改进的非重复性包标记IP追踪方案

IP追踪已成为防御拒绝服务攻击（DOS）的有效方案之一。其中,以Savage等人提出的概率包标记（PPM）已受到广泛重视。然而,概率包标记因为重复标记和固定概率而存在最弱链问题,从而导致重构路径的弱收敛性。提出一种新型的非重复性包标记的IP追踪方案,有效地减少了重构路径时的收敛时间以及计算开销,提高了路径重构的效率。     

IP追踪中PPM算法的改进研究

概率包标记(PPM)是对拒绝服务(DoS)攻击进行IP追踪的一种实用而有效的方法。文章提出通过利用TTL域对原有PPM方案进行改进，减少了路径重构所需的数据包数量，提高了路径重构的效率。     

基于自适应包标记的IP回溯

防御分布式拒绝服务攻击是当前网络安全中最难解决的问题之一。在各种解决方法中,自适应概率包标记受到了广泛的重视,因为算法中路径上的每个路由器根据一定策略自适应的概率标记过往的数据包,从而受害者可以用最短的重构时间,对攻击者进行IP回溯,找出攻击路径并发现攻击源。文中提出了一种自适应的标记策略。通过实验验证相比于常用策略,该策略重构路径所需的数据包明显减少,有效地减少了重构计算量和伪证性。     

基于信任关系的路由器接口标记IP追踪方案

防御拒绝服务（DDS）攻击是目前最难解决的网络安全问题之一。概率包标记（PPM）是一种比较有效且实用的解决方法。提出一种新的基于信任关系的路由器接口标记IP追踪方案（TRIM）,为不同的路由器设置不同的信任因子,划分信任域。根据信任因子确定标记概率,路由器使用接口ID对数据包进行概率标记,有效地减少重构路径时的收敛时间以及计算开销,提高路径重构的效率。在边界路由器不诚实的情况下,能够快速准确的追踪到信任域的边界。     

基于节点随机采样的AS级IP追踪

建立了PPM算法的通用数学模型,提出了一种新的基于节点采样的IP追踪方案。该方案采用新的标记信息编码机制,解决了传统包标记方案中由于地址分片带来的组合爆炸和误报率高的问题,标记过程以AS路径代替传统的IP路径,使用最优标记策略,使得路径重构过程具有更低的计算复杂性和更短的收敛时间。仿真分析表明,此方案具有应对大规模DDOS攻击源追踪的有效性和实时性。     

非强制性包标记算法

防御分布式拒绝服务(DDoS)攻击是目前最难处理的网络安全问题之一。在众多解决方法中,包标记方法受到了广泛的重视。在这类标记方案中,路径中的路由器根据一定策略标记过往的数据包,从而受害者可以在短时间内对攻击路径进行重构,实现对攻击者的IP回溯。论文提出了一种新的包标记方法,非强制性包标记算法。可以有效地降低重构时间和误报率,减少了网络和路由器标记数据包的负担。     

一种基于分片包标记的改进方案

分布式拒绝服务（DDoS）攻击已经对Internet安全构成巨大威胁。由于TCP/IP协议本身的缺陷以及Internet的无状态性,使受害者对攻击源的确定变得十分困难。在深入研究分片包标记方案的基础上,扩展了标记空间,设立了一个分组域来区分数据包来自于哪一分组的路由器。这样,在重构攻击路径时只需要少量的分片组合就可以验证一条边是否在实际的攻击路径中,从而缩短了收敛时间,并减少了误报数。     

一种新的补偿概率包标记IP追踪方案

防御拒绝服务（DoS）攻击是目前最难解决的网络安全问题之一。概率包标记（PPM）是一种比较有效且实用的解决方法。然而大多数PPM方案都存在最弱链问题,导致了弱收敛性。提出一种新的补偿概率包标记方法,有效地减小了重构路径时的收敛时间以及计算开销,提高了路径重构的效率。     

基于自适应包标记算法的改进

分布式拒绝服务(DDoS)攻击是目前最难处理的网络难题之一,研究人员针对分布式拒绝服务攻击提出了多种方案,这些方案都各有优缺点.其中由Savage等人提出的概率包标记方案受到了广泛的重视,并在此基础上T.Peng等人提出了自适应概率包标记方案APPM算法.利用TTL域改进了一种自适应策略,经实验验证受害者用较少的数据包即可重构出攻击路径,有效地减少了重构路径的计算量,这为受害者及早地响应攻击争取了更多的时间.     

一种基于自治系统编号的轻量级IP追踪方案

固定数据包标记（DPM）技术是一种能够处理大规模DDoS攻击的IP追踪技术,而概率数据包标记（PPM）是目前研究得最广泛的IP追踪技术。在分析DPM技术和PPM两种技术优缺点的基础上,结合上述两种基本方法的优点,引入使用自治系统编号和路由器编号作为数据包标记的方法LPM,通过重载IP包头中的偏移域,获得更多的标记空间。模拟结果表明,该算法实现简单,在收敛时间、虚报率和计算负荷等方面都有较好的效果。     

Tabu marking scheme to speedup IP traceback

The IP traceback is an important mechanism in defending against distributed denial-of-service (DDoS) attacks. In this paper, we propose a probabilistic packet marking (PPM) scheme, Tabu Marking Scheme (TMS), to speedup IP traceback. The key idea of “tabu mark” is that, a router still marks packets probabilistically, but regards a packet marked by an upstream router as a tabu and does not mark it again. We study the impact of the traffic aggregation on the convergence behavior of PPM schemes. Furthermore we derive a new analytical result on the partial coupon collection problem, which is a powerful tool applicable for computing the mean convergence time of any PPM scheme. Our study shows that the idea of “tabu mark” not only helps a PPM scheme that allows overwriting to reduce the convergence time under a DDoS attack, but also ensures the authentication of the routers’ markings.     

Dynamic probabilistic packet marking for efficient IP traceback

Recently, denial-of-service (DoS) attack has become a pressing problem due to the lack of an efficient method to locate the real attackers and ease of launching an attack with readily available source codes on the Internet. Traceback is a subtle scheme to tackle DoS attacks. Probabilistic packet marking (PPM) is a new way for practical IP traceback. Although PPM enables a victim to pinpoint the attacker’s origin to within 2–5 equally possible sites, it has been shown that PPM suffers from uncertainty under spoofed marking attack. Furthermore, the uncertainty factor can be amplified significantly under distributed DoS attack, which may diminish the effectiveness of PPM. In this work, we present a new approach, called dynamic probabilistic packet marking (DPPM), to further improve the effectiveness of PPM. Instead of using a fixed marking probability, we propose to deduce the traveling distance of a packet and then choose a proper marking probability. DPPM may completely remove uncertainty and enable victims to precisely pinpoint the attacking origin even under spoofed marking DoS attacks. DPPM supports incremental deployment. Formal analysis indicates that DPPM outperforms PPM in most aspects.     

一种新的非重复性包标记IP追踪方案

大多数概率包标记(PPM)因为重复标记和固定的标记概率而存在最弱链问题，从而导致重构路径的弱收敛性。文章提出了一种新的非重复性包标记的IP追踪方案，通过重载部分偏移域来获得更多的标记空间。具体以分片标记(FMS)方案为例，给出了标记算法和编码方式，分析了新方案在追踪范围、收敛时间、分片重组、误报和计算量等方面的性能。通过比较，证明新方案是优于FMS的。     

一种分块包标记的IP追踪方案

DDoS攻击以其高发性、高破坏力和难以防范的特点,近年来成为互联网的主要安全威胁之一．研究者们提出了多种对抗DDoS攻击的方法．：乓中,Savage等人提出的概率包标记方案以其易于实施、消耗资源小等优点,引起人们的重视．然而概率包标记方案存在两个明显缺陷：多攻击路径重构时的高误报率和高计算复杂度．在概率包标记的基础上,提出了一种分块包标记方案,该方案与概率包标记方案相比具有较低的误报率和较低的计算复杂度,因而具有更高的实际应用意义．     

大流量优先的实时IP随机包标记反向追踪

在现有IP随机包标记反向追踪算法实时性的研究基础上,分析了标记概率、推测路径需要的数据包数量和攻击路径距离的关系,提出一个大流量优先的实时IP随机包标记反向追踪方法LTFMS,利用路由器节点当前流量统计,受害者可在最短时间内推测出主要攻击路径。通过建立模拟测试环境实验分析,对于大规模DDoS攻击,该方法在相同时间内可比现有方法推测出更多的攻击路径。     

基于动态概率包标记的IP追踪技术研究

IP追踪和攻击源定位技术在DDoS攻击防御研究中有重要意义。概率包标记（Probabilistic packet marking,PPM）是一种可行的IP追踪方法,但是PPM潜在缺点是标记可能被攻击者伪造,以混淆或阻止追踪。文中提出一种新的方法：动态概率包标记（dynamic probabilistic packet marking,DPPM）来改进PPM。DPPM通过选择一个动态的标记概率,而不是使用一个固定的标记概率,或许能完全移除不确定性,从而使受害者能精确确定攻击源。对比分析表明DPPM在很多方面要优于PPM。