常见网络拒绝服务攻击及防范对策

随着网络应用的普及,网络信息安全问题越来越突出,各种各样的网络攻击不断发生,形势越来越严峻。分析了几种常见拒绝服务攻击如Pingof Death、Smurf攻击、Teardrop攻击、SYN flood攻击、Landattack、UDP flood和电子邮件炸弹等,提出了相应的防范对策,以使人们对常用攻击有所了解,并能加强防范,减少不必要损失的发生。     

局域网ARP欺骗攻击防范

地址解析协议(ARP)在局域网中实现IP地址到网络接口地址(MAC)的映射功能,攻击者利用ARP协议的安全缺陷,在主机和网关之间实施ARP攻击,导致网络通信中断等后果.针对此类攻击提出防范方案,通过IP地址与交换机端口绑定,以使用静态ARP表或者定期更行正确的IP-MAC映射表等方法,可有效防御此类攻击发生.     

用活动IP表和ICMP报文防御IP欺骗DDoS攻击

介绍了分布式拒绝服务攻击的原理;分析了四种具有代表性的防御方法;提出一种针对IP欺骗DDoS攻击的防御方法,在自治系统边界,利用活动IP记录表对进入自治系统的数据包进行处理,来自活动IP的网络流直接通过;没有活动记录的IP数据包被自治系统边界路由器或邻近边界的路由器丢弃,并发送网间控制报文协议(ICMP)超时差错报文通报源节点,IP不活动的IP欺骗DDoS攻击数据包不能到达受害节点;被丢弃的合法数据包由其源节点上层协议或应用进行重传。     

IP源地址伪造问题研究

IP源地址伪造是Internet上多种攻击的基础.分析了IP源地址伪造的原理,深入探讨了与IP源地址伪造相关的攻击,并简述了其后果,给出了防御IP源地址伪造的方法和措施.     

基于神经网络的伪造IP拒绝服务攻击检测与过滤

通过对互联网行为的研究,提出了一种基于神经网络的伪造IP拒绝服务攻击检测与过滤技术.该技术在对互联网IP数据包路由路径的合理假设下,充分利用了神经网络的学习和表达能力,使用未发现攻击时的数据进行学习与检测,在发现攻击时利用神经网络进行过滤.通过分析过滤方法在一定程度上达到保护本地网络不受DDoS攻击侵害的目的.经分析和验证,该方法在攻击检测与过滤中具有一定效果.     

具有主动防御能力安全路由器的研究与设计

本文通过对现有路由器的攻击手段和防御方法进行研究分析,指出了现有路由器被动防御方式的缺陷.文中将路由器收到的IP包分为两大类:中转IP包和终点IP包.通过对两种IP包的威胁进行分析比较,指出终点IP包是潜在威胁最大的包,并采用主动防御的思路解决终点IP包对路由器的威胁.文中最后通过引入一个具有智能学习、分析和防御能力的协处理机,协助路由器对终点IP包进行专门处理,使路由器免受终点IP包的攻击,具备主动防御的能力和攻击容忍性,且不影响路由器的路由性能.     

一种同步洪流攻击的监测模型

本文提出了一种新型的针对同步洪流攻击的监测模型．文中首先介绍了同步洪流攻击的原理和几种典型的防范这种攻击的对策，接着详述了监测模型的原理并论述了实现监测模型核心部分的方法．这种监测模型主要监测网络中是否发生同步洪流攻击，并及时采取措施恢复正常的网络运行．监测模型引入NDIS协议驱动程序，网络监听及多线程等技术，主要采用跟踪发起TCP连接请求的可疑IP地址的方法进行监测，采用释放被攻击主机上被占用的系统资源的措施使其恢复正常．     

一种状态检测防火墙的攻击防御机制

讨论了一种在Linux操作系统内核防火墙的攻击防御机制,提出了检测网络攻击的机制和总体架构。在Linux操作系统防火墙的基础上构建了攻击防御框架,针对不同的攻击模式,该框架提供相应的状态检测方法判定攻击的发生并使攻击不能成功。提出的攻击防御体系具有通用、可扩展的特点,可以有效克服传统包过滤防火墙在抗攻击和入侵检测方面的局限性。结果表明:该攻击防御机制可以显著改善防火墙系统的IP安全性。     

SQL植入式网络攻击与防范技术研究

本文简要介绍了SQL植入攻击的定义和SQL植入攻击实现过程，并在研究了当前一些SQL植入攻击防范方法的基础上，提出了一种行之有效的针对SOL植入攻击的自动防范模型。     

基于混沌的网络通信数据加密方法

讨论了在TCP/IP协议下网络通信的不安全因素,将Logistic映射产生的混沌序列作为载波,提出一种基于混沌随机数的一次一密的加密用户数据改进方法.仿真实验分析表明,该加密方法能有效抵抗系统识别攻击,且加密效果良好,适于资源开销有限和实时性要求较高的安全通信场合.     

通过异常操作的网络入侵识别及防范

从网络协议和操作系统协的缺陷入手,分析IP分片攻击,TCP握手SYN洪水攻击及通过带外数据对存在漏洞的Windows系统进行攻击等网络入侵手段,并给出相应的防范措施,对保护系统防止更加复杂的分布式拒绝服务的攻击打下了良好的基础。     

网络流单边连接密度的时间序列分析

检测分布式拒绝服务（DDoS）攻击的困难性在于攻击数据包与正常数据包并无本质上的区别,为了正确识别DDoS,需要找到它与正常流的根本区别。使用虚假源IP地址的攻击包能够耗尽目标主机的网络带宽和系统资源,却无法与目标机建立完整的双向通信。因此,用于直观反映网络流异常的单边连接密度(OWCD)概念被提出并用于识别DDoS攻击,同时对OWCD的时间序列的进行了分析,揭示了OWCD序列的性质,为利用这个指标来进行DDoS检测提供依据。实验表明,OWCD能直观地区分正常流和攻击流,其序列为白噪声序列,能够作为DDoS检测的独立指标。OWCD序列不仅能够检测DDoS攻击,还能反映攻击强度。     

移动IP承载网接入方式探讨

文章结合移动通信系统广泛使用的三种IP承载网接入方式,分别对媒体业务、信令业务、网管业务的接入方式及实现方法进行了阐述,对IP承载网各种接入方式的应用场景和业务特点进行了分析。最后通过对三种不同IP承载网端局接入方式的对比,为不同的业务选择不同的接入方式提供了参考。     

世界女排强队一攻效果分析

以第九届世界杯女排赛为对象，通过录像统计与数理统计的方法，对世界女排强队的接发球进攻系统效果进行分类比较分析．结果表明，在世界女排强队比赛中，接跳发球的到位率与站发球相比有显著性的差异．与此同时，接发球的进攻区域及其进攻得分点更加集中于2号位，接发球进攻体系向前排快速跑动为核心的立体进攻方向发展．     

基于EBLOF算法的攻击者IP分析系统及应用

为了协助安全运营人员从海量威胁入侵告警日志中快速准确定位到高优先级、亟需处理的攻击者IP,缓解告警疲劳,提出了一种基于EBLOF（Ensemble-based Local Outlier Factor）算法的攻击者IP分析系统。该系统一方面通过提取和归并范式化安全告警日志,并从攻击者IP属性维度和攻击行为维度构建特征工程,使用集成学习的思路对异常检测算法LOF进行改进,进而发现攻击者IP。另一方面通过批实时学习技术构建了一套在线学习架构,从系统层面而非算法层面确保模型能够在线更新。最后,在公共数据集中验证了EBLOF算法的鲁棒性,并在真实攻防应用场景中验证了所提系统的有效性和可行性。     

DNS对CDN流媒体服务质量的影响

为了提供高质量的流媒体服务, 内容发布网络(CDN)利用域名解析系统(DNS), 将用户重定向到附近的内容服务器. 域名解析系统的发展, 尤其是基于IP Anycast的域名解析系统的兴起(如Google Public DNS, Open DNS), 将对CDN网络的内容发布机制造成影响. 与Web、Email等其他的Internet服务相比, 流媒体服务对网络资源有较高的要求, DNS对其影响更明显. 该文阐明基于IP Anycast的域名解析系统对CDN网络内容发布模型的冲击, 分析了其影响流媒体服务质量的各种因素, 通过实验比较当使用不同域名解析服务时, CDN网络承载的流媒体的服务质量.     

IP电话业务系统与多层分布式体系技术

IP增值业务的不断发展和Internet的发展普及,产生了新的分布式应用系统。将业务处理与客户交互分开,实现瘦客户、业务服务、数据服务的多层分布式应用体系结构。论文对以交易中间件为基础框架的多层分布式体系技术进行了介绍,分析了多层分布式体系技术在电信IP业务中的应用,给出了相关体系流程和多层分布式体系事例。     

IP欺骗技术原理及方法研究

IP欺骗作为网络攻击的一种手段,近年来被人们越来越重视。针对IP欺骗攻击的原理和实现过程展开研究,并根据技术原理给出了具体的实现方法。