SDN网络中基于流特征值的DDoS攻击检测方法

DDo S攻击对互联网信息安全构成严重威胁,是网络空间安全领域研究的重要热点。通过对比传统网络环境及软件定义网络环境的攻击检测研究,提出基于软件定义网络的流特征值的DDo S攻击检测判断研究。利用SDN控制器的集中控制特性,提取流表中的与DDo S相关的六元组特征值信息,进行DDo S攻击检测判断研究。     

基于NDIS中间层驱动的DDoS防火墙的设计

分布式拒绝服务攻击是当前网络上最为严重的攻击手段之一。为了有效防御DDo S攻击,文中讨论一种Windows平台下,基于网络驱动接口规范中间层驱动技术防御DDo S攻击的原理。由于NDIS中间层驱动位于Windows网络组件很低的层次,因此,可以拦截所有的以太网包,具有效率高、拦截准确、系统资源开销小的特点,配合黑白名单、单个IP连接数等策略,几乎让攻击者没有可利用的漏洞。它特别适合用来做大型专业网络的防火墙。     

SDN环境下基于KNN的DDoS攻击检测方法

DDo S攻击是当前互联网面临的主要威胁之一,如何快速准确地检测DDo S攻击是网络安全领域研究的热点问题。文中提出了一种在SDN环境下基于KNN算法的模块化DDo S攻击检测方法,该方法选取SDN网络的5个关键流量特征,采用优化的KNN算法对选取的流量特征进行流量异常检测,最后基于NOX控制器和Net FPGA交换机进行了实验验证。实验结果表明:相对其他的分类检测算法,所提的检测方案具有更高的识别率和更低的误报率。     

一种软件定义APT攻击移动目标防御网络架构

针对传统网络架构的确定性、静态性和同构性造成APT攻击难以有效防御的问题,提出了一种软件定义APT攻击移动目标防御网络架构SDMTDA。对APT攻击行为进行了建模,总结了APT攻击依赖网络结构和漏洞信息的特点;结合软件定义安全理念建立了从下到上分别为物理层、控制层、应用层的三层网络架构,并给出了网络结构变化和漏洞信息变化的算法,分析了移动目标防御的三种方法在SDMTDA中的实现;对架构进行了分析、实现并测试。实验结果表明,该架构具有软件定义、变化迅速、扩展性强的优点。     

基于直方图特征函数HCF的数字隐写算法

为了提高原始信息的保密性和抗攻击的鲁棒性,本文提出了一种新的水印嵌入策略,即基于直方图特征函数HCF的数据隐藏方法,隐藏信息位置不明显且取值具有随机性。在假定独立性条件下,隐写图像的直方图是噪声概率群分布函数PMF和原始直方图的卷积。在频域这种卷积可看做是直方图特征函数HCF和噪声特征函数的乘积。基于此架构采用DCT变换嵌入隐藏信息。实验结果表明本算法具有更好的鲁棒性,并能在攻击后检测出绝大部分隐写图像。     

基于离散对数的容忍入侵的代理盲签名方案

为了防御代理盲签名方案中原始签名者的伪造攻击和签名接收者的伪造攻击,该文对签名算法进行了研究。该文基于新的(t,n)秘密共享机制将证书授权中心(Certificate authority,CA)私钥进行分存,使用其身份作为私钥份额的标识,提供私钥保护的容侵性。该方案不是从保护系统或检测入侵出发来保证CA的安全,而是确保当少数部件被攻击或占领后,CA系统的机密信息并没有暴露。研究结果表明:系统中即使一定数量的用户被恶意攻击者攻击后,系统仍可有效地运转。     

一种利用源地址信息的DDoS防御系统的设计与实现

DDOS攻击是目前最严重的一种网络攻击行为.传统的DDOS防御方法复杂低效,提出一种利用源IP地址和跳数信息进行DDOS攻击过滤的方法.并利用布隆过滤器(BF)技术设计和实现了一种DDOS防御系统.该系统部署在目标端,在目标没有受到攻击时,学习并记录正常的访问源地址信息;而当攻击发生时,系统会保证正常的访问,而过滤大多数攻击报文,特别是不同类型的伪造IP的攻击报文.实验结果显示,该系统能过滤掉大多数对目标的DDOS攻击报文,且仅有很低的误报率.     

一种基于隐藏证书的信任协商系统抗DoS攻击方案

在现有隐藏证书系统的基础之上,针对系统有可能遭受的DoS攻击,提出了一种解决方案:引入消息认证机制,采用hash函数保证协商信息的完整性和识别发送方的真伪.此方案能有效的保护接收方的计算资源,抵抗恶意攻击,提高隐藏证书系统的健壮性和协商效率.     

利用亮度分量的彩色图像信息隐藏算法

提出了一种利用亮度分量的彩色图像信息隐藏算法.本算法实现了隐藏信息的盲检测,并在512×512的RGB彩色图像中嵌入多达2048字节的数据.算法有效地利用了数字通信理论中的前向纠错编码技术和数据扰乱技术,使水印抵抗各类攻击的性能得到了有效地提高.实验证明该算法能较好地平衡隐形水印的不可见性和稳健性之间的矛盾,所隐藏的数字水印在StirMark的攻击下,具有较好的抵抗能力.     

高可靠In-VM隐藏进程对抗检测方法

通过隐藏进程执行恶意代码是信息攻击的一种重要手段,目前虚拟化平台中In-VM隐藏进程检测方法还存在被绕过和相关数据被篡改的可能性,针对这一问题,提出了一种高可靠In-VM隐藏进程对抗检测方法.该方法利用In-VM模型,通过改进虚拟化内存保护机制保护隐藏进程检测代码及其相关内核数据,确保其不被恶意篡改;通过准确劫持系统调用函数,并结合交叉视图方法检测隐藏进程,确保隐藏进程的检测算法无法被绕过.实验选取并构建多种典型的Rootkit隐藏进程,结果表明,该方法可以检测各种Rootkit隐藏进程,其隐藏进程检测代码及其相关数据无法被恶意篡改,检测算法和内存保护机制无法被绕过,而且改进的虚拟化内存保护机制对系统的性能影响更小,方法的可靠性高,实用价值大.      

一种移动社交网络的协同定位隐私保护方法

基于位置服务的移动社交网络中用户分享携带位置和好友标签的信息,不仅会影响用户位置隐私也会泄漏好友的位置信息,从而导致基于协同定位信息攻击的位置隐私泄露问题.为此,文中提出了一种防御协同定位信息攻击的位置隐私保护方法,设计了基于用户与好友线上交互的关系强度计算方法,给出了关系强度与位置隐私保护需求的关联和量化方法,实现了一种基于协同定位信息隐藏和时间调整(CCTA)的位置隐私保护算法.在推特数据集上的实验结果表明,文中方法能满足用户位置隐私保护需求,且保护效果最佳.     

基于k循环随机序列的动态缓冲区溢出防御

面向Intel 80×86体系结构和C/C++语言,介绍了栈缓冲区溢出攻击的基本原理及攻击模式,分析了现有的动态防御典型方案的优点与不足.结合基于随机地址空间与签名完整性的防御思想,提出了一种基于k循环随机序列的动态缓冲区溢出防御方案,该方案能够在极大概率下防御多种模式的缓冲区溢出攻击,解决了"连续猜测攻击"的问题,并使软件具有一定的容侵能力.     

一种基于LSB隐写算法的图像盲检测方法

在隐写技术被动检测模式下,用数学方程对LSB图像隐写算法进行抽象和建模,定量分析被检测图像的隐写信息边界情况,根据隐藏信息的比特数推出隐藏信息的检测概率和误检概率的表达式,提出一种基于LSB隐写的图像盲检测方法。基于LSB隐写的盲检测方法在LSB隐写算法嵌入图像的隐藏信息超过一定范围时,可以有效分辨出原始图像和隐藏信息。     

基于概率TTL终值的IP欺骗DDoS防御策略

利用概率TTL(Time To Live)终值改进IP包过滤技术,结合流连接密度FCD为时间序列的非参数CUSUM算法,可以有效解决IP欺骗DDoS攻击.本文提出一种IP欺骗DDoS的防御策略,并给出了防御模型及模型中主要模块的实现算法.     

基于地址关联图的分布式IDS报警关联算法

当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性. 对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义. 为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法. 该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图. 该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现.     

基于遗传算法的蜜罐系统

入侵诱骗系统作为一种网络安全工具,其价值在于被扫描、攻击和入侵时,通过创建一个高度可控的攻击环境,从而捕获尽可能多的入侵信息.基于这些信息,分析入侵行为,预防更多的恶意破坏,从而更有效的保护网络.介绍一种基于遗传算法的蜜罐系统,其关键技术包括隐蔽的数据捕捉和基于遗传算法的行为分析技术.实验证明,该系统能有效捕捉恶意行为,防御多种新型攻击.     

一种改进的回声隐藏算法

回声隐藏算法利用人类听觉系统的时域掩蔽效应来隐藏水印信息,其工作原理是人耳基本不能分辨强信号消失前嵌入的弱信号.针对回声隐藏算法中水印恢复准确率较低的问题,提出一种基于离散余弦变换和交织编码的隐藏算法.算法对水印图像进行离散余弦变换使其隐蔽效果更好,将变换后的信息进行交织编码以提高对常见攻击的免疫.实验证明,新算法的水印隐藏效果好、恢复率高,对常见的恶意攻击具有较好的免疫效果.     

基于Linux下防止IP欺骗的SYN攻击防火墙的设计与实现

设计是以redhat5.O为实验平台构建一个防御IP欺骗SYN攻击的包过滤防火墙.是以RED算法为基础,结合TCP数据包重传机制,检验SYN数据包的IP地址真实性.对TCP请求数据包利用RED算法判断TCP请求的平均队列长度和包丢弃概率.平均队列长度超过系统负载最大值时,直接按照随机分配的丢弃概率判断是否丢弃数据包.平均队列长度在系统负载之内时,如果当前的丢弃概率大于给定的阈值,则查找哈希表是否有相同的数据节点,找到则接受该数据包,没找到则保存数据包信息到哈希表,同时丢弃该包.经过分析研究和实验的验证,该防火墙具有较好的吞吐量,同时正常数据包的通过率较高.     

PMIPv6中基于安全关联的移动网络本地轻型认证机制

针对PMIPv6域中移动网络(NEMO)提出了一种基于安全关联的本地轻型认证机制.该机制在认证、授权和计费(AAA)架构的基础上,整合身份认证和地址注册过程,采用优化的切换策略和扩展的安全关联,将切换和认证过程限定在本地PMIPv6域中.性能分析表明,该机制在实现用户和网络之间双向认证的同时能够抵抗篡改等多种攻击,有效保护地址注册信息,提升NEMO的安全性,并在计算开销和认证时延方面优于现有机制.     

一个基于复合攻击路径图的报警关联算法

入侵检测系统作为保护计算机系统安全的重要手段其应用越来越广泛,然而随之产生的大量原始报警事件也带来了新的问题:数量巨大、误报警多、重复报警多,影响了对入侵检测系统的有效利用.针对此问题,警报关联技术成为网络安全研究的一个热点问题,研究者尝试对低级的报警信息进行关联,从而达到降低误报率的目的.本文提出一个基于复合攻击路径图的报警关联算法,使用报警信息在攻击中所处的攻击阶段并将其关联起来构建攻击场景从而达到揭示隐藏在大量攻击事件背后的入侵真实意图.该模型先对报警信息进行预处理,匹配到知识库中对应的攻击阶段,然后再将攻击链接起来,根据攻击路径图的权值计算对应主机的受威胁程度,并决定是否报警.该模型可以实现对报警信息的实时处理,并能重现攻击行为的实施路径,最后通过实验证明了该算法的有效性.