机模型、离散对数问题和计算Diffie-Hellman问题困难性假设下,证明了改进方案可以抵抗自适应选择消息攻击的存在性伪造。与其他基于双线性对的无证书签名方案相比,改进方案具有较高的计算效率。     

有效防御DDoS攻击的密钥交换协议的设计研究

针对现有密钥交换协议在保护通信双方身份信息和防御DDoS攻击方面的不足,提出一种在可信任第三方的辅助认证下实现的新型密钥交换协议．研究分析表明该协议能有效地保护双方通信实体的身份信息和防御DDoS攻击．     

一个高效的无证书签名方案分析与改进

对一种基于双线性对的高效无证书签名方案进行安全性分析,表明该方案对于公钥替换攻击和恶意的密钥生成中心攻击是不安全的。提出了一种可避免这些攻击的改进方案。在随机预言机模型、离散对数问题和计算Diffie-Hellman问题困难性假设下,证明了改进方案可以抵抗自适应选择消息攻击的存在性伪造。与其他基于双线性对的无证书签名方案相比,改进方案具有较高的计算效率。     

基于网络地址伪装的DOS攻击原理及防护

基于网络地址伪装的拒绝服务攻击没有绝对安全的防御方法,因为它是基于网络协议TCP/IP协议自身的缺陷而产生的.但是通过抛弃基于地址的信任策略、在通信时进行加密、使用随机的初始序列号等措施,可以提高防御能力.     

一种安全的Ad hoc网络主机自配置方案

针对目前Adhoc网络地址自配置方案中均没有涉及安全问题,提出了基于密钥管理的安全主机自配置方案,有效地避免了拒绝服务攻击及信息篡改;为了减少自配置过程中的信息交换量,同时加快地址分配速度,提出了一种基于指针的地址池信息交换策略,实现了无冲突地址自配置过程;对方案的效率进行了探讨,并验证了该方法的有效性,同时指出了其中的不足和需要改进之处。     

基于优先级队列的DDoS攻击防御方案设计

为了避免网络正常用户遭受分布式拒绝服务攻击,提出了一种基于优先级队列的抵御DDoS攻击的自适应调整方案。采用带宽分配策略把合法数据包以及可疑数据包分别分配到高优先级队列和低优先级队列,以保证正常用户的服务质量。通过实验部署进行仿真设计,将基于优先级队列的DDoS攻击防御方案与基于传统去尾模式的DDoS攻击防御方案进行比较,证明改进的方案可以有效地减少来自DoS和DDoS攻击的恶意数据包流量,能为合法用户发送数据包提供平稳的带宽。     

NDN中基于神经网络的兴趣洪泛攻击综合防御方案

命名数据网络(named data networking, NDN)中的请求-应答通信模式及有状态的转发滋生了新的分布式拒绝服务(distributed denial of service, DDoS)攻击方式—兴趣洪泛攻击(interest flooding attack, IFA)。IFA是NDN中主要的拒绝服务威胁,虽然IFA防御方案被广泛研究,但目前缺乏系统的解决方案。针对这一问题,基于粒子群优化的后向传播神经网络算法提出一种新的IFA检测方法,并结合基于基尼不纯度的恶意前缀识别方法和兴趣包回溯方法来缓解攻击危害,形成一种综合的防御方案。通过ndnSIM仿真实验证明,提出的方案不仅可以准确检测和有效防御IFA攻击,而且解决了基于窗口检测方案无法检测连续攻击的问题。     

对一个多服务器环境下三因子认证协议的分析与改进

对Lwamo等提出的一个多服务环境下具有匿名性的认证协议进行了安全性分析,发现该协议无法抵抗拒绝服务攻击、智能卡被盗攻击和用户伪造攻击等.并且,针对这些安全漏洞分别给出相应改进措施.     

基于移动模糊推理的DoS攻击检测方法

通过对入侵检测中模糊技术应用和移动模糊推理方法的研究,设计并实现了基于移动模糊推理的DoS攻击入侵检测系统.首先,描述了移动模糊推理方法与模糊推理步骤;其次,详细阐述了用时间差与IP地址分布变化的DoS攻击检测方法与基于移动模糊推理的攻击检测系统,创建了用于检测的模糊规则,确定网络攻击.最后,把DoS攻击工具与DARPA 98数据集作为入侵检测数据集,对基于移动模糊推理的方法与现行方法进行测试,验证了所提方法的有效性.     

基于排队论的SIP DoS攻击防御机制的研究

随着SIP协议的广泛应用,协议自身的安全问题逐渐显露出来,尤其以DoS攻击最为严重。研究了NGN中DoS攻击防御机制,给出了基于排队论的DoS攻击数学分析模型,接着设计出一种SIP DoS攻击防御方案,最后对防御机制的性能进行了仿真分析。     

DHCP耗尽攻击及防范

DHCP服务可以说是接入网络的必备服务,但是其在安全方面还存在很多不足之处,其中包括能够引发DoS攻击的IP耗尽攻击,DHCP服务器冒用等等。针对攻击的方式,防御的措施有:Port Security,DHCP Snooping和基于VLAN的ACL等。本文讨论的主要是IP耗尽攻击及防御措施。     

DoS攻击下信息物理系统事件触发保性能控制

针对信息物理系统的安全控制问题,提出拒绝服务攻击下基于事件触发的保性能控制方法.首先,考虑到拒绝服务攻击行为的随机特性,将拒绝服务攻击描述为具有固定丢包数的伯努利随机分布过程;其次,为了降低网络通信负担,采用离散事件触发通信机制对传感器的量测信息进行传输;随后,根据Lyapunov稳定性理论和线性矩阵不等式方法给出拒绝服务攻击下系统稳定的充分条件,进而在给定的保性能水平下设计了基于事件触发机制的保性能控制器;最后,通过仿真实例验证了所提出控制方法的正确性和有效性.     

一种应对网络流量攻击的方法

提出了一种基于频谱分析的方法,该方法利用cisco设备上的NetFlow所采集的路由器转发的数据包的基本信息作为样本,通过样本的自我相函数来建立时间序列模型,并对此进行离散的傅立叶变换得出其频谱表达式,对于数据时序变化剧烈的频谱则采用最大熵算法,经过分析确定了以60%作为分割点的频率范围可以确定攻击流的规模,从而有效地控制了利用包头进行欺骗的拒绝服务攻击所带来的危害.     

移动IP拒绝服务的防御

移动IP的引入为解决终端的移动性接入问题，因其存在无线链路和有线链路2部分，使得入侵者不但可以在有线网络部分进行攻击还可以通过无线方式发起攻击。在无线链路上，黑客可以不直接接入网络就可以发起攻击，且加之无线频带资源的有限，若在无线链路上发起DoS(denial of service)攻击必将带来很大的危害性。分析了移动IP中DoS攻击的原理和表现方式，提出了解决移动IP中的DoS的方法。     

安全协议抗DoS攻击的形式化分析研究

随着拒绝服务攻击给协议的可用性带来的危害越来越大,需要行之有效的方法对安全协议的抗DoS性进行分析.但是目前对安全协议的抗DoS性进行分析的方法模型都存在一些缺陷,有的只能分析部分的DoS攻击,有的只关注协议各方计算资源的消耗,而忽略了存储资源消耗.针对以上不足,本文对基本的串空间模型进行扩展,引入消息相关度集合和代价函数,提出了一种分析安全协议抗DoS性的新方法,并利用该方法,对JFK协议的抗DoS性进行了详细分析.     

A dynamic probabilistic marking approach with multi-tag for tracing ICMP-based DoS attacks

This paper presents a dynamic probabilistic marking algorithm with multiple routing address tags, which allows the victim to traceback the origin of ICMP (Internet Control Message Protocol)-based direct and reflective DoS attacks. The proposed approach makes full use of scalable data space of ICMP packet to achieve multiple information tags. The difference between this proposal and previous proposals lies in two points. First, the number of packets needed by the victim to reconstruct the attack path is greatly reduced because of three key mechanisms: multi-tag, uniform leftover probability, and tag location choice based on the module of accommodated tag numbers within a packet. Second, the true origin of both direct and reflective ICMP-based DoS attacks can be traced.     

两个标准模型下签名方案的密码学分析

为了分析和设计标准模型下安全的签名方案, 避免签名方案的设计中出现类似的安全性问题。 通过对标准模型下的无证书签名方案和前向安全的基于证书签名方案的分析, 发现该签名方案容易受到替换公钥攻击和后门攻击, 攻击者可以对任意的消息产生一个有效签名。 对这些攻击给出了具体分析, 同时探讨了克服这类攻击的方法。 研究结果表明, 这些攻击方法对于同类签名的分析与设计有借鉴意义。     

IKE协议认证方式分析和改进

IKE协议作为IP Sec协议组的重要组成部分,在保证因特网的安全通信方面起着重要的作用。在分析IKE协议定义认证方式及其改进方案的基础上,我们对基于IKE协议抵御拒绝服务攻击的认证方式改进作了进一步的探讨。