一、因特网防御DoS攻击技术评述Ⅰ——攻击分类与特征·包过滤·攻击检测与防御(论文文献综述)
廖元媛[1](2020)在《铁路信号安全数据网信息安全防护策略研究》文中研究说明铁路信号安全数据网是列车运行控制系统安全信息传输的承载网络,为列车在高速度、高密度条件下安全、高效运行提供重要保障,其受到信息安全攻击时可能引起设备功能失效甚至导致安全事故,网络的可靠性和安全性与行车安全直接相关。随着计算机通用技术的应用,其面临的信息安全问题愈发严峻且后果严重,针对信号安全数据网的信息安全防护研究具有重要意义。本文以铁路信号安全数据网为研究对象,针对信息安全防护策略开展研究。分析铁路信号安全数据网网络拓扑、运营特点、安全需求,进行铁路信号安全数据网信息安全动态风险评估,利用多目标优化技术对组合式防护策略进行分析,考虑到防护措施实施后攻击者的攻击策略选择倾向可能发生变化,从攻防博弈角度研究信息安全防护决策方法。本文主要包括以下三部分研究内容:1、基于贝叶斯推理的铁路信号安全数据网信息安全动态风险评估。分析设备漏洞、权限及多步攻击间的逻辑关系与影响传播途径,结合原子攻击的不确定性建立扩展贝叶斯攻击图模型;建模量化检测设备告警与攻击行为的关联关系,将实时告警信息作为证据进行事故发生概率的动态推理;最后结合事故的功能安全影响得到系统风险。2、基于多目标优化的铁路信号安全数据网组合式防护分析。结合扩展贝叶斯攻防图研究不同防护措施组合对系统风险的影响,将防护前后的风险差值作为防护策略的收益。从防护策略经济成本、策略实施对系统性能的影响、防护设备故障对功能安全的影响等方面进行防护成本评估。综合多方面因素建立防护策略多目标评价模型,通过多目标优化问题的求解得到最优防护策略集合。3、基于攻防博弈的铁路信号安全数据网信息安全防护决策。结合扩展贝叶斯攻防图建立攻防博弈模型,分析攻击者策略选择影响因素并研究攻击策略成本及收益的评价指标与量化方法;通过组合式防护策略分析中的防护策略评价指标函数,结合专家知识评估防护策略成本及收益;求解攻防博弈混合策略均衡状态并得出最优防护策略选取方案。本文所述方法能够根据扩展贝叶斯攻击图模型对信号安全数据网信息安全的攻击、检测及防护行为不确定性及关联关系进行建模,对系统信息安全现状进行有效的、准确地动态评估;在此基础上,通过多目标优化模型在防护措施组合成本限制的条件下最有效地降低信息安全风险;最后在攻防博弈模型的基础上有效寻求了网络攻击者及防护者双方残余风险与攻击开销的最佳平衡;仿真实验结果表明了所述方法的科学性及有效性,可以为铁路信号安全数据网信息安全防护策略提供理论参考及有力支撑。图50幅,表25个,参考文献78篇。
罗逸涵[2](2019)在《基于LSTM的DDoS攻击预警系统的设计与实现》文中指出分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种操作较为简单的攻击方式,并且破坏力巨大,因此,也是攻击者经常选择的方式。研究学者虽对DDoS攻击预警进行了一些研究,但随着DDoS的攻击手段不断变化,现有的DDoS攻击预警方法存在滞后的问题,导致预警不及时,使得防范更加困难。本文针对DDoS攻击预警的现存问题,展开分析研究,基于LSTM神经网络模型实现DDoS攻击预警。本文具体研究工作如下:1.本文对DDoS攻击原理进行深入研究,对几种典型的DDoS攻击方式详细分析,根据研究和分析结果,总结DDoS攻击的发展趋势和攻击特性。2.本文针对DDoS攻击检测方法存在滞后性、误报漏报等不足,提出了一种基于长短时记忆(Long-Short-Term Memory,LSTM)网络流量预测模型的DDoS攻击检测方法。通过分析正常网络流量特性,定义IP数据包统计特征(IP-Data-Counts Feature,IPDCF)来表征网络流特征,基于IPDCF序列训练LSTM神经网络,建立预测模型,并对待测流进行预测,然后将预测结果与预先设定的阈值进行比较,进而识别DDoS攻击。实验结果表明,该方法可以较准确地识别DDoS攻击,且误报率和漏报率较低。3.本文针对DDoS攻击预警阈值的设定方法,存在静态、单一等缺点,提出了一种基于动态自适应阈值的DDoS攻击预警模型。设计了 DDoS攻击态势预警模型逻辑结构,定义了区域性的网络安全脆弱性因子(Security-Vulnerabilities-Factor,SVF)。然后基于LSTM网络流量预测模型的预测结果以及区域性SVF,动态自适应设定闽值,基于该阈值定义预警级别区间,以判定DDoS攻击的程度。实验表明,该模型能有效地从全局角度动态地分析DDoS攻击态势,准确地预警DDoS攻击级别。4.本文设计了基于LSTM的DDoS攻击预警系统。详细阐述了预警系统的需求。根据需求,设计了总体框架和各子模块及其数据库。并基于此框架对系统进行了实现和测试,测试结果表明本文所提方法的可行性和实用性。
张波[3](2019)在《边缘计算网络安全防线联动与攻击主动防御关键技术研究》文中研究指明边缘计算网络是指在靠近用户或物联网、数据源头侧,融合网络、计算、存储和业务核心能力的边缘侧大数据计算网络新范式。边缘计算网络是在云计算和物联网两个领域的共同发展推动下产生的,其核心是面向智能传感设备产生的海量上行监测采集、下行决策控制大数据,通过边缘侧大数据存储计算,解决集中式云计算模型下数据计算效能、性能低下的问题。与传统云计算网络相比,边缘计算网络终端类型更丰富、数据实时交互更频繁、传输网络技术体系更复杂、业务系统智能化互联程度更高。然而,边缘计算网络泛在、开放特点将网络安全风险传导至系统各业务环节,面临着严峻的安全防护挑战。边缘计算网络的高实时、高连续性要求,使得其主动防御问题得到了越来越多的重视,已经成为研究的热点问题。面对边缘计算网络混成特性和新型网络攻击特征不确定性双重约束,在攻击未造成严重损失前对网络攻击实施检测、规避、诱骗、控制等主动防御,对实时性、连续性高要求的边缘计算网络安全防护意义重大。论文针对边缘计算网络在终端域、数据域、网络域、系统域四个层次面临的安全挑战,通过对边缘计算网络攻防博弈本质进行描述,研究攻击行为的超前检测、防御和最优收益处置问题。突破传统被动信息系统安全模型、方法和技术无法满足边缘计算网络高实时性、连续性要求的理论技术限制。着重对以下几个方面进行了深入研究:(1)为提高边缘计算终端的主动防御能力,论文研究了基于动态异构冗余构造的边缘计算终端拟态防御技术,并对拟态防御系统进行了形式化描述。针对所提拟态防御模型的防御能力评估,提出了一种综合动态特性、异构特性和冗余特性,采用概率分析方法对边缘计算终端拟态防御模型的防御能力进行分析。该模型能够根据攻击能力、异构程度、动态变换等相关因素参数对拟态防御模型的安全性进行求解计算。在此基础上,论文设计了基于熟悉信任度、相似信任度、行为信任度计算的边缘计算终端接入传感节点信任度评估论方法,通过对感知节点信任度的变化作为决策依据,对拟态防御组件变换周期进行合理的预测和调整。最后,通过模拟攻击者和拟态防御系统的仿真实验验证该模型。研究结果表明,所提出的模型对于帮助设计者构建拟态防御系统具有一定的指导意义。(2)针对边缘计算网络非可控环境下数据高速、可靠传输需求,兼顾防御收益最大化,论文提出了基于网络拓扑拟态关联的边缘计算网络数据交互攻击主动防御方法。通过构建动态通信路径联盟增大攻击者的攻击成本。在此基础上,综合考虑通信路径动态调整引起的传输可靠性和防御收益下降问题,提出了融合非广延熵和Renyi交叉熵的实时网络异常检测算法,以及基于HMM隐马尔可夫预测模型的网络安全可靠性预测算法。提出了基于动态阈值的网络拓扑拟态关联图和通信路径联盟拟态变换方法,确保了边缘计算网络主动防御技术的数据传输服务质量。构建了抵御新型攻击、最优防御成本的边缘计算网络数据交互过程攻击主动防御模型,为攻击危害前的主动防御提供了有力保障。(3)安全主动防御的本质是使得防御收益大于攻击损失。为解决边缘计算网络中泛在传输网络引入的不确定特征新型攻击防御问题,论文对边缘计算网络的传输网络域中攻击本质以及攻防博弈机理进行了研究。得出了攻防双方的目标对立性、策略依存性和关系非合作性的结论。在动态入侵检测的思想基础上,论文结合攻防博弈理论,提出了基于边缘计算网络拟态入侵检测博弈模型。详细分析了不同部署策略下的各参与方博弈收益和效用计算方法。根据对模型中纳什均衡条件的证明分析,刻画了矛盾动态博弈关系。从而通过博弈收益平衡点的求解得出边缘计算网络中多冗余度边缘计算终端入侵检测服务的最优部署策略。提高了边缘计算网络对网络攻击的检测概率,并降低边缘计算网络入侵检测成本。(4)边缘计算网络中系统伴随计算能力下沉后,呈现出全时域空域系统互联特性。为解决此背景下系统域高级持续性威胁等复杂攻击的联动处置和最小成本响应问题,论文提出了一种基于属性攻击图的边缘计算网络系统的攻击联动处置决策方法。通过网络安全告警关联和告警聚类方法构建精简属性攻击图,对告警信息的因果关系进行形式化关联分析。在此基础上将联动处置策略决策计算转化为属性攻击图最小支配集求解。最后设计了基于贪心算法的联动处置策略决策算法,从而构建了一套最优防御成本的攻击联动处置决策技术,为及时有效的主动防御提供了有力保证。论文对边缘计算网络进行了全面、深入的安全分析,针对边缘计算网络的终端域、数据域、网络域、系统域的立体安全防御需求,提出了一套全环节、轻量级的攻击主动防御方法簇。与现有研究工作相比,论文所提出的终端拟态防御与入侵检测、网络拟态安全传输与入侵检测、入侵联动响应决策方法防御收益更高,对实现边缘计算网络的主动防御具有重要意义。
胡汉卿[4](2015)在《基于云计算DDoS攻击防御研究》文中进行了进一步梳理DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种通过耗尽受害者主机资源而使得它不能提供正常服务能力的攻击。随着最近几年云计算的高速发展,DDoS也渐渐的开始攻击云环境,并且攻击目的直指应用基础设施。虽然目前对于DDoS攻击的入侵检测技术已经比较成熟,但是云环境中出现的一些新的特性使得对于DDoS攻击进行新的专门的研究。本文首先对DDoS攻击的发展和原理进行介绍,并且对云计算的特点和存在的安全隐患进行分析。接下来根据DDoS攻击的特点,在提出检测防御模型的设计需求和设计目标以后,提出基于云计算DDoS攻击防御模型——DDCC模型。本文主要的贡献有以下几点:(1)对DDoS研究分析的基础上提出应用检测方法,使用检测方法结合云计算强大的数据存储能力和计算能力准确识别DDoS攻击流量。通过使用基于特征检测方法结合基于行为检测方法来检测网络中流量。(2)提出在检测到DDoS攻击以后对攻击流量进行控制算法,在系统遭受DDoS攻击时通过使用该算法来调整网络传输质量。(3)设计出基于分布式防御DDoS攻击模型,各模块分工合作,通过管理模块对各个模块进行调度来共同防御DDo S。最后,本文对数据检测算法和基于速率限制算法进行仿真实验,通过实验验证两个算法的有效性,最后通过理论对DDCC模型进行分析,并对今后的工作进行展望。
谭世殊[5](2014)在《面向虚实结合网络的攻击阻断系统的设计与实现》文中研究指明互联网的便捷性、高效性和低成本等优势,使得各行各业都通过互联网来开展业务。尤其云计算的出现,更是加快互联网的发展速度。但是由于互联网的设计以及云计算的发展的不成熟,使得互联网存在着较大的安全隐患,很容易遭受到黑客的攻击。随着互联网的发展,网络攻击造成的损失也随之增长,每年因为网络攻击造成的损失在千亿美元以上。拒绝服务攻击是占总攻击比重最大的一种,它具有发起门槛低、破坏巨大和难以有效防御等特点,一直是黑客最常用的攻击手段。近年来,拒绝服务攻击出现了新的形式,从物理网络发展到云计算中的网络,这种新的形式的攻击目前还没有有效的应对措施,这给云计算乃至互联网的发展带来很大的不确定性。本文针对在一个大规模的虚实结合网络中防御拒绝服务攻击这一个特定需求,设计并实现了一个面向虚实结合网络的攻击阻断系统。系统综合了多种拒绝服务攻击的防御技术,经过入侵检测、攻击路径重构、阻断决策和分布式阻断等步骤之后,能够高效的阻断两种网络中的拒绝服务攻击和其他大规模的攻击,同时尽量降低网络升销,这在云计算飞速发展的今天具有极强的现实意义。本系统的特色在于能够在虚拟网络中实现溯源和阻断,完成跨越物理和虚拟网络两种域的阻断;运用改进的遗传算法选择最佳位置进行阻断,提高阻断效率;还能够动态优化的已部署的阻断规则,降低数据包的平均匹配时延;此外在虚拟网络的阻断中通过采集攻击样本特征的方式区分正常流和攻击流,有效的提高阻断的正确率。最后对系统进行了全面的测试,测试结果表明系统能够对各类型拒绝服务攻击进行阻断,能够很好的保护网络的安全。
黄鲁娟[6](2013)在《基于标记的恶意IP包防御技术研究》文中研究指明分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是威胁互联网安全的主要因素之一,相比拒绝服务攻击(Denial of Service,DoS),有更强大的威力和破坏力。在防御DDoS攻击的技术中,以数据包标记思想为基础的一大类防御技术以其独特的优势得到众多研究者的关注。攻击路径追溯(Path Traceback)技术能帮助受害主机定位攻击源的位置,从而有针对性地在更适当的位置部署相关防御措施,有效遏制攻击流对中间传输网络和攻击目标的影响。攻击路径标识(Pathidentificatio n, Pi)技术帮助受害主机有效识别合法包和攻击包,对攻击现象做出快速反应,使攻击影响减到最低。本文以数据包标记技术为基础,研究数据包标记技术在传统网络IPv4和下一代网络IPv6中的若干新技术,提出多个具体的优化和创新方案:(1)在对路径追溯和路径标识技术展开深入研究的基础上,提出了一个联合路径标识和确定包标记(Pi-DPM)的方案,通过在标记域中记录和传输两种信息,使得受害主机既能利用DPM标记准确重构攻击包真实源主机网络的边界节点地址,又能利用Pi标记有效过滤大量攻击包。仿真试验结果表明该方案能有效减轻DDoS攻击流对受害主机的影响,同时能准确定位真实攻击包来源所在的自治域位置。(2)在深入分析概率包标记(PPM)技术的基础上,针对PPM算法重构路径时间空间复杂度大的缺陷,提出一种基于攻击源标识的概率包标记(S-PPM)方案。新方案增加13位的标记字段作为攻击源标识,受害主机利用这一字段将标记包进行预分类,将多攻击源分布式攻击的路径追溯重构算法简化为多个单一攻击源攻击的路径追溯重构算法,极大减小了重构算法所需时间和难度。仿真试验结果表明该方案能有效减少攻击路径重构需要的数据包数量,并大幅度减少攻击路径重构的时间复杂度,提高路径重构效率。(3)在深入研究IPv6协议的报头结构和地址分配策略的基础上,针对IPv6网络的特性,提出一种基于IPv6地址分配策略的源端过滤确定包标记(SDPM6)方案。该方案利用源地址验证技术在保证源地址准确的情况下通过DPM算法追溯到IPv6包所经路径的入网节点,再通过网络管理者之间的协作,在源主机处过滤攻击包。方案精简标记信息,标记选项长度仅14字节,由目的选项扩展报头携带标记信息,且考虑到受害主机追溯到攻击源地址后启动过滤技术所需信息的问题。最后通过理论分析和仿真试验验证了SDPM6方案的有效性。本文提出的包标记方案在DDoS攻击防御领域做出了少量成果,但随着网络技术和应用的不断发展,DDoS攻击防御技术在实际应用中必然会面临许多新问题,对防御方案在效率、安全性、可扩展性等方面的要求也会越来越高。
倪翠霞[7](2013)在《防火墙的包过滤优化若干技术研究》文中指出防火墙是网络安全的核心元素,是保证企业信息安全的中流砥柱,已在多数企业网络中被广泛使用。防火墙的基本功能是根据内置的规则表来决定每一个经过的数据包的过滤行为,即接收或丢弃。面对日趋恶化的网络环境及日益增大的网络速率,优化防火墙的包过滤技术,增强防火墙抵御网络攻击的能力,提高防火墙包过滤速度,具有重要的社会现实意义。本文以优化防火墙的过滤技术为目标,同时面向下一代IPv6因特网,提出了防火墙包过滤的两个具体优化和创新方案,力求取得更好的防御网络攻击和提高处理速度的效果。本文研究工作的创新点主要体现在以下两个方面:(1)传统防火墙与路径标识(Pi)相结合的数据包过滤方案(CTFPi)。针对已有防火墙包过滤的缺陷,我们发现传统包过滤技术与Pi技术有可结合之处,因此提出了一种新的防火墙规则优化方案-CTFPi方案,即将防火墙技术与Pi相结合的方法。根据CTFPi方案,一方面期望将数据包的过滤任务从受害主机转移到防火墙,减轻受害主机的负担;另一方面将目标主机放在一个安全域中,对经过防火墙过滤之后的数据包不再进行安全性检查,让数据包直接在安全域中传输,提高传输性能。更重要的是,我们将两项防御技术进行结合,期望进一步增强网络的安全性能。试验表明,CTFPi方案能够更好地抵御攻击,并能够提高防火墙的过滤速度。与传统的数据包过滤方案相比,本文所提出的方案能够更好地适应高速的网络要求,并能够有效保护域内主机免于外部的恶意攻击。(2)多叉树和双索引策略的防火墙规则搜索优化算法(MTADIS)。该方案通过研究已有方案的缺陷,并在分析大规模防火墙日志文件的基础上,利用统计学的分析策略,提取其中反映规则特性的两个主要特征,即有限取值的协议字段和可聚合的IP地址字段,同时结合索引策略和多叉树的特点,提出了了MTADIS方案。通过MTADIS方案,一方面改进已有算法的不足,在这些方案的基础上继续研究;另一方面,结合下一代IPv6的特点,力争设计出具有良好扩展性的方案,能适用于下一代因特网的包过滤。大量的仿真试验表明,相比于已有的方案,MTADIS在预处理时间和平均过滤时间上都有很大提高,并有良好的扩展性。因此,MTADIS方案能够更好地适用于目前快速复杂的网络环境。本文不仅深入分析创新方案的理论模型和现实意义,而且还进行了充分的试验来验证方案的有效性。但这些方案仍然存在不足,未来的研究工作将主要针对这些不足,进一步改进完善,提高性能,使防火墙能更好地适应网络安全的需求。
万明[8](2013)在《身份与位置分离体系映射安全关键技术研究》文中提出在传统互联网体系结构中,IP地址的双重语义在互联网路由可扩展性、移动性和安全性等方面引发了严重问题。为此,将IP地址的双重语义分开,实现节点身份与位置分离的设计思想已经成为未来互联网理论与技术研究的热点之一。其中,映射机制作为身份与位置分离体系的关键技术,目前的研究主要集中在具体实现方式以及性能评估等方面,关于其安全性的研究,仍未广泛展开。因此,本文主要围绕映射安全相关的关键理论与技术展开研究。主要工作和创新点如下:1.为了分析身份与位置分离映射对网络蠕虫传播的影响,提出了基于AAWP的语义分离传播模型和基于SIR的映射时延传播模型,基于此模型,对网络蠕虫在传统互联网和身份与位置分离体系的传播情况进行了数值分析与比较。结果表明:身份与位置分离体系下IP地址的双重语义分离和映射机制的映射时延能够有效减缓网络蠕虫的传播。2.提出了一种基于映射请求流量的异常检测方法。其中采用了累积和算法实现异常流量报警,同时给出了接入路由器映射缓存超时的设计考虑,并设计了映射请求门限机制用以解耦映射请求流量和映射缓存。仿真实验与评估验证了该方法的预报警特性、检测的有效性以及映射请求门限机制的可行性;理论分析给出了异常的映射请求流量对映射服务器的影响以及该方法的误报和失报问题。3.提出了一种基于双门限机制的映射缓存DoS攻击防御方法。首先设计了基于迭代思想的谜题机制降低映射缓存中映射信息条目的增加速率,然后提出了映射信息可信度算法判别和过滤映射缓存中恶意的映射信息条目,从而防止了映射缓存溢出。分析表明,该方法具有较好的有效性和优越性,并且基于迭代思想的谜题机制具有显着的安全优势。4.提出了一种基于信任模型的映射欺骗防范方法。该方法在映射机制中构建了一种基于反馈评判的信任模型,并采用自证明标识代表接入路由器的身份信息,增强了映射信息的可信性,抵御了可能存在的映射欺骗攻击。理论分析表明了该方法具有良好的安全性和可部署性;数值分析和仿真实验验证了该方法在防范映射欺骗攻击的有效性。5.设计了一种保障映射源真实性的身份认证机制,主要包括初始接入认证方案和可持续认证方案。通过使用身份标签将接入用户的数字证书与终端的身份标识绑定,保障了映射源在初始接入时身份的真实性以及在接入后的持久可信性。分析表明,该机制具有良好的安全性、较小的计算开销,能够长久有效地保障映射源身份的真实性。
王华卿[9](2012)在《基于负载分析和TCP协议一致性的SYN Flood检测与防御机制》文中研究表明随着网络技术的迅猛发展,网络逐渐深入到生活和工作的各个方面,随之而来的网络安全问题日益严峻。黑客攻击屡见不鲜,分布式拒绝服务攻击DDoS是黑客管用的一种方便有效的攻击手段,是互联网中最具破坏力的攻击方式之一。据统计,90%以上的DDoS攻击使用TCP协议,而其中的SYN Flood正事利用TCP协议的漏洞对目标服务器进行攻击,消耗服务器资源,是最为常见的一种DDoS攻击方式。因此讨论如何有效检测出SYN Flood的发生,降低SYN Flood攻击带来的破坏,对保护互联网安全具有现实意义。本文首先对现有的SYN Flood检测和防御方法进行了深入研究,并对SYN Flood攻击原理进行分析。通过分析得知,大部分的攻击工具所产生的攻击数据包在一些参数上保持一致,比如数据报总长度,TTL,源端口号等等,基于以上特点,本文提出了基于负载分析的TCP SYN Flood检测机制。此外,本文通过利用TCP协议超时重传机制,提出了基于协议一致性的防御机制。这种机制采用故意丢包的思想,将每个IP地址发来的第一个SYN数据包丢弃,接下来的SYN数据包只有遵守TCP超时重传机制才能通过。由于攻击者并不需要得到服务器的回应,不遵守超时重传机制,所以他们发送的SYN数据包将被过滤掉。反之,由于合法用户的协议一致性行为,他们的SYN数据包能够通过故意丢包的过滤算法到达服务器。本文将以上两种机制相结合,提出了基于负载分析和TCP协议一致性的SYN Flood检测与防御机制。本文通过Windump提取分析数据包参数,建立数据包过滤机制,丢弃攻击数据包。通过模拟实验可以看出,基于负载分析的检测机制能较好地区分网络拥塞和攻击发生,漏报率和误报率也较低,在一定程度上优于传统检测方法的检测率。同时,基于TCP协议一致性的防御机制也没有为服务器带来巨大的额外消耗。
江先亮[10](2012)在《恶意包识别与分类的若干新技术研究》文中研究表明网络攻击带来的安全问题层出不穷,特别是拒绝服务攻击(Denial of Service, DoS),已经成为网络安全性的最主要威胁之一,造成了大规模的恶意数据包泛滥。识别和分类恶意数据包作为攻击防御技术研究的重点,具有重要的技术和社会意义,已成为网络安全研究较为活跃的领域,取得了一定的突破,但仍存在诸多不足。本文以数据包标记技术为基础,具体采用权证标记,立足现有因特网,同时面向下一代安全因特网(Next Generation Security Networks, NGSI),在网络层研究恶意数据包识别与分类的若干新技术,提出多个具体的优化和创新方案,力求获得较好的攻击防御效果。研究内容涉及了网络通信、网络仿真、密码学等多个技术领域,研究工作主要体现在以下4个方面:⑴因特网拓扑数据处理。拓扑数据处理是研究恶意包识别与分类的基础之一,本文分析了AS级和IP级的拓扑数据,提出完整的拓扑数据处理模型,并对处理结果进行可视化分析。具体研究内容包括拓扑数据集统计特性、网络度分布、聚集特性和幂率等指标的分析,并以Skitter数据集为例,进行具体的分析和研究。⑵恶意包识别与分类的TVA架构优化。TVA架构以权证技术为基础,对恶意数据包进行识别与分类,缓和和降低网络攻击造成的威胁。然而,TVA中权证过于单一,严重影响了网络的传输效率,较难满足网络的线速度处理要求。本文基于TVA架构,提出权证的优化和管理方案,具体包括自适应预权证和权证、动态权证授权以及基于索引和最近最久未使用算法的权证管理。⑶基于权证的恶意包分类过滤器设计与实现。传统过滤器以规则为基础对数据包进行识别和分类,存在分类的安全性和效率问题,对于伪造攻击更是如此。本文在分析和总结已有数据包分类技术的基础上,提出基于权证的恶意数据包识别与分类过滤器。具体内容包括未采用权证的过滤器理论和实验分析,采用权证的过滤器设计、实现和仿真分析,实现具有抗攻击的恶意包识别与分类过滤器。⑷DoS恶意包阻止和限制架构设计。DoS攻击是网络安全性的主要威胁,而恶意数据包泛滥是DoS形成的条件,因而基于恶意包识别与分类的DoS攻击防御具有重要的现实和技术意义。本文深入分析和讨论了权证、数据包分类、拥塞控制和过滤器等,提出DoS恶意包阻止和限制架构,解决已有过滤器存在的问题。利用NS2和真实因特网拓扑数据集的仿真试验表明,本文提出的方案能有效提高网络的防御效果,降低防御方案对网络性能的影响,减轻受害主机遭受攻击的影响。研究成果重在为NGSI架构提出新的建议,促进因特网安全有序的发展。
二、因特网防御DoS攻击技术评述Ⅰ——攻击分类与特征·包过滤·攻击检测与防御(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、因特网防御DoS攻击技术评述Ⅰ——攻击分类与特征·包过滤·攻击检测与防御(论文提纲范文)
(1)铁路信号安全数据网信息安全防护策略研究(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 引言 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 铁路信号安全数据网信息安全现状 |
| 1.2.2 信息安全风险评估研究现状 |
| 1.2.3 防护方案决策方法研究现状 |
| 1.3 本文主要研究内容及章节安排 |
| 2 铁路信号安全数据网信息安全动态风险评估 |
| 2.1 扩展贝叶斯攻击图模型 |
| 2.2 扩展贝叶斯攻击图概率计算 |
| 2.3 铁路信号安全数据网动态风险评估方法 |
| 2.3.1 整体评估流程 |
| 2.3.2 系统动态风险推理方法 |
| 2.4 本章小结 |
| 3 铁路信号安全数据网组合式防护分析 |
| 3.1 扩展贝叶斯攻防图 |
| 3.1.1 扩展贝叶斯攻防图模型定义 |
| 3.1.2 防护操作概率计算 |
| 3.2 防护操作成本及收益量化 |
| 3.2.1 防护成本量化 |
| 3.2.2 防护收益量化 |
| 3.3 基于NSGA-II的最优安全防护策略选择算法 |
| 3.3.1 防护策略选择问题描述 |
| 3.3.2 防护策略多目标优化求解 |
| 3.4 本章小结 |
| 4 铁路信号安全数据网信息安全防护决策 |
| 4.1 攻防博弈研究 |
| 4.1.1 博弈论定义及基本组成 |
| 4.1.2 攻防博弈特征 |
| 4.2 铁路信号安全数据网完全理性攻防博弈模型 |
| 4.2.1 铁路信号安全数据网完全理性攻防博弈模型 |
| 4.2.2 基于完全理性攻防博弈的最优化防护策略求解 |
| 4.3 铁路信号安全数据网攻防演化博弈分析 |
| 4.3.1 铁路信号安全数据网攻防演化博弈模型 |
| 4.3.2 演化稳定均衡策略求解 |
| 4.4 本章小结 |
| 5 仿真与验证 |
| 5.1 铁路信号安全数据网信息安全风险动态评估 |
| 5.1.1 仿真环境介绍 |
| 5.1.2 仿真网络扩展贝叶斯攻击图模型 |
| 5.1.3 动态风险评估仿真实验结果及分析 |
| 5.2 铁路信号安全数据网组合式防护策略分析 |
| 5.2.1 单个防护措施防护效果验证实验 |
| 5.2.2 铁路信号安全数据网扩展贝叶斯攻防图模型 |
| 5.2.3 基于多目标优化的组合式防护策略分析 |
| 5.3 基于攻防博弈的铁路信号安全数据网防护决策分析 |
| 5.3.1 铁路信号安全数据网攻防博弈实验环境 |
| 5.3.2 完全理性攻防博弈模型及决策研究 |
| 5.3.3 演化博弈模型及决策研究 |
| 5.4 本章小结 |
| 6 结论与展望 |
| 6.1 结论 |
| 6.2 展望 |
| 参考文献 |
| 图索引 |
| 表索引 |
| 作者简历及攻读硕士/博士学位期间取得的研究成果 |
| 学位论文数据集 |
(2)基于LSTM的DDoS攻击预警系统的设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 DDoS攻击检测技术 |
| 1.2.2 DDoS攻击预警技术 |
| 1.2.3 DDoS攻击态势预警技术 |
| 1.3 问题分析 |
| 1.4 主要研究内容与创新 |
| 1.5 论文组织框架 |
| 2 DDoS攻击理论研究 |
| 2.1 DDoS攻击原理 |
| 2.2 DDoS攻击分类 |
| 2.2.1 IP欺骗攻击 |
| 2.2.2 TCP SYN泛洪攻击 |
| 2.2.3 UDP泛洪攻击 |
| 2.2.4 ICMP泛洪攻击 |
| 2.2.5 Land攻击 |
| 2.3 DDoS攻击发展趋势 |
| 2.4 DDoS攻击特性分析 |
| 2.5 本章小结 |
| 3 基于LSTM网络流量预测的DDoS攻击检测方法 |
| 3.1 LSTM神经网络 |
| 3.1.1 LSTM神经网络概念 |
| 3.1.2 基于Dropout的LSTM神经网络 |
| 3.2 IP数据包统计特征 |
| 3.2.1 IP数据包统计特征提取 |
| 3.2.2 IPDCF时间序列建模 |
| 3.3 基于LSTM神经网络的预测模型 |
| 3.4 DDoS攻击识别 |
| 3.5 实验结果与分析 |
| 3.5.1 特征提取与分析 |
| 3.5.2 流量预测与DDoS攻击检测分析 |
| 3.6 本章小结 |
| 4 基于自适应阈值的DDoS攻击态势预警模型 |
| 4.1 DDoS攻击态势预警模型的逻辑结构 |
| 4.2 基于动态自适应阈值的DDoS攻击态势预警模型 |
| 4.2.1 区域安全脆弱性因子 |
| 4.2.2 基于动态自适应阈值的预警模型 |
| 4.3 实验结果与分析 |
| 4.4 本章小结 |
| 5 基于LSTM的DDoS攻击预警系统的设计与实现 |
| 5.1 系统的需求分析 |
| 5.1.1 系统非主要功能需求 |
| 5.1.2 系统主要功能需求 |
| 5.1.3 预警系统功能流程 |
| 5.2 基于LSTM的DDoS攻击预警系统的设计 |
| 5.2.1 系统总体功能设计 |
| 5.2.2 登录模块详细设计 |
| 5.2.3 数据获取模块详细设计 |
| 5.2.4 特征提取模块详细设计 |
| 5.2.5 网络流量预测模块详细设计 |
| 5.2.6 攻击预警模块详细设计 |
| 5.3 系统数据库设计 |
| 5.4 基于LSTM的DDoS攻击预警系统的实现 |
| 5.4.1 DDoS攻击态势预警系统架构 |
| 5.4.2 系统开发环境与技术 |
| 5.4.3 系统实现 |
| 5.5 基于LSTM的DDoS攻击预警系统系统测试 |
| 5.6 本章小结 |
| 6 总结与展望 |
| 6.1 本文工作总结 |
| 6.2 研究工作展望 |
| 参考文献 |
| 缩略语表 |
| 图/表目录 |
| 攻读硕士学位期间取得的学术成果 |
| 致谢 |
(3)边缘计算网络安全防线联动与攻击主动防御关键技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景和意义 |
| 1.2 边缘计算网络安全防护 |
| 1.2.1 边缘计算网络架构 |
| 1.2.2 边缘计算网络安全挑战 |
| 1.3 研究现状 |
| 1.3.1 网络安全主动防御技术研究现状 |
| 1.3.2 边缘计算网络安全防护技术研究现状 |
| 1.3.3 研究现状小结 |
| 1.4 本文的研究内容及章节安排 |
| 1.5 本章小结 |
| 2 边缘计算终端拟态安全防御 |
| 2.1 引言 |
| 2.2 相关研究 |
| 2.3 边缘计算终端拟态防御 |
| 2.3.1 基于动态异构冗余的拟态防御模型 |
| 2.3.2 拟态防御模型的安全性分析 |
| 2.4 拟态防御组件变换周期动态调整 |
| 2.4.1 接入边缘终端的感知节点信任度计算 |
| 2.4.2 拟态防御组件变换周期动态调整方法 |
| 2.5 实验分析 |
| 2.5.1 信任度计算方法性能实验结果分析 |
| 2.5.2 拟态防御模型安全性实验结果分析 |
| 2.6 本章小结 |
| 3 边缘计算数据拟态安全传输 |
| 3.1 引言 |
| 3.2 相关研究 |
| 3.3 基于网络拓扑拟态关联的安全传输模型 |
| 3.3.1 相关定义 |
| 3.3.2 模型框架 |
| 3.3.3 网络拓扑拟态安全传输协议流程 |
| 3.4 通信路径联盟拟态变换方法 |
| 3.4.1 基于信息熵的网络异常检测 |
| 3.4.2 动态通信路径联盟拟态变换策略 |
| 3.5 网络拓扑拟态关联图变换方法 |
| 3.5.1 基于HMM模型的网络安全状态预测 |
| 3.5.2 网络拓扑拟态关联图拟态变换策略 |
| 3.6 安全性分析 |
| 3.7 实验分析 |
| 3.7.1 DDos攻击防御实验结果分析 |
| 3.7.2 伴随攻击防御实验结果分析 |
| 3.7.3 半盲攻击防御实验结果分析 |
| 3.7.4 网络传输效率比较 |
| 3.8 本章小结 |
| 4 边缘计算网络拟态联动入侵检测 |
| 4.0 引言 |
| 4.1 相关研究 |
| 4.2 基本概念 |
| 4.2.1 多余度表决入侵检测 |
| 4.2.2 博弈理论 |
| 4.3 基于博弈的拟态入侵检测模型 |
| 4.3.1 模型定义 |
| 4.3.2 参与方收益分析 |
| 4.3.3 参与方效用分析 |
| 4.4 拟态入侵检测最优策略求解 |
| 4.4.1 模型纳什均衡分析 |
| 4.4.2 最优检测策略求解 |
| 4.5 实验分析 |
| 4.5.1 实验环境设置 |
| 4.5.2 实验结果分析 |
| 4.6 本章小结 |
| 5 边缘计算网络复杂攻击联动处置决策 |
| 5.1 引言 |
| 5.2 相关研究 |
| 5.3 面向联动处置的属性攻击图 |
| 5.3.1 面向联动处置的属性攻击图定义 |
| 5.3.2 基于属性攻击图的联动处置最优执行点求精 |
| 5.3.3 联动处置最优策略选取求精 |
| 5.4 基于告警关联的属性攻击图构建及状态空间约减 |
| 5.4.1 网络攻击联动处置决策模型 |
| 5.4.2 基于告警关联的属性攻击图构建 |
| 5.4.3 基于冗余告警聚类的属性攻击图约减 |
| 5.5 边缘计算网络最优联动处置策略决策算法 |
| 5.6 实验与分析 |
| 5.6.1 实验环境设置 |
| 5.6.2 实验结果分析 |
| 5.7 本章小结 |
| 6 工作总结与展望 |
| 6.1 工作总结 |
| 6.2 下一步工作展望 |
| 致谢 |
| 参考文献 |
| 附录 |
(4)基于云计算DDoS攻击防御研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景及现状 |
| 1.1.1 云计算及其发展现状 |
| 1.1.2 DDoS攻击与防御现状 |
| 1.2 本文研究内容 |
| 1.3 本文研究意义 |
| 1.4 论文组织结构 |
| 第二章 DDOS攻击防御 |
| 2.1 拒绝服务攻击DOS |
| 2.2 分布式拒绝服务攻击DDOS |
| 2.2.1 DDoS攻击分类 |
| 2.2.2 DDoS常用攻击工具 |
| 2.2.3 DDoS攻击发展态势 |
| 2.3 DDOS攻击防御 |
| 2.3.1 管理员合理配置来实现攻击预防 |
| 2.3.2 防火墙等设备检测DDOS攻击 |
| 2.3.3 基于流量模型自学习检测方法 |
| 2.3.4 基于云计算服务实现DDOS攻击防护 |
| 2.4 本章小结 |
| 第三章 云计算及其安全防护机制 |
| 3.1 云计算 |
| 3.1.1 云计算技术特点 |
| 3.1.2 云计算架构 |
| 3.1.3 云计算国内外发展现状 |
| 3.2 云计算的安全 |
| 3.2.1 云中安全问题 |
| 3.2.2 云中的安全风险 |
| 3.2.3 云计算中的安全防护措施 |
| 3.3 HADOOP云平台 |
| 3.3.1 HDFS体系结构 |
| 3.3.2 HBase分布式数据库 |
| 3.4 本章小结 |
| 第四章 基于云计算防御DDOS攻击模型 |
| 4.1 攻击防御系统需求 |
| 4.2 模型设计目标需求 |
| 4.2.1 模型设计目标 |
| 4.2.2 模型设计需求 |
| 4.3 互联网拓扑结构 |
| 4.4 模型整体结构及运行流程 |
| 4.4.1 模型结构 |
| 4.4.2 模型运行流程 |
| 4.4.3 模块间通信机制 |
| 4.5 DDCC模型功能模块设计 |
| 4.5.1 数据采集模块 |
| 4.5.2 数据检测模块 |
| 4.5.3 速率控制模块 |
| 4.5.4 管理模块 |
| 4.6 本章小结 |
| 第五章 模型测试与分析 |
| 5.1 检测算法实验 |
| 5.2 速率限制算法仿真 |
| 5.3 DDCC模型应用性分析 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 附录1 攻读硕士学位期间撰写的论文 |
| 附录2 攻读硕士学位期间参与的项目 |
| 致谢 |
(5)面向虚实结合网络的攻击阻断系统的设计与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究工作 |
| 1.3 论文结构 |
| 第二章 拒绝服务攻击防御相关技术 |
| 2.1 拒绝服务攻击 |
| 2.1.1 漏洞攻击和洪泛攻击 |
| 2.1.2 单源和分布式攻击 |
| 2.2 DoS攻击形成原因 |
| 2.3 拒绝服务攻击的分类 |
| 2.3.1 按目标分类 |
| 2.3.2 按协议层分类 |
| 2.4 拒绝服务攻击防御机制 |
| 2.4.1 攻击入侵检测 |
| 2.4.2 攻击路径重构 |
| 2.4.3 包过滤技术 |
| 2.5 小结 |
| 第三章 需求分析和总体设计 |
| 3.1 整体需求分析 |
| 3.2 功能需求描述 |
| 3.3 非功能需求描述 |
| 3.4 关键问题与挑战 |
| 3.5 小结 |
| 第四章 面向虚实结合网络的攻击阻断系统的设计 |
| 4.1 总体设计思路 |
| 4.2 关键技术方案 |
| 4.2.1 入侵检测技术 |
| 4.2.2 IP溯源技术 |
| 4.2.3 阻断位置选择技术 |
| 4.2.4 阻断规则优化 |
| 4.2.5 Xen虚拟化技术 |
| 4.3 各功能模块的设计 |
| 4.3.1 入侵检测模块 |
| 4.3.2 攻击路径重构模块 |
| 4.3.3 阻断决策模块 |
| 4.3.4 分布式阻断模块 |
| 4.3.5 阻断管理模块 |
| 4.3.6 通信模块 |
| 4.3.7 数据存储模块 |
| 4.4 小结 |
| 第五章 面向虚实结合网络的攻击阻断系统的实现 |
| 5.1 入侵检测模块 |
| 5.1.1 攻击路径重构模块 |
| 5.2 阻断决策模块 |
| 5.3 分布式阻断模块 |
| 5.4 阻断管理模块 |
| 5.5 数据存储模块 |
| 5.6 小结 |
| 第六章 系统测试 |
| 6.1 测试环境 |
| 6.2 关键功能模块测试 |
| 6.2.1 对入侵检测模块的测试 |
| 6.2.2 对攻击路径重构模块的测试 |
| 6.2.3 对阻断决策模块的测试 |
| 6.2.4 对分布式阻断模块的测试 |
| 6.3 小结 |
| 第七章 结束语 |
| 7.1 论文总结 |
| 7.2 下一步工作 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(6)基于标记的恶意IP包防御技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 引言 |
| 1 绪论 |
| 1.1 论文背景及研究意义 |
| 1.2 本文的研究内容及创新之处 |
| 1.3 本文的结构安排 |
| 2 分布式拒绝服务攻击及数据包标记技术 |
| 2.1 分布式拒绝服务攻击简介 |
| 2.1.1 分布式拒绝服务攻击原理 |
| 2.1.2 分布式拒绝服务攻击分类 |
| 2.2 分布式拒绝服务攻击防御 |
| 2.2.1 攻击预防措施 |
| 2.2.2 攻击检测措施 |
| 2.2.3 攻击响应和消除措施 |
| 2.3 攻击路径追溯和路径标识技术介绍 |
| 2.3.1 攻击路径追溯技术 |
| 2.3.2 攻击路径标识技术 |
| 2.4 本章小结 |
| 3 联合部署路径追溯和路径标识的防御方案 |
| 3.1 设计思想 |
| 3.2 方案设计 |
| 3.2.1 标记域的使用 |
| 3.2.2 标记过程 |
| 3.2.3 还原和过滤过程 |
| 3.2.4 性能分析 |
| 3.3 仿真实现和结果分析 |
| 3.3.1 试验环境 |
| 3.3.2 试验设计 |
| 3.3.3 试验结果及分析 |
| 3.4 本章小结 |
| 4 基于攻击源标识的概率包标记防御方案 |
| 4.1 路径追溯技术的设计目标 |
| 4.1.1 现实目标 |
| 4.1.2 理想目标 |
| 4.2 概率包标记算法的局限性 |
| 4.3 设计思想 |
| 4.4 方案设计 |
| 4.4.1 标记域的使用 |
| 4.4.2 标记过程 |
| 4.4.3 路径重构过程 |
| 4.4.4 性能分析 |
| 4.5 仿真试验和结果分析 |
| 4.5.1 试验设计 |
| 4.5.2 试验结果及分析 |
| 4.6 本章小结 |
| 5 基于 IPv6 地址分配策略的确定包标记防御方案 |
| 5.1 IPv6 介绍 |
| 5.1.1 IPv6 的新特性和优势 |
| 5.1.2 IPv6 数据包头部结构 |
| 5.1.3 IPv6 的扩展报头 |
| 5.1.4 IPv6 地址分配策略 |
| 5.2 DPM 算法的局限性 |
| 5.3 源端过滤确定包标记方案 |
| 5.3.1 设计思想 |
| 5.3.2 标记信息选项 |
| 5.3.3 标记过程 |
| 5.3.4 地址重构和攻击消除过程 |
| 5.3.5 性能分析 |
| 5.4 IPv4/IPv6 过渡环境下方案的部署 |
| 5.5 仿真试验和结果分析 |
| 5.5.1 试验设计 |
| 5.5.2 试验结果和分析 |
| 5.6 本章小结 |
| 6 结论与展望 |
| 6.1 本论文的工作总结 |
| 6.2 未来研究展望 |
| 参考文献 |
| 在学研究成果 |
| 致谢 |
(7)防火墙的包过滤优化若干技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 引言 |
| 1 绪论 |
| 1.1 研究背景和意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 研究内容和创新 |
| 1.3 论文结构 |
| 2 防火墙包过滤相关技术研究进展 |
| 2.1 网络安全威胁概述 |
| 2.1.1 网络安全概念 |
| 2.1.2 网络安全威胁的类型 |
| 2.1.3 网络攻击的一般过程 |
| 2.1.4 网络威胁的防御技术 |
| 2.1.5 网络信息安全的目标 |
| 2.2 包过滤技术研究现状 |
| 2.2.1 规则的匹配算法 |
| 2.2.2 规则冲突的检测和消除 |
| 2.2.3 规则的正确性配置 |
| 2.3 基于标记的恶意包的区分和过滤 |
| 2.3.1 基于标记的恶意攻击路径追溯 |
| 2.3.2 基于路径标识的攻击包区分和过滤 |
| 2.4 本章总结 |
| 3 传统防火墙技术与路径标识相结合的数据包过滤方案 |
| 3.1 防火墙相关概述 |
| 3.1.1 防火墙的概念 |
| 3.1.2 方案研究背景 |
| 3.1.3 防火墙过滤过程中的问题 |
| 3.1.4 传统的包过滤防火墙和 Pi 技术的工作原理 |
| 3.1.5 传统防火墙包过滤的改进 |
| 3.2 CTFPi 方案 |
| 3.2.1 CTFPi 方案的设计过程 |
| 3.2.2 CTFPi 规则映射的设计思想 |
| 3.2.3 CTFPi 规则映射的关键问题 |
| 3.3 仿真试验 |
| 3.3.1 CTFPi 方案数据集 |
| 3.3.2 CTPFi 方案数据集的处理 |
| 3.3.3 试验场景 |
| 3.3.4 CTFPi 方案的整体实现思路 |
| 3.3.5 防火墙规则结构的变化 |
| 3.3.6 接收率和丢包率计算 |
| 3.3.7 仿真试验 |
| 3.4 试验结果分析与讨论 |
| 3.4.1 过滤时间性能分析 |
| 3.4.2 丢包率和接收率分析 |
| 3.4.3 安全性分析 |
| 3.4.4 可扩展性分析 |
| 3.4.5 CTFPi 方案的不足 |
| 3.5 本章总结 |
| 4 基于多叉树和双索引策略的防火墙规则搜索算法优化 |
| 4.1 引言 |
| 4.2 已有算法思想分析 |
| 4.2.1 SDMTrie 算法思想 |
| 4.2.2 SDMTrie 算法缺陷 |
| 4.2.3 MDT 算法思想 |
| 4.2.4 MDT 算法缺陷 |
| 4.3 规则集的特征 |
| 4.3.1 前缀、区间和精确匹配 |
| 4.3.2 规则集特征的假设 |
| 4.4 MTADIS 方案 |
| 4.4.1 MTADIS 方案数据集 |
| 4.4.2 MTADIS 方案数据集的处理 |
| 4.4.3 MTADIS 方案的实施过程 |
| 4.4.4 MTADIS 方案数据集分析 |
| 4.4.5 MTADIS 算法结构与实现 |
| 4.5 MTADIS 仿真试验 |
| 4.5.1 防火墙规则和测试数据 |
| 4.5.2 试验场景 |
| 4.6 试验结果及相关性能分析 |
| 4.6.1 预处理时间 |
| 4.6.2 过滤时间比较 |
| 4.6.3 比较次数分析 |
| 4.6.4 可扩展性分析 |
| 4.6.5 MTADIS 方案的缺陷 |
| 4.7 本章总结 |
| 5 总结和展望 |
| 5.1 论文总结 |
| 5.2 下一步研究 |
| 参考文献 |
| 在学研究成果 |
| 致谢 |
(8)身份与位置分离体系映射安全关键技术研究(论文提纲范文)
| 致谢 |
| 中文摘要 |
| ABSTRACT |
| 主要缩略语对照表 |
| 第一章 绪论 |
| 1.1 引言 |
| 1.2 相关研究综述 |
| 1.2.1 身份与位置分离映射现状分析 |
| 1.2.2 身份与位置分离映射基本模型 |
| 1.2.3 身份与位置分离映射安全性分析 |
| 1.3 选题目的与意义 |
| 1.4 主要工作与创新点 |
| 1.5 论文组织结构 |
| 第二章 基于分离映射的网络蠕虫传播问题研究 |
| 2.1 引言 |
| 2.2 传统网络蠕虫与传播模型分析 |
| 2.2.1 网络蠕虫原理分析 |
| 2.2.2 传播模型分析 |
| 2.3 基于分离映射的网络蠕虫传播减缓建模 |
| 2.3.1 基于AAWP的语义分离传播模型 |
| 2.3.2 基于SIR的映射时延传播模型 |
| 2.4 数值分析与比较 |
| 2.4.1 语义分离影响分析 |
| 2.4.2 映射时延影响分析 |
| 2.5 本章小结 |
| 第三章 基于映射请求流量的异常检测方法研究 |
| 3.1 引言 |
| 3.2 研究动机 |
| 3.3 基于映射请求流量的异常检测方法设计 |
| 3.3.1 基本检测原理 |
| 3.3.2 基于CUSUM的异常报警算法 |
| 3.3.3 映射缓存超时的设计考虑 |
| 3.3.4 映射请求门限机制 |
| 3.4 仿真实验与评估 |
| 3.4.1 预报警分析 |
| 3.4.2 检测效果比较 |
| 3.4.3 映射请求门限机制可行性评估 |
| 3.5 映射请求流量对映射服务器的影响分析 |
| 3.6 误报和失报问题分析 |
| 3.7 本章小结 |
| 第四章 基于双门限机制的映射缓存DoS攻击防御方法研究 |
| 4.1 引言 |
| 4.2 映射缓存DoS攻击分析 |
| 4.3 基于双门限机制的防御方法设计 |
| 4.3.1 总体构思与设计 |
| 4.3.2 基于迭代思想的谜题机制 |
| 4.3.3 映射信息可信度算法 |
| 4.4 谜题机制的分析与比较 |
| 4.4.1 谜题机制的优势分析 |
| 4.4.2 对终端的影响分析 |
| 4.4.3 定性比较 |
| 4.5 仿真实验分析 |
| 4.5.1 防御效果分析 |
| 4.5.2 与Rate Limiting比较 |
| 4.5.3 映射缓存超时的影响分析 |
| 4.6 本章小结 |
| 第五章 基于信任模型的映射欺骗防范方法研究 |
| 5.1 引言 |
| 5.2 映射欺骗攻击分析 |
| 5.3 基于信任模型的防范方法设计 |
| 5.3.1 整体设计思想 |
| 5.3.2 基于反馈评判的信任模型 |
| 5.4 安全性分析 |
| 5.5 可部署性分析 |
| 5.6 数值分析与仿真实验 |
| 5.6.1 信任度值分析 |
| 5.6.2 虚假反馈评判问题分析 |
| 5.6.3 仿真实验分析 |
| 5.7 本章小结 |
| 第六章 保障映射源真实性的身份认证机制研究 |
| 6.1 引言 |
| 6.2 基于身份标签的身份认证机制设计 |
| 6.2.1 初始接入认证方案 |
| 6.2.2 可持续认证方案 |
| 6.3 安全性分析 |
| 6.4 性能分析 |
| 6.4.1 初始接入认证的性能分析 |
| 6.4.2 可持续认证的会话性能分析 |
| 6.5 本章小结 |
| 第七章 总结与展望 |
| 7.1 工作总结 |
| 7.2 研究展望 |
| 参考文献 |
| 作者简历 |
| 学位论文数据集 |
(9)基于负载分析和TCP协议一致性的SYN Flood检测与防御机制(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 网络安全现状 |
| 1.2 课题背景和意义 |
| 1.3 本文的内容及组织结构 |
| 第2章 SYN FLOOD攻击原理和防御检测方法 |
| 2.1 DDoS攻击 |
| 2.1.1 DDoS攻击原理 |
| 2.1.2 DDoS攻击分类 |
| 2.2 SYN FLOOD攻击 |
| 2.2.1 TCP/IP协议族 |
| 2.2.2 TCP三次握手 |
| 2.2.3 SYN Flood攻击原理 |
| 2.2.4 SYN Flood防御方法 |
| 2.2.5 SYN Flood检测方法 |
| 2.3 小结 |
| 第3章 基于负载分析和协议一致性的检测和防御机制 |
| 3.1 基于TCP/IP数据包首部的负载分析检测机制 |
| 3.1.1 IP数据报首部分析 |
| 3.1.2 基于IP数据报首部的SYN Flood检测原理 |
| 3.1.3 TCP数据报首部分析 |
| 3.1.4 基于TCP数据报首部的SYN Flood检测原理 |
| 3.1.5 基于TCP/IP首部的双层检测机制 |
| 3.2 基于TCP协议一致性的防御方法 |
| 3.2.1 TCP超时重传机制 |
| 3.2.2 故意丢弃数据包的过滤算法 |
| 3.3 基于负载分析和协议一致性的检测与防御系统 |
| 第4章 基于负载分析与协议一致性的过滤算法在WINDUMP中的实现 |
| 4.1 WINDUMP网络协议分析器 |
| 4.1.1 Winpcap源码分析和包过滤机制 |
| 4.1.2 Windump及Tcpdump过滤功能 |
| 4.2 SYN FLOOD检测与防御机制的实现 |
| 4.2.1 Windump详细参数设置 |
| 4.2.2 Windump中条件表达式的设置 |
| 4.2.3 检测防御系统的实现 |
| 4.3 小结 |
| 第5章 实验及结果分析 |
| 5.1 实验介绍 |
| 5.1.1 实验场景 |
| 5.1.2 试验参数指标 |
| 5.2 实验结果分析 |
| 5.2.1 检测率和误报率 |
| 5.2.2 CPU和内存的消耗 |
| 5.3 小结 |
| 第6章 结论 |
| 参考文献 |
| 致谢 |
(10)恶意包识别与分类的若干新技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 引言 |
| 1 绪论 |
| 1.1 研究背景和意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 研究内容和创新 |
| 1.3 论文结构 |
| 2 恶意包识别与分类相关技术研究进展 |
| 2.1 网络安全威胁 |
| 2.1.1 网络安全概述 |
| 2.1.2 网络协议安全性 |
| 2.1.3 DoS 恶意包攻击 |
| 2.2 恶意包攻击防御技术 |
| 2.2.1 攻击防御技术分类 |
| 2.2.2 基于标记的恶意包区分与过滤 |
| 2.3 数据包分类技术 |
| 2.3.1 数据包分类概念 |
| 2.3.2 数据包分类技术和挑战 |
| 2.3.3 数据包分类研究现状 |
| 2.4 网络拥塞控制技术 |
| 2.4.1 网络拥塞概述 |
| 2.4.2 网络拥塞问题分析 |
| 2.4.3 网络拥塞控制机制 |
| 2.5 因特网权威数据集 |
| 2.6 本章小结 |
| 3 恶意包识别与分类中的因特网数据集处理 |
| 3.1 因特网拓扑研究概述 |
| 3.1.1 因特网拓扑分析概念 |
| 3.1.2 因特网拓扑数据研究意义和内容 |
| 3.1.3 因特网拓扑数据采集 |
| 3.2 典型因特网拓扑数据集结构 |
| 3.2.1 IP 级拓扑数据集 |
| 3.2.2 自治系统级拓扑数据集 |
| 3.3 网络拓扑数据集的分析及可视化 |
| 3.3.1 网络拓扑数据处理模型 |
| 3.3.2 IP 级拓扑分析 |
| 3.3.3 AS 级拓扑分析 |
| 3.4 拓扑数据在仿真实验中的应用 |
| 3.5 本章小结 |
| 4 TVA 架构中恶意包过滤优化 |
| 4.1 引言 |
| 4.1.1 已有 TVA 架构及其问题 |
| 4.1.2 TVA 改进思想 |
| 4.2 TVA 中的自适应权证结构 |
| 4.2.1 自适应预权证 |
| 4.2.2 自适应权证 |
| 4.2.3 动态权证授权 |
| 4.2.4 仿真实验分析 |
| 4.3 基于索引和 LRU 算法的权证管理 |
| 4.3.1 TVA 中权证管理 |
| 4.3.2 权证管理模型设计 |
| 4.3.3 权证管理模型实现 |
| 4.3.4 仿真实验分析 |
| 4.4 本章小结 |
| 5 基于权证标记的恶意包分类过滤器 |
| 5.1 引言 |
| 5.2 权证标记和数据包分类 |
| 5.2.1 权证原理概述 |
| 5.2.2 未采用权证的数据包分类 |
| 5.3 采用权证标记的包分类思想 |
| 5.4 恶意包分类过滤器设计与实现 |
| 5.4.1 恶意包分类过滤器模型 |
| 5.4.2 恶意包分类过滤器模型设计 |
| 5.4.3 恶意包分类过滤器模型实现 |
| 5.5 理论分析与仿真实验 |
| 5.5.1 实验数据集 |
| 5.5.2 理论分析和评估 |
| 5.5.3 仿真实验分析 |
| 5.6 本章小结 |
| 6 DoS 恶意包阻止和限制架构 |
| 6.1 引言 |
| 6.2 APLDMP 假设和目标 |
| 6.2.1 安全威胁形式 |
| 6.2.2 前提假设 |
| 6.2.3 预期目标 |
| 6.3 APLDMP 框架 |
| 6.3.1 APLDMP 概述 |
| 6.3.2 APLDMP 关键组件和数据结构 |
| 6.3.3 APLDMP 交互过程 |
| 6.4 APLDMP 详细设计与实现 |
| 6.4.1 权证请求和授权 |
| 6.4.2 数据包携带权证 |
| 6.4.3 路由器验证权证 |
| 6.4.4 路由节点失效处理 |
| 6.4.5 瓶颈链路拥塞处理 |
| 6.4.6 接收端过滤恶意流 |
| 6.4.7 密钥更换和更新 |
| 6.5 APLDMP 仿真实验分析 |
| 6.6 分析与讨论 |
| 6.6.1 可部署性和扩展性 |
| 6.6.2 安全性和效率 |
| 6.6.3 攻击限制性能 |
| 6.7 本章小结 |
| 7 总结和展望 |
| 7.1 论文总结 |
| 7.2 下一步研究 |
| 参考文献 |
| 在学研究成果 |
| 致谢 |
四、因特网防御DoS攻击技术评述Ⅰ——攻击分类与特征·包过滤·攻击检测与防御(论文参考文献)
- [1]铁路信号安全数据网信息安全防护策略研究[D]. 廖元媛. 北京交通大学, 2020
- [2]基于LSTM的DDoS攻击预警系统的设计与实现[D]. 罗逸涵. 海南大学, 2019(06)
- [3]边缘计算网络安全防线联动与攻击主动防御关键技术研究[D]. 张波. 南京理工大学, 2019(06)
- [4]基于云计算DDoS攻击防御研究[D]. 胡汉卿. 南京邮电大学, 2015(05)
- [5]面向虚实结合网络的攻击阻断系统的设计与实现[D]. 谭世殊. 北京邮电大学, 2014(04)
- [6]基于标记的恶意IP包防御技术研究[D]. 黄鲁娟. 宁波大学, 2013(08)
- [7]防火墙的包过滤优化若干技术研究[D]. 倪翠霞. 宁波大学, 2013(08)
- [8]身份与位置分离体系映射安全关键技术研究[D]. 万明. 北京交通大学, 2013(05)
- [9]基于负载分析和TCP协议一致性的SYN Flood检测与防御机制[D]. 王华卿. 东北大学, 2012(05)
- [10]恶意包识别与分类的若干新技术研究[D]. 江先亮. 宁波大学, 2012(03)