IPv6下TCP分片攻击的研究和检测实现

IPv6相对于IPv4来说，有更好的安全特性，但不能完全消除网络攻击和入侵。通过分析IPv6下的分片重组机制以及IPv6分片重组在Snort入侵检测系统中的实现，设计了在Snort下进行TCP分片攻击的试验，实验表明只要入侵检测系统与服务器本身的TCP／IP堆栈对数据包的处理方式上存在着不同，TCP分片攻击是非常有效的从底层绕过入侵检测系统检测的攻击方式，最后给出了网络管理和配置的建议。     

一种新的IP追踪的分片标记方法

拒绝服务攻击（DoS）是难以解决的网络安全问题。IP追踪技术是确定DoS攻击源的有效方法。针对用于IP追踪的压缩边分片采样算法（CEFS）存在的不足,提出了新分片标记算法（NFMS）,该算法通过扩大标记空间和采用自适应概率的方法,减少了重构路径所需数据包数,并通过给分片加标注,减少了重构路径的计算量和误报率,并且将点分片（路由器分片）、边分片（该路由器分片与同偏移值的下游相邻路由器分片的异或值）分开存放,可验证重构路径时所得攻击路径中节点的正确性。分析和仿真结果表明NFMS算法的性能较优。     

NIDS歧义流量矫正系统

基于网络的入侵检测系统通过分析网络流量识别攻击,但隐藏在歧义网络数据中的Insertion和Evasion攻击利用不同系统实现网络协议栈的差异以及各系统所处不同的网络位置,逃避NIDS检测,以致漏报。文章回顾了歧义问题的相关研究,分析了其产生原因,并以重叠IP分片重组和重叠TCP段重构为例进行讨论。针对以逃避NIDS检测为目的的歧义流量问题,提出了NIDS歧义流量矫正系统,通过分析相关网络协议在实现中产生的歧义,对网络流量进行相应的矫正,使NIDS有效检测出隐藏在歧义网络流量中的特定的Insertion和Evasion攻击。     

IP分片重组Cache实现的测试与分析

IP碎片攻击是网络攻击的主要方式之一,攻击者利用系统对IP数据包分片重组实现上的漏洞,构造大量特殊的分片发送给目的主机,导致目的主机由于重组错误而造成拒绝服务、系统崩溃等。IP分片重组Cache的实现包括IP分片的重组算法、超时处理、替换策略等。文章从分析Linux操作系统IP分片重组Cache实现的策略入手,提出了一种测试IP分片重组Cache实现的方法,并在此基础上推测出Windows系统实现IP分片重组Cache的方法。     

浅析IP分片对网络的影响

通常要传输的IP报文的大小超过链路层最大传输单元(MTU)时就会产生IP分片,大量的IP分片会对网络产生多种影响。针对IP分片现象,首先介绍了IP分片的基本原理,通过对报文分片的测试,分析了IP分片对网络丢包率和延时等网络性能参数的影响;通过对专网应用案例的分析,说明了IP分片会造成业务数据不能得到相应服务质量QoS等级的保障。通过虚拟专用网络VPN技术组网案例的分析,提出了网络设计应整体规划MTU以避免IP分片的观点。     

IP报文分片技术及其在故障分析中的应用

TCP/IP协议采用分片机制来解决传输层报文与MTU的适配问题及适应传输链路上MTU的变化,但传输层大包产生的连续分片会引起与分片相关的新问题,在网络建设和运行中这类问题往往被忽视。结合某专有网络实际应用中的典型分片相关故障,在对IP报文分片的机理和不同网络设备的分片处理机制差异性简单介绍的基础上,重点分析了故障机理并给出了相应处理措施。测试结果表明：这些措施可有效解决和预防与分片有关的故障,提高了网络的可用性。     

分布式IP分片处理问题的研究

传统的IP分片处理技术只适用于单检查点网络。但随着分布式网络应用的飞速发展,这种传统的TCP/IP协议的基础技术越来越不能适应新的网络环境,而且给网络新技术的推广和应用带来了阻碍。该文在分布式HASH算法的基础上提出了在分布式环境下,多点间协同处理IP分片问题的解决办法,将IP分片赋予某个特定的HASH函数值并由相应的检查点来处理。除此之外还利用折叠异或法提高了HASH算法的计算速度,并且利用前插链表法提高了HASH算法解决冲突问题的效能。通过仿真试验表明该算法可以应用于分布式的网络环境,并且拥有较好的网络适应性和稳定性。     

高效IP分片重组的设计与实现

IP分片重组是TCP/IP协议栈中IP层所需要实现的不可缺少的功能之一,首先分析了网络中产生IP分片的原因和IP分片重组的过程,然后论述了采用伸展树这种数据结构实现高效IP分片重组的算法,最后,给出了有关IP分片重组的一些应用。     

IP分片重组算法(RFC815)的实现及其改进

分片与重组是IP机制之一。IP数据报可以在网关处被分片,各分片分别送达。目的主机的IP层将接收到的所有分片重装成一个完整的数据报。介绍了IP分片重组的原理,在此基础上介绍了RFC815算法的实现,并对重组算法做了优化改进,在保证安全性的同时提高算法的效率。     

一种基于分片包标记的改进方案

分布式拒绝服务（DDoS）攻击已经对Internet安全构成巨大威胁。由于TCP/IP协议本身的缺陷以及Internet的无状态性,使受害者对攻击源的确定变得十分困难。在深入研究分片包标记方案的基础上,扩展了标记空间,设立了一个分组域来区分数据包来自于哪一分组的路由器。这样,在重构攻击路径时只需要少量的分片组合就可以验证一条边是否在实际的攻击路径中,从而缩短了收敛时间,并减少了误报数。     

基于流量特征的区域互联网攻击源IP地址检测

当区域互联网受到攻击时,其流量会发生较为明显的变化,因此提出基于流量特征的区域互联网攻击源IP地址检测方法。采用NetFlow技术采集用户高速转发的IP数据流,得到网络流量数据。针对网络流量中突变数据,实施去除处理。通过最小冗余最大相关性,提取互联网的流量特征,以提高攻击源IP地址的检测精度。以流量特征的信息熵作为输入,结合极限学习机与k均值算法实现攻击流量检测并确定互联网攻击源IP地址。测试结果表明:在该方法的应用下,攻击源IP地址检测质量指数在0.9以上,由此说明该方法的检测准确性更高,检测质量更好。     

一种新的恶意代码检测方法

基于主机的检测系统对文件检测能力更强．但是因为开销,成本过高,因此实际中基于网络的检测系统应用场景更广泛,可以部署的节点更多,提升网络恶意代码检测系统的检测能力可以更有效地为之后的恶意代码防御做出支持。但是其节点设备数量虽然多,却相对低端,单台成本更低,不能像主机检测一样将捕捉到的网络数据包还原,即使可以,也费时费力,处理速度跟不上网络流量,将会造成大量的丢包。因此,如果能让检测系统的前端主机在能够不重组数据包就检测出数据包是否为恶意代码意义重大,在不还原数据包的情况下,通过对单包的内容进行检测从而对有问题的包产生告警信息,可以显著增强基于网络的恶意代码检测系统前端主机的检测能力,使其在病毒种植过程中就能探测到异常。     

网上IP劫持攻击的研究

当前 ,网上出现了一种基于 TCP的主动攻击 ,称为 IP劫持 .这种攻击不同于以往的基于网络侦听的被动式网络攻击 ,它能绕过系统口令和 S/ KEY口令保护的防御 ,将网络连接完全接管 ,对网络安全造成了重大威胁 .该文分析了这种攻击的实施原理 ,并提出了针对这种攻击的检测方法和防御技术.     

Local outlier factor and stronger one class classifier based hierarchical model for detection of attacks in network intrusion detection dataset

Identification of attacks by a network intrusion detection system (NIDS) is an important task. In signature or rule based detection, the previously encountered attacks are modeled, and signatures/rules are extracted. These rules are used to detect such attacks in future, but in anomaly or outlier detection system, the normal network traffic is modeled. Any deviation from the normal model is deemed to be an outlier/ attack. Data mining and machine learning techniques are widely used in offline NIDS. Unsupervised and supervised learning techniques differ the way NIDS dataset is treated. The characteristic features of unsupervised and supervised learning are finding patterns in data, detecting outliers, and determining a learned function for input features, generalizing the data instances respectively. The intuition is that if these two techniques are combined, better performance may be obtained. Hence, in this paper the advantages of unsupervised and supervised techniques are inherited in the proposed hierarchical model and devised into three stages to detect attacks in NIDS dataset. NIDS dataset is clustered using Dirichlet process (DP) clustering based on the underlying data distribution. Iteratively on each cluster, local denser areas are identified using local outlier factor (LOF) which in turn is discretized into four bins of separation based on LOF score. Further, in each bin the normal data instances are modeled using one class classifier (OCC). A combination of Density Estimation method, Reconstruction method, and Boundary methods are used for OCC model. A product rule combination of the threemethods takes into consideration the strengths of each method in building a stronger OCC model. Any deviation from this model is considered as an attack. Experiments are conducted on KDD CUP’99 and SSENet-2011 datasets. The results show that the proposed model is able to identify attacks with higher detection rate and low false alarms.     

网络地址跳变对扫描能力的影响评估

移动目标防御(Moving target defense)通过增加系统攻击表面的不确定性,为防御者提供了一种新的攻击防御策略。IP地址跳变是一种典型的网络层移动目标防御机制,它通过IP地址的不确定性,增加攻击者对攻击目标的定位难度。然而对于一个采用IP地址跳变机制的系统,判断其是否具备足够的抵御扫描攻击的能力,这与系统所具备的IP地址资源、采用的跳变方法以及相关跳变参数设定等因素有一定关系,需要建立适合的量化评估模型才能进行精确的评估。对经典的IP地址跳变机制进行梳理和分析,比较主机型和网关型IP地址跳变机制的优缺点。针对IP地址跳变机制的抗扫描能力提出量化评估模型,可用于评估特定IP地址跳变机制在不同参数组合情况下的抗扫描能力。     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

基于Snort的DHCP Flood攻击检测

Snort是一个功能强大的轻量级的NIDS,它能够检测出各种不同的攻击方式,并能对攻击进行实时警报。然而,Snort对DHCP Flood攻击的检测存在着明显的缺陷。在入侵检测系统Snort的基础上,通过设计预处理插件,实现了对DHCP Flood攻击的检测。