命名数据网络中基于信息熵的Interest洪泛攻击检测与防御

在命名数据网络中,兴趣包洪泛攻击通过向网络发送大量恶意interest包来消耗网络资源,从而对NDN造成较大危害.针对目前所提出的IFA攻击检测与防御方法存在攻击模式单一、在应对复杂攻击模式时效果不明显等局限,提出一种基于信息熵的改进方法(EIM),该方法通过与NDN路由器相连的用户的信誉值和信息熵相结合来限制攻击者发送的恶意interest包,很好地解决了现有方法在应对复杂的攻击模式时的局限性.仿真结果表明EIM较信息熵方法能够更有效地缓解IFA.     

命名数据网络中Interest洪泛攻击检测与防御

根据命名数据网络使用数据名称进行数据转发的特性,目前NDN中出现了一种基于兴趣包洪泛攻击的分布式拒绝服务攻击,对NDN网络危害较大.针对IFA,提出了一种基于Poseidon的改进方法——PAP,检测NDN路由器接口是否存在IFA,并构建interest包超时未响应表判断疑似恶意前缀.若存在IFA,则概率性限制该接口接收名称包含疑似恶意前缀的interest包速率,仿真结果表明PAP能够有效缓解IFA.     

命名数据网络中基于增强隔离林的Interest包洪泛攻击检测方法

IFA是NDN中的恶意攻击之一,危害较大.针对IFA,提出基于增强隔离林的IFA检测方法,通过在构造增强隔离林的过程中区分Interest包所携带的合法前缀与异常前缀,对异常前缀进行进一步判断,从而准确地检测出恶意前缀.所提出的方法将检测出的恶意前缀列入黑名单中,限制携带恶意前缀的Interest包转发.仿真结果表明：该方法能够有效地缓解IFA.     

NDN中基于神经网络的兴趣洪泛攻击综合防御方案

命名数据网络(named data networking, NDN)中的请求-应答通信模式及有状态的转发滋生了新的分布式拒绝服务(distributed denial of service, DDoS)攻击方式—兴趣洪泛攻击(interest flooding attack, IFA)。IFA是NDN中主要的拒绝服务威胁,虽然IFA防御方案被广泛研究,但目前缺乏系统的解决方案。针对这一问题,基于粒子群优化的后向传播神经网络算法提出一种新的IFA检测方法,并结合基于基尼不纯度的恶意前缀识别方法和兴趣包回溯方法来缓解攻击危害,形成一种综合的防御方案。通过ndnSIM仿真实验证明,提出的方案不仅可以准确检测和有效防御IFA攻击,而且解决了基于窗口检测方案无法检测连续攻击的问题。     

面向车联网泛洪攻击的流量异常检测方法

为了有效检测车联网环境下的泛洪攻击,缓解泛洪攻击对车联网的不良影响,该文提出了面向车联网环境下针对泛洪攻击的轻量化流量异常检测方法。通过在路侧单元使用Hurst自相似参数估计方法计算车联网数据包流量的自相似变化曲线,检测流量异常变化,并上传异常时段的数据包信息到云端,云端统计各节点发送数据包情况,通过检测数据包大小异常变化来检测发起泛洪攻击的恶意节点。通过对车联网实际网络流量仿真计算结果表明,该流量异常检测方法能在低中高3种泛洪攻击强度下,有效检测出恶意节点。     

众包中基于博弈论的牛顿冷却定律应用

众包是一种可以高效解决复杂且困难问题的方法,但工人的恶意攻击行为会严重阻碍该方法的高效应用。为此,基于博弈理论,提出一种新的时衰收益策略模型来防止用户的恶意攻击行为。将参与者之间的交互建模为重复囚徒困境博弈,分析众包过程中的恶意攻击问题;使用基于牛顿冷却定律的时衰收益策略模型动态调节博弈双方的收益,改变博弈的纳什均衡;最后,使用股息贴现模型证明该策略模型的正确性。研究结果表明,该方案提高了合作用户的比例,降低了网络用户提供服务的成本,促进了网络用户之间的合作,解决了工人的恶意攻击问题。     

两个改进的基于身份的私钥分发协议

对两个基于多个私钥产生中心的私钥分发协议给出了具体的攻击方法,指出这两个协议都无法抵抗恶意的私钥产生中心的攻击;提出了相应的改进方案,改进方案由用户的秘密参数和私钥产生中心的秘密参数共同生成用户私钥,并且在协议的交互过程中接收方都要验证收到的消息的真实性,从而使恶意的私钥产生中心无法成功得到系统用户的私钥,解决了私钥分发协议存在的用户私钥托管问题;并且对改进方案的安全性和计算复杂度进行了分析.     

基于软件定义网络的DDoS攻击检测方案

分布式拒绝服务(distributed denial-of-service, DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking, SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。     

软件定义网络流表溢出脆弱性分析及防御方法

软件定义网络交换机非常有限的流表容量使其存在严重的流表溢出脆弱性问题,为此利用软件定义网络易于管理路由规则的新特性,提出一种基于装箱优化的路由聚合算法,并进一步提出了流表溢出攻击的防御方法。采用传统的基于基数树的路由聚合算法产生初步聚合后的流表项节点,将其划分为包含不同数量节点的若干个流表项规则组,并基于装箱优化问题求解得到每个流表项规则组的新转发地址,再将转发地址修改后的流表项规则进行二次聚合,从而有效减少交换机流表中的流表项数量,达到防御流表溢出攻击的效果。实验结果表明:流表聚合率达到了54.9%,优于传统的基于基数树的路由聚合算法,并使得达成流表溢出攻击的攻击数据包数增加了125.8%;该方法可显著增加流表溢出攻击的实现难度,有效缓解流表溢出脆弱性问题,提升软件定义网络对该类攻击的防御能力。     

一种基于分组漏斗的DDoS防御机制

提出一种新的基于分组漏斗算法以防御DDoS攻击.该算法引入基于历史IP过滤(History-based IP Filtering)算法思想,并采用活动IP(AIP)表和等待矩阵(Waiting Ma-trix)两级过滤机制保护服务器.实验结果显示,该防御方案以牺牲少量随机合法用户的正常访问为代价,过滤掉大部分攻击包,从而确保大多数合法用户的正常访问.     

内容中心网络中基于缓存压力的选择性缓存机制

内置缓存机制是内容中心网络(Content Centric Networking,CCN)研究的关键问题之一.现有的CCN缓存机制在缓存节点的选择时往往缺乏对节点缓存状态和负载情况等动态信息的综合考虑,因此无法准确反映节点间的缓存状态差异,进而影响了缓存决策的合理性.提出了一种基于缓存压力的选择性缓存机制(Cache Pressure Based Selective Caching,CPBSC).该机制利用节点的缓存占用率和缓存替换率评估节点的缓存压力,并结合内容的流行度实现缓存节点的合理选择.同时,根据内容的请求率和兴趣分组的剩余生存时间评估不同内容的缓存价值,以此实现缓存内容的合理替换.仿真结果表明,CPBSC有效地优化了缓存资源利用率,并显著提高了系统的整体缓存性能.     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

基于改进动态源路由协议的MANET灰洞攻击检测和缓解研究

针对移动自组网络易遭受灰洞攻击的问题,提出一种改进动态源路由协议来检测和缓解灰洞攻击。首先,建立一种入侵检测系统(IDS),IDS节点仅当检测到灰洞节点时才设置为混杂模式;然后,通过检测节点转发数据包数目的异常差来检测恶意节点,当检测到异常时,附近的IDS节点广播阻塞消息,通知网络上的节点共同隔离恶意节点;最后,利用Glomosim工具进行的仿真实验验证了所提方法的有效性,该方法的平均丢包率仅为12.5%,端到端传输延时仅为0.116 s,比较表明,所提方法优于其他几种现有灰洞攻击检测方法。     

物联网核心技术分析

物联网是以感知为前提,通过射频识别、红外感应器等信息传感设备捕捉物体的状态、位置信息,实现人与人、人与物,物与物全面互联,从而达到对物体的智能化识别、定位、跟踪、监控和管理的一种网络。本文回顾了物联网的起源及发展现状,给出了物联网的定义,在此基础上着重分析了物联网的核心技术：物联网架构技术、无线传感器网络技术、统一标识技术和自动识别技术。     

基于无硬盘Honeypot的入侵防御系统

通过DRBL(Diskless Remote Boot in Linux)建立无硬盘环境的诱捕系统（Honeypot system）,并融合入侵防御系统优越的入侵检测与防御能力,使入侵防御系统不仅能检测恶意活动也具备诱捕功能.当检测出恶意行为时及时警告网络管理人员,并立即将恶意行为引导至Honeypot,由与恶意行为互动的过程,详细纪录其活动行为、入侵方法、入侵管道,以供网管人员日后进行系统修补更新时参考,可大幅减少系统漏洞和大幅提升系统安全性.     

SDN中基于条件熵和决策树的DDoS攻击检测方法

软件定义网络（software defined network,SDN）作为一种新型网络架构,其转控分离及集中控制的架构思想为网络带来了显著的灵活性,同时为感知全局网络状态提供了便利。分布式拒绝服务攻击（distributed denial of service,DDoS）是一种典型的网络攻击方式。针对SDN网络中进行DDoS攻击检测的问题,提出了一种基于条件熵和决策树的DDoS攻击检测方法,利用条件熵判断当前网络状态,通过分析SDN中DDoS攻击特点,提取用于流量检测的6项重要特征,使用C4.5决策树算法进行网络流量分类,实现对SDN中的DDoS攻击的检测。实验表明,相比于其它研究方法,文中提出的方法不仅具有较高检测精确率和召回率,而且明显缩短了检测时间。     

手机“套餐”的筛选方法研究

本文应用物元及熵理论研究手机"套餐"的筛选方法,方法A从各因素并列的角度对手机"套餐"进行了探讨;方法B从因素间蕴含关系方面进行了探讨.二者皆根据 的大小,排出名次,名次在前的资费套餐优于名次落后者.     

P2P环境下基于兴趣的分布式信任模型

为解决P2P网络中节点的不合作行为和恶意攻击等问题,提出了一种分布式兴趣信任模型DITM.模型通过划分兴趣域聚集兴趣相似的节点来解决节点间因兴趣不对称难以建立直接信任关系的问题.利用兴趣相似度刻画节点在其偏好领域上的服务行为相似性,并通过兴趣相似度加权域推荐信任度计算域服务信誉.节点在不同域内的服务信誉组成一个服务信誉...