IP追踪中的包标记算法

针对基本包标记算法效率低的问题,提出了一种改进算法.通过优化传统的路径信息编码方式,对其标记过程和重构过程作了相应的修改,使受害者可以更快地重构出攻击路径.仿真实验结果表明:该算法能够有效地减少组合次数,提高追踪效率,并且大大降低了误报率.在实际的拒绝服务攻击中能够使受害者更快更准确地追踪到攻击者,从而减少损失.     

一种改进的分片包标记IP追踪方案

针对Savage等人提出的分片包标记方案(fragment marking scheme,FMS)存在的不足,提出一种改进的分片包标记方案(IFMS),该方案通过扩大标记空间和采用动态标记概率的方法,减少了重构攻击路径所需的数据包数,降低了计算开销,同时采用40位Hash作为误差校验,显著降低了路径重构的误差率.理论分...     

一种基于概率包标记的PPM算法改进方案

针对如何提高包标记的标记信息量和路径重构的效率与准确度的问题,对PPM算法进行了改进。将路由信息标记到IP报头的选项字段,以提高包标记的信息量。同时增加一个TTL1字段和填充系数α,分别用于记录从第一个开始标记数据包的路由器到达受害者的路径长和识别标记包的真伪。实验结果表明,改进的包标记算法,重构路径时所需的标记包大大减少,能有效识别标记包的真伪,提高路径重构的效率和准确度。     

一种快速且安全的概率标记追溯技术

现有的包标记技术,如概率包标记方法(PPM)、基于TTL的包标记方法(TPM)和动态概率包标记方法(DPPM),不能快速重构攻击路径和防御攻击者伪造标记。该文提出了自适应概率标记方法(APMS)。数据包在进入网络时,其TTL值在第1跳路由器被修改为统一值,中继路由器能够推断出接收的数据包在网络中已传送的跳数,并自适应地以跳数的倒数为概率,标记该数据包。APMS方法中,受害者平均接收最少的攻击包即可重构攻击路径,并可完全消除攻击者伪造标记所带来的影响。NS2模拟实验证明:使用APMS方法,受害者收集齐重构攻击路径所需标记耗费的时间比其他方法要少20%以上,并且攻击者伪造的标记不能到达受害者,从而不会对受害者重构攻击路径产生影响。     

基于包标记的DDoS攻击源追踪方案研究

依据FMS标记思想,结合密码学的数字签名方法,设计了自适应hash签名标记方案AHSM。该方案是在包经过的路由器处,路由器按一个变化的概率对包进行hash签名。采用hash签名,签名速度快、误报率低、重构开销小,实现了IP地址的防篡改和发送者的不可否认,能有效地防止路由器假冒。采用变化的概率,可以减少受害者重构攻击路径时所需的数据包数,提高了追踪速度。     

IP追踪中攻击路径重构问题的随机模型

建立了IP追踪中攻击路径重构问题的理想模型和扩展模型.基于概率包标记方法,将攻击路径的重构过程表述为一个收敛的随机过程,推导出收敛时间与路径长度、标记概率之间的数学定量关系,得出达到最小收敛时间需要满足的数学条件.实验结果表明,该模型理论值与实验结果一致,为深入研究概率包标记方法提供了理论依据.     

包标记技术浅析

系统介绍了IP追踪中的包标记技术的研究成果,并对该技术的发展趋势做了简单的分析。     

IP追踪中的包标记技术综述

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)一直是网络上使用频率最高的攻击方式。为了能够找到网络攻击的发起源以便对攻击发起人提出法律和经济上的惩罚,也为了威慑那些试图进行网络攻击的人,人们开始研究IP追踪技术。本文系统介绍了当前各种IP追踪中的包标记技术的研究成果,对其在性能和效率上做了横向的比较,并对该技术的发展趋势做了简单的分析。     

一种改进的变步长前后向追踪重建算法

压缩感知中前后向追踪（forward-backward pursuit,FBP）算法能有效缩短重建时间,但一旦迭代过程中前向、后向步长确定,将导致计算时间增长,影响重构效率,因此,提出一种改进的FBP算法,称为变步长前后向追踪算法（variable step size forward-backward pursuit,VSSFBP）.该算法引入判决阈值和等比因子,考虑到估计的稀疏度远小于真实稀疏度,选择较大迭代步长,减少迭代次数,缩短运行时间;同时考虑到当估计的稀疏度达到一定值时,减小迭代步长,减慢逼近的速度,提高信号重构精度.仿真结果表明：VSSFBP算法在保证重构效果的同时,明显缩短了重构时间.当图像压缩比为0.45时,信噪比提高了1 dB,峰值信噪比提高了0.8 dB,重构时间降低为原来FBP算法的42.04%.与同类算法相比,在保持较高的峰值信噪比和信噪比的条件下, VSSFBP算法消耗的时间大大缩短,重构速度更快,重构信号更精确.     

基于主动防御模型的IP反向追踪方法

提出了一种基于主动防御模型的IP反向追踪方法,该方法以安全域为单位,利用hash函数序列的相关性和概率标记信息,通过主覆盖路由器的协同工作,实现了对攻击源的快速定位;在可供使用的标记位有限的情况下,提出了在标记时对摘要信息进行拆分、在反向追踪时利用异或运算实现对摘要信息拼装的方法,从而有效地减少“碰撞”的产生,保证了对大范围DDoS攻击的准确定位,分析结果表明：本方法大大缩短了标记路径,减少了重组攻击路径所需攻击报文数量。     

基于数据包抽样标记的IP追踪技术的研究及改进

数据包抽样标记技术是为了应对分布式拒绝服务攻击而提出的一种IP追踪技术。这里对其原理及实现方案进行了研究。并针对其安全性进行了分析，在原有技术基础上，提出了可鉴别的改进方案，提高了整个方案的安全性。     

一次性可变概率分片标记及其压缩标记

提出了一次性可变概率分片标记方法,即对每一数据包从接入到受害主机的传输路径上的所有路由器至多对其进行一次标记,由此能够避免对任一数据包的重复标记;路由器根据数据包在网络上传输的距离d以概率1/(33-d)对其进行可变概率标记,使受害主机可等概率地收集到攻击路径中各个路由器标记的数据包.在此基础上,根据传输路径上IP信息的相似性冗余,提出了压缩一次性可变概率分片标记方法.实验结果表明,提出的方法能够消除可变概率标记方法对数据包的重复标记问题,并显著减少反向追踪攻击源所需数据包的数目,提高了对攻击源定位的准确性和实时性.     

DiffServ网络中分组标记策略的研究与实现

研究了区分服务中的分组标记策略．通过分析SRTCM的工作原理与标记算法带宽分配公平性问题,提出相应的解决方案,修改SRTCM的标记策略,并仿真测试．通过仿真测试证明算法提高了聚流内的带宽分配公平性的要求．     

面向拒绝服务攻击的多标签IP返回追踪新方法

针对网络安全中拒绝服务攻击难以防御的特点,提出面向拒绝服务攻击的多标签IP返回追踪方法(iTrace-DPPM),用以识别基于互联网控制报文协议(ICMP)的直接和反射式拒绝服务攻击的真实源地址.该方法首先结合ICMP数据段大小及最大传输单元阀值,计算单一ICMP数据报文可携带的路由标记数,再根据数据包的幸存时间推断路由器与攻击源头的距离,将路由器的标记概率设定为距离的倒数,并针对每个标记域独立地执行概率标记算法,最后受害目标根据接收的标记信息,实现转发路径的重构及源头识别.与已有的动态概率包标记方法相比,iTrace-DPPM方法具有路径重构所需数据包少、支持部分部署及无额外负载的优点.NS2环境下的模拟实验结果证实,路径重构所需的攻击包数降为DPPM方法的路由标记数的倒数.     

一种基于分组漏斗的DDoS防御机制

提出一种新的基于分组漏斗算法以防御DDoS攻击.该算法引入基于历史IP过滤(History-based IP Filtering)算法思想,并采用活动IP(AIP)表和等待矩阵(Waiting Ma-trix)两级过滤机制保护服务器.实验结果显示,该防御方案以牺牲少量随机合法用户的正常访问为代价,过滤掉大部分攻击包,从而确保大多数合法用户的正常访问.     

基于Java的IP网络数据包抽样采集研究

阐述了数据包抽样的基本方法及特点，论述了IP网络数据包抽样采集系统的体系结构，最后用Java实现了基于Poisson的数据包抽样。     

端到端最小包时延可测性的排队分析与仿真

以排队分析和网络仿真为手段定量分析了在不同路径长度和流量负载条件下的最小时延可测性,发现约50个探测包即可有很大概率测量到有10跳长路径的最小时延.通过回归分析,建立了反映探测包数量与路径长度关系的线性方程.在互联网的实际测量验证了该方法是有效的.