DDoS放大攻击原理及防护

分布式拒绝服务攻击（DDoS）是一种攻击强度大、危害比较严重的网络攻击。 DDoS放大攻击利用放大器对网络流量具有放大作用的技术,向被攻击目标发送大量的网络数据包,造成被攻击的目标网络资源和带宽被耗尽,使得正常的请求无法得到及时有效的响应。简单介绍DDoS放大攻击的原理,分析DDoS放大攻击的防护方法,从攻击源头、放大器、被攻击目标等三个方面采取防护措施,从而达到比较有效的防护效果。     

基于攻击图的扩充Petri网攻击模型

鉴于网络攻击过程中存在攻击者被检测到的可能性,将攻击图转化成Petri网并进行扩展生成EPN模型,依据库所的攻击成本值求解网络攻击的最佳攻击路径和攻击成本,基于最大流概念定义系统最大承受攻击能力。从二维角度分析网络攻击,提出攻击可行性概念及基于攻击图的扩充Petri网攻击模型,该模型相关算法的遍历性由EPN推理规则保证。当原攻击图的弧较多时,算法的复杂度低于Dijkstra算法,攻击图的攻击发起点和攻击目标点间的路径越多,算法越有效。实验结果证明,该模型可以对网络攻击过程进行高效的综合分析。     

基于模型间迁移性的黑盒对抗攻击起点提升方法

为高效地寻找基于决策的黑盒攻击下的对抗样本,提出一种利用模型之间的迁移性提升对抗起点的方法。通过模型之间的迁移性来循环叠加干扰图像,生成初始样本作为新的攻击起点进行边界攻击,实现基于决策的无目标黑盒对抗攻击和有目标黑盒对抗攻击。实验结果表明,无目标攻击节省了23%的查询次数,有目标攻击节省了17%的查询次数,且整个黑盒攻击算法所需时间低于原边界攻击算法所耗费的时间。     

基于期望收益率攻击图的网络风险评估研究

随着互联网应用和服务越来越广泛,层出不穷的网络攻击活动导致信息系统的安全面临极大的风险挑战。攻击图作为基于模型的网络安全风险分析技术,有助于发现网络节点间的脆弱性和评估被攻击的危害程度,已被证实是发现和预防网络安全问题的有效方法。攻击图主要分为状态攻击图和属性攻击图,由于状态攻击图存在状态爆炸的问题,研究者大多偏向于基于属性攻击图的网络风险评估研究。针对现有的属性攻击图研究过度依赖网络节点本身脆弱性和原子攻击本质属性进行量化分析,忽略了理性攻击者通常以攻击利益最大化来选择具体的攻击路径,提出了基于期望收益率攻击图的网络风险评估框架和攻击收益率量化模型。所提网络风险评估框架以公开的漏洞资源库、漏洞挖掘系统发现的新漏洞以及与网络攻防相关的大数据为基础数据源,以开源大数据平台为分析工具,挖掘计算攻击成本和攻击收益相关要素;借用经济学中的有关成本、收益以及收益率等概念构建原子攻击期望收益率计算模型;通过构建目标网络的属性攻击图,计算攻击路径上的原子攻击期望收益率,生成所有可能攻击路径的期望收益率列表;以期望目标为出发点,依据特定的优化策略（回溯法、贪心算法、动态规划）展开搜索,得到最大收益率的完整攻击路径,为网络风险评估提供依据。仿真实验结果表明了所提期望收益率攻击图网络风险评估方法的有效性及合理性,能够为发现和预防网络安全问题提供支撑。     

面向对象粗糙信任攻击威胁感知模型

基于面向对象的信任攻击图,提出了一种复杂信任环境系统信任攻击威胁感知模型;该模型描述了信任主体对象属性间的所有攻击关系。通过引入粗糙图理论,将面向对象粗糙信任攻击图中具有相同攻击效果的攻击方法,以及在攻击关系中具有相同重要性的信任主体对象划入同一等价类,基于这些等价类,只要获取有限的几条特征攻击路径就能够搜索整个攻击策略空间,从而解决了全面把握攻击动向和限制路径规模之间的矛盾。通过定义路径相似度,采用蚁群算法在论域信任攻击图中搜索到达攻击目标的特征路径,在这些特征路径中找出给目标节点带来的最大威胁的攻击路径。试验证明该方法能够快速定位被攻击的信任主体对象及攻击方式,在各种特征攻击路径中准确找到其所在位置。     

基于攻击图的渗透测试方案自动生成方法

为满足网络安全管理需要,提出一种新的渗透测试方案自动生成方法。该方法利用被测试目标网络脆弱点间的逻辑关系,结合原子攻击知识库,通过前向广度优先搜索策略产生渗透攻击图,然后深度优先遍历渗透攻击图生成渗透测试方案,并基于该方法设计实现渗透测试预案自动生成原型系统。实例表明该方法能够有效生成可行的渗透测试方案。     

大规模网络中攻击图自动构建算法研究

随着计算机技术和网络通信技术的飞速发展,网络安全形势日趋严峻.攻击者往往采取多步骤网络攻击的方式对网内多个漏洞实施逐步击破,而攻击图正好刻画了目标网络内潜在威胁的传播路径.针对目前攻击图构建算法无法很好地适用于大规模目标网络的问题,通过深入分析传统攻击图构建算法的不足和目标环境的特点,提出了一种新的构建攻击图的方法.首先,采用攻击图建模语言(Attack Graphs Modeling Language,AGML)形式化描述漏洞知识库和目标环境;其次,提出了目标环境的预处理技术,为目标环境中的属性建立索引,然后利用攻击模式的实例化技术构建攻击图.通过对该算法的时间复杂度分析和模拟实验验证,表明该算法具有良好的可扩展性,能够为具有复杂网络拓扑结构的大规模目标网络自动构建攻击图.     

基于DNS的拒绝服务攻击研究与防范

基于域名系统(DNS)的拒绝服务攻击利用DNS协议的缺陷,对计算机网络的基础设施或可用资源进行攻击,能迅速使被攻击目标资源耗尽,给网络信息安全带来了严重威胁.在分析DNS特点和缺陷的基础上,阐述利用DNS进行拒绝服务攻击的原理,重点研究欺骗式和反弹式两种攻击方式,构建实验环境深入分析攻击技术,最后提出了4种有效的防范措施.     

基于本体的网络攻击模型及其应用

在对攻击理论进行深入研究的基础上,构造了一个多维分类模型,并利用本体构造攻击本体中概念之间的逻辑关系和层次结构,建立攻击本体模型,从而利用攻击原子本体构造攻击场景,对目标系统实施攻击.     

一种基于攻击树的网络攻击系统

随着计算机安全技术的高速发展,黑客的攻击已经受到了越来越多的限制。如何突破安全技术的封锁,建立一种全新的黑客攻击技术与体制已经成为当前黑客的主要研究方向。文章介绍了攻击树模型,提出了一种基于攻击树的网络攻击系统,它可以根据目标的实际情况制定出攻击策略,实施攻击。该系统使得攻击有自动性和智能性,大大提高了攻击成功的可能性。     

基于局部密度的用户概貌攻击检测算法

针对现有的用户概貌攻击检测算法在检测模糊攻击时精确度不高的问题,本文提出一种基于局部密度的用户概貌攻击检测算法.首先,利用LOF离群点检测算法为每个用户计算局部离群因子,得到用户的局部离群程度;然后,结合攻击用户对目标项目的评分与真实用户评分之间的差异,进一步确定目标项目及攻击目的,最终给出目标项目所对应的攻击概貌.实验结果表明,该算法无论是针对标准攻击还是模糊攻击,均具有较高的检测精度.     

溢出攻击的攻击元与攻击模板构建研究

面向抗攻击测试对溢出攻击的需求,以构建溢出攻击可重用功能结构和统一描述框架为目标,分析溢出攻击样本不同阶段的攻击过程特点,提取组织溢出攻击的攻击元;总结溢出攻击过程一般描述,搭建溢出攻击构造过程通用攻击模板,从而建立起溢出攻击实现的规范组织架构.在AASL脚本语言支持下,实现利用攻击元,解析重构模板建立溢出攻击脚本.实验证明,该方法在确保溢出攻击的有效、可控和代码质量基础上,大幅降低了代码编写数量,有效提高了开发效率.研究成果为抗攻击测试攻击用例的使用提供了有力保障.     

DOS攻击原理及常见DOS攻击程序抵御措施

DOS(Denial of Service,即拒绝服务)攻击是以让目标机器停止提供服务或资源访问为目的的一种攻击手段,对计算机与网络系统的正常运行具有相当危害,我们应予以重视并采取防范措施。要防范DOS攻击,应首先了解TCP协议。     

一种网络自动攻击平台的设计与实现

利用攻击树模型,设计了一个用于评测IDS抗攻击能力的自动综合攻击平台,对其主要子模块,攻击树形成模块和攻击决策模块的设计实现进行了详细阐述,并简要介绍了利用收集到的目标信息对攻击目标进行安全性评估的安全分析模块.     

基于梯度的对抗排序攻击方法

互联网检索中普遍存在排名竞争这种对抗攻击行为,会产生许多不良影响,因此对攻击方法的研究有助于设计更鲁棒的排序模型.已有的攻击方法容易被人识别且无法有效攻击神经排序模型.因此,文中提出基于梯度的对抗排序攻击方法.方法分为3个模块:基于梯度大小的词重要度排序、基于梯度的排序攻击和基于词嵌入的同义词替换.针对给定的目标排序模...     

基于机器学习的自动化渗透测试系统技术的研究

为加强目标系统网络的安全等级,验证目标存在的威胁与漏洞,本研究设计出基于机器学习的自动化渗透测试系统,利用多种入侵方法对目标进行自动化渗透测试。针对目标系统的各个网路节点的脆弱性和连接关系生成全局攻击图,计算对攻击目标的攻击路径的攻击价值,自动化生成最优攻击路径。采用多阶段渗透攻击的方法,建立渗透攻击的动态划分模型,利用网络中的漏洞不断接近并攻击目标。模拟企业网络架构进行渗透测试,实验结果显示本研究系统发起渗透攻击的成功率较高,最高达到95.4%,攻击目标主机能够生成最优的攻击路径,攻击价值最高达到27.3。     

基于智能代理和攻击树的自动攻击系统研究

网络攻击大多数情况下是利用相对独立的工具(或软件)实施,其实施的范围、速度和效果都有较大的限制。文章基于智能代理和攻击树理论提出一种大范围、多类型的自动攻击模型。该模型系统级采用代理技术,支持系统插件动态扩充,在攻击模式上采用攻击树描述攻击流程实现攻击过程的自动化,同时构建控管中心实现系统的统一管理和控制。实验结果表明,系统对多目标同时发起攻击,用户设计流程执行成功率高,攻击代理端CPU占用率低,攻击效率获得提升。该攻击模型可以实现多目标、多形式的自动攻击,攻击范围广,可人工限定攻击速度和设计攻击流程,模型具有较高的普适性,实现的系统可作为信息安全测评工具和实验平台。     

面向抗攻击能力测试的攻击知识库设计

论文在对攻击知识和攻击知识库进行综合分析的基础上．针对网络设备的抗攻击能力测试要求．提出了一种面向抗攻击测试的攻击知识库设计方案。该方案既着眼于被测目标的属性，又结合了攻击行为自身的特征，将抗攻击能力测试与用户的具体要求相融合，方便攻击策略的制定和攻击模型的建立，使抗攻击能力测试的针对性和可用性得到了增强。     

一种基于回溯的Web上应用层DDOS检测防范机制

分布式拒绝服务攻击(Distributed Denial of Service)是一种攻击者使用各种方法,试图将攻击目标的网络资源和系统资源消耗殆尽,使之无法向真正的合法用户提供服务的攻击。随着技术的进一步发展,基于网络层上的DDOS攻击得到了很大程度上的削弱。然而,越来越多的攻击出现在了应用层,攻击的形式更加多样和复杂。从下层协议的角度来看,攻击中涉及的流量可能是合法的,使得检测和防范工作愈发困难。文中以实例为基础,解释基于应用层的攻击原理和方法,结合现有的技术,总结出检测和防范的机制并进行改进。     

一种基于树结构的网络渗透测试系统

随着计算机安全技术的高速发展，渗透测试作为网络安全的一种新技术，越来越受到重视，建立一种自动智能的网络渗透测试系统已经成为当前的重要研究方向。本文介绍了攻击树模型，提出了一种基于树结构的网络渗透测试系统。它可以根据目标的实际情况制定出攻击策略，实施攻击。该系统使得攻击有自动性和智能性，提高丁攻击成功的可能性。