一种利用源地址信息的DDoS防御系统的设计与实现

DDOS攻击是目前最严重的一种网络攻击行为.传统的DDOS防御方法复杂低效,提出一种利用源IP地址和跳数信息进行DDOS攻击过滤的方法.并利用布隆过滤器(BF)技术设计和实现了一种DDOS防御系统.该系统部署在目标端,在目标没有受到攻击时,学习并记录正常的访问源地址信息;而当攻击发生时,系统会保证正常的访问,而过滤大多数攻击报文,特别是不同类型的伪造IP的攻击报文.实验结果显示,该系统能过滤掉大多数对目标的DDOS攻击报文,且仅有很低的误报率.     

基于聚集算法的DDoS数据流检测和处理

提出了一种应用于路由器的嵌入式DDoS(分布式拒绝服务攻击)防御算法。针对DDoS攻击的本质特征,对IP数据流进行轻量级协议分析,把IP数据流分为TCP、UDP和ICMP(网间控制报文协议)数据流,分别建立相应的聚集模式,根据该模式来检测DDoS聚集所占资源,采取相应的抑制措施过滤攻击数据包,从而保证合法数据流的正常转发。仿真试验证明该方法能准确地检测到DDoS攻击,处理效果很好。     

SYN Flood攻击的防御性研究

SYN Flood攻击是分布式拒绝服务攻击中流行的攻击方式之一。这种攻击主要是利用协议的漏洞,发送大量伪造的源IP地址的攻击报文,使目标系统资源耗尽。为了有效地防范SYN Flood的攻击,描述了几种防御SYN Flood攻击的措施,使合法用户正常访问网络资源。     

基于概率TTL终值的IP欺骗DDoS防御策略

利用概率TTL(Time To Live)终值改进IP包过滤技术,结合流连接密度FCD为时间序列的非参数CUSUM算法,可以有效解决IP欺骗DDoS攻击.本文提出一种IP欺骗DDoS的防御策略,并给出了防御模型及模型中主要模块的实现算法.     

基于优先级队列的DDoS攻击防御方案设计

为了避免网络正常用户遭受分布式拒绝服务攻击,提出了一种基于优先级队列的抵御DDoS攻击的自适应调整方案。采用带宽分配策略把合法数据包以及可疑数据包分别分配到高优先级队列和低优先级队列,以保证正常用户的服务质量。通过实验部署进行仿真设计,将基于优先级队列的DDoS攻击防御方案与基于传统去尾模式的DDoS攻击防御方案进行比较,证明改进的方案可以有效地减少来自DoS和DDoS攻击的恶意数据包流量,能为合法用户发送数据包提供平稳的带宽。     

采用矩阵分解模型的托攻击防御算法

提出一种基于矩阵分解模型的托攻击防御算法框架.首先,利用托攻击检测技术,度量用户是托用户的概率,并以此构造信任度权值矩阵;然后,将此权值矩阵引入到矩阵分解模型,以降低托用户攻击行为的影响;最后,通过求解新模型实现对用户评分的预测.实验结果表明:这类算法与其他协同过滤算法相比较,能够更有效地抵御托攻击.     

基于StackSF的DDoS攻击和IP欺骗新型防御机制

针对互联网上的主机正面临着IP欺骗和大规模分布式拒绝服务(DDoS)攻击威胁,提出一种新的防御机制——StackSF.该机制不同于以往的方法,它是通过数据包标记和临界过滤器分析每个数据包的信息内容,过滤掉攻击数据包并检测出遭受欺骗的源IP地址.同时,还可以防御各种方式的IP欺骗的攻击.     

基于Web访问路径的应用层DDoS 攻击防御检测模型

为了提高防御应用层分布式拒绝服务攻击的有效性、时效性和准确性,对应用层DDoS攻击的演化、模式,以及攻击者的攻击路径和攻击行为进行深入研究。提出一种基于Web访问路径的防御检测模型,根据访问路径轨迹、攻击行为特点和网站链接规则,建立请求路径、请求分布、路径循环、行为时隙和路径长度5种异常检测模型。通过计算合法用户访问网站时的正常值以及具有攻击行为用户的实时异常值偏离程度,可判定是否遭到应用层DDoS攻击。防御模块依据用户非法值大小选取最佳防御策略,抵御应用层DDoS攻击,实现网站数据安全与计算机安全。实验采用真实日志数据进行训练,向实验网站发动5种不同类型的应用层DDoS攻击。结果表明,防御检测模型能在短时间内准确辨别具有攻击行为的用户,并联合防御模块抵抗针对Web服务器的DDoS攻击,能够实现实时检测、实时防御,有效降低误报率。所提出的检测模型可以对路径长度进行监控,提升了异常判定的准确性和可靠性,有效提高了Web网站防御DDoS攻击的能力。     

IP欺骗网络攻击及其对策应用研究

IP欺骗攻击就是攻击者通过监听网络会话,将某台非法主机的IP地址伪装成合法用户的IP地址,利用ISN序列号的猜测进行会话劫持,是一种常见的主动型网络攻击。本文将着重介绍IP欺骗攻击的技术原理、攻击步骤,并提出一种切实有效的防御措施。     

网络入侵检测系统的拒绝服务攻击的检测与防御

针对网络入侵检测系统的拒绝服务攻击(DOS)具有难于检测与防御的特点，提出了一种新颖的检测与防御算法。该算法通过分析告警的频率与分散度来检测DOS攻击，并采用分阶段切换的方式将状态检测由正常模式转为紧急模式，丢弃不属于正常TCP会话的数据包，以实现对DOS的防御。性能分析和实验结果表明，该算法能够及时发现、防御DOS攻击，有效地阻止DOS攻击所造成的系统破坏。     

An efficient QoS enhancement mechanism of VoIP using erasure array codes

In order to solve the problem of losing voice packets in voice over internet protocol ( VoIP) , a kind of lost packets double recovery algorithm is proposed.The algorithm is based on erasure coding technique which comes from highly available data storage systems.An efficient coding scheme with higher tolerance based on STAR and Reed-Solomon ( RS) erasure code is described.An efficient method is also provided which could transform the voice data packets of one dimensional bit stream into two dimensional array according to given window size.If the lost rate has increased beyond the error correction capability, packet-loss concealment will be adopted.Under various conditions of packet-loss simulation during the experiments, the algorithm has proved its better performance on MOS rating and coding rate.     

高清晰度电视传送复用器实现技术

以高清晰度电视传送复用器的实时实现为目的,在概述ＭＰＥＧ－２传送层语法规范的基础上,给出了传送复用器实现的设计方案和实现技术．传送复用器的功能是将音频、视频及辅助数据按ＭＰＥＧ－２传送层语法规范打成ＴＳ包并送往信道．文中提出的方法是用ＤＳＰ查询复用器各输入缓冲区的状态,根据各缓冲区的状态读入数据,完成音、视频及辅助数据的ＴＳ打包,并保证各ＴＳ包交织均匀,最后给出了实现结果     

MPTCP动态预留数据调度策略研究

多路径传输协议（multipath transmission control protocol, MPTCP）是一种基于TCP协议的传输协议,具有高吞吐量、高带宽利用率、高传输速率等优点,且MPTCP向后兼容TCP,支持现有中间件。针对导致MPTCP的传输性能下降的MPTCP中出现乱序、缓存阻塞等问题,综合考虑每条子路径的往返时延RTT（round trip time）和接收端成功接收到的数据包个数,设计了一种动态预留数据调度算法（dynamic resource reservation data scheduling,DR-RS）,当每次需要传输数据包时,子路径的发送缓存按照合理的策略为所需传输的数据包预留空间,尽量使数据包能够按序到达接收端,避免接收端缓存阻塞。利用NS-3仿真工具,对比分析了DR-RS性能,结果表明,DR-RS更合理,能使MPTCP的传输更稳定并提高了传输吞吐量,达到了负载均衡。     

明渠湍流中的主要相干结构模式

利用自主开发的高帧频明渠湍流粒子图像测速(PIV)系统测量了3种Reynolds数下的恒定均匀流时间序列流场,运用本征正交分解能够给出数据集的最优模态的特性,分析了明渠湍流的主要相干结构模式及其能量关系。湍动能主要集中在少数几个低阶模态上,第1阶模态含有约30%以上的湍动能。Q2(Q4)事件是明渠湍流中除平均流动外含能最多、最主要的大尺度结构,湍动能主要通过Q2(Q4)事件向其他结构传递。它并不完全是发夹涡群诱导的结构,相反从能量的角度来看,发夹涡群的产生与维持与它有关键关系。Q2(Q4)事件可能存在大范围独立维持的大尺度机制。同时本征正交分解(POD)技术成功提取了发夹涡群结构,流向范围达到约3.4h,垂向尺度从交叠层一直到水面附近,整个结构与壁面呈约10°夹角。发夹涡群载有约23%的平均湍动能,并主要集中在处于对数区的中间部分。其他含能较少的大尺度结构有水面涡旋、单双涡结构、独立涡包等。     

融合环回和源路由的 MPLS-TP 网络高效环保护方法

环回和源路由是多协议标签交换-传输应用（multi-protocol label switching transport profile,MPLS-TP）网络环保护的2种基本方式,融合它们有利于减少丢包和降低数据时延。针对目前融合二者的方法在控制分组传输路径和倒换时延方面存在冗余的问题,提出一种新的环保护方法—高效的环回和源路由网络环保护（efficient wrapping and steering,EWAS）,通过精简控制分组传输路径消除路径冗余,降低控制分组传送开销和倒换时延,并使中间节点自动倒换数据传送通路以减少数据分组转发次数。理论分析验证了新方法的有效性,仿真结果显示,与环回、源路由和环回和源路由网络环保护（wrapping and steering,WAS）方法相比,EWAS 的控制开销和倒换时延分别降低20．55％和15．18％以上。     

一种基于区分服务的自动请求重传架构

自动请求重传(ARQ)的按序提交会产生重排序时延，增加分组的链路传输时间．提出了一种基于区分服务的ARQ架构，让不同服务质量(QoS)类别的流分别使用独占的分组队列和ARQ实体，使时延敏感分组不会因为等待普通数据分组的重传而经历不必要的重排序时延．仿真结果表明，该方案可以有效减少时延敏感分组的链路时延和传输时延．     

基于相位翻转PTS降低OFDM系统PAPR的改进算法

为解决OFDM(Orthogonal Frequency Division Multiplexing)系统中IPTS(Iterative Partial Transmit Sequences)抑制PAPR(Peak To Average Power Ratio)强度有限的问题, 提出了采用梯度递减的搜索方法将传输数据分为D 层、对传输数据进行逐层筛选、并将每层内相位因子的搜索与IPTS 技术相结合的改进算法。仿真结果表明,改进算法在较IPTS 复杂度增加不大的前提下, 其抑制PAPR 的能力有显著提高。在128 个子载波的OFDM 系统中, PTS 子序列数V 取8, 外层分块数D 取2, 累积分布函数(CCDF: Complementary Cumulative Distribution Function)为10^-5 时, 改进算法的PAPR 值比IPTS 算法降低近0. 5 dB。     

Integrated Joint Source-Channel Symbol-by-Symbol Decoding of Variable-Length Codes Using 3-D MAP Sequence Estimation

Most of multimedia schemes employ variable-length codes （VLCs） like Huffman code as core components in obtaining high compression rates. However VLC methods are very sensitive to channel noise. The goal of this paper is to salvage as many data from the damaged packets as possible for higher audiovisual quality. This paper proposes an integrated joint source-channel decoder （I-JSCD） at a symbol-level using three-dimensional （3-D） trellis representation for first-order Markov sources encoded with VLC source code and convolutional channel code. This method combines source code and channel code state-spaces and bit-lengths to construct a two-dimensional （2-D） state-space, and then develops a 3-D trellis and a maximum a-posterior （MAP） algorithm to estimate the source sequence symbol by symbol. Experiment results demonstrate that our method results in significant improvement in decoding performance, it can salvage at least half of （50%） data in any channel error rate, and can provide additional error resilience to VLC stream like image, audio, video stream over high error rate links.     

共享流拥塞检测的协同比较测试方法研究

为检测和控制网络中数据流的拥塞情况 ,提出了一种共享流拥塞的协同比较测试方法 ,通过在主机端观察包丢失来判断两个流经历的拥塞是否出现在相同的网络源 .提出了判断拥塞的两个定理 ,在泊松模型下用排队论对所提出的协同比较测试方法进行了分析 ,仿真实验的结果表明了该方法的有效性     

Design of hybrid automatic repeat request （HARQ） for TDD-OFDM system

Reliability-based hybrid automatic repeat request （HARQ） （RB-HARQ） is a recently developed form of incremental-redundancy ARQ. It achieves good performance whereas large retransmission request packets should be fed back. In this paper, in order to reduce the number of the fed back bits, we propose a HARQ scheme applied in time duplex division orthogonal frequency division multiplexing （TDD- OFI）M） system over the slow fading channel which is named channel-based HARQ （CB-HARQ）. Because one bit which meets deep fading is always with small value of log likelihood ratio （LLR） during the process of decoding of LDPC code, the bits transmitted on the carrier with deep fading are retransmitted. At the receiver, the decoder will compute the locations of retransmission bits according to the channel fading values which are gotten by utilizing the feature of channel symmetry in TDD mode. So the indices of retransmission bits are avoided to be transmitted. Simulation results show that this method achieves better BER performance and requires much smaller request packets in feedback link.