认证确定包标记算法

确定包标记算法只需要边界路由器进行标记，可以对只使用少量包的拒绝服务攻击进行追踪，能同时追踪上千个攻击者，并且易于实现。针对确定包标记算法中，被攻击者控制的路由器（边界路由器或中间路由器）修改标记或加入伪造包。进而妨碍受害者重构人口地址的问题，提出了新的基于MAC认证的确定包标记算法。研究表明，认证确定包标记算法提供了足够的安全性，能有效阻止子网内的攻击者或傀儡路由器伪造虚假的标记，从而保证了受害者端地址重构的准确性。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

基于路由器的TCP连接监控技术的分析与实现

拒绝服务攻击占用路由器和带宽的资源,导致网络和设备过载,是目前网络安全最主要的威胁之一.文章针对TCP-SYN flood这-"洪泛攻击",分析了目前主流的防范方法,提出了基于路由器的TCP连接监控技术,并在实验网环境下加以实践和验证.     

基于路由器的CBAC流量监控技术的分析与实现

拒绝服务攻击占用路由器和带宽的资源,导致网络和设备过载,是目前网络安全最主要的威胁之一。文章针对SYN flood拒绝服务攻击威胁,分析了CBAC的工作机制,提出了在Intranet和Intemet的边界点,基于路由器的CBAC安全特性来监控网络流量这一种简便、有效、实用的解决方法,搭建了实验网并在实验网环境下加以实现和验证。     

双重掩码的模幂算法聚类相关功耗分析攻击

相关功耗分析方法是模幂算法最常用的攻击方法之一，当设计中使用底数和指数双重掩码防护措施时，现有的相关功耗分析无法使用。采用高阶相关功耗分析可以对这类防护措施实施有效攻击，但会带来噪声、降低攻击准确率，并且攻击过程中分类方法采用人工观察设定阈值方式，攻击效果严重依赖于攻击者的经验。针对以上问题，提出了一种基于聚类相关功耗分析攻击方法，利用模乘之间功耗的相关性特征差异，评估功耗点有效度，提高有效信息利用率，降低噪声和人工参与过程。实验结果表明，针对双层掩码的模幂防范算法，聚类相关功耗分析与现有策略相比，攻击效率和算法通用性得到提升，400条功耗曲线攻击准确率收敛于1。     

基于DDoS攻击的检测与防御实验系统的设计

DDoS是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式,它对网络和网络服务的可用性构成极大的威胁,同传统的DDoS相比,基于应用层的DDoS攻击隐藏效果更好,破坏力更强。DDoS攻击检测是整个安全防范体系的重要一环,通过快速、准确地检测和识别攻击,为安全防御提供有效支撑。现有的大多数DDoS检测方法难以区分攻击者的攻击行为和突发的大流量正常请求行为,基于网络行为分析的检测方法对于攻击者的异常行为能够较好的辨识,因此基于网络行为分析的DDoS检测方法的实验系统对教学显得尤为必要。     

基于NPlab的H.530协议分析

针对H.530协议本身的安全漏洞,利用网络通信设计工具NPlab对H.530协议进行了来自于四种不同模型检测器的分析,并对OFMC检测模型所分析出的重放攻击的攻击路径和攻击过程进行分析,发现了H.530协议是不安全的,它有可能遭受来自攻击者的重放攻击.H.530协议是描述H.323协议多媒体移动环境安全规程的协议,本文提出通过增加有效的身份标识对H.530协议进行改进,从而更好地为H.323协议的多媒体移动环境提供安全保障.     

形式化攻击者能力描述的计算可靠性研究

研究在安全协议仅使用数据完整性算法时，形式化分析方法中形式化攻击者能力描述的计算可靠性，首先假设计算性攻击者的能力超过形式化攻击者的能力，然后构造攻击实验，进而论证攻击实验中计算攻击者的输出与签名算法或密钥杂凑函数的安全定义相矛盾。因此得出计算性攻击者所能生成的消息均属于形式化攻击者所能生成的消息闭集这一结论，基于该结论，可以构建或者改进形式化分析系统，使其具有计算可靠性。     

改进的可证明安全无证书签名方案

给出樊爱宛等无证书签名方案的一个伪造攻击,攻击显示第Ⅰ类强攻击者能成功伪造任意用户对任意消息的有效签名.分析发现原方案不安全的原因在于,签名阶段选取的随机数没有与消息M关联起来,通过将签名阶段选取的随机数与消息M相关的Hash函数值进行绑定的方式给出了改进方案,其中安全性最优的方案在签名阶段只需1个点乘,在验证阶段需要4个点乘,可抵抗第Ⅰ类超级攻击者、第Ⅱ类超级攻击者的攻击;其余方案在签名阶段只需1个点乘,在验证阶段需要3个点乘,可抵抗第Ⅰ类强攻击者、第Ⅱ类超级攻击者的攻击,针对现实世界的攻击者是安全的.改进方案在椭圆曲线离散对数困难性假设下是可证明安全的.     

两层无线传感器网络中隐私保护的范围查询

两层无线传感器网络中存储节点负责存储传感节点的数据和处理Sink节点的查询请求.然而,由于存储节点的重要性,使得存储节点成为攻击者攻击的目标,特别是存储节点被攻击者捕获后,攻击者能够获取隐秘的传感数据、伪造传感数据和丢弃部分查询结果等.因此,提出了一种安全的范围查询方案,保证了数据的机密性和真实性,并利用签名融合技术,极大地降低了通信量,且具有较高的完整性检测概率.在此基础上,提出了一种检测率更高的范围查询方案.理论分析和实验结果显示,所提出的方案具有较高的检测率和较低的通信量.     

一种分层无线传感网的匿名双因素用户认证协议

用户认证协议(User Authentication Protocol,UAP)可以确保访问用户的合法性与传感器节点感知信息的接入安全,是保障无线传感网(Wireless Sensor Network,WSN)应用安全的一项重要机制。现有用户认证协议(Fan协议)存在各种安全缺陷,易遭受多种网络安全攻击,尤其是无法有效抵御节点妥协攻击、口令猜测攻击、内部特权攻击等,也不支持用户的匿名性,无法保障用户的隐私。针对这些安全挑战,提出了一种分层无线传感网的匿名双因素用户认证协议(Anonymous Two-factor User Authentication Protocol,AT-UAP),该协议在注册阶段以哈希隐藏方式传输口令,提高了口令传输的安全性；增大网关节点秘密参数与用户的相关性,实现了秘密参数的唯一性；在认证阶段,增大会话密钥与系统时间和用户的关联性,实现会话密钥的唯一性和动态性；引入口令更新机制,用户可以在不联系簇头节点的情况下,自由更新口令,保障了口令的新鲜性。逻辑分析与仿真结果表明,与Fan协议相比,AT-UAP协议在仅增加少量计算开销的基础上,不仅可以防御节点妥协攻击、口令猜测攻击和内部特权攻击,而且实现了用户匿名性；与Nam协议、He-Kumar协议、以及Mir协议相比,AT-UAP协议采用了哈希函数、级联操作和异或操作等轻量级安全操作,减少了传感器节点计算开销,优化了传感器节点向网关节点的注册流程,综合性能优于上面提到的三种用户认证协议。因此,AT-UAP协议不但适用于资源受限的传感器节点,而且显著提高了无线传感网安全性。     

IEC 61850协议DoS攻击的ECC-AES防御算法

IEC 61850是基于网络通信平台的变电通信系统国际标准,由于IEC 61850缺乏加密和认证安全机制,导致其易受到网络攻击。为了验证IEC 61850协议通信存在的问题,在变电站通信仿真系统下,分析了IEC 61850通信协议,模拟了IEC 61850 的拒绝服务(DoS)攻击,提出了ECCi-AES防御算法。该算法通过抓取IEC 61850报文,获取、应用协议数据单元(APDU)并加密。实验结果表明,通过改进的高级加密标准(AES)和椭圆曲线密码编码(ECC)加密算法,可以有效地加密通信数据,增强防御DoS攻击的能力。     

基于“写”操作的Web安全防护系统的研究

在当前的网络环境下,“Web体系”成为网络上最常见和实用的网络应用系统.针对“Web服务系统”的攻击也层出不穷,传统的网络安全系统(防火墙+入侵防御系统)难以应对.文章从网络安全的角度,分析了现有“Web系统”的安全问题,以及现有“Web系统”在应对网络攻击行为时的不足.针对“Web系统”受攻击时会在服务器上进行“写”操作的特点,在网络上对Web服务器上的“写”行为的数据流进行安全监测和管理,来保证Web应用系统的安全.探讨了一种新的网络安全防护的思路.     

仿真环境中的网络攻击模型设计

阐述了仿真环境中的网络攻击模型的设计,建立了一个网络攻击仿真模型,用以产生网络攻击,以达到摧毁网络的机密性、完整性和可用性的目的;采用知识表达的方法来建立模型,该模型包含具有知识库和推理机的专家系统,通过随时间而变化的量,使模型具有基于仿真时钟的推理能力;在攻击模型的设计中,定义了它的基本状态和状态跃迁函数,说明了模型的行为,以及攻击策略的制定,最佳策略的选择,攻击选择原则等问题。     

基于树型结构的APT攻击预测方法

近年来,高级持续性威胁已成为威胁网络安全的重要因素之一。然而APT攻击手段复杂多变,且具有极强的隐蔽能力,使得目前常用的基于特征匹配的边界防护技术显得力不从心。面对APT攻击检测防御难题,提出了一种基于树型结构的APT攻击预测方法。首先结合杀伤链模型构建原理,分析APT攻击阶段性特征,针对攻击目标构建窃密型APT攻击模型;然后,对海量日志记录进行关联分析形成攻击上下文,通过引入可信度和DS证据组合规则确定攻击事件,计算所有可能的攻击路径。实验结果表明,利用该方法设计的预测模型能够有效地对攻击目标进行预警,具有较好的扩展性和实用性。     

基于神经网络的伪造IP拒绝服务攻击检测与过滤

通过对互联网行为的研究,提出了一种基于神经网络的伪造IP拒绝服务攻击检测与过滤技术.该技术在对互联网IP数据包路由路径的合理假设下,充分利用了神经网络的学习和表达能力,使用未发现攻击时的数据进行学习与检测,在发现攻击时利用神经网络进行过滤.通过分析过滤方法在一定程度上达到保护本地网络不受DDoS攻击侵害的目的.经分析和验证,该方法在攻击检测与过滤中具有一定效果.     

基于4字节ASN扩展的BGP协议安全漏洞

针对边界网关协议（BGP）路由策略提出一个可以造成流量劫持的BGP协议安全漏洞——多出口描述符（MED）漏洞. 4字节自治域号的引入造成BGP设备部分私有配置失效,在毫不知情的情况下导致数据流量被劫持到邻近的网络服务提供商,带来严重安全威胁.在Cisco环境下的仿真实验结果表明,MED漏洞无感地转移数据流量,可利用该漏洞部署中间人攻击.     

SQL注入攻击与防御

SQL注入攻击是目前网络攻击的主要手段之一,目前防火墙不能对SQL注入漏洞进行有效地防范。网络应用程序被SQL注入攻击,对数据库进行破坏性的攻击,这种攻击的技术难度不高,但危害性大。文章介绍了SQL注入攻击的概念、分析了SQL注入攻击的原理,最后总结了防御SQL注入攻击的方法。希望广大的WEB应用程序开发人员在开发过程中不断地提高程序的安全性。     

蜜罐技术在网络安全中的应用

对蜜罐和蜜网的概念与应用进行论述,通过采用蜜罐技术对网络威胁进行主动防范,包括检测攻击、防止攻击造成破坏和帮助安全管理人员对攻击作出及时响应等,给出了对SYN-flood和网络蠕虫等网络攻击采用蜜罐技术进行追踪的方法,从而提高一个组织机构系统所处环境的安全性并降低其风险。     

基于规则的检测SQL注入攻击方法的研究

介绍了一种典型的针对网络应用层的攻击——SQL注入攻击,在分析了SQL注入攻击的形式、特点及攻击手法的基础上提出了一种基于规则的检测SQL注入攻击的方法,并给出了在Snort中的实现形式,使得SQL注入攻击在网络边缘就被识别并阻隔,以此保护服务器及内部网络的安全.