网络安全问题分析与对策

通过分析当前计算机网络系统中的各种安全威胁和网络威胁的起因，以及对计算机网络系统进行攻击的各种手法以及网络安全问题所导致的严重后果，提出了解决计算机网络安全问题的对策方法，重点研究网络安全防御技术，并对网络安全防御技术的设计和应用提出实现的方法．     

网络安全防御问题剖析

本文对网络的脆弱性与网络遭受攻击的可能性、网络攻击的主要形式进行了剖析,提出了网络防御的基本要求、防御策略、防御措施等有关问题.     

基于非零和博弈的多路径组合攻击防御决策方法

针对网络攻防中多路径组合攻击的防御策略问题,根据网络中多攻击路径对抗的非合作及双方收益的特点,提出了一种基于非零和博弈的防御策略选取方法。首先,根据网络攻防的实际资源受限定义了攻击成本、惩罚因子、防御代价等参数,并对攻防双方的收益计算方法进行了优化;其次,基于多路径组合攻击过程,构建了非零和动态博弈模型,并计算出相应的攻防效益矩阵;最后,利用纳什均衡原理得出攻击者的最佳攻击效用,以及防御者的最优策略。该策略在多条攻击路径并存的威胁下,能够选择出防御效果最优的策略进行安全加固及防护。仿真实验验证了本文所提出方法的有效性,并分析了实际资源受限下攻击成本、惩罚因子、防御代价等参数设置对防御策略选取的影响。     

ARP欺骗攻击类型及防御方案

分析ARP原理以及欺骗网关攻击、仿冒网关攻击、“中间人”攻击和泛洪攻击4种常见的ARP欺骗攻击类型，结合电子政务网ARP防御的应用实例，提出一种采用DHCP服务器和交换机的DHCPRelayAgent、DHCPSnooping功能进行防御ARP欺骗攻击的方案。该方案能够防止接入终端任何ARP欺骗攻击，可以有效解决ARP欺骗攻击问题。     

DHCP耗尽攻击及防范

DHCP服务可以说是接入网络的必备服务,但是其在安全方面还存在很多不足之处,其中包括能够引发DoS攻击的IP耗尽攻击,DHCP服务器冒用等等。针对攻击的方式,防御的措施有:Port Security,DHCP Snooping和基于VLAN的ACL等。本文讨论的主要是IP耗尽攻击及防御措施。     

一种软件定义APT攻击移动目标防御网络架构

针对传统网络架构的确定性、静态性和同构性造成APT攻击难以有效防御的问题,提出了一种软件定义APT攻击移动目标防御网络架构SDMTDA。对APT攻击行为进行了建模,总结了APT攻击依赖网络结构和漏洞信息的特点;结合软件定义安全理念建立了从下到上分别为物理层、控制层、应用层的三层网络架构,并给出了网络结构变化和漏洞信息变化的算法,分析了移动目标防御的三种方法在SDMTDA中的实现;对架构进行了分析、实现并测试。实验结果表明,该架构具有软件定义、变化迅速、扩展性强的优点。     

链路洪泛攻击的SDN移动目标防御机制

针对Crossfire分布式拒绝服务(distributed denial of service,DDoS)攻击,该文提出一种基于软件定义网络(software defined network,SDN)的攻击防御机制。在对Crossfire攻击分析基础上,设计一个SDN流量层级的集中监测及分流控制模型并部署到防御机制中,利用SDN的重路由策略疏解被攻击链路的拥塞负载,通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。利用SDN的移动目标防御(mobile target defense,MTD)机制动态调整网络配置和网络行为并诱使攻击者对攻击流量进行调整,提高诱饵服务器对攻击的检测效率。实验结果表明:该机制可以有效防御Crossfire攻击且SDN的防御机制和重路由策略不会造成显著开销。     

Unicode漏洞的攻击与防御

随着网络攻击事件的频繁发生,如何保护系统并有效防御攻击成为系统安全的主要问题.针对Unicode漏洞屡遭攻击这一现状,通过对Unicode漏洞的详尽分析,例举了对Unicode漏洞进行攻击的方式和方法,根据攻击的特点,为系统的安全提出了相应的防御措施和安全策略.     

基于多维攻防博弈机制的LTE-5G网络防御算法研究

针对当前LTE-5G网络防御算法需要预设先决条件,且在多维攻击环境下难以实现防御行为自收敛等难题,提出了一种基于多维攻防博弈机制的LTE-5G网络防御算法。首先,对攻击行为进行大数据建模,综合考虑攻击行为数学分布特性,即DDos攻击特性,并精确匹配DDos攻击带宽,实现对攻击危害行为的确定性分析,提高网络主动防御性能,达到对攻击行为预分析的目的;随后,考虑到传统算法的网络收敛概率评估较差的问题,采取Q分析方式进行随机博弈,构建了Q博弈-单向数据攻击模型,成功获取单向数据攻击集合,并进行了攻击行为持续期间的纳什均衡,改善算法的网络防御效果。仿真实验证明:与当前LTE-5G网络中广泛使用的次高频载波指纹网络过滤防御算法(Secondary High Frequency Carrier Fingerprint Network Filtering Defense Algorithm,SHFCF-FD算法)、带宽峰值匹配过滤防御算法(Bandwidth Peak Matching Filtering Defense Algorithm,BPMFD算法)相比,所提算法具有更大的抗攻击带宽强与网络传输带宽,以及更低的裁决错误率低与信道误码率,具有很强的实际部署价值。     

多源大规模电网的多阶攻击风险感知量化和防御技术

随着电网的规模逐渐扩大,虽然配电网的数字化为电网运营带来了诸多好处,但也增加了严重的网络安全威胁所带来的风险;为了检测不断发展的电力网络中潜在的攻击和漏洞,满足对安全和隐私机制的额外研究需求,需要一个自动化过程来系统地处理大量跨域信息和关联各种网络情报,以正确评估情况;为此提出了基于深度学习和机器学习的电网多阶段攻击感知风险量化和防御技术,通过人工神经网络就检测电网中是否存在攻击,对系统建模攻击防御树进行多阶段上下文攻击风险量化,并且利用查杀链寻找最优路径进行防御,实现电网威胁全自动化感知和防御决策。     

分布式拒绝服务攻击（DDoS）及防御对策

分布式拒绝服务攻击（（Distributed Denial of Service,DDoS）是目前对互联网的安全稳定性带来较大威胁的攻击形式之一。DDoS攻击利用足够数量的傀儡机产生数目巨大的攻击数据包对一个或多个目标实施DoS攻击,耗尽受害端的资源,造成服务器和网络瘫痪,无法提供正常服务,给网络服务商造成严重的损失。本文首先阐述了分布式拒绝服务形成的原理,分析了分布式拒绝服务攻击的安全防范措施,并提出了一种有效的DDoS攻击防御对策。     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

校园网的安全性研究

针对目前校园网存在的服务器容易受攻击,网络容易瘫痪,速度低,效率不高等特点,文章对校园网进行了安全性分析,并以具体的校园网为例将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少校园局域网络的安全风险.     

基于网络二层攻击防御技术的研究与应用

近一段时间内各企业学校局域网络平凡遭遇网络攻击,导致服务器数据丢失、网络瘫痪,给生活生产和学习带来了很大的麻烦。很多高校网络中心整天手忙脚乱也没有从根本上解决网络故障问题。我们从其现象分析来看其攻击源有人为因数和非人为因数两种状况。该文为了达到优化网络性能从而减少网络管理人员的工作负担、节省高校资源为目的,从安全技术角度总结出基于高校校园网络二层攻击原理模型及防御方法与措施。     

网络安全与主动防御

随着互联网的高速发展,计算机的网络安全问题也越来越严峻,传统的被动防御技术已经无法应对目前大规模,多样性的网络病毒攻击。主动防御技术克服了传统被动防御技术的不足,能够防御未知网络病毒的攻击,是目前防御网络病毒的最有效方法。     

Web服务的多层入侵容忍机制

Web服务通过互联网向公众提供各种服务,其存在的漏洞容易受到攻击.攻击会导致许多恶意操作或故障,致使Web服务器无法正常工作或发生安全事件.确保服务器的安全性,以保障系统数据和服务的私密性、完整性及可用性.Web服务的多层入侵容忍机制,结合传统安全技术和容忍技术在服务器前和在服务器结构内部署不同传感器,侦测各请求对服务器的影响.对不同安全级别的请求提供相应的服务,并一定程度上容忍非正常请求的存在.在Web服务系统上提供有效的深度防御,提高Web服务器对入侵、攻击的适应能力,即使发生严重事件也能及时恢复Web服务.不会因存在入侵、故障而停止服务,从而提高Web服务器的生存能力.     

缓冲区溢出攻击的分析及防范策略

随着计算机和网络技术的发展,计算机和网络的安全正受到日益严重的威胁。各种攻击手段不断出现,造成计算机和网络不能正常运行、数据受到破坏和窃取等。缓冲区溢出攻击是对计算机和网络进行攻击的常见方法之一。它是利用向一个有限的缓冲区中拷贝过长的字符串,导致缓冲区相邻存储单元被覆盖,从而使程序运行失败或跳转到攻击者设计的攻击代码处执行攻击代码。这样攻击者就有机会获取计算机或网络服务器的控制权。     

基于Python的网络黑客攻击技术分析研究与防范策略

由于Python语言的优点,大部分黑客都以Python为攻击语言,通过Internet对各种网络服务器和客户端进行攻击与密码破解.由于网络中运行着多种协议,基于Python网络黑客攻击技术也在不断进化.为了防止黑客的这种不道德行为对企业和个人造成不必要的损失,本研究通过对各种网络黑客攻击技术分析与研究,尤其是对基于Python的网络黑客攻击技术进行研究.最终得出了基于Python的网络黑客攻击技术方面相应的解决防范策略.     

面向内容网络的请求洪泛攻击检测方法研究

作为一种新型的网络,内容网络难免会遭受网络攻击的威胁。请求洪泛(Request Flooding,REF)攻击是分布式拒绝攻击在内容网络中的表现形式,提出一种高效的REF攻击检测和防御方法。为了降低网络开销,检测和防御仅实现在一部分的路由器上。仿真实验结果表明,检测防御方法能够有效地实现对REF攻击的检测和防御。     

内容中心网络中基于熵率的攻击防御方法

兴趣包泛洪攻击通过耗尽路由器中待定兴趣表的资源从而对内容中心网络(content centric networking, CCN)产生严重的影响,目前的攻击防御方法主要是基于待定兴趣表的异常状态统计,但这些方法容易对合法用户产生误判,导致用户体验变差,因此针对内容中心网络中检测和防御兴趣包泛洪攻击的问题,提出基于信息熵和熵率的攻击防御方法。利用CCN中用户请求内容名称的随机性检测兴趣包泛洪攻击,再通过信息熵的差值识别恶意名称前缀,并向相邻节点发送包含恶意名称前缀信息的通知包,从而进行协同防御。仿真结果表明,与传统防御方法相比,在尽早检测出攻击的前提下,该方案能将突发流与攻击流进行区分,并快速抑制恶意兴趣包的转发,有效减少网络攻击造成的影响。