使用ns2模拟与改进PPM算法

根据推测路径需要的数据包数量、 推测复杂性和误报率等参数, 对不同的随机包标记（PPM）算法进行了评价. 通过扩充ns2、 确定攻击拓扑和攻击流量建立一个模拟测试环境, 实际模拟并对比分析了各种PPM算法, 可测试大规模DDoS攻击下各种PPM算法反向追踪的执行效果. 根据模拟过程和结果, 提出PPM的改进方向, 从而有效提高了反向追踪的实时性.     

面向拒绝服务攻击的多标签IP返回追踪新方法

针对网络安全中拒绝服务攻击难以防御的特点,提出面向拒绝服务攻击的多标签IP返回追踪方法(iTrace-DPPM),用以识别基于互联网控制报文协议(ICMP)的直接和反射式拒绝服务攻击的真实源地址.该方法首先结合ICMP数据段大小及最大传输单元阀值,计算单一ICMP数据报文可携带的路由标记数,再根据数据包的幸存时间推断路由器与攻击源头的距离,将路由器的标记概率设定为距离的倒数,并针对每个标记域独立地执行概率标记算法,最后受害目标根据接收的标记信息,实现转发路径的重构及源头识别.与已有的动态概率包标记方法相比,iTrace-DPPM方法具有路径重构所需数据包少、支持部分部署及无额外负载的优点.NS2环境下的模拟实验结果证实,路径重构所需的攻击包数降为DPPM方法的路由标记数的倒数.     

基于Linux下防止IP欺骗的SYN攻击防火墙的设计与实现

设计是以redhat5.O为实验平台构建一个防御IP欺骗SYN攻击的包过滤防火墙.是以RED算法为基础,结合TCP数据包重传机制,检验SYN数据包的IP地址真实性.对TCP请求数据包利用RED算法判断TCP请求的平均队列长度和包丢弃概率.平均队列长度超过系统负载最大值时,直接按照随机分配的丢弃概率判断是否丢弃数据包.平均队列长度在系统负载之内时,如果当前的丢弃概率大于给定的阈值,则查找哈希表是否有相同的数据节点,找到则接受该数据包,没找到则保存数据包信息到哈希表,同时丢弃该包.经过分析研究和实验的验证,该防火墙具有较好的吞吐量,同时正常数据包的通过率较高.     

一种基于分组漏斗的DDoS防御机制

提出一种新的基于分组漏斗算法以防御DDoS攻击.该算法引入基于历史IP过滤(History-based IP Filtering)算法思想,并采用活动IP(AIP)表和等待矩阵(Waiting Ma-trix)两级过滤机制保护服务器.实验结果显示,该防御方案以牺牲少量随机合法用户的正常访问为代价,过滤掉大部分攻击包,从而确保大多数合法用户的正常访问.     

抵御蠕虫攻击的一种方法-Honeypot系统

Internet大面积遭受蠕虫攻击的事件时有发生，针对这种问题，引入Honeypot技术，结合入侵检测系统(IDS)、数据挖掘提出了一种解决办法：将Honeypot置于DMZ中，利用其欺骗地址空间技术覆盖服务器中没有用到的IP地址，捕获蠕虫；IDS监控流入网络的数据包，对入侵作出反映；系统日志异地保存。该系统能有效抵御目前已经出现的蠕虫攻击，同时对新出现的目前未知的蠕虫攻击也有很好的防御效果。     

基于聚集算法的DDoS数据流检测和处理

提出了一种应用于路由器的嵌入式DDoS(分布式拒绝服务攻击)防御算法。针对DDoS攻击的本质特征,对IP数据流进行轻量级协议分析,把IP数据流分为TCP、UDP和ICMP(网间控制报文协议)数据流,分别建立相应的聚集模式,根据该模式来检测DDoS聚集所占资源,采取相应的抑制措施过滤攻击数据包,从而保证合法数据流的正常转发。仿真试验证明该方法能准确地检测到DDoS攻击,处理效果很好。     

基于路由器流量分析的DDoS反向追踪

提出了一种能够基于路由器流量分析的DDoS反向追踪方法.在DDoS攻击发生时,通过输入调试回溯到所有发往受害者流量的入口路由器,然后分析每个入口路由器流量中是否存在攻击流量,从而确定所有攻击流量入口路由器.文中给出了基于流量自相似的攻击流量检测算法,设计了基于蜜罐群的路由器攻击流量检测与追踪平台,并对该追踪方法进行了性能分析.结果表明,提出的反向追踪方法可以精确追踪到全部DDoS攻击流量的入口路由器.     

基于代理的IP包源追踪系统

提出了一种不需要ISP合作的基于代理的IP包源追查体系结构,描述了支持这种体系结构的分布式包记录代理服务器和集中式反向追查安全控制服务器的实现步骤,扩充了UnixIP包转发算法,实现了包摘要算法和自动追查系统,解决了诸如可疑包的识别、记载、追踪的安全性,节省路由器资源·通过仿真实验证明基于代理的IP包追踪方法是行之有效的·     

一种快速且安全的概率标记追溯技术

现有的包标记技术,如概率包标记方法(PPM)、基于TTL的包标记方法(TPM)和动态概率包标记方法(DPPM),不能快速重构攻击路径和防御攻击者伪造标记。该文提出了自适应概率标记方法(APMS)。数据包在进入网络时,其TTL值在第1跳路由器被修改为统一值,中继路由器能够推断出接收的数据包在网络中已传送的跳数,并自适应地以跳数的倒数为概率,标记该数据包。APMS方法中,受害者平均接收最少的攻击包即可重构攻击路径,并可完全消除攻击者伪造标记所带来的影响。NS2模拟实验证明:使用APMS方法,受害者收集齐重构攻击路径所需标记耗费的时间比其他方法要少20%以上,并且攻击者伪造的标记不能到达受害者,从而不会对受害者重构攻击路径产生影响。     

一种IP数据包快速分类算法

为了提高查找效率,在无冲突哈希查找算法和Grid of Tries算法的基础上提出了一种基于无冲突哈希和多比特Trie树(NHMT)的IP分类算法.该算法的核心有3部分:哈希函数的构造,主要是采用基于目的端口和协议两域构造哈希函数,使得在最坏情况下完全避免了空间爆炸问题;在Grid of Tries算法的基础上,对Grid of Tries算法改造成修剪的Trie树和多比特Trie树,以减少空间复杂度;在无冲突哈希查找算法的基础上扩展一层用于存放源端口号(或范围),扩展后一般要提高算法的时间复杂度,要通过引入多比特Trie树的方法进行解决.对于空间复杂度方面与无冲突哈希查找算法比较,一般情况下不增加空间复杂度.通过仿真,当对10 000条规则进行包分类时,该算法的分类速度可以达到1 Mbit/s,所消耗的最大内存为8.2 MB.     

数据挖掘技术在入侵检测系统中的应用

将入侵检测系统中的攻击程度进行分类,并利用数据挖掘技术在入侵检测系统中加以应用。尽管入侵检测系统能够对攻击行为进行检测,但其结果还是具有不确定性的,利用这种划分能够对攻击行为的不确定性进行描述,也可以让用户对入侵行为进行灵活的调整。     

数据挖掘技术在入侵检测系统中的应用

将入侵检测系统中的攻击程度进行分类,并利用数据挖掘技术在入侵检测系统中加以应用.尽管入侵检测系统能够对攻击行为进行检测,但其结果还是具有不确定性的,利用这种划分能够对攻击行为的不确定性进行描述,也可以让用户对入侵行为进行灵活的调整.     

数据挖掘技术和攻击的不确定性

根据入侵检测的特点,将入侵检测系统中的攻击程度进行了分类,并将数据挖掘技术应用到入侵检测系统中.根据入侵检测系统对攻击行为进行检测结果的不确定性划分,能够对攻击行为的不确定性进行描述,也可以让用户对检测策略进行灵活的调整.     

基于思科路由器的IPS实现

随着网络入侵事件的不断增加和黑客攻击水平的不断提高,传统的防火墙或入侵检测系统（IDS）显得力不从心,这就需要能够检测入侵行为并做出保护的系统来实现网络安全。近年来兴起的入侵防御系统（IPS）就能够实现这样的功能,它根据网络攻击的特征行为定义出相应的特征库,当检测到攻击行为时,便采取定义好的动作来保护网络的安全。低版本的思科路由器不具备IPS功能,高版本的思科路由器IOS中增加了这一功能。文中通过配置思科路由器实现入侵保护,维护网络安全。     

Study on an absolute non-collision hash and jumping table IP classification algorithms

In order to classify packet, we propose a novel IP classification based the non-collision hash and jumping table frie-tree (NHJTTT) algorithm, which is based on noncollision hash Trie-tree and I.akshman and Stiliadis proposing a 2-dimensional classification algorithn! (LS algorithm). The core of algorithm consists of two parts: structure the non-collision hash function, which is constructed mainly based on destination source port and protocol type field so that the hash {unction can avoid space explosion problem; introduce jumping table frie tree based LS algorithm in order to reducetime complexity. The test results show that the classification rate of NHJTTT algorithm is up to 1 million packets per second and the maximum memory consumed is 9MB for 10000 rules,     

基于主动测量的接纳控制方法

提出了一种新型的基于主动测量的接纳控制方法（AMBAC）用于保证IP网络中传输的数据业务的服务质量。该方法的基本思想是：入边界路由器主动地向出边界路由器发送探测包,出边界路由器通过对于探测包的监测来估计该传输路径上的网络资源使用状况,并以此为根据进行接纳控制。该方法具有良好的可扩展性和较短的接纳控制响应时间。仿真结果表明,该方法可以较为严格地保证数据传输业务的服务质量,同时达到了较高的网络资源利用率。     

并行入侵检测系统的动态自适应负载均衡算法

网络入侵检测系统的处理速度难以跟上网络的速度,使用多个分析引擎并行处理网络报文可以大幅度提高网络入侵检测系统的性能。考虑到负载均衡的要求,提出了一种并行入侵检测系统的动态自适应负载均衡算法,该算法给每个分析引擎设置了一个数据包接受区间,通过对网络报文的报头信息做哈希运算,把数据包映射到分析引擎的接收区间内;根据分析引擎的处理能力和负载情况调节各个分析引擎接受区间的宽度,从而合理分配每个分析引擎上的网络流量,充分利用所有分析引擎的计算能力。理论分析和实验结果表明,该算法在高带宽环境中有较高的效率。     

基于防火墙的网络入侵检测系统

提出了一个基于防火墙的网络入侵检测系统模型,克服了传统入侵检测系统不能实现主动控制的缺陷,并对设计与实现中的关键技术做了详细的描述·该系统在数据链路层截取实时的数据包,对其进行基于安全策略的访问控制分析;同时利用事件发生器从截获的IP包中提取出概述性事件信息并传送给入侵检测模块进行安全分析·入侵检测模块采用基于统计的入侵检测技术,并采用了NaiveBayes算法·基于该模型设计实现的系统在实际测试中表明对于具有统计特性的网络入侵具有较好的检测与控制能力·     

一种基于证明树反演的安全漏洞定位方法

针对Web应用中普遍存在SQL注入漏洞等问题，提出了一种基于证明树反演的漏洞定位方法．该方法可对攻击产生的根源直接进行源代码的漏洞挖掘，其核心思想是：通过在脚本中反向追踪数据库操作所涉及的变量来检验其是否受到外界的影响，从而达到控制数据库操作的安全隐患．实验结果表明，所提方法能够准确验证53．8％的数据库操作的安全性，对于不能做出自动判定的风险操作，则能给出变量的依赖关系．该方法适用于以各种脚本语言和数据库系统搭建的Web应用平台．