互联网假冒源地址攻击的分类

假冒源地址攻击具有容易实施、不易被追溯的特点,这种攻击行为在互联网上日益猖獗。该文总结了互联网假冒源地址问题、探索其攻击的各种形式、分析其带来的危害。将假冒源地址攻击用3个基本要素描述为:攻击者A,攻击目标V和被假冒主机H。根据H与A和V的相对拓扑结构,将假冒源地址攻击归纳为在网外H0、攻击目标H1、攻击目标子网H2、攻击者子网H3、攻击者与攻击目标路径上H4及其他H56类。这将有助于清晰地理解真实地址问题,指导假冒源地址防御技术的设计,为建立保证源地址真实性的互联网体系结构奠定基础。     

IPv6下DoS／DDoS源地址伪造攻击的检测

IP源地址欺骗是绝大部分DoS／DDoS攻击的典型特征，通过分析其攻击的目的和目前防御的主要手段，提出了在IPv6下将源地址伪造的检测放在伪造发生的本地网络中进行检测的新技术．     

针对SDN基础设施的拒绝服务攻击防护框架

为了进一步缓解针对SDN基础设施的典型拒绝服务攻击(数据-控制平面饱和攻击),提出了一种控制器和交换机协作式的安全防护框架,即FloodShield.在该攻击中,攻击者通过洪泛伪造数据包,使数据平面产生大量表项缺失和packet-in数据包,从而消耗SDN基础设施不同层次的资源:数据平面的TCAM资源、控制通道的带宽资源和控制器的CPU资源等.通过对这种攻击的详尽分析,提出并设计了易部署、全面性和轻量化的FloodShield防护框架.该框架主要使用了2个关键技术:1)源地址验证,用于在数据平面过滤源地址伪造的数据包;2)有状态数据包监控,用于监控源地址真实流量的状态,并基于流量评价打分和网络资源使用量采用动态的防护措施.实验结果表明,相比于之前的防护框架,FloodShield在消耗更少系统资源的同时,对SDN架构的数据平面、控制通道和控制平面都提供了有效的保护.     

一个高效的无证书盲签名方案

提出了一个高效的无证书盲签名方案.在随机预言机模型下,证明了新方案在适应性选择消息、选择身份攻击下是存在不可伪造的,能够有效抵抗AⅠ攻击者的替换公钥攻击和AⅡ攻击者的KGC攻击.方案中在签名阶段没有任何双线性对运算,在验证阶段只有一个双线性对运算,并且不需要使用映射到点(Map to Point)的特殊哈希函数.与已有方案相比,所提方案在计算量上更具优势.同时方案采用无证书公钥密码体制,解决了基于证书签名方案的证书管理问题和基于身份签名方案的密钥托管问题.     

一种基于RC4的软件水印算法

针对攻击者能伪造水印从而假冒合法产品的问题,提出一种结合RC4与PPCT的软件水印算法。版权所有者产生版权信息后,将版权信息利用RC4密码算法加密,然后将加密后的信息嵌入到宿主程序当中,使版权信息与水印信息分离。仿真实验显示版权信息与水印信息之间存在很大差异,可以有效解决攻击者冒充版权所有者产生假冒产品的问题.     

基于攻击图的网络脆弱性分析方法

传统的攻击图分析方法在计算攻击目标可达概率时没有考虑攻击者的行为特征,降低了分析结果的准确性。为了解决这个问题,首先对全局攻击图模型进行了介绍,然后提出了一种基于全局攻击图的网络脆弱性分析方法。该方法利用网络状态间的转移概率描述攻击者的行为特征。在此基础上,计算攻击目标的可达概率。实验结果表明：安全管理人员利用该方法能够从全局角度分析网络的脆弱性,获得的分析结果更加客观、准确。     

Apache WEB Server安全配置和维护

主要针对三个安全缺陷进行讨论,包括：使用HTTP协议进行的拒绝服务攻击DOS(aenial of service)、3缓冲区溢出攻击以及被攻击者获得root权限。详细介绍如何正确配置和维护Apache WEB Server的安全性问题等。     

基于真实IPv6地址的P2P邮件系统研究与实现

电子邮件一直是互联网最重要的应用之一,但现有基于SMTP协议和客户/服务器模式的电子邮件系统采用类似路由器的转发机制,由于服务器无法验证最初发送者的身份或源地址的真实性,导致垃圾邮件泛滥,而现有基于内容分析的过滤机制误判率高,经常导致邮件丢失.本文研究基于真实IPv6地址访问的P2P电子邮件体系结构,提出了基于真实IPv6地址的发信人身份认证技术,设计实现了基于真实IPv6地址访问的P2P电子邮件系统,实现了对发信人源地址的认证与追踪,使得假冒源地址的垃圾邮件根本无法发出.     

无线局域网802.1 X协议安全性分析与检测

针对无线局域网(WLAN)802.1X协议易受重放、拒绝服务等攻击的问题,采用非形式化方法,根据攻击者的能力,从攻击者扮演的协议角色,即模仿正常的协议行为和破坏正常的通信出发,分析了802.1X协议的安全性,并对攻击行为进行了分类,据此提出了一种基于攻击的无线局域网主动测试方法.通过构造协议报文序列、模拟攻击者的攻击行为对协议运行主体进行攻击,从而判断协议是否存在安全漏洞.测试结果表明,所提方法有效地结合了攻击者和测试者的特点,在一定程度上覆盖了针对802.1X协议的已知安全漏洞,并具有发现潜在问题的能力.     

基于真实IPv6地址的P2P邮件系统研究与实现

电子邮件一直是互联网最重要的应用之一, 但现有基于SMTP协议和客户/服务器模式的电子邮件系统采用类似路由器的转发机制,由于服务器无法验证最初发送者的身份或源地址的真实性,导致垃圾邮件泛滥,而现有基于内容分析的过滤机制误判率高,经常导致邮件丢失.本文研究基于真实IPv6地址访问的P2P电子邮件体系结构,提出了基于真实IPv6地址的发信人身份认证技术,设计实现了基于真实IPv6地址访问的P2P电子邮件系统,实现了对发信人源地址的认证与追踪,使得假冒源地址的垃圾邮件根本无法发出.     

基于攻击路径图的入侵意图识别

为了预测攻击者高层次的攻击目标,感知网络的安全态势,提出入侵意图识别方法.给出入侵意图的概念及其分类,提出一种基于层次化的攻击路径图.利用攻击路径图对攻击者的意图可达性、意图实现概率、意图实现的最短路径和攻击路径预测进行定量分析.应用有向图的最小割理论制定防护措施阻止攻击者意图的实现,为管理员的决策提供依据.实验验证了该方法的可行性和有效性.     

针对可自适应帧标记的IEEE 802．11的DoS攻击抵御追踪方案

由于针对低层协议的拒绝服务（Denial of Service,Dos）攻击有可能对战场网络进行大规模的破坏,被攻击者必将把攻击泺追踪技术引入到低层协议。针对采用自适应帧标记技术的可追踪攻击源的改进802．11协议,提出了一种简单的DoS攻击抵御追踪方案。把自尊粤塑标记降簪为确定帧标记。通过性能分析,可以看出提出方案增加了被攻击者追踪攻击者的难度。     

Linux 环境下Web服务器攻击的防范措施研究

Linux系统下Web服务器所受到的攻击越来越频繁.为了保护Web服务器不被恶意攻击与破坏,就必须针对从HTTP拒绝服务攻击、缓冲区溢出、基于PHP的SQL注入攻击以及攻击者获取root权限等问题,对相应的硬件与软件进行合理的配置.     

基于traceroute的多特征子网发现与分析

互联网测量的研究促进了路由器级拓扑发现的发展，而网络层的子网能为其提供更详细的中间互补视图.针对子网边界条件以及完整性考虑不足引起的准确率较低问题，提出了一种多特征结合子网发现算法.研究了同一子网IP的traceroute路径特征，将多个特征结合设计更精准的子网边界判定条件.通过筛选子网的完整性，缩小候选子网的搜索空间，启发式求解子网发现问题.实验结果表明，本文算法与现有其他算法相比，能更准确地发现子网，有效地减少子网误报情况，同时效率有所提高.最后，对六个地理上分散的ISP进行子网推断，并分析了这些ISP之间常见的各种子网特征.     

面向拒绝服务攻击的多标签IP返回追踪新方法

针对网络安全中拒绝服务攻击难以防御的特点,提出面向拒绝服务攻击的多标签IP返回追踪方法(iTrace-DPPM),用以识别基于互联网控制报文协议(ICMP)的直接和反射式拒绝服务攻击的真实源地址.该方法首先结合ICMP数据段大小及最大传输单元阀值,计算单一ICMP数据报文可携带的路由标记数,再根据数据包的幸存时间推断路由器与攻击源头的距离,将路由器的标记概率设定为距离的倒数,并针对每个标记域独立地执行概率标记算法,最后受害目标根据接收的标记信息,实现转发路径的重构及源头识别.与已有的动态概率包标记方法相比,iTrace-DPPM方法具有路径重构所需数据包少、支持部分部署及无额外负载的优点.NS2环境下的模拟实验结果证实,路径重构所需的攻击包数降为DPPM方法的路由标记数的倒数.     

Web浏览器跨协议通信安全性研究

阐述了浏览器跨协议通信的安全性问题,这类通信是通过将一个目标协议封装进一个载体协议中来完成的.研究表明,在满足协议有足够的容错度和有方法将目标协议封装进载体协议两个前提下,完全独立的两个协议是可以互操作的,潜在的两个不同的协议能够进行命令和数据的通信.因此跨协议通信为攻击者利用载体协议实现对目标协议的攻击提供了新的可能性,主要安全问题诸如跨协议跨站脚本、跨协议特征探测、暴力攻击.     

利用有限域上典型群几何学构造笛卡尔认证码（I）

利用有限域上辛几何、酉几何与正交几何构造了一类笛卡尔认证码，并且计算了其参数。假设编码规则是按照一种均匀概率分布选择的，那么假冒攻击成功的概率ＰＩ和替换攻击成功的概率Ｐｓ也被计算。     

利用有限域上典型群几何学构造笛卡尔认证码（Ⅰ）

利用有限域上辛几何、酉几何与正交几何构造了一类笛卡尔认证码，并且计算了其参数．假设编码规则是按照一种均匀概率分布选择的，那么假冒攻击成功的概率ＰＩ和替换攻击成功的概率ＰＳ也被计算。     

一种快速且安全的概率标记追溯技术

现有的包标记技术,如概率包标记方法(PPM)、基于TTL的包标记方法(TPM)和动态概率包标记方法(DPPM),不能快速重构攻击路径和防御攻击者伪造标记。该文提出了自适应概率标记方法(APMS)。数据包在进入网络时,其TTL值在第1跳路由器被修改为统一值,中继路由器能够推断出接收的数据包在网络中已传送的跳数,并自适应地以跳数的倒数为概率,标记该数据包。APMS方法中,受害者平均接收最少的攻击包即可重构攻击路径,并可完全消除攻击者伪造标记所带来的影响。NS2模拟实验证明:使用APMS方法,受害者收集齐重构攻击路径所需标记耗费的时间比其他方法要少20%以上,并且攻击者伪造的标记不能到达受害者,从而不会对受害者重构攻击路径产生影响。     

基于Stackelberg策略的多Agent强化学习警力巡逻路径规划

为解决现有的巡逻路径规划算法仅仅能够处理双人博弈和忽略攻击者存在的问题,提出一种新的基于多agent的强化学习算法.在给定攻击目标分布的情况下,规划任意多防御者和攻击者条件下的最优巡逻路径.考虑到防御者与攻击者选择策略的非同时性,采用了Stackelberg强均衡策略作为每个agent选择策略的依据.为了验证算法,在多个巡逻任务中进行了测试.定量和定性的实验结果证明了算法的收敛性和有效性.