命名数据网络中基于信息熵的Interest洪泛攻击检测与防御

在命名数据网络中,兴趣包洪泛攻击通过向网络发送大量恶意interest包来消耗网络资源,从而对NDN造成较大危害.针对目前所提出的IFA攻击检测与防御方法存在攻击模式单一、在应对复杂攻击模式时效果不明显等局限,提出一种基于信息熵的改进方法(EIM),该方法通过与NDN路由器相连的用户的信誉值和信息熵相结合来限制攻击者发送的恶意interest包,很好地解决了现有方法在应对复杂的攻击模式时的局限性.仿真结果表明EIM较信息熵方法能够更有效地缓解IFA.     

命名数据网络中基于增强隔离林的Interest包洪泛攻击检测方法

IFA是NDN中的恶意攻击之一,危害较大.针对IFA,提出基于增强隔离林的IFA检测方法,通过在构造增强隔离林的过程中区分Interest包所携带的合法前缀与异常前缀,对异常前缀进行进一步判断,从而准确地检测出恶意前缀.所提出的方法将检测出的恶意前缀列入黑名单中,限制携带恶意前缀的Interest包转发.仿真结果表明：该方法能够有效地缓解IFA.     

NDN中基于神经网络的兴趣洪泛攻击综合防御方案

命名数据网络(named data networking, NDN)中的请求-应答通信模式及有状态的转发滋生了新的分布式拒绝服务(distributed denial of service, DDoS)攻击方式—兴趣洪泛攻击(interest flooding attack, IFA)。IFA是NDN中主要的拒绝服务威胁,虽然IFA防御方案被广泛研究,但目前缺乏系统的解决方案。针对这一问题,基于粒子群优化的后向传播神经网络算法提出一种新的IFA检测方法,并结合基于基尼不纯度的恶意前缀识别方法和兴趣包回溯方法来缓解攻击危害,形成一种综合的防御方案。通过ndnSIM仿真实验证明,提出的方案不仅可以准确检测和有效防御IFA攻击,而且解决了基于窗口检测方案无法检测连续攻击的问题。     

智能分布式攻击与防御

随着人工智能技术的发展,分布式攻击技术也逐渐向智能分布式攻击演变.智能分布式攻击将分布式协作、人工智能融入到网络攻击中,这将引起攻防速度、模式、规模、影响等各个方面颠覆性的变化,对网络安全带来更大的威胁.面对这种颠覆性的变化,针对智能分布式攻击的新型防御技术进行研究,对保障网络安全具有重要的意义.文章首先对传统的分布式攻击及防御进行了总结,介绍了常见的分布式攻击方式与相应的防御机制.然后,基于人工智能技术,分析了人工智能与分布式攻击相结合的机制、模式与应用现状.最后,分别针对传统分布式攻击和智能分布式攻击,以人工智能为基础,总结了面向传统分布式攻击的智能防御措施,并探讨了面向智能分布式攻击的精准反制策略.     

命名数据网络分级命名路由仿真实验研究

利用仿真工具Mini-CCNx,设计并实现了命名数据网络(NDN)中基于分级命名机制的路由仿真实验,通过设置不同的名字前缀来测试Interest包的响应情况,实验结果显示了NDN中基于分级命名机制的Interest包在路由和转发上的特点及优势.     

面向内容网络的请求洪泛攻击检测方法研究

作为一种新型的网络,内容网络难免会遭受网络攻击的威胁.请求洪泛(Request Flooding,REF)攻击是分布式拒绝攻击在内容网络中的表现形式,提出一种高效的REF攻击检测和防御方法.为了降低网络开销,检测和防御仅实现在一部分的路由器上.仿真实验结果表明,检测防御方法能够有效地实现对REF攻击的检测和防御.     

命名数据网络中Sub/Pub 模式仿真实验研究

在 Linux 环境下,基于 Mini-ndn 仿真平台并利用 Python,设计并实现了命名数据网络(NDN) 分级命名路由仿真实验,研究了 Subscriber 和 Publisher 在一对一、一对多、多对一和多对多通信情况下, interest 包请求和 data 包响应问题,实验结果对 NDN 中的 Subscriber/Publisher 交互过程、结构化数据命名规则、interest 包在 NDN 路由器中的 CS 查找、PIT 处理和 FIB 转发等过程, 以及 data 包响应过程有了更直观的认识, 为 NDN 路由和转发理论研究提供实际参考依据．     

分布式拒绝服务攻击（DDoS）及防御对策

分布式拒绝服务攻击（（Distributed Denial of Service,DDoS）是目前对互联网的安全稳定性带来较大威胁的攻击形式之一。DDoS攻击利用足够数量的傀儡机产生数目巨大的攻击数据包对一个或多个目标实施DoS攻击,耗尽受害端的资源,造成服务器和网络瘫痪,无法提供正常服务,给网络服务商造成严重的损失。本文首先阐述了分布式拒绝服务形成的原理,分析了分布式拒绝服务攻击的安全防范措施,并提出了一种有效的DDoS攻击防御对策。     

基于优先级队列的DDoS攻击防御方案设计

为了避免网络正常用户遭受分布式拒绝服务攻击,提出了一种基于优先级队列的抵御DDoS攻击的自适应调整方案。采用带宽分配策略把合法数据包以及可疑数据包分别分配到高优先级队列和低优先级队列,以保证正常用户的服务质量。通过实验部署进行仿真设计,将基于优先级队列的DDoS攻击防御方案与基于传统去尾模式的DDoS攻击防御方案进行比较,证明改进的方案可以有效地减少来自DoS和DDoS攻击的恶意数据包流量,能为合法用户发送数据包提供平稳的带宽。     

网络入侵检测系统的拒绝服务攻击的检测与防御

针对网络入侵检测系统的拒绝服务攻击(DOS)具有难于检测与防御的特点，提出了一种新颖的检测与防御算法。该算法通过分析告警的频率与分散度来检测DOS攻击，并采用分阶段切换的方式将状态检测由正常模式转为紧急模式，丢弃不属于正常TCP会话的数据包，以实现对DOS的防御。性能分析和实验结果表明，该算法能够及时发现、防御DOS攻击，有效地阻止DOS攻击所造成的系统破坏。     

SDN中DDoS攻击的高效联合检测和防御机制

为解决软件定义网络(SDN,software-defined networking)控制器所面临的DDoS攻击问题,本文提出一个高效率的联合检测和防御机制.联合检测部分采用改进自组织映射(SOM,self-organizing mapping)算法和多维条件熵算法相结合,通过对自组织映射算法的改进,与多维条件熵算法相互提供反馈信息,达到高效联合检测目的.联合防御部分采用常规防御模块与快速防御模块相结合,通过调整优先级的方式针对不同的检测结果采取不同的防御策略.大量实验表明,本文的联合检测机制可以达到95.2%的检测率;与单独的防御机制相比,联合防御机制中控制器的响应时间可以平均降低0.11s.     

基于蚁群优化的命名数据网络QoS路由研究

针对命名数据网络(NDN)具有多样的路由转发策略,但都未能实现NDN的服务质量(QoS)保障能力,利用蚁群优化算法(ACO)设计相应的QoS路由机制(ACO_QoS)能够保障NDN的服务质量.实验结果表明:ACO_QoS能够在满足QoS的前提下找到一条花费最小的路由.     

基于多维信息熵值的DDoS攻击检测方法

针对互联网中日益严重的分布式拒绝服务攻击行为,提出了一种基于多维信息熵值的DDoS攻击检测方法.首先根据DDoS攻击的特点,采用条件熵及相异熵构建具有良好区分度的多维攻击检测向量,在此基础上采用滑动窗口的多维无参数CUSUM算法放大正常流量与攻击流量的差异来实现DDoS攻击的检测.通过实际网络攻击流量及合成攻击流量测试表明:文中提出的算法能够检测到LLS_ DDoS数据集及合成数据集中的全部攻击,算法对于DDoS攻击的响应速度快,能够应用于高速骨干网络中.     

IPv6下DoS/DDoS SYN Flood入侵和攻击的检测

在网络安全状况划分的前提下,分析SYN Flood半连接攻击的形式和特点.为了防范这种使网络资源耗尽的攻击,提出Ipv6下跟踪三次握手的SYN Flood入侵和攻击的检测方法,对系统实现的数据结构进行设计与论证.最后在"一个广播的局域网"的问题规模下对该系统的有效性进行测试.结果表明,模拟检测系统能够将含错误数据的数据包丢弃,将分片的数据包重新组合成完整的数据包.     

Smurf攻击及其对策研究

Smurf攻击为DDoS攻击中较为常见的一种。该攻击方式利用TCP／IP协议自身的缺陷,结合使用IP欺骗和ICMP回复方法,使网络因响应ICMP回复请求而产生大量的数据流量,导致网络严重的拥塞或资源消耗,引起目标系统拒绝为合法用户提供服务,从而对网络安全构成重大威胁。该文在分析了这种攻击实施的原理的基础上,提出这种攻击的检测方法和防范技术。     

网络洪流攻击的异常检测

提出了一种新颖的网络洪流攻击的异常检测机制。这种检测机制的无状态维护、低计算代价的特性保证自身具有抗洪流攻击的能力。以检测SYN洪流行为为实例详细阐述了流量强度、对称性度量的检测方法。测试结果表明所提出的检测机制具有很好的检测洪流攻击的准确度,并具有低延时特性。     

内容中心网络中基于熵率的攻击防御方法

兴趣包泛洪攻击通过耗尽路由器中待定兴趣表的资源从而对内容中心网络(content centric networking, CCN)产生严重的影响,目前的攻击防御方法主要是基于待定兴趣表的异常状态统计,但这些方法容易对合法用户产生误判,导致用户体验变差,因此针对内容中心网络中检测和防御兴趣包泛洪攻击的问题,提出基于信息熵和熵率的攻击防御方法。利用CCN中用户请求内容名称的随机性检测兴趣包泛洪攻击,再通过信息熵的差值识别恶意名称前缀,并向相邻节点发送包含恶意名称前缀信息的通知包,从而进行协同防御。仿真结果表明,与传统防御方法相比,在尽早检测出攻击的前提下,该方案能将突发流与攻击流进行区分,并快速抑制恶意兴趣包的转发,有效减少网络攻击造成的影响。     

抵御无线传感器网络中的重放攻击

分析当前无线传感器网络中抵御拒绝服务攻击的各种方案,分别存在安全性不强、误差较大、能耗较高,以及内存需求较大等问题。这些方案不适合安全性要求较高但资源严格受限的传感器节点。提出一种轻量注册认证算法,该算法采用移位加密技术,通过＂注册-查询＂机制,抵御重放攻击,确保网络的基本安全。通过仿真实验,证实该算法在存在较多恶意节点情况下,仍具有较高的认证率和数据新鲜性,并与其它方案在网络能耗方面进行对比,也显示出明显的优势。