针对SDN基础设施的拒绝服务攻击防护框架

为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据-控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消耗SDN基础设施不同层次的资源:数据平面的TCAM资源、控制通道的带宽资源和控制器的CPU资源等.通过对这种攻击的详尽分析,提出并设计了易部署、全面性和轻量化的FloodShield防护框架.该框架主要使用了2个关键技术:1)源地址验证,用于在数据平面过滤源地址伪造的数据包;2)有状态数据包监控,用于监控源地址真实流量的状态,并基于流量评价打分和网络资源使用量采用动态的防护措施.实验结果表明,相比于之前的防护框架,FloodShield在消耗更少系统资源的同时,对SDN架构的数据平面、控制通道和控制平面都提供了有效的保护.     

互联网假冒源地址攻击的分类

假冒源地址攻击具有容易实施、不易被追溯的特点,这种攻击行为在互联网上日益猖獗。该文总结了互联网假冒源地址问题、探索其攻击的各种形式、分析其带来的危害。将假冒源地址攻击用3个基本要素描述为:攻击者A,攻击目标V和被假冒主机H。根据H与A和V的相对拓扑结构,将假冒源地址攻击归纳为在网外H0、攻击目标H1、攻击目标子网H2、攻击者子网H3、攻击者与攻击目标路径上H4及其他H56类。这将有助于清晰地理解真实地址问题,指导假冒源地址防御技术的设计,为建立保证源地址真实性的互联网体系结构奠定基础。     

互联网假冒源地址攻击的分类

假冒源地址攻击具有容易实施、不易被追溯的特点,这种攻击行为在互联网上日益猖獗。该文总结了互联网假冒源地址问题、探索其攻击的各种形式、分析其带来的危害。将假冒源地址攻击用3个基本要素描述为:攻击者A,攻击目标V和被假冒主机H。根据H与A和V的相对拓扑结构,将假冒源地址攻击归纳为在网外H0、攻击目标H1、攻击目标子网H2、攻击者子网H3、攻击者与攻击目标路径上H4及其他H56类。这将有助于清晰地理解真实地址问题,指导假冒源地址防御技术的设计,为建立保证源地址真实性的互联网体系结构奠定基础。     

面向IDS的DDoS攻击检测真实性分析

为了解决由于IDS检测结果的不确定性而导致其不能有效运用于DDoS攻击响应的问题,提出了一种对每例IDS检测出的DDoS检测结果进行真实性检验的算法.首先,通过分析具有代表性的攻击检测案例,研究了IDS对DDoS攻击产生误判的原因.然后,根据这些误判原因,提出了一组真实DDoS攻击所具有的特征,包括源地址伪造、报文特征测度不一致等.这些特征可以用形式化的方法进行描述并可支持对IDS的DDoS检测结果进行真实性分析.最后,基于利用这些特征建立的规则集,提出了一种可以对IDS的每例DDoS攻击检测结果进行真实性判定的算法,并将其应用于一个以流记录为数据源、在大规模网络边界工作的IDS.基于实际网络流量的运行结果表明,该算法可以准确有效地纠正基于规则匹配的IDS检测方法所产生的误判.     

一种利用源地址信息的DDoS防御系统的设计与实现

DDOS攻击是目前最严重的一种网络攻击行为.传统的DDOS防御方法复杂低效,提出一种利用源IP地址和跳数信息进行DDOS攻击过滤的方法.并利用布隆过滤器(BF)技术设计和实现了一种DDOS防御系统.该系统部署在目标端,在目标没有受到攻击时,学习并记录正常的访问源地址信息;而当攻击发生时,系统会保证正常的访问,而过滤大多数攻击报文,特别是不同类型的伪造IP的攻击报文.实验结果显示,该系统能过滤掉大多数对目标的DDOS攻击报文,且仅有很低的误报率.     

数字图像的复制-移动伪造检测

针对数字图像易遭受复制-移动攻击问题,提出一种精确匹配算法来检测图像是否遭到攻击.此方法不论伪造区域是被放大/润饰后与背景融为一体,还是伪造的图像是有损压缩的存储方式（如JPEG）,都可以检测到伪造区域,成功率较传统方法有很大提高.     

无线传感器网络中的Sybil攻击与检测

无线传感器网络中Sybil攻击是一种常见的攻击方式。在Sybil攻击中，一个恶意节点对外的表象是多个传感器节点，即具有多个身份，比如通过冒充其他节点或简单的对外声称伪造的身份。本文系统分析了传感网中Sybil攻击所带来的危害，重点讲述了当前针对Sybil攻击的检测手段，最后给出结论。     

用于图像篡改检测与恢复的安全双水印算法

为提高可恢复双水印算法抵抗伪造攻击的能力,提出一种用于图像篡改检测和恢复的安全双水印算法.该算法首先基于密钥生成随机序列,利用该随机序列将双水印信息加密之后再嵌入图像块的低位,同时,该随机序列结合图像块内容和嵌入在低位的恢复水印生成认证数据,以提高可恢复双水印算法抵抗伪造攻击的能力.实验结果表明该算法有效提高了自恢复双水印算法抵抗伪造攻击的能力.     

一种多重数字签名方案的安全性分析

对Li和Yang最近提出的ElGamal多重数字签名方案^[1]，提出了一种伪造攻击，利用该伪造攻击，签名U1，U2，…，Un中任何一个签名都能伪造出一个有效的U1，U2，…，Un对消息m的多重数字签名．并对李子目和杨义先的多重数字签名方案进行了改进，提出了一种新的安全的多重数字签名方案．     

两种门限签名方案的安全性分析

对两种门限签名方案的安全性进行了分析，指出这两种门限签名是不安全的，不能抵抗合谋攻击和伪造攻击．