基于改进DHCP的IP动态伪装设计与实现

通过IP伪装来迷惑攻击者,从而防止针对特定IP的数据流分析与嗅探。文章分析了Linux系统中IP伪装技术的不足,设计并实现了一种基于改进DHCP针对网络会话的IP动态伪装。改进DHCP通过伪装IP使用频率、客户机和IP描述及IP状态变化来管理分配伪装IP,通过主动探测来确保分配IP的安全性。客户机发起新的网络会话时,通过动态申请伪装IP并跟踪网络会话来实现IP动态伪装。     

基于ECC的iSCSI-SAN安全模型设计

具有带外存储虚拟化结构的iSCSI-SAN存在安全隐患：一方面，暴露在IP网络上的存储资源容易遭到假冒身份者的非法访问；另一方面，在网络上直接传输的明文存储数据面临着被网络攻击者监听的安全威胁。该文基于椭圆曲线密码体制ECC设计了适合该网络存储结构的安全模型，该模型通过提供双向认证机制防止假冒身份攻击，通过在认证过程中协商一次性会话密钥并对存储数据进行加密保证存储数据的传输安全，从而提高了存储系统的安全性。     

伪装IP追踪技术综述

1 引言网络协议和操作系统的缺陷导致了网络的安全问题。有关IP协议最重要的问题是IP地址的伪装。IP协议本身无法验证源地址段中的IP地址是发送者的IP地址。一台机器可以在一段时间内将自己伪装成另一台机器甚至路由器。对网络攻击各种各样的解决办法中IP追踪(traceback)是一种重在威慑的方法,一旦攻击者知道攻击能被追溯,进行攻击时会更慎重。在美国、日本等发达国家伪装IP追踪技术已成为学术界、企业界和政府部门普遍关心的重要问题之一。     

基于LEACH的防御流量分析攻击算法研究

为了解决流量分析攻击对LEACH无线传感器网络基站的威胁,针对速率监控攻击与ID分析攻击提出了两种防御算法,即随机热区算法(random hot spots algorithm,RHSA)与匿名通信算法(anonymous communication algorithm,ACA).在RHSA中,通过随机选择“伪装基站”与发送“伪装包”节点,使网络随机出现若干个伪装“热区”掩护基站;ACA算法主要通过动态产生的匿名隐藏所有参与通信节点的真实ID.仿真结果表明,在速率监控与ID分析攻击下,RHSA与ACA能够有效的迷惑攻击者,保护基站位置信息.     

利用ARP伪装在交换以太网捕包

本文分析了以太网捕包技术,并对在交换型以太网络进行捕包的可能性进行探讨,在详细研究了ARP协议之后,提出了利用ARP伪装攻击结合IP转发技术来进行捕包的主动捕包技术.     

基于MAC认证的新型确定性包标记

在入口路由器数目大于攻击者数目时,基于Hash摘要的DPM(HDPM)算法的假阳率远高于其分析说明,由此提出一种基于MAC认证的新型确定性包标记(NADPM)方法,利用IP地址和MAC认证消息根据不同网络协议选择不同位数灵活地进行包标记。理论分析和模拟结果表明,该NADPM方法的假阳率远低于HDPM算法,且其最大可追踪攻击者数达140 000。     

基于包标记的DDoS主动追踪模型设计

在DDoS攻击中,攻击者通常采用伪造的IP源地址,这样就使得确定攻击的IP源十分困难。本文提出了基于包标记的DDoS主动追踪模型,不仅能够进行IP追踪,还可以在攻击进行时削弱攻击造成的影响。     

一种基于路由器的伪装IP回溯方法

在因特网中，攻击者能伪造其IP地址。本文提出了一种新的针对洪泛型攻击(flooding attack)的IP回溯技术——PPL。在该方法中，路由器以一定的概率存储转发分组的信息．然后利用这些信息．从被攻击者开始回溯攻击分组到其源，对网络攻击者起到威慑的作用。仿真实验证明．新方案在回溯洪泛型攻击时，其性能优于文[2]中的方案。     

MTDCD:一种对抗网络入侵的混合防御机制

移动目标防御和网络欺骗防御均是通过增加攻击者获取的信息的不确定性来保护己方系统和网络,该方法能够在一定程度上减缓网络入侵。然而,单一的移动目标防御技术无法阻止利用多元信息进行网络入侵的攻击者,同时,部署的诱饵节点可能会被攻击者识别和标记,降低了防御效能。因此,提出了融合移动目标防御和网络欺骗防御的混合防御机制MTDCD,并通过深入分析实际网络对抗,构建了网络入侵威胁模型,最后基于Urn模型建立了防御有效性评估模型,并从虚拟网络拓扑大小、诱饵节点的欺骗概率、IP地址随机化周期、IP地址转移概率等多个方面评估了所提混合防御机制MTDCD的防御效能,为后续防御策略设计提供了一定的参考和指导。     

基于对的无线Ad hoc网络可追踪邻居匿名认证方案

为解决传统无线Ad hoc网络邻居匿名认证方案容侵性不佳以及难以锁定恶意节点身份的问题,提出一种基于双线性对的无线Ad hoc网络可追踪邻居匿名认证方案。采用基于身份的公钥系统,节点随机选择私钥空间中的数作为临时私钥,与身份映射空间的节点公钥以及一个公开的生成元模相乘得到临时公钥,利用双线性映射的性质协商会话密钥并实现匿名认证。通过在随机预言机模型下的形式化分析,表明本方案在BCDH问题难解的假设下可对抗攻击者的伪装行为,同时利用认证过程中交互的临时公钥可有效锁定恶意节点真实身份。     

一种新的基于IMS的SIP重传机制

目前，IP多媒体子系统（IMS）中基于会话初始化协议（SIP）的会话建立时间受到无线信道约束带宽、帧错误率（FER）值的影响，交换的消息数量、消息长度以及重传机制对于会话建立的时延有很大的影响，延长了会话建立的时间。将基于SIP的会话建立与无线信道的性能结合，提出一种新的SIP自适应重传机制。实验结果表明，该重传机制缩短了会话建立的时间，对IMS端到端的服务质量（QoS）性能有明显的改善。     

移动IP分布式路由优化研究

IETF提出的移动IP协议对微移动的支持不够，而分布式路由方案能较好地解决该问题。该文在一种分布式移动IP方案的基础上进行了改进：将转向代理的缓存修改为循环列表，减少移动节点接收的乱序分组；当切换转向代理时，移动节点向前一个转向代理发送绑定更新消息，减少转向代理切换时的分组丢失；在转向代理处引入Snoop机制，减少通信对端重传分组数。利用NS2软件对两种方案进行了仿真。仿真结果表明，改进的方案能够明显地减少重传分组和乱序分组，进一步减少远程信令流量和数据流量，提高网络资源的利用率，有效地改善移动IP的性能。     

Controlling IP Spoofing through Interdomain Packet Filters

The distributed denial-of-service (DDoS) attack is a serious threat to the legitimate use of the Internet. Prevention mechanisms are thwarted by the ability of attackers to forge or spoof the source addresses in IP packets. By employing IP spoofing, attackers can evade detection and put a substantial burden on the destination network for policing attack packets. In this paper, we propose an interdomain packet filter (IDPF) architecture that can mitigate the level of IP spoofing on the Internet. A key feature of our scheme is that it does not require global routing information. IDPFs are constructed from the information implicit in border gateway protocol (BGP) route updates and are deployed in network border routers. We establish the conditions under which the IDPF framework correctly works in that it does not discard packets with valid source addresses. Based on extensive simulation studies, we show that, even with partial deployment on the Internet, IDPFs can proactively limit the spoofing capability of attackers. In addition, they can help localize the origin of an attack packet to a small number of candidate networks.     

Flexible Deterministic Packet Marking: An IP Traceback System to Find the Real Source of Attacks

IP traceback is the enabling technology to control Internet crime. In this paper we present a novel and practical IP traceback system called Flexible Deterministic Packet Marking (FDPM) which provides a defense system with the ability to find out the real sources of attacking packets that traverse through the network. While a number of other traceback schemes exist, FDPM provides innovative features to trace the source of IP packets and can obtain better tracing capability than others. In particular, FDPM adopts a flexible mark length strategy to make it compatible to different network environments; it also adaptively changes its marking rate according to the load of the participating router by a flexible flow-based marking scheme. Evaluations on both simulation and real system implementation demonstrate that FDPM requires a moderately small number of packets to complete the traceback process; add little additional load to routers and can trace a large number of sources in one traceback process with low false positive rates. The built-in overload prevention mechanism makes this system capable of achieving a satisfactory traceback result even when the router is heavily loaded. It has been used to not only trace DDoS attacking packets but also enhance filtering attacking traffic.     

Context-aware adaptive IP mobility anchoring

The novel distributed mobility management trend is a promising direction to cope with the increasing mobile data traffic and flatten network architectures. Most of the novel mobility approaches distribute the mobility anchors through the access level, as opposed to the centralized mobility anchoring model. Other recent approaches argue that mobility anchors closer to the content servers may be the solution to optimize the mobility performance. However, none of the mobility anchoring models is ideal for all scenarios, since it depends on the user, the session and the network. Hence, we propose an IP mobility approach driven by the context of the user, sessions and the network, where the mobility anchors for IP address allocation and for routing/forwarding are distributed through the network nodes, while the mobility context is managed by the mobile devices. Although each session is properly anchored in the establishment phase, the routing/forwarding is adapted over time, according to the user, the session and the network context: the proposed approach is able to signal different mobility anchors to optimize the routing path to new and ongoing sessions of the user. The outcome of the evaluation shows that the proposed approach overall reduces the data cost, the data delay, the tunneled packets and the tunnel length, when compared with other anchoring models.     

通过有效匹配TCP/IP数据包检测黑客入侵

基于估算下游TCP/IP交互式会话长度方式来检测跳脚石入侵是计算机网络安全中的热门课题。计算连接链长度的关键是匹配TCP/IP交互式会话的发送和响应的数据包,SDC算法就是基于这个目的而提出的,但是SDC算法由于需要大量的计算而不是很有效。分析了引起SDC低效的原因,给出解决方案,提出了一种使用滑动窗口的算法SWAM。通过有效性分析,说明SWAM算法能减少99.99%的计算量。给出了两种决定滑动窗口大小的方法：一种方法利用了匹配结果的收敛特性,另一种利用TCP/IP协议本身的一些特性。相比而言第二种方法的计算量要相对小一些。     

会话属性优化的网络异常检测模型

网络异常检测模型的检测性能在很大程度上依赖于网络会话属性,因网络会话属性在本质上刻画了网络行为模式。基于假设验证的实验分析手段,采用Tcpdump网络数据包作为实验数据源,在将数据包解析成具有基本属性的网络会话记录基础上,提出了一组简洁和精确的会话属性组合模式。实验结果表明,优化后的会话属性组合模式确实能够有效地提高网络异常检测模型‘对未知攻击的检测能力,采用基本属性、全部属性和任意部分属性训练检测模型,并不能获得良好的检测效果。     

Extension of Multiprotocol Label Switching for long-range dependent traffic: QoS routing and performance in IP networks

This paper presents an extension to the Multiprotocol Label Switching (MPLS) traffic engineering in IP networks with long-range dependent traffic. The extension provides the ability to diverge traffic flows away from the shortest path calculated by the traditional IP routing protocols into a less congested area of the network. When the traffic burstiness of a packet flow exceeds a predefined threshold, the extension calculates the cost of the traffic distribution and the effectiveness of Label Switching Routers (LSPs) to minimize the number of discarded packets. The simulation results demonstrate that the extension significantly improves the overall network performance in link utilization, port processor utilization, message delay, number of dropped packets, and buffer usage level.     

IP追踪技术

拒绝服务攻击(DOS)严重威胁网络安全.IP追踪技术能够追踪攻击数据包的源头,识别和阻止DoS攻击,是保护网络安全的一项重要技术.通过对IP追踪技术进行总结,回顾IP追踪的起源,按照主动和被动性对其进行分类,分析各个IP追踪方法的基本原理和优缺点,指出了IP追踪技术存在的问题,展望了IP追踪的发展.