基于P2P的僵尸网络防治技术研究

针对传统DDo S防御方法只能进行被动防御攻击,无法根除攻击流量这一问题,提出了IP城域网清洗方案。在研究了典型P2P僵尸网络Super Net的架构、传播和引导策略、抖动处理方法、交互和控制策略以及参数选择的基础上,给出了传统防御方法的不足。最后针对现有的僵尸网络,设计了IP城域网清洗方案,同时给出了攻击流量识别方案、引流方案、DDo S流量清洗方案和正常流量回注技术的实现方法。     

基于用户信誉值防御DDoS攻击的协同模型

提出了一种基于用户信誉值防御DDoS攻击协同(CDDACR,cooperation defense DDoS attack based on client reputation)模型来检测和防御DDoS攻击.该模型在逻辑上由2个检测代理构成:路由器端的RDA(router detection agent)和服务器端的SDA(server detection agent).RDA对用户数据流进行粗粒度检测,旨在过滤具有明显DDoS攻击特征的恶意数据流;SDA对用户数据流进行细粒度检测,检测并过滤恶意的狡猾攻击和低流量攻击,RDA和SDA协同工作来实时监测网络状况.实验结果表明,CDDACR模型能实时地识别和防御DDoS攻击,并且在异常发生时有效地阻止服务器被攻击的可能性.     

DDoS攻击从检测到流量识别总体防御方案研究

分布式拒绝服务（DDoS）攻击是互联网安全的严重威胁,攻击发生时会有大规模流量淹没目标网络和主机。能够准确快速地检测到攻击,区分合法拥塞流量和攻击流量,对攻击流量加以清洗,对于DDoS攻击的防御来说十分重要。采用信息熵对流量参数进行实时统计来检测攻击,用累积和（CUSUM）算法控制熵值连续变化情况。检测到攻击后,依据目的IP数量前后增长情况找出受害者,对流向受害者处的流量进行重点观察。由于大规模的攻击流量与合法的拥塞流量非常相似,难以识别,在此对流本身的相似性进行考察,使用流相关系数算法辨别攻击流量和合法拥塞流量,为流量清洗工作提供依据。     

IP城域网DDoS攻击的检测与封堵探讨

近两年来,分布式拒绝服务(Distributed Denial of Service,DDoS)攻击成为一种日益常见的网络异常流量,它不仅导致被攻击者的网络服务中断,还对电信运营商的IP城域骨干网的安全构成严重威胁.从电信运营商的角度,分析了危害IP城域网安全的DDoS攻击特征,在综合考虑攻击特征、技术现状、投资成本的基础上,提出一种容易在IP城域网部署的DDOS攻击检测与封堵方案.试用结果表明,该方案可以显著提高运营商IP城域网在DDoS攻击事件方面的响应处理能力.     

超大异常流量攻击的防御思路探讨

提出了应对超大异常流量攻击的防御思路,该思路中将防御策略分为短期策略和长期策略。短期措施主要在现有异常流量防护措施的基础上,进一步提升对超大异常流量攻击的防护能力;而长期策略试图从虚假源地址过滤、开放服务的协议方面进行改进。随着可利用的DNS、NTP等公共服务器资源将逐步减少,攻击者将转为挖掘新的可用于流量反射放大的应用协议。由于以"反射、放大流量"为特性的超大异常流量攻击仍将保持发展,对它的安全防御仍有待在实践中检验和不断完善。     

一种基于特征检测的APT攻击防御方案

高级持续性威胁(APT)攻击具有持续渗透性,对网络的信息安全管理造成了严重威胁。在分析流量统计特征的基础上,提出了区分可信与非可信流量的方法,通过特征检测,实现对恶意攻击的识别,并建立了相应的APT攻击防御方案。以电力系统的管理网络为平台,验证了该方案的有效性,为防御APT攻击提供了一种可行的思路。     

内容中心网络下基于前缀识别的兴趣包泛洪攻击防御方法

针对内容中心网络(Content-Centric Networking, CCN)下的兴趣包泛洪攻击问题,该文提出基于异常名称前缀识别的协同反馈防御方法。利用CCN中路由器维持的兴趣包转发状态检测兴趣包泛洪攻击,识别异常名称前缀,并向相邻节点发送异常名称前缀,进行协同防御。与其他方法对比分析结果表明,所提出的基于前缀识别的兴趣泛洪攻击防御方法可以准确地识别异常名称前缀,并快速抑制异常兴趣包的传输,而不影响合法兴趣包的速率。     

基于地址分布特征的IP扫描攻击识别技术

IP扫描攻击是一种向某网络区域发送探测报文寻找目标主机的方式。这种方式通常被用于蠕虫病毒传播之前的发现可感染主机。这种攻击方式流量小,并且与正常业务非常类似,因此不易觉察和检出。该方案监控目标主机单位时间内新建流的目的 IP地址的分布特征来识别是否发生了IP扫描攻击。通过将IP地址分为a.b.c.d四个域,分析目标IP地址在这四个域上分别呈现集中分布还是分散,来判断新建流的目标主机是否短时间内集中在某个区域。通过这种方式,将攻击行为与正常业务流进行快速区分。实验结果表明该方法快速有效地辨别攻击主机。     

一种面向流量异常检测的概率流抽样方法

针对基于概率抽样的网络流量异常检测数据集构造过程中无法同时兼顾大、小流抽样需求及未区分flash crowd与流量攻击等问题,该文提出一种面向流量异常检测的概率流抽样方法。在对数据流按目的、源IP地址进行分类的基础上,将每类数据流抽样率定义为其目的、源IP地址抽样率的最大值,并在抽样过程中对数据流抽样数目向上取整,保证每类数据流至少被抽样一次,使抽样得到的数据集可有效反映原始流量在大、小流和源、目的IP地址方面的分布性。采用源IP地址熵刻画异常流源IP地址分散度,并基于源IP地址熵阈值设计攻击流抽样算法,降低由flash crowd引起的非攻击异常流抽样概率。仿真结果表明,该方法能同时满足大、小流抽样需求,具有较强的异常流抽样能力,可抽样到所有与异常流相关的可疑源、目的IP地址,并能在抽样过程中过滤非攻击异常流。     

基于跨域MPLS的异常流量清洗系统部署

根据在电信运营商设计和实施异常流量清洗中心工程项目的经验,设计出基于跨域MPLS的异常流量清洗系统,完美地解决了扁平化IP城域网的攻击问题,节约了大量网络安全设备的重复投资.