基于Linux下防止IP欺骗的SYN攻击防火墙的设计与实现

设计是以redhat5.O为实验平台构建一个防御IP欺骗SYN攻击的包过滤防火墙.是以RED算法为基础,结合TCP数据包重传机制,检验SYN数据包的IP地址真实性.对TCP请求数据包利用RED算法判断TCP请求的平均队列长度和包丢弃概率.平均队列长度超过系统负载最大值时,直接按照随机分配的丢弃概率判断是否丢弃数据包.平均队列长度在系统负载之内时,如果当前的丢弃概率大于给定的阈值,则查找哈希表是否有相同的数据节点,找到则接受该数据包,没找到则保存数据包信息到哈希表,同时丢弃该包.经过分析研究和实验的验证,该防火墙具有较好的吞吐量,同时正常数据包的通过率较高.     

一种基于数据包综合信任度的防火墙包过滤模型

针对分布式拒绝服务攻击的特点和目前防火墙采用的包过滤技术在攻击响应时的不足,提出了一种基于数据包综合信任度的防火墙包过滤模型.该模型中,对发往受保护主机的TCP和UDP数据包进行过滤时,不仅要考虑该数据包的特性以及记录的状态,还要考虑计算的综合信任度和由此得到的信任级别,从而通过为不同级别的数据包提供不同的服务质量来减轻拒绝服务攻击.     

基于CUSUM的自适应攻击检测

为了能够快速发现DDoS攻击,尽量减小或避免其危害,基于CUSUM算法,以发送和接收数据包数量比例为特征量,提出一种快速的DDoS攻击检测算法.并通过动态调整期望值和警告阀值,使算法具有更好的适应性,能够运用于不同的网络环境.最后通过实验对算法进行验证.     

利用VC++编程实现防火墙数据包过滤

随着计算机网络深入社会、经济、国防、科技与文教等各个领域 ,计算机系统的安全问题正变得日益复杂和突出 .资源共享和网络分部更增加了网络收到威胁和攻击的可能性 ,于是基于包过滤加状态检测的防火墙系统成为保护网络安全的工具 .文中介绍一种集数据包过滤、日志、代理服务于一体的复合型防火墙系统 ,着重论述利用 VC 编程技术实现数据包过滤的软件方法 .     

物联网中选择性转发攻击的发现

作为战略性新兴产业之一,物联网具有广阔的市场应用前景,其安全性正在成为普遍关注的焦点。物联网中传感器节点资源有限的特点和不理想的部署环境使其面临着安全脆弱性,容易受到不同类型的攻击,选择性转发攻击是其中危害最严重的攻击形式之一。提出了一种基于数据包ID检测机制的低成本轻量级选择性转发攻击发现算法,即节点每收到一个数据包后都要进行包ID更新,并比较存储包的ID与接收包的ID,根据比较结果确定是否存在可疑节点,并向基站发送报警包进行检举,基站根据节点被检举的次数来判定发起选择性转发攻击的恶意节点。仿真实验结果表明了该方案的有效性,且具有较高的恶意节点发现率和低的误警率。     

状态防火墙受攻击导致状态表溢出故障的解决

网络防火墙的状态检测就是针对连接请求的数据包,检查连接实体其是否符合TCP/IP 协议的状态转换规则,相符则接收数据.DoS/DDoS攻击通过在短时间内发送大量短小的数据包给防火墙,造成状态表被填满而拒绝接收新的连接,导致产生拒绝服务攻击.传统的解决方案往往增加防火墙的负担.针对网络上常见的流量型DoS/DDoS攻击造成的状态防火墙状态表溢出故障提供一种应急解决方案.     

一种基于可控网络的攻击源定位方法

形式化描述了可控网络模型,分析了网络隐匿攻击特点,在此基础上提出了可控网络内隐匿攻击鉴别及攻击源定位算法。在可控网络内设置分布式监测点和监测中心。监测点捕捉网内数据包,采用基于特征的网络隐匿攻击检测规则,利用监测中心实现的监测点间信息交互,应用算法识别出可控网络内部的隐匿攻击,并确定攻击源位置。实例分析说明了该方法的实用性和有效性。     

一种基于分组漏斗的DDoS防御机制

提出一种新的基于分组漏斗算法以防御DDoS攻击.该算法引入基于历史IP过滤(History-based IP Filtering)算法思想,并采用活动IP(AIP)表和等待矩阵(Waiting Ma-trix)两级过滤机制保护服务器.实验结果显示,该防御方案以牺牲少量随机合法用户的正常访问为代价,过滤掉大部分攻击包,从而确保大多数合法用户的正常访问.     

抗污染攻击的流内安全网络纠错编码

传统的网络路由并不能达到多播网络中"最大流-最小割"定义的Shannon容量限,而网络编码很好地解决了上述问题,在增大吞吐量的同时还可以均衡网络负载,提高带宽利用率.但是当网络中存在恶意攻击时会引入错误数据包,在线性网络编码操作下会带来数据包的"错误扩散",不仅影响网络性能,还会造成资源的严重浪费.因此如何在优化网络传输性能的同时提高通信网络的安全性成为目前亟待解决的问题.本文采用基于同态校验的线性网络纠错编码机制进行差错控制,拟解决多播网络中的污染攻击问题,对安全性能以及传输性能进行了分析.仿真结果表明基于同态校验的网络纠错编码能够在不破坏数据包编码规则的前提下及时地进行错误的检测和纠正,得到较好的差错控制性能,能够对抗网络中恶意节点引起的污染攻击问题.      

基于BP神经网络的DDoS攻击检测研究

分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击易被发动却很难追踪与防范.在神经网络快速算法基础上,首先系统分析国内外DDoS攻击检测理论、方法与大量数据集,构建了基于数据包长度,数据包发送时间间隔以及数据包长度变化率等六项特征的攻击流量特征模型;其次通过大量尝试提出对神经网络误差调整参数进行优化的方法;最后基于加州大学洛杉矶分校数据集(UCLA CSD Packet Traces)进行了参数改进前后的攻击检测对比实验.实验表明,本文提出的方法能有效提高DDoS攻击检测率,且具有较好的泛化能力.     

基于队列的处理器亲和机制及在网络转发中的应用

提出一种新的基于多报文队列的处理器亲和机制,与传统基于网络接口的亲和机制相比,消除了多处理器对共享资源的竞争,优化了处理器的CACHE行为,降低了互斥锁的影响范围,能够有效提升多核处理器系统的网络转发处理能力.试验结果显示,在复杂网络环境下,基于队列的亲和机制报文转发性能较传统基于接口的亲和机制提高了1.8倍.     

CMAD-XCP:一种防御XCP协议公平性攻击的协同机制

针对XCP(eXplicit Congestion Protocol)协议分析公平性攻击的方法和特性,提出一种协同式路由器监控机制CMAD-XCP(XCP with Cooperative Malicious Attacker Detection)。CMAD-XCP由核心路由器感知恶意攻击,由边缘路由器实施对恶意流的区分和惩罚。仿真结果表明,CMAD-XCP可以及时、有效地惩罚恶意流,保护XCP协议的公平带宽分配,同时有效避免不公平竞争导致的网络拥塞。     

A punching scheme for crossing NAT in end hopping

End hopping is one of the good methods to defend against network attack,but has problems with network address translation(NAT) because packets sent from an unknown endpoint would be dropped by NAT.To avoid the dropping of packets,we propose a punching scheme:a client sends a punching packet to create mapping rules in NAT,so that the packets from the server would be able to pass through effectively with such rules.In this paper,some preliminaries and definitions are provided for building the model of end hopping.Then we discuss the main reason of such packet dropping and specify all the failure situations based on the model.What’s more,we analyze how the punching scheme helps end hopping cross NAT.Finally,we validate the feasibility of this scheme with empirical results:if the client is behind a NAT and with punching scheme,the service rate increases to 100%.Therefore,our proposed scheme can greatly improve the performance of crossing NAT in end hopping with little security and computational overhead.     

一种基于并行网络编码的无线广播重传方案

重传能够保证接收端正确地接收到数据,研究表明传统的多播重传机制会导致较低的传输效率.为了在无线广播网络中减少重传的次数,提出了一种基于并行机会式网络编码重传方案,运用并行机制,采用机会式网络编码组合不同的丢失包进行重传,其中机会网络编码重传方案大大减少了重传次数,而并行机制降低了算法复杂度.理论和实验分析说明,该方案在平均吞吐量、平均发送重传次数和平均接收重传次数等性能指标上远远好于传统重传方案,这进一步验证了基于并行网络编码机制的重传方案是有效的,即在降低复杂度的前提下能够大大减少重传次数,从而增加系统的吞吐量.     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service,DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking,SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

改进型分层移动IPv6移动性管理策略

针对目前分层移动IPv6移动性管理策略在用户移动时无法达到无缝切换的缺陷,提出了改进型分层移动IPv6移动性管理策略(tMT-HMIP).该策略利用网络的层次化结构特性,通过改进切换触发机制、地址配置策略,对切换过程进行了优化.在移动终端向移动锚点(MAP)注册新链路地址的过程中,通过在移动锚点处建立临时地址映射表,将发往原链路地址的数据包缓存,并将其链路地址映射为新链路地址.保证从原链路失效之后到新链路建立之前,数据包不被丢失.仿真结果表明,该策略减少了切换绑定代价和切换延时,有效地避免了切换过程中数据包的丢失,达到无缝切换的目的.     

基于Ad Hoc网络的安全路由技术的研究

为防止Ad Hoc网络路由消息的伪造和篡改问题,本文提出了一种安全有效的路由方案SERS（Secure and Efficient Routing Scheme）.在DSR（动态源路由协议）中引入了安全机制,在尽可能降低网络资源消耗的基础上,采用SUCV（statistically unique and cryptographically verifiable）标识符避免密钥分发问题,并运用公钥PK与IP地址的绑定来完成密钥分发过程,使用公钥PK与IP地址的绑定来完成密钥分发过程,使得没有密钥的节点不可能伪造报文.使用基于端到端的认证和基于对称密钥的认证检测出被篡改后的报文,从而保证路由消息的不可伪造、并防止其它节点对消息的篡改.实验结果表明,采用该方案能够满足设计的要求.     

一种基于叠加编码的下行链路功率优化方案

传统的物理层网络编码虽然可以通过数据流的耦合减少网络中数据包的传输数量,从而在一定程度上改善无线通信系统的传输性能,但在进一步节约资源,提高系统容量等方面依然存在一些问题.为此,在传统节点级网络编码基础上,给出了一种适用于蜂窝小区下行链路的叠加编码方案.该方案通过基站与用户闻协作,在网络编码的基础上对用户信道状态进行区...     

关联规则挖掘结合简化粒子群优化的哈希回溯追踪协议

针对源路径隔离引擎(source path isolation engine,SPIE)不能回溯追踪早期经过路由器的攻击数据包问题,提出了一种IP回溯追踪协议(IP trace-back protocol,ITP),该协议根据压缩哈希表、Sinkhole路由算法和基于网络取证的数据挖掘技术抵抗网络攻击.其中包含简化粒子群优化(simplified particle swarm optimization,SPSO)关联算法的分析管理器(attack analysis manager,AAM)通过分析来自Sinkhole路由器和入侵检测系统(intrusion detection systems,IDS)的攻击包的关联性生成攻击模式和攻击包规则,并将该结果通知系统管理器,Sinkhole路由器和IDS通过数据挖掘技术分析攻击包之间的关联性.通过比较SPIE,概率包标记(probabilistic packet marking,PPM)和iTrace的性能可以看出,ITP不仅能实时追踪后向攻击,而且能定期使用压缩哈希表(compressed hash table,CHT)完成追踪任务.因此,在抵抗DoS攻击方面,ITP性能优于SPIE,PPM和iTrace,此外,在回溯执行时间方面,相同跳跃数下,ITP比iTrace低2-3 s.