面向SDN的安全威胁及其对抗技术研究

软件定义网络(software-defined networks,SDN)通过逻辑集中的网络控制,提高了网络编程的灵活性,但由此引入的安全威胁若被攻击者利用将会直接危及整个网络架构。针对SDN的特性,将安全威胁分类汇总为入侵攻击、异常攻击、DDoS和DoS攻击、欺骗攻击4类。鉴于DDoS和DoS攻击在SDN环境下比在传统网络环境下更具针对性且危害性更大,因此着重从攻击原理、手段和效果方面进行系统论述。最后根据攻击类型对现有对抗方案进行了介绍,并根据现有技术的不足提出未来的研究方向与发展趋势。     

一种基于带权CAT的DDoS分布式检测方法

针对DCD(distributed change-point detection)方案存在受害端开销大、检测率低等问题,提出了一种基于带权CAT(change aggregation trees)的检测方案.采用分布式分级体系结构,将检测任务分布到互联网源端、中间网络和受害端,实现攻击的早期检测;利用CUSUM算法对微小变化的敏感性,在源端主机和中间网络的路由器处进行基于到达目标数据包数量的检测以及基于超级流聚合变化的检测;受害端进行基于域树权重的榆测.实验和分析表明,CAT方案对UDP攻击的检测率从DCD的最高0.72提高到0.94,TCP攻击检测率也略有提高;网络的通信开销和受害端的存储丌销从o(mnk)降为o(mk),受害端的计算开销从o(mn)降为o(m).系统在实现检测的同时,获得了攻击路径和攻击的准确位置,实现了DDoS攻击的分布式追踪.     

网络流量异常检测方法：SSAE-IWELM-AdaBoost

针对传统入侵检测方法在高维海量数据且类别分布不均衡的环境下检测性能较差的问题,提出一种流量异常检测方法SSAE-IWELM-AdaBoost,该方法基于堆叠稀疏自编码网络(stacked spare auto encoder,SSAE)并融合改进加权极限学习机(weighted extreme learning machine,WELM)。该方法首先使用堆叠稀疏自编码网络直接从原始流量数据中自动学习并提取特征,获取原始数据的低维抽象表示,然后以WELM作为集成算法(AdaBoost)的基础分类器,利用修改的训练样本权值分配规则和基分类器权值更新公式迭代训练基分类器,通过加权投票表决的方法得到最优强分类器完成网络攻击流量的识别。在UNSW-NB15数据集上进行仿真实验,实验结果表明,SSAE-IWELM-AdaBoost算法可以提高整体的检测精度以及小样本攻击的检测率,缩短分类器的训练时间,能较好地满足大规模网络环境下原始流量数据实时检测,对不均衡流量数据识别也具有较好的表现。     

源端网络中SYN洪流攻击的自适应检测

根据TCP连接建立过程中SYN请求分组与SYN／ACK应答分组一一对应的特性，提出了一种针对SYN洪流攻击的源端网络自适应检测方法．该方法采用简单滑动平均算法对实时统计数据进行平滑，根据对检测统计量的均值和方差的在线估计自动调整检测门限，并利用连续累计检测法来降低突发网络异常对检测结果的影响．性能分析和仿真验证结果表明，在检测时延不超过6个采样周期的要求下，该方法可检测的最低攻击流量约为正常流量的30％，并且检测结果的虚警概率低于10^-6，漏警概率低于10^-2．     

防御DDoS攻击的新过滤PHF模型

在分布式拒绝服务攻击对网络安全的危害日益严重的情况下，在众多的攻击防御技术中，采取路径标识是一种能有效对抗DDoS攻击的技术．而为更有效地防御DDoS攻击，利用Pi方案中，受害主机使用Pi标记对收到的数据包进行过滤的方式，提出了结合Pi标记与跳数的新过滤模型，即受害主机采用〈Pi，HC〉元组识别和过滤攻击包方式．并通过基于真实因特网拓扑的实验，证明PHF模型的防御效果明显优于Pi方案．     

基于活跃熵的Web应用入侵检测模型

由于现今的一些应用层Web攻击体现出大流量的特征,传统的Web入侵检测技术往往对这类攻击检测能力较弱,本文提出了一种基于活跃熵的Web入侵检测方法.该方法通过对HTTP数据包的截获,提取GET、POST请求参数以及HTTP Header中关键数据,并对其熵值进行分析,利用熵值的变化来发现Web数据流中存在的攻击行为.实验结果表明,本方法能实现此类大流量Web应用攻击行为的检测,有效的弥补了传统检测方法的不足.     

针对RED脆弱性的分布式LDoS攻击构造

针对随机早期检测(random early detection,RED)算法在慢速拒绝服务攻击(low-rate deny of serv-ice,LDoS)面前的脆弱性问题,本文通过对比路由器分别在RED和尾丢弃Drop-Tail算法管理下遭受LDoS攻击时的队列平均占用率及吞吐量,指出虽然路由器在RED算法下具有较大的空闲缓冲区,却不能对网络流量攻击起到缓冲作用.仿真对比实验表明,LDoS攻击使得路由器在RED下比Drop-Tail具有更大的链路损失带宽.指出现有LDoS的防范和检测方法的不足,构造了一种分布式LDoS攻击模型并给出一组模型实例,该模型说明现有突发流量检测方法不足以弥补RED脆弱性,也说明网络流量行为的关联复杂性.     

基于DBN与带注意力机制GRU的CAN总线入侵检测模型

为解决车联网中CAN(controller area network)总线易受攻击的问题,提出了一个混合攻击入侵检测模型DGAOIDS。该模型利用无监督的DBN(deep belief nets)学习正常CAN报文数据的基础特征,并利用一个带注意力机制的GRU(gate recurrent unit)网络学习其时序特征,用单分类支持向量机对其进行分类;引入一个对电子控制单元规则学习得到的过滤器,综合过滤器与前述模型的分类结果得出最终的检测结果。实验结果表明,对于不同攻击,基于规则的过滤器的假阳率均为0;DGAO-IDS模型不仅在公开数据集HCRL中的检测结果优于对比模型HyDL-IDS和MD-LSTM,而且该模型在混合攻击数据集MixAt中的精确度达到了91.05%,与HyDL-IDS模型和MD-LSTM模型相比分别高6.55%与7.93%。     

面向软件定义网络的多跳D2D通信的路由协议

基于软件定义网络(Software De?ned Networking, SDN)架构的无线网络,提出多跳设备至设备(Device-toDevice, D2D)路由协议(Multi-hop D2D Routing, MD2D).在MD2D路由中,SDN控制器管理,并控制MD2D路由的功能,进而提高网络扩展性.同时,子控制器不再向移动节点广播链路状态信息,只需传输下一跳节点信息,进而控制路由开销.仿真结果表明,相比于HSAW,提出的MD2D路由具有更低的路由开销.     

无人机网络入侵检测与信任体系研究综述

无人机应用场景广泛,然而无人机网络节点移动性强,通信链路不稳定,资源受限,易受网络攻击。常见的攻击有拒绝服务攻击、信息窃取、GPS(global positioning system)欺骗、传播虚假消息等,并且这些攻击在实际应用中会造成许多风险事件。基于上述攻击,本文回顾了近年来无人机网络安全防御方案,首先介绍了入侵检测防御技术,包括基于特征分析的入侵检测、基于数字签名的入侵检测、基于异常行为和行为准则的入侵检测;然后阐述了信任管理模型,包括基础信任模型、分角色和分层信任模型和其他信任模型;最后概述了基于人工智能技术和区块链技术的新型技术安全防御方案。结尾提出完善入侵检测方案与信任体系面临的挑战,为无人机网络安全研究提供参考。     

基于RASP技术的Java Web框架漏洞通用检测与定位方案

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88. 2%,且该方案性能消耗小。     

一种基于动态污点的内存越界访问检测框架

基于软件漏洞的APT(advanced persistent threat)攻击是目前互联网终端用户面临的最大安全威胁之一.传统的基于样本的检测方法往往滞后于攻击行动,无法在攻击发生时准确阻止攻击行为.针对悬浮指针(dangling pointer,DP)及索引溢出(index overflow,IOF)两类常见漏洞错误,通过分析漏洞的形成机理及防护条件下漏洞利用过程,提出一种针对上述两种错误的自动检测框架.该框架以二进制动态分析平台Pin为基础,使用动态插桩技术和污点技术,通过动态追踪指针的整个生命周期并对指针使用的合法性进行检查,从而准确检测出DP和IOF类型的漏洞攻击样本并提供详细的漏洞信息.     

无线钓鱼接入点攻击与检测技术研究综述

随着城市无线局域网热点在公共场所大规模的部署,无线局域网安全变得尤为突出和重要,其中无线钓鱼接入点(AP:Access Point)攻击是无线网络中严重的安全威胁之一.本文介绍了无线钓鱼AP攻击存在的威胁,详细分析了无线钓鱼AP攻击的基本原理和实现,阐述了无线钓鱼AP攻击主要目的和构造实现方法.基于无线钓鱼AP攻击的基本原理将无线钓鱼攻击实现方式分为被动式攻击和主动式攻击,并分别从物理层和MAC层详细分析了主动式攻击.对现有无线钓鱼AP检测技术:无线端、有线端和混合式三类嗅探检测技术,重点分析了基于802.11特征指纹的检测技术.对未来工作进行了展望,介绍了下一代无线钓鱼AP检测技术的特征.     

高隐蔽性的无线网络主动钓鱼攻击及其防范研究

提出一种新的无线网络钓鱼攻击,该攻击采用主动攻击方式,将受害者切换到钓鱼无线接入点,同时使用低速率无线网络攻击以提高隐蔽性,并讨论了高隐蔽性无线主动钓鱼攻击模型和攻击条件,给出了一种实现此攻击的具体方法以证明其可行性.同时,针对该类型攻击提出了一种基于累加和控制(CUSUM)的检测方法,并验证了其有效性.     

开放式Web平台可信性:问题与对策

对近期出现的开放式Web平台共性特征进行了分析,提出了开放式Web平台由于其系统架构,在可用性、安全性及隐私性等方面存在的问题,并通过实验证明了上述问题的存在.对于增强此类系统可信性,本文认为应重视由RESTfulWebServices远程调用所带来的时间开销,在第三方服务器暂存请求副本并增加DDoS攻击检测功能;开放式Web平台应对其与第三方应用服务器之间的通信进行加密.提出了一种基于任意测试位置的第三方应用评测算法,该算法仅使用较少的测试数据.实验表明,该算法能有效检测存在安全性及隐私性漏洞的第三方应用.     

关联规则在网络异常检测中的应用

异常检测在网络安全中已成为一个重要的课题,异常检测是入侵检测(IDS)的一种,它对网络及用户正常行为的特征进行描述,并通过对正常网络行为的偏差的比较来实现入侵检测.关联规则是一种典型的数据挖掘方法,可以用来描述事物之间在特定条件下存在的某种强度的联系.通过对网络数据进行采集并利用关联规则数据挖掘的方法描述网络特性,建立了一个有效的网络异常检测系统模型,获得了较好的效果.     

一种基于模型检查的入侵检测方法

在分析系统行为以及其动作序列的语义的基础上，利用时序逻辑公式描述攻击特征，提出了一种基于模型检查的入侵检测方法，该方法解决了检测中的重复验证等问题，通过增加推理链的长度约束，引入时序算子处理统计攻击，从而优化了入侵检测过程。     

一种面向IaaS租户的资源完整性度量协议

提出一种IaaS(infrastructure as a service)完整性度量协议,该协议允许租户主动发起对IaaS资源的度量和验证,使租户能够检测其自身资源的完整性状态,增强IaaS资源状态的可见性.利用SVO逻辑对协议的安全性、完备性进行了分析,并搭建实验平台对协议的抗攻击能力和时间性能进行了验证.分析和实验证明,该协议能够抵御重放攻击、假冒攻击等多种形式的攻击,同时协议的执行耗时不会影响租户的正常使用体验.     

基于AES对称性的攻击方法分析

在研究了Advanced Encryption Standard(AES)算法的特性和一些攻击AES方法的基础上，提出了分析AES的一种新的思想及基于此思想的攻击方法．该思想利用了AES的对称性，本文证明了这种对称性，并在此基础上把逆序Square攻击扩展到7轮，同时提出逆序碰撞攻击的概念，并以此对7轮AES进行分析．结果表明该方法的效率是相当高的，其复杂度大约是2，需选择2组密文．     

针对随机延迟防护的安全性评价方法

提出了一个针对随机延迟防护的攻击方法的分析评价框架.在这个框架的基础上分析了直接攻击和整合(integration)攻击的攻击效率.同时,提出了一种新的攻击方法 WIA(带权重的整合攻击),分析了其在各种条件下的攻击效率,得出了比现有文献更一般性的结论.试验结果表明,相比于已有的攻击方法,WIA的攻击效率更高,因此WIA的攻击结果更能科学地反映随机延迟防护的安全性强度.