基于P2P泛洪DDoS攻击的防范研究*

提出了基于马尔可夫过程的信任和信誉模型,在节点间构建信任关系,利用节点间信任与信誉信息的交互对恶意节点进行识别,阻断对恶意消息的转发传播,从而增强抵御DDoS攻击的效能。仿真实验结果表明,提出的模型能有效地隔离恶意节点的消息数,提高网络抵御这种基于应用层的DDoS攻击的容忍度。     

非结构去中心化的P2P网络DDoS攻击的防御研究

针对非结构去中心化的P2P网络可能作为DDoS引擎而产生大规模的网络攻击,提出了一种基于人工免疫(AIS)的方法来对非结构去中心化的P2P网络中的恶意节点进行免疫处理。通过在非结构去中心化的P2P网络中的节点上构建人工免疫系统,利用抗体和抗原之间天然的亲和关系,以及抗体不断进化的特点,实时计算由返回查询消息的节点提供的资源信息而进行请求得到的请求结果状态序列与检测器中的对应节点的请求状态序列特征之间的亲和力,并检测出恶意节点。在NS2仿真平台上通过修改GnuSim插件,对非结构去中心化的P2P网络中节点的人工免疫系统进行模拟仿真,实验仿真验证了该方法的可行性,且能够有效地降低非结构去中心化P2P网络中恶意节点产生的DDoS攻击程度。     

抵御SIP分布式洪泛攻击的入侵防御系统

针对SIP分布式洪泛攻击检测与防御的研究现状,结合基于IP的分布式洪泛攻击和SIP消息的特点,提出了一种面向SIP分布式洪泛攻击的两级防御分布式拒绝服务(DDoS)攻击体系结构(TDASDFA):一级防御子系统(FDS)和二级防御子系统(SDS)。FDS对SIP的信令流进行粗粒度检测与防御,旨在过滤非VoIP消息和丢弃超出指定速率的IP地址的SIP信令,保证服务的可用性;SDS利用一种基于安全级别设定的攻击减弱方法对SIP信令流进行细粒度检测,并过滤具有明显DoS攻击特征的恶意攻击和低流量攻击。FDS和SDS协同工作来实时检测网络状况,减弱SIP分布式洪泛攻击。实验结果表明,TDASDFA能实时地识别和防御SIP分布式洪泛攻击,并且在异常发生时有效地减弱SIP代理服务器/IMS服务器被攻击的可能性。     

P2P网络的准入控制方案

提出了一个P2P网络的准入控制方案。该方案不仅能根据安全需求对节点进行资格审核,屏蔽掉一些不符合安全要求的节点,而且能抵抗Kim等人方案中存在的Sybil攻击和合谋攻击。此外,该方案还具有当节点进入P2P网络后,如有恶意行为,网络能剔除这些恶意节点等特性。     

P2P网络的准入控制方案

提出了一个P2P网络的准入控制方案。该方案不仅能根据安全需求对节点进行资格审核，屏蔽掉一些不符合安全要求的节点，而且能抵抗Kim等人方案中存在的Sybil攻击和舍谋攻击。此外，该方案还具有当节点进入P2P网络后，如有恶意行为．网络能剔除这些恶意节点等特性。     

P2P网络的恶意节点检测模型

为了解决分布式结构给P2P网络带来的安全问题,提出了一种适用于P2P网络的恶意节点检测机制,在此基础上设计了P2P网络恶意节点检测模型。在网络中定义针对不同攻击的节点行为规范(NBS),并根据NBS对节点之间发送的消息进行比较,找出与多数节点发送消息具有不同内容的节点,定义为恶意节点,然后利用分布式证书机制将恶意节点清除出网络。实验结果表明,该机制具有较好的可靠性和有效性。     

基于分层代理的P2P网络信誉管理模型

针对大多数信誉管理机制忽略节点的匿名性和其中的信息洪泛现象,构造一种基于分层信誉代理的P2P网络信誉管理模型HARMM。该模型采用多个公,私钥组合使用和洋葱路由等方法,通过理论分析及仿真实验证明该模型能较好地保证节点匿名性和数据可信性,有效抵抗一些典型的安全攻击。     

抵御欺骗攻击的DV-hop安全定位算法

针对无线传感器网络中距离无关的定位技术,提出了DV-Hop定位中普通节点被俘获的欺骗攻击模型,分析了这种欺骗攻击模型对DV-Hop定位过程的影响,进而提出了一种抵御欺骗攻击的DV-Hop安全定位算法.首先,在普通节点端提出了基于发送-转发信息一致性的检测机制来检测恶意节点;其次,在汇聚节点端提出了基于消息转发链举证的检测机制来确定恶意节点;最后,当汇聚节点检测出存在恶意节点进行篡改攻击后,汇聚节点通报全网弃用恶意节点转发的数据分组并重启定位.仿真结果表明,本文提出的安全定位算法可以有效滤除恶意节点,且安全定位算法的定位性能与无攻击下的DV-Hop定位性能基本相当,可以有效解决欺骗攻击对DV-Hop定位过程造成的影响.     

一种基于TPM的DoS/DDoS攻击防范方法

提出一种利用可信技术来抵御DoS/DDoS攻击的方法.在现有的网络传输机制中对设备和协议做了一些加强,在攻击发起之时隔离恶意连接请求,以维持服务器正常运作.     

基于SD-IoT的DDoS攻击防御方法

为解决软件定义物联网中防御DDoS攻击的问题,提出一种攻击溯源与防御方法.该方法部署在软件定义物联网控制器中,当检测到网络中有DDoS攻击发生时,进行节点流量特征提取,利用提出的基于信任模型-自组织映射(trust model-self organizing map,T-SOM)算法的DDoS攻击溯源方法,根据提取到的节点流量特征对网络内节点进行聚类,通过控制器中的网络拓扑找出攻击节点的M ac地址.由防御模块进行端口封禁和packet_in报文过滤实现DDoS攻击防御.实验结果表明,该方法能够对DDoS攻击节点进行有效溯源,快速下发流表隔离攻击节点并过滤packet_in报文.     

一种抗阻断攻击的认证组密钥协商协议

一个非认证的组密钥协商协议不能对通信参与者和消息进行认证,它必须依赖认证的网络信道或其它的认证方法.分析了Burmester等人在认证广播信道下提出的著名组密钥协商协议,指出它不能抵抗内部恶意节点发起的密钥协商阻断攻击,该攻击导致组内其它诚实节点不能正确计算出一致的组密钥.提出了一种改进的认证的组密钥协商协议,在原协议中加入了消息正确性的认证方法,能够对组内恶意节点进行检测,并在随机预言模型下证明了改进的协议能够抵抗密钥协商阻断攻击.     

基于激励机制的P2P节点安全性研究

P2P网络中的节点信任问题是阻碍P2P发展的难题之一,在分析现有信任模型的基础上,提出一种引入不确定性因素的信任模型,用BGTR判定树进行连接,同时在此基础上给出了一种基于纳什均衡的激励模型,通过贡献值的计算来抵御恶意节点的攻击.实验结果表明,此模型在抵御虚假节点以及提高交易次数及交易质量方面都有一定的成效.     

基于大偏差统计模型的Http-Flood DDoS 检测机制及性能分析

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10-36,而大部分恶意攻击者的大偏差概率则小于10-40由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10-60时,其有效检测率可达97.5％,而误检率仅为0.6％.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5％的情况下,该机制的检测率比现有检测机制提高0.6％.     

基于P2P平台的DDoS攻击防御方法

P2P系统的分散性、匿名性和随机性等特点容易被利用发起大规模的分布式拒绝服务(DDoS)攻击。为此,提出一种分布式的防御方法。通过在应用层构建一套数据发送授权机制,使P2P平台中的节点在未得到目标节点授权之前不能向其发送大量数据,从而阻止攻击数据到达被攻击者。仿真实验结果证明,该模型可以抵御利用P2P软件发起的DDoS攻击。     

基于蚁群算法的加强型可抵御攻击信任管理模型

通过将网络节点推荐行为分析和网络恶意节点密度的自适应机制纳入信誉度评价过程,提出了基于蚁群算法的加强型可抵御攻击信任管理模型--EAraTRM,以解决传统信任模型因较少考虑节点的推荐欺骗行为而导致容易在恶意节点的合谋攻击影响下失准的问题。在对比研究中发现,EAraTRM可以在网络中恶意节点密度达到90%,其他传统信任模型已经失效的情况下,仍保持较高的正确性。实验结果表明,EAraTRM能提高节点评价其他节点信誉度时的精度,并降低整个网络中恶意节点间进行合谋攻击的成功率。     

基于大偏差统计模型的Http-Flood DDoS检测机制及性能分析?

针对Http洪泛Web DDoS(distributed denial of service)攻击,提出了一种检测机制.该机制首先采用型方法量化处理用户访问的网页序列,以得到用户访问不同网页的实际点击概率分布;然后,利用大偏差统计模型分析了用户访问行为的实际点击概率分布与网站先验概率分布的偏差;最后,依据大偏差概率检测恶意DDoS攻击.对该机制的性能进行仿真,结果表明,正常用户的大偏差概率大于恶意攻击者,并且大部分正常用户的大偏差概率大于10?36,而大部分恶意攻击者的大偏差概率则小于10?40.由此,该机制能够有效地检测Http洪泛Web DDoS攻击,当检测门限设置为10?60时,其有效检测率可达97.5%,而误检率仅为0.6%.另外,将该机制与基于网页转移概率的检测方法进行性能比较,结果表明,该检测机制的检测率优于基于网页专业概率的检测机制,并且在误检率小于5%的情况下,该机制的检测率比现有检测机制提高0.6%.     

抵御P2P网络中团体欺骗的信誉机制

虽然传统的信誉机制可以有效激励P2P网络中的节点共享资源,但却带来女巫攻击和共谋攻击等安全问题,而现有的抵御这两种团体欺骗的方法往往没有考虑P2P网络的开放性,即鼓励节点的加入.本文从分析P2P信任网络(基于信任网络的P2P系统)的社团结构出发,根据节点之间的信任关系将网络划分成不同的信任团体,提出一种基于团体信任度的节点信誉机制.模拟实验结果表明:在不限制团体大小以及新节点加入的情况下,该机制可以有效地抵御开放P2P网络中的团体欺骗.     

基于超级节点的P2P信任模型

提出基于超级节点的P2P网络信任模型SuperTrust,其中,超级节点的信任度由群组内所有节点对其进行评价,普通节点利用本地的局部信任信息与所属群组的推荐信任信息确定目标节点的信任度,同时利用反馈信息过滤算法来过滤恶意节点提供的不公正评价。仿真结果表明,该信任模型能有效识别恶意节点,使P2P网络中的合作节点在不同的恶意节点攻击模式下具有较高的成功交易率。     

一种基于标签的抗虫洞攻击MMCL算法

针对移动传感器网络节点定位算法的安全性问题,分析了虫洞攻击对MMCL算法的影响.为抵御虫洞攻击,改善定位性能,提出了一种基于标签的抗虫洞MMCL算法LB-MMCL(Label-Based Multi-hop Monte Carlo Localization).该算法基于节点邻居列表中的异常,依据距离约束机制和消息唯一性原则,标记并区分虫洞两端受攻击的节点,断开虚假链路,以减轻虫洞攻击的影响,达到抵御攻击的目的.仿真结果表明,在无需额外硬件辅助下,LB-MMCL算法能有效抵御虫洞攻击,改善节点定位精度和定位率.     

GBTM：一种P2P系统中基于群组的信任模型

目前在P2P网络中,缺乏有效的机制来提高系统的安全性,存在许多恶意行为,信任模型已经成为P2P应用研究的一个重要课题。文中对基于信任机制的P2P网络进行研究,根据节点的兴趣、爱好建立不同群组,节点总体信任度由节点之间直接信任度、组与节点之间信任度、组间信任度以及多重参数合成,并通过针对诋毁恶意节点攻击、协同作弊攻击两种不同的攻击模式下的仿真实验表明,该模型具有较高的下载成功,并且能使节点负载处于可控范围内。