利用路由器防御DoS攻击

本文介绍了DoS攻击的原理与方式,并以CISCO路由器为例介绍了一些防御DoS攻击的方法。     

DoS攻击及其防御

DoS攻击是当今计算机安全中最重要的网络攻击方式之一,2007年电子犯罪调查中显示,在所有受访者当中,49％的受访者曾受到过DoS攻击（受攻击率排名第五）。据不完全统计,世界上每一秒钟就有两起DoS攻击发生。DoS攻击以其巨大的危害威胁着计算机系统安全。为了更好地保证计算机系统安全,任何计算机使用者都需要对DoS攻击的原理和防御有一定的了解。     

DoS攻击下网络控制系统的记忆型事件触发控制

针对一类网络化控制系统，当考虑网络控制系统遭受PWM （Pulsewidth-Modulated）型DoS （Denial-of-Service， DoS）攻击时，提出一种基于缓存机制的记忆型事件触发机制策略.本文考虑的DoS攻击可检测，并且攻击的周期时长以及每周期内的最短休眠时间已知.为了减少网络控制系统中数据包的发送频次，本文设计了基于相对误差的新型事件触发策略，与传统事件触发策略相比，通过增加缓存器来有效利用已经发送的历史采样数据，最终达到改善系统动态过程的目的.接下来，综合考虑网络攻击和事件触发方案，建立了网络化切换系统模型，构造分段李雅普诺夫泛函，推导出系统指数稳定的结论并且对控制器增益及事件触发参数进行协同设计.最后，通过仿真案例，验证了所提出方法的有效性.     

基于虚拟机迁移的DoS攻击防御方法

利用云计算资源共享的特性,攻击者可以通过不停消耗带宽资源,使得同一物理主机上的其他用户无法接受正常服务,造成拒绝服务（denial of service,DoS）攻击。这种攻击区别于传统网络体系中的DoS攻击,因此难以应用传统防御方法解决。针对这一问题,提出一种基于虚拟机迁移的DoS攻击防御方法,通过选择迁移目标、设计触发机制和选择迁移目的地,形成迅速减轻DoS攻击影响的虚拟机迁移策略。实验结果表明,针对攻击者的不同攻击方式,该方法均可有效地快速防御DoS攻击,保证云服务的正常运行。相比其他策略,所提方法在迁移开销上略有增加,但防御效果明显,可行性更高。     

内容中心网络中DoS攻击问题综述

“内容中心网络”（Content Centric Networking,CCN）是未来互联网架构体系群中极具前景的架构之一。尽管CCN网络的全新设计使其能够抵御目前网络存在的大多数形式DoS攻击,但仍引发了新型的DoS攻击,其中危害较大的两类攻击是兴趣包泛洪攻击和缓存污染攻击。这两类DoS攻击利用了CCN网络自身转发机制的安全逻辑漏洞,通过泛洪大量的恶意攻击包,耗尽网络资源,并导致网络瘫痪。与传统IP网络中DoS攻击相比,CCN网络中的内容路由、内嵌缓存和接收者驱动传输等新特征,对其DoS攻击的检测和防御方法都提出了新的挑战。本文首先介绍CCN网络的安全设计和如何对抗已有的DoS攻击,然后从多角度描述、比较CCN中新型DoS攻击的特点,重点阐述了兴趣包泛洪攻击和缓存污染攻击的分类、检测和防御方法,以及它们所面临的问题挑战,最后对全文进行总结。     

基于主机资源耗损分析防御DoS攻击的算法及实现

随着计算机技术的迅速发展,DoS攻击成为主要的网络安全隐患.从分析主机资源耗损入手,提出了一种防御DoS攻击的一种算法.该算法通过分析系统CPU占用率来判断是否发生DoS攻击和进行DoS攻击的IP数据包,并进一步取缔非法占用的系统资源来保护主机能够正常工作.     

一种Linux环境下的DoS攻击防范策略

随着计算机网络技术及应用的发展，计算机网络的安全问题越来越引起人们的关注，特别是在Internet上为广大用户提供服务的服务器的安全成为网络领域的又一个热点问题。该文介绍了DoS的攻击和防范的基本原理，并提出了一种在Linux环境下的可针对各种DoS攻击的防范策略。     

DoS攻击下网络化控制系统基于观测器的记忆型事件触发预测控制

本文研究了DoS攻击下网络化控制系统记忆型事件触发预测补偿控制问题. 首先, 由于网络带宽资源有限和系统状态不完全可观测性, 引入了记忆型事件触发函数, 为观测器提供离散事件触发传输方案. 然后, 分析了网络传输通道上发生的DoS攻击. 结合上述记忆型事件触发方案, 在控制节点设计一类新颖的预测控制算法, 节省网络带宽资源并主动补偿DoS攻击. 同时, 建立了基于观测器的记忆型事件触发预测控制的闭环系统, 并且分析稳定性.通过线性矩阵不等式(LMI)和Lyapunov稳定性理论, 建立了控制器、观测器和记忆型事件触发矩阵的联合设计方案,并验证了该方案的可行性. 仿真结果表明, 该方案结合记忆型事件触发机制可以有效补偿DoS攻击, 节约网络带宽资源.     

DoS/DDoS拒绝服务攻击分析及防范对策

拒绝服务攻击已经成为威胁互联网安全的重要攻击手段，本文从分析DoS拒绝攻击服务的原理入手．然后对分布式拒绝服务攻击（DDoS）的原理进行了解析，最后从主机和网络两个层面分析如何去防范DoS攻击。     

DoS攻击下的信息物理系统事件触发预测控制设计

针对信息物理系统(CPS)安全控制设计问题,提出拒绝服务(DoS)攻击下具有任意有界丢包的事件触发预测控制(ETPC)方法.首先,考虑DoS攻击能量的有限性及攻击行为的任意性,将DoS攻击描述为事件触发通信机制下的任意有界丢包;其次,在控制器端利用最近一次收到的状态信息进行控制器增益序列的预测设计以补偿DoS攻击造成的数据包丢失;随后,基于Lyapunov稳定性理论及切换系统分析方法考虑了DoS攻击下CPS的安全性并给出了控制序列设计方法.所提出的ETPC设计方法只需利用最近时刻收到的状态信息,无需满足传统CPS稳定性对最大允许丢包数的约束,为大时滞CPS的稳定性分析及控制提供了有效的解决方案.最后,通过仿真实例验证所提出的基于事件触发预测控制设计方法的有效性.     

DoS攻击下基于切换Luenberger观测器的冗余控制

研究了DoS攻击下网络化控制系统基于观测器的控制器设计问题.首先,提出了一种具有多个增益的切换Luenberger观测器,实现了无DoS攻击时系统状态的间歇性估计.根据获得的估计值,控制器同时计算了系统当前以及未来一段时域的控制信号,并将其封装在一个数据包中发送给执行器,保证了系统在有无DoS攻击时都有合适的控制输入更新.其次,利用构造的切换系统对DoS攻击下观测器与控制器的不同动态进行了统一的建模,基于多Lyapunov函数方法推导了任意切换律下系统指数稳定的充分条件,并给出了相应的观测器与控制器设计方法.最后,通过网络化倒立摆系统的实验验证了所提方法的有效性.     

基于ND的DoS攻击及其对策*

通过深入分析邻居发现协议运行机制,指出了链路可信这个默认前提是导致ND(neighbor discovery)存在安全缺陷的根本原因;随后具体分析了基于ND安全缺陷各种DoS攻击方法,并对ND的安全防护进行了阐述,为进一步研究安全ND奠定了基础.     

DoS攻击下多智能体系统无模型自适应迭代学习跟踪控制EI北大核心CSCD

针对周期性拒绝服务(DoS)攻击下多智能体系统有限时间趋同跟踪控制问题,本文提出了一种无模型自适应迭代学习控制(MFAILC)算法.假设多智能体系统具有固定拓扑结构,并且仅有部分智能体可获取到期望轨迹信息.在多智能体系统数据传输过程中,需要经由对数量化器进行量化处理.首先,使用伪偏导数将智能体系统动态线性化,处理过程中考虑符合伯努利分布的周期性DoS攻击现象,在此基础上设计了MFAILC控制算法,其次,采用压缩映射方法给出了一个在期望意义下保证跟踪误差收敛的充分条件,并在理论上证明了所提算法的收敛性.所提算法只需利用系统的输入输出数据就可完成趋同跟踪任务.最后,仿真结果验证了所提算法的有效性.     

Resilient control for networked control systems with dynamic quantization and DoS attacks

In this article, the resilient control for networked control systems in the presence of denial-of-service (DoS) attacks is investigated in a sampled-data and dynamic quantization scheme. A novel dynamic quantization strategy is designed for signal transmissions from encoding systems to decoding systems, in which the quantized states are transmitted through networks with a risk of DoS attacks. An estimator is introduced to the design of control laws. Some sufficient conditions in terms of quantization levels, DoS attack duration and frequencies are given for the asymptotic stability of networked control systems. Furthermore, an event-triggered communication scheme is designed for signal transmissions in control channels to reduce network resource consumption. The Zeno behavior is excluded in the designed event-triggered communication scheme. The quantization levels can be adaptively adjusted according to real-time situations. Finally, the effectiveness of the proposed strategy is illustrated by simulations.     

DoS攻击下多线性系统多信道传输调度问题

信息物理系统(cyber-physical systems,CPSs)的应用愈加广泛,但因其本身具备开放性,易遭受网络攻击,并且攻击者越来越智能,故有必要开展CPSs安全性的相关研究.鉴于此,考虑具有多个远程状态估计子系统的信息物理系统在DoS攻击下的交互过程.每个系统中各传感器监控各自的系统,并由调度器为各个传感器的数据包分配通道,将其本地估计发送给远程状态估计器,目标是最小化总估计误差协方差.为了更接近实际应用场景,考虑在多信道传输过程中通道信号会受到不同环境影响,因此在不同环境的信道传输数据需要消耗的能量有所不同.调度器和攻击者对于通道的选择,需要满足通道对最低能量的需求才能进行传输和攻击.对于攻击者而言,考虑其更加智能,如果对一条通道攻击后仍然有剩余能量并满足其余通道要求,则可同时选择攻击其他通道进行攻击,进而实现与调度器相反的目标.在此基础上,构造一个双人零和博弈,并采用纳什Q学习算法求解双方的最优策略,为研究信息物理系统安全状态估计提供研究思路.     

DoS攻击下的幂次趋近律滑模控制系统稳定性分析

研究拒绝服务(denial-of-service, DoS)攻击下的n阶受扰系统基于幂次趋近律的滑模控制.首先,通过构造状态预测器重建攻击活跃期间丢失的系统状态,基于预测器状态和非光滑函数,设计能量受限型DoS攻击情况下的幂次趋近律滑模控制器,进一步分析保持系统稳定性的充分条件;其次,当系统存在外部干扰情况下,证明幂次趋近律滑模控制方法仍能保持非光滑控制器的强抗干扰能力;最后,通过数值仿真对所提出的理论证明结果进行验证.     

DoS攻击下随机系统的攻击参数依赖型观测器与控制器协同设计EI北大核心CSCD

本文研究了拒绝服务攻击下网络随机控制系统的攻击参数依赖型观测器与控制器协同设计问题.首先,将拒绝服务(DoS)攻击建模为周期脉宽调制干扰信号,并构造了Luenberger观测器来估计不可测的系统状态.其次,设计了基于观测器的控制器,提出一种新的切换随机系统模型.然后,引入DoS攻击参数依赖型随机时变李雅普诺夫函数分析切换随机系统.给出了切换随机系统均方指数稳定的判据,并使闭环系统具有L_(2)增益性能水平.同时通过应用矩阵不等式技术,给出了攻击参数依赖型观测器与控制器的协同设计方案.最后,以一种飞行器系统为例,验证了该方案的有效性.     

网络融合边界的电信DoS攻击检测*

为了检测网络融合边界的电信拒绝服务攻击,首先针对攻击的类型分别提出了基于呼叫统计或流量信号分析的检测方法,并采用分步骤的策略设计了检测系统,将两种检测算法分别应用于粗检测步骤,再通过精检测步骤确认攻击并找出攻击源.模拟实验结果表明,该方案能够有效地检测出典型的攻击,并能够实时在线检测,具有良好的实用价值,为应对网络融合所带来的新安全问题提供了一种解决方案.