IP追踪中攻击路径重构问题的随机模型

建立了IP追踪中攻击路径重构问题的理想模型和扩展模型.基于概率包标记方法,将攻击路径的重构过程表述为一个收敛的随机过程,推导出收敛时间与路径长度、标记概率之间的数学定量关系,得出达到最小收敛时间需要满足的数学条件.实验结果表明,该模型理论值与实验结果一致,为深入研究概率包标记方法提供了理论依据.     

基于数据包抽样标记的IP追踪技术的研究及改进

数据包抽样标记技术是为了应对分布式拒绝服务攻击而提出的一种IP追踪技术。这里对其原理及实现方案进行了研究。并针对其安全性进行了分析，在原有技术基础上，提出了可鉴别的改进方案，提高了整个方案的安全性。     

面向拒绝服务攻击的多标签IP返回追踪新方法

针对网络安全中拒绝服务攻击难以防御的特点,提出面向拒绝服务攻击的多标签IP返回追踪方法(iTrace-DPPM),用以识别基于互联网控制报文协议(ICMP)的直接和反射式拒绝服务攻击的真实源地址.该方法首先结合ICMP数据段大小及最大传输单元阀值,计算单一ICMP数据报文可携带的路由标记数,再根据数据包的幸存时间推断路由器与攻击源头的距离,将路由器的标记概率设定为距离的倒数,并针对每个标记域独立地执行概率标记算法,最后受害目标根据接收的标记信息,实现转发路径的重构及源头识别.与已有的动态概率包标记方法相比,iTrace-DPPM方法具有路径重构所需数据包少、支持部分部署及无额外负载的优点.NS2环境下的模拟实验结果证实,路径重构所需的攻击包数降为DPPM方法的路由标记数的倒数.     

基于数据包缓存的伪IP地址实时追踪技术的研究

当前,非法攻击者在实施网络攻击时,通常会采用伪IP地址来转发数据包.对于这一类信源终端,目前还没有有效、实时的追踪和定位方法.本文分析了几种典型的IP地址追踪方法,指出其存在实时性、依赖性等缺点,提出了一种对IP地址转换之前的“跳板机”的原始数据包缓存进行分析,从而获取真实IP地址的方法,具有较好的实时性与自主性.     

IP路径吞吐量探测

随着Ｉｎｔｅｒｎｅｔ网络的发展,网络处于急速膨胀阶段．研究了ＩＰ网络的运行参数之一——ＩＰ路径吞吐量的探测算法．通过在特定路径上突发传送一组测试分组,在不影响现有通信的情况下,测试此特定路径当时可以承载的网络流量．结果表明,此算法具有简单和自适应的特点     

网络攻击源追踪技术的分类和展望

网络攻击源追踪技术在实时阻断或隔离攻击、追究相关责任、提供法律举证、威慑攻击者等方面具有非常积极的意义.该文对现有的多种网络攻击源追踪技术进行了系统分类,归纳比较了各种方法的优缺点,并探讨了网络攻击源追踪的进一步研究方向,包括建立量化的评估指标体系、建立网络攻击源追踪的理论模型、考虑诸如多播、移动性、 IPV6、数据加密、结合管理上的特点解决网络攻击源追踪等问题.     

P2P对等点多播发现定位服务的实现

分析了P2P网络中对等点发现报务的定位模型，介绍了P2P对等点多播发现定位服务的实现技术，为P2P网络应用打下了良好的基础。     

数据包的IP地址回溯方法探讨

介绍一种通过对网络信息流的监听,经过分析只存储数据包的摘要而不是本身内容,可以减少跟踪系统对内存的要求,同时也可以减少跟踪系统对隐私的侵犯.数据包的摘要内容能够唯一地代表一个IP信息包,并且能够确定传送路径上的交叉点,产生一个路径拓扑图,实现跟踪单个数据包的IP地址.     

基于代理的IP包源追踪系统

提出了一种不需要ISP合作的基于代理的IP包源追查体系结构,描述了支持这种体系结构的分布式包记录代理服务器和集中式反向追查安全控制服务器的实现步骤,扩充了UnixIP包转发算法,实现了包摘要算法和自动追查系统,解决了诸如可疑包的识别、记载、追踪的安全性,节省路由器资源·通过仿真实验证明基于代理的IP包追踪方法是行之有效的·     

基于包标记的DDoS攻击源追踪方案研究

依据FMS标记思想,结合密码学的数字签名方法,设计了自适应hash签名标记方案AHSM。该方案是在包经过的路由器处,路由器按一个变化的概率对包进行hash签名。采用hash签名,签名速度快、误报率低、重构开销小,实现了IP地址的防篡改和发送者的不可否认,能有效地防止路由器假冒。采用变化的概率,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。     

一种快速且安全的概率标记追溯技术

现有的包标记技术,如概率包标记方法(PPM)、基于TTL的包标记方法(TPM)和动态概率包标记方法(DPPM),不能快速重构攻击路径和防御攻击者伪造标记。该文提出了自适应概率标记方法(APMS)。数据包在进入网络时,其TTL值在第1跳路由器被修改为统一值,中继路由器能够推断出接收的数据包在网络中已传送的跳数,并自适应地以跳数的倒数为概率,标记该数据包。APMS方法中,受害者平均接收最少的攻击包即可重构攻击路径,并可完全消除攻击者伪造标记所带来的影响。NS2模拟实验证明:使用APMS方法,受害者收集齐重构攻击路径所需标记耗费的时间比其他方法要少20%以上,并且攻击者伪造的标记不能到达受害者,从而不会对受害者重构攻击路径产生影响。     

Multi-homing环境中网络性能的测量与评价方法

Multi-homing是存根网络（stub network）为增强网络连接的可靠性、提高网络性能而采取的一种技术手段.在考虑网络访问特性的前提下,针对主要的网络应用采用基于地址前缀的流量聚合方法,自网络流量中提取出测量地址集,并提出一种对不同ISP进行大范围网络性能测量的方法.通过建立性能与连通性评价量度,从测量结果中分析得到不同ISP在地址前缀和自治系统中的特征分布,该结果对于存根网络选择ISP和进行路由策略设定具有技术参考价值.     

基于攻击路径图的入侵意图识别

为了预测攻击者高层次的攻击目标,感知网络的安全态势,提出入侵意图识别方法.给出入侵意图的概念及其分类,提出一种基于层次化的攻击路径图.利用攻击路径图对攻击者的意图可达性、意图实现概率、意图实现的最短路径和攻击路径预测进行定量分析.应用有向图的最小割理论制定防护措施阻止攻击者意图的实现,为管理员的决策提供依据.实验验证了该方法的可行性和有效性.     

巡飞器攻击阶段弹道规划方法

为了使攻击阶段巡飞器沿最优弹道飞向目标点并与之交会,完成攻击任务,提出了三维弹道规划分解算法.将三维弹道的规划问题分解为二维平面飞行路径和对应的高度值,分别计算,减少了计算量;在此基础上应用遗传算法对分解后的二维平面路径进行规划,得到了满意解.仿真结果表明,算法能有效地减少计算量,解决计算精度与计算量的矛盾.     

粗糙集理论中新的知识发现方法

与现有的基于属性简约的知识发现方法不同 ,本文基于粗糙集合理论定义了 2类新的知识发现 ,即 1、2类知识发现 ( FCKD,SCKD) ,目的是在知识系统动态变化后 ,通过减小知识的粗糙度 ,发现原规则中没有的、有决定性作用的新属性。在此意义下改变规则中属性结构 ,并发现新的规则。定义了两个用于发现新属性的算子 ,并给出两个定理 ,一个推论及其证明 ,最后通过实例 ,对提出的方法作了说明。     

关于严格shod代数中IP路的钩子

shod代数(小维数代数)是研究代数表示论的一种重要的代数类型,它包含严格shod代数与拟倾斜代数.本文通过探讨严格shod代数中的钩子,证明了严格shod代数中的IP路至少存在一个钩子,且至多存在两个连续的钩子.     

基于 NA PG 模型的攻击增益路径预测算法

针对网络攻击行为很难预测, 网络中冗余路径导致攻击预测不准确以及攻击路径评估预测指标单一的问题, 提出一种NAPG(network attack profit graph)模型. 该模型通过攻击成本和攻击收益直观地反应攻击行为的可行性, 采用攻击可行性分析算法消除冗余路径, 并将攻击增益引入到评估预测指标中, 给出机会增益路径预测算法和最优增益路径预测算法. 仿真实验验证了该模型和算法的有效性.     

基于NAPG模型的攻击增益路径预测算法

针对网络攻击行为很难预测, 网络中冗余路径导致攻击预测不准确以及攻击路径评估预测指标单一的问题, 提出一种NAPG(network attack profit graph)模型. 该模型通过攻击成本和攻击收益直观地反应攻击行为的可行性, 采用攻击可行性分析算法消除冗余路径, 并将攻击增益引入到评估预测指标中, 给出机会增益路径预测算法和最优增益路径预测算法. 仿真实验验证了该模型和算法的有效性.     

使用递增性延迟建立攻击连接链的关联

提出一个主动干扰跳板机连接中数据包间隔延迟的方法, 在攻击者所能干扰跳板机连接数据包延迟间隔允许范围之内, 使检测窗口内包间延迟的平均值循环递增. 通过分析两个连接链包间延迟平均值的递增性, 确定攻击连接链的关联. 这个方法可以有效地减少连接关联计算量, 提高跳板机检测的有效性.     

基于Optimized-AG的节点攻击路径预测方法

针对传统攻击图中因对节点分析考虑不全面而导致的攻击路径预测不准确问题, 提出一种基于攻击图攻击行为分析的攻击路径预测方法. 先通过节点攻击距离权重对传统的攻击图进行优化, 决策出可能的攻击路径, 并计算其路径的节点攻击行为成本, 然后基于估计函数判断出优先考虑的攻击路径. 实验结果表明, 该方法有效消除了攻击图路径冗余, 能筛选出可靠的攻击路径, 提高了攻击图攻击路径预测的准确性.