SYN Flood攻击防御系统的研究与实现

针对SYN Flood攻击常用的防御方法存在的一些弊端,从仿真模拟攻击测试的角度,设计了一种应对SYN Flood攻击的防御系统。首先介绍了SYN Flood的攻击原理,提出了防御系统的设计和实现方案;在此基础上,根据攻击防御测试的目标和内容,实施了仿真模拟攻击及防御;并详细介绍了攻击及防御实施的过程。实验结果表明此系统能够有效的防御SYN Flood攻击,具有一定的实用性。     

SYN Flood攻击的防御性研究

SYN Flood攻击是分布式拒绝服务攻击中流行的攻击方式之一。这种攻击主要是利用协议的漏洞,发送大量伪造的源IP地址的攻击报文,使目标系统资源耗尽。为了有效地防范SYN Flood的攻击,描述了几种防御SYN Flood攻击的措施,使合法用户正常访问网络资源。     

浅析SYN Flood攻击的原理及实现

SYN Flood攻击是拒绝服务攻击中的一种典型攻击手段,是目前主流的网络威胁.SYN flood是利用TCP协议连接建立过程中存在的漏洞进行攻击.在分析了TCP协议和SYN Flood攻击原理的基础上,介绍了TCP/IP报文首部格式及部分攻击程序,并通过设计好的攻击程序在搭建的简单网络平台上进行攻击实验.根据实验结果分析SYN Flood所产生的危害,能帮助我们进行有效防御设计.     

利用Netfilter/iptables抗御SYN Flood攻击方法研究

SYN Flood攻击是目前最流行的DOS／DDOS攻击手段。首先介绍Linux环境下SYN Flood攻击的检测方法和防范手段,重点分析基于Netfilter／iptables的动态包过滤机制抗御SYNFlood攻击的原理,然后提出一种iptables与入侵检测系统（IDS）的集成解决方案,采用文件作为数据传递的载体并通过shell脚本编程实现。试验结果表明,该方法可以有效抵御SYN Flood攻击。     

刍议TCP/IP协议安全问题

TCP/IP协议现在用得非常广泛,但它本身也有一些安全上的缺陷。我描述了各种各样针对这些缺陷的攻击,包括序列号攻击,SYN Flood攻击。提出了一些对这些攻击的防御方法。     

一种面向网络行为因果关联的攻击检测方法

为了能在攻击目标受损之前检测到攻击事件,提出了一种面向网络行为因果关联的攻击检测方法．基于SNMPMIB数据,根据攻击目标的异常行为,利用GCT从检测变量中挖掘出与异常变量存在整体行为关联的基本攻击变量,然后针对异常行为特征,再次利用GCT从基本攻击变量中挖掘出与异常变量存在局部行为关联的攻击变量,最后根据攻击变量和异常变量之间的因果关系,构建面向攻击方检测的攻击关联规则．在Trin00 UDP Flood检测实验中,所提方法在挖掘出攻击变量udp Out Datagrams上取得了满意的检测效果．     

浅议校园网络防御常见攻击技术的实现

本文主要讨论校园网络安全问题中网络攻击的的防范方法,分析乐校园网络安全的现状,在对来自校园网络内、外的攻击建立相应防范体系,同时针对常见的ICMP攻击,TCP SYN Flood攻击以及Smurf攻击提出防范措施。     

IPv6下DoS/DDoS SYN Flood入侵和攻击的检测

在网络安全状况划分的前提下,分析SYN Flood半连接攻击的形式和特点.为了防范这种使网络资源耗尽的攻击,提出Ipv6下跟踪三次握手的SYN Flood入侵和攻击的检测方法,对系统实现的数据结构进行设计与论证.最后在"一个广播的局域网"的问题规模下对该系统的有效性进行测试.结果表明,模拟检测系统能够将含错误数据的数据包丢弃,将分片的数据包重新组合成完整的数据包.     

用数学方法研究单令牌环网的性能

运用数学分析法对单令牌环形网的性能进行了分析，借助于概率论、随机过程和排队论数学工具对其分析，同时给出了单令牌环形网在通信量对称分布和随机分布两种情况下的令牌循环时问和其它技术指标。分析结果可以为计算机模拟提供理论支持，对于网络设计具有重要作用。     

基于用户访问行为的HTTP-Get Flood攻击检测方法

提出用多分支的隐马尔可夫模型来分析Web页面访问行为,以区分正常数据和异常数据,并提出一种HTTP-Get Flood攻击检测方法.     

基于TCP_IP报头分析和主动测试的DDoS攻击响应机制

为了抵御分布式拒绝服务攻击(DDoS),必须解决的一个关键问题是如何有效地从正常的数据流中隔离出攻击流。文章提出了基于TCP_IP报头分析和主动测试的响应机制:使用动态更新的规则集来分析TCP_IP报头以抵御如UDP Flood这类的无连接攻击,通过主动测试机制来抵御面向连接的攻击。仿真结果验证了该机制的有效性。     

ARP木马病毒分析与解决方案

ARP木马病毒通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,造成网络中断或中间人攻击。     

一个改进的层次型传感器网络密钥管理协议

针对传感器网络中基于共享主密钥的现有密钥管理方案的不足,一种新的层次型传感器网络密钥管理方案——新LEAP（NLEAP）被提出,NLEAP在密钥建立阶段采用改进的BROSK协议来防止Hello Flood攻击和降低能耗,使用单向Hash函数和通信子密钥减轻密钥更新的代价。性能分析表明NLEAP不仅提高了安全性,而且也降低了能耗,并能适应多数路由算法的需要。     

基于双线性的有特权集门限代理签名方案

文章针对实际应用中代理者权限等级不同的情况,结合特权集的思想,提出有特权集的门限代理签名方案,当特权代理者和普通代理者分别达到相应门限值才能共同产生有效的门限代理签名,同时特权代理者和普通代理者之间可以互相监督,防止任意一方滥用代理权限;方案可以抵抗合谋攻击,具有特权集和门限签名的特性,满足不可伪造性和不可否认性;证明了方案的安全性和正确性;分析表明方案的效率和通信量是合理的。     

一种基于预警机制的自适应选择AS-AKA协议

针对UMTS认证与密钥协商AKA机制中使用序列号SQN不能有效抵抗重放攻击的问题,提出了一种基于预警机制自适应选择AS-AKA协议的方案,移动站MS收到用户认证请求消息后,通过验证接收消息的时间差或频率是否超过门限判断是否发出重放攻击预警.若有重放攻击预警,服务网络SN将协议切换到能有效抵抗重放攻击的APAKA协议.仿真结果表明,AS-AKA协议能够有效地抵抗重放攻击,相比UMTS AKA协议通过重同步过程抵抗重放攻击,本文方案抵抗重放攻击的同时降低了网络的比特通信量.     

基于RSA体制的数字移动通信系统用户认证方案

设计了一种基于RSA体制的数字移动通信系统的用户身份认证方案.其安全性基于大整数的分解难题,能抵抗包括网内攻击的多种攻击.用户请求采用预计算的方式,有效减少了实时计算量,满足移动通信系统中用户请求的实时性要求.与基于离散对数的方案相比,本方案用户端和网络中心的计算量与存储量少,能高效实现连续请求.理论分析表明:本方案安全性高,计算复杂性和通信量低,网络中心存储量低,符合数字移动通信系统要求.     

相邻蜂窝流动通信量编路分析

根据蜂窝式移动通信中平均和瞬时的电信量,对蜂窝重叠区采用流动通信量编路法,使其通信量达到最大值．并对其性能进行分析比较．     

解析 OAuth 2.0流程及认证接口设计

OAuth 2.0框架能够在无需向第三方应用泄露用户机密的情况下允许第三方应用访问受保护资源。与旧版本相比,OAuth 2.0提供了更简洁和更安全的环境。研究了 OAuth 2.0的工作流程,分析了认证客户端的设计方案并给出一个客户端应用实例。     

改进的三方量子秘密共享协议

针对Tan等人的三方量子秘密共享协议不能抵抗不可见光子特洛伊木马和延迟光子特洛伊木马攻击的缺点,提出了一个改进的三方量子秘密共享协议,该协议利用Bell态和幺正变换实现了三方的秘密共享。安全性分析表明,改进的协议不但能抵抗参与者攻击和一般的外部攻击,而且能抵抗2种特洛伊木马攻击,并有较高的量子比特效率。     

基于令牌桶阵列的DDoS流量过滤

为了提高分布式拒绝服务攻击(DDoS)流量过滤的性能,同时保证过滤的正确率,提出一种基于Poisson流随机分解模型的分类方法。该方法根据报文特征对流量进行分解后,基于2类流量的流速比随机判定报文的类别。设计了一个基于令牌桶阵列(TBA)的实现方案,不需要实时估计攻击流的参数,有效提高了过滤的性能。理论推导表明:Poisson流随机分解模型的理论错误率上限为最大后验概率判决法错误率上限的2倍,TBA在过滤突发性强的攻击报文时错误率会进一步下降。实验结果表明:TBA的过滤效果和NB(naive Bayes)方法相当,过滤突发性攻击流时错误率低于NB方法。