面向拒绝服务攻击的多标签IP返回追踪新方法

针对网络安全中拒绝服务攻击难以防御的特点,提出面向拒绝服务攻击的多标签IP返回追踪方法(iTrace-DPPM),用以识别基于互联网控制报文协议(ICMP)的直接和反射式拒绝服务攻击的真实源地址.该方法首先结合ICMP数据段大小及最大传输单元阀值,计算单一ICMP数据报文可携带的路由标记数,再根据数据包的幸存时间推断路由器与攻击源头的距离,将路由器的标记概率设定为距离的倒数,并针对每个标记域独立地执行概率标记算法,最后受害目标根据接收的标记信息,实现转发路径的重构及源头识别.与已有的动态概率包标记方法相比,iTrace-DPPM方法具有路径重构所需数据包少、支持部分部署及无额外负载的优点.NS2环境下的模拟实验结果证实,路径重构所需的攻击包数降为DPPM方法的路由标记数的倒数.     

基于攻击树的核电厂DCS系统信息安全脆弱性分析

随着计算机在核电仪控系统中的广泛运用,其信息安全问题受到越来越大的挑战.提出一种基于攻击树的核电仪控系统信息安全脆弱性分析方法,旨在对系统信息安全脆弱性进行量化分析.该方法首先给叶节点赋予三个不同属性,然后采用模糊层次分析法计算各攻击事件属性的权值.最后计算出叶节点、根节点及攻击路径发生概率.实际案例分析表明:计算得出的结果即给出了各节点和攻击路径发生的概率,还指出了攻击者最有可能采取的攻击路径,证明了该方法是合理可行的.基于攻击树的核电仪控系统信息安全脆弱性分析方法对系统管理者建设防御措施有积极的指导意义.     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

一种利用源地址信息的DDoS防御系统的设计与实现

DDOS攻击是目前最严重的一种网络攻击行为.传统的DDOS防御方法复杂低效,提出一种利用源IP地址和跳数信息进行DDOS攻击过滤的方法.并利用布隆过滤器(BF)技术设计和实现了一种DDOS防御系统.该系统部署在目标端,在目标没有受到攻击时,学习并记录正常的访问源地址信息;而当攻击发生时,系统会保证正常的访问,而过滤大多数攻击报文,特别是不同类型的伪造IP的攻击报文.实验结果显示,该系统能过滤掉大多数对目标的DDOS攻击报文,且仅有很低的误报率.     

物联网中选择性转发攻击的发现

作为战略性新兴产业之一,物联网具有广阔的市场应用前景,其安全性正在成为普遍关注的焦点。物联网中传感器节点资源有限的特点和不理想的部署环境使其面临着安全脆弱性,容易受到不同类型的攻击,选择性转发攻击是其中危害最严重的攻击形式之一。提出了一种基于数据包ID检测机制的低成本轻量级选择性转发攻击发现算法,即节点每收到一个数据包后都要进行包ID更新,并比较存储包的ID与接收包的ID,根据比较结果确定是否存在可疑节点,并向基站发送报警包进行检举,基站根据节点被检举的次数来判定发起选择性转发攻击的恶意节点。仿真实验结果表明了该方案的有效性,且具有较高的恶意节点发现率和低的误警率。     

攻击图算法在入侵防御系统中的应用

 针对目前及时发现网络漏洞,增强网络安全十分困难等问题,提出了基于攻击图的入侵防御方法.该方法通过生成全局网络攻击图算法来建立网络初始攻击图,并调用攻击图优化算法来去除全局攻击图中不合理路径,达到简化攻击图目的.最后,通过计算攻击图各状态节点损失度算法来为管理人员提供优化网络安全策略的依据.实验证明,这种入侵防御方法合理有效,并具有简单易行等优点.     

基于累积信誉和路径递减的无线传感器网络可靠路由方法

在无线传感器网络中,某些节点会在路由数据时选择性转发数据包以节约自身能量;或者恶意丢弃某些数据以对网络进行破坏。这些路由节点的不良行为会使网络中传递的数据缺乏安全性;也使得网络变得不可靠,易受到各种攻击。针对无线传感器网络节点数据路由时存在不良行为的问题,提出一种基于累积信誉和路径递减的可靠路由方法。首先是根据统计学中负二项分布原理,对参与数据路由的节点进行信誉评价;并选取满足一定信誉条件的节点作为路由节点。然后通过路径递减方法对数据进行路由,目的是避免过多的中间节点,最后将数据包以可靠的方式通过最短的路径路由到目的地。实验测试结果表明所提方法在网络中存在恶意路由节点情况下,能够较好地提高数据包投递率,以及减少数据包到达目的节点的平均跳转次数,提高了数据路由的可靠性。     

一种基于转交效用的多副本机会网络路由协议

为了提高机会网络的传输效率,该文在分析现有“存储-携带-转发”传输模型的的基础上,提出一种基于转交效用的多副本传输方法.该方法根据节点历史相遇的时间和空间信息计算节点的递交概率预测值,并将其应用到散发策略和转发递交策略中,使节点在选择下一跳节点时能够预先判断其到达目的节点的效率,从而选择一条最优路径,提高了副本投递的能力.仿真结果表明,该路由算法具有较高的报文成功递交率、较低的平均网络延时,以及较低的网络开销,适合于通信不稳定的机会网络.     

基于非零和博弈的多路径组合攻击防御决策方法

针对网络攻防中多路径组合攻击的防御策略问题,根据网络中多攻击路径对抗的非合作及双方收益的特点,提出了一种基于非零和博弈的防御策略选取方法。首先,根据网络攻防的实际资源受限定义了攻击成本、惩罚因子、防御代价等参数,并对攻防双方的收益计算方法进行了优化;其次,基于多路径组合攻击过程,构建了非零和动态博弈模型,并计算出相应的攻防效益矩阵;最后,利用纳什均衡原理得出攻击者的最佳攻击效用,以及防御者的最优策略。该策略在多条攻击路径并存的威胁下,能够选择出防御效果最优的策略进行安全加固及防护。仿真实验验证了本文所提出方法的有效性,并分析了实际资源受限下攻击成本、惩罚因子、防御代价等参数设置对防御策略选取的影响。     

无线传感器网络节点定位中一种检测欺骗攻击的方法

为了防御欺骗攻击、保障传感器节点定位的有效性和可靠性,分析、总结了欺骗攻击所固有的薄弱环节,在此基础上,提出一种检测欺骗攻击的算法。检测节点通过核对与被检测节点之间信号传播时间和所损耗的功率是否相对应,来判断是否存在检测攻击。推导了信号所传播时间和损耗功率的对应关系,并使用OPNET Modeler实现算法仿真,仿真实验证明该算法可以有效的检测出攻击节点,提高定位的精度。