基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

802.11多速率无线局域网中的竞争窗口控制算法

针对此类网络的饱和吞吐量模型,分析了速率调整无法降低帧冲突的原因以及发送节点的尝试发送帧概率对网络性能的影响.基于发送节点的尝试发送帧概率和竞争窗口大小之间的关系,提出了一个802.11多速率无线局域网中控制竞争窗口的方法,该方法通过估计局域网中的平均连续空闲时隙数来控制竞争窗口,因此能够主动减少由于节点数量大造成的帧冲突,从而提高网络性能.模拟实验表明,在802.11多速率无线局域网中,竞争窗口控制算法的引入可以在已有的速率调整算法的基础上使网络性能大大提高,获得更好的吞吐量和公平性.     

DoS攻击及其防御策略

DoS(拒绝服务)是一种常见的网络攻击模式,以占用有限的资源,瘫痪运行中的服务为目的。DoS的防御并不容易,尤其是发展中的各种DoS攻击更加隐密,危害更大。文章从DoS攻击的分类出发,论述了DoS攻击技术的发展,提出了DoS攻击的防御策略。     

应用蜜罐技术防御DoS攻击的研究

拒绝服务(Denial of Service,DoS)攻击是阻止或者拒绝合法用户使用网络服务的一种攻击方式.首先介绍DoS攻击的基本原理,然后讨论现有DoS攻击防御方法,最后研究蜜罐技术在防御分布式拒绝服务(Distributed Dos,DDoS)攻击中的应用,并对其性能进行了仿真分析,结果表明:提出的蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度.     

基于Linux下防止IP欺骗的SYN攻击防火墙的设计与实现

设计是以redhat5.O为实验平台构建一个防御IP欺骗SYN攻击的包过滤防火墙.是以RED算法为基础,结合TCP数据包重传机制,检验SYN数据包的IP地址真实性.对TCP请求数据包利用RED算法判断TCP请求的平均队列长度和包丢弃概率.平均队列长度超过系统负载最大值时,直接按照随机分配的丢弃概率判断是否丢弃数据包.平均队列长度在系统负载之内时,如果当前的丢弃概率大于给定的阈值,则查找哈希表是否有相同的数据节点,找到则接受该数据包,没找到则保存数据包信息到哈希表,同时丢弃该包.经过分析研究和实验的验证,该防火墙具有较好的吞吐量,同时正常数据包的通过率较高.     

状态防火墙受攻击导致状态表溢出故障的解决

网络防火墙的状态检测就是针对连接请求的数据包,检查连接实体其是否符合TCP/IP 协议的状态转换规则,相符则接收数据.DoS/DDoS攻击通过在短时间内发送大量短小的数据包给防火墙,造成状态表被填满而拒绝接收新的连接,导致产生拒绝服务攻击.传统的解决方案往往增加防火墙的负担.针对网络上常见的流量型DoS/DDoS攻击造成的状态防火墙状态表溢出故障提供一种应急解决方案.     

基于滑动窗口中包排序的网络隐写方法

针对TCP传输控制协议的网络隐写方法存在着受限于网络环境、隐藏容量低等问题,提出了基于滑动窗口中包排序的网络隐写方法.利用TCP协议中发送方可根据网络环境构造滑动窗口大小和TCP可靠传输的特点,通过滑动窗口数值的奇偶性和滑动窗口中包的顺序隐藏秘密消息.与其他方法相比,在不增加其他资源开销的情况下,发送方在发送秘密消息时...     

密钥交换协议IKEv2的分析与改进

In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。     

任务关键系统可生存性的形式化建模方法

通过剖析影响可生存性的本质特征,将服务请求与服务器、攻击者与服务器描述为不同的组件,使用PEPA语言精确描述系统各个状态间的逻辑关系和动态变化过程,从用户服务请求和攻击影响两个角度分别构建可生存性形式化模型,并比较两种建模角度的异同。理论分析和实验结果表明该模型能够正确地反映出可生存性的关键属性,并可在理论上指导可生存系统的设计和实现。     

基于排队论的SIP DoS攻击防御机制的研究

随着SIP协议的广泛应用,协议自身的安全问题逐渐显露出来,尤其以DoS攻击最为严重。研究了NGN中DoS攻击防御机制,给出了基于排队论的DoS攻击数学分析模型,接着设计出一种SIP DoS攻击防御方案,最后对防御机制的性能进行了仿真分析。     

检测、防范DoS攻击的分布式模型及实现

针对Dos(Denial of Service)拒绝服务攻击，在分析Dos的攻击原理 现有的检测，防范手段的基础上，提出了一种检测，防范Dos的分布式模型，并提出了利用简单网络管理协议（SNMP）技术实现该模型的方案，分析了实现后的检测系统自身的安全性。研究结果表明，分布式检测防范模型能有一定程度上对付DoS攻击，能在更高的层面处理分布式攻击。利用类似的方法还可以检测其他的入侵攻击。     

Detecting DDoS Attacks against Web Server Using Time Series Analysis

Distributed Denial of Service （DDoS） attack is a major threat to the availability of Web service. The inherent presence of self-similarity in Web traffic motivates the applicability of time series analysis in the study of the burst feature of DDoS attack. This paper presents a method of detecting DDoS attacks against Web server by analyzing the abrupt change of time series data obtained from Web traffic. Time series data are specified in reference sliding window and test sliding window, and the abrupt change is modeled using Auto-Regressive （AR） process. By comparing two adjacent nonoverlapping windows of the time series, the attack traffic could be detected at a time point. Combined with alarm correlation and location correlation, not only the presence of DDoS attack, but also its occurring time and location can be deter mined. The experimental results in a test environment are illustrated to justify our method.     

DoS攻击下信息物理系统事件触发保性能控制

针对信息物理系统的安全控制问题,提出拒绝服务攻击下基于事件触发的保性能控制方法.首先,考虑到拒绝服务攻击行为的随机特性,将拒绝服务攻击描述为具有固定丢包数的伯努利随机分布过程;其次,为了降低网络通信负担,采用离散事件触发通信机制对传感器的量测信息进行传输;随后,根据Lyapunov稳定性理论和线性矩阵不等式方法给出拒绝服务攻击下系统稳定的充分条件,进而在给定的保性能水平下设计了基于事件触发机制的保性能控制器;最后,通过仿真实例验证了所提出控制方法的正确性和有效性.     

数字无绳电话PHS及其系统软件设计

数字无绳电话ＰＨＳ系统是结合了最新无线访问技术和智能网络技术的新的通信服务．介绍了ＰＨＳ系统的无线访问方法ＴＤＭＡ／ＴＤ和无线通道．按照通信协议的分层,设计了相应的软件结构．在物理层,实现了基本的物理帧传输;在数据链路层,实现了滑动窗口协议的数据帧传输;在网络层,实现了无线管理、移动管理、呼叫控制等．给出了这些层的典型函数模块．应用层是由中断驱动来实现各种服务的,并按优先级来调度处理事件．ＰＨＳ具有很高的性能价格比,具有广阔的应用前景．     

基于UDP的滑动窗口协议的设计与实现

UDP滑动窗口协议是一种适用于现代通信系统中板间通信的应用层协议,它采用滑动窗口技术来保证数据包无重复、无丢包地按序递交.文中论述了基于UDP的滑动窗口协议并给出了实现方法,通过测试分析,该协议有效地解决了TCP的高协议处理开销和UDP的低可靠性之间的矛盾,而CPU占用率比单独采用UDP只增加约3%.