收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

IP源地址欺骗的域间防御技术研究

吕高锋  
【摘要】: 随着互联网的飞速发展,社会对网络依赖程度日益加重,网络可信任性对国家经济持续发展和国家安全稳定起到越来越重要的作用。然而,网络安全事件的频繁发生,严重威胁网络可信任性。IP源地址欺骗是网络攻击中普遍采用的手段。攻击者伪造报文源IP地址,不仅削弱了防御机制检测和过滤攻击报文的能力,还为攻击者逃避责任提供了方法。由于IP源地址欺骗破坏了网络可信任性的重要基础之一,即网络层报文源IP地址真实性,因此需要研究IP欺骗防御机制以增强网络的可信任性。 域间IP欺骗报文过滤是IP欺骗防御研究的重点。目前域间IP欺骗防御通常采基于标识和基于路由的两种机制。但这两种机制都存在防御范围小、提前过滤能力弱等不足。本文将上述两种机制结合,通过有效控制源IP地址验证状态信息聚合粒度和防御实体协同范围,对域间IP欺骗问题展开研究,主要研究工作包括: 针对防御机制的部分部署问题,提出基于IP地址验证状态集扩充的域间IP欺骗防御扩展机制MASK(Multi-purpose Anti Spoofing Key)。根据网络Transit-Stub模型和自治域间商业关系,MASK防御实体维护邻居中未部署防御机制的Stub域的源IP地址信息,扩充了防御实体的源IP地址验证状态集,并通过代理Stub域参与到IP欺骗防御中,扩展了防御服务的保护范围。理论分析和模拟结果表明,MASK能够以较低的额外开销,扩展防御机制的保护范围,并提高防御实体运行效率。 针对IP欺骗报文消耗网络资源的问题,提出基于全程AS防御体联合的域间IP欺骗防御增强机制ESP(Enhancing Spoofing Prevention)。ESP将域间IP欺骗防御协同从源-目的自治域协同扩展为全程防御实体协同,通过源标识方法减小了中间防御实体维护状态信息带来的开销。通过引入前缀安全节点及其检测机制,ESP不但可有效控制标识传播范围,而且可进一步减小防御实体标记和过滤开销。 针对自治域内IP地址欺骗问题,提出域内拓扑感知的IP欺骗防御机制RISP(Refining Inter-domain Spoofing Prevention)。RISP动态感知域内网络拓扑变化,根据路由器端口聚合网络源IP地址空间,即通过采用非对称、细粒度的源端路由器端口-目的端自治域标识,在域间IP欺骗报文过滤基础上增加了对域内路由器端口间IP欺骗报文的过滤。通过使用基于流异常检测的和动态触发的细粒度标识,RISP可有效抑制细粒度标识带来的计算和存储开销膨胀。 最后,本文针对一体化IP欺骗防御中协同问题,提出了层次化协同模型HCM(Hierarchical Coordination Model)。基于HCM模型,可将自治域内部采用集中式防御机制与自治域间采用的分布协同的防御机制有效结合,形成一种层次式IP欺骗防御体系,增强了互联网对IP欺骗报文过滤的能力。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 王绍卜;IP欺骗原理分析与防范对策[J];河北理工学院学报;2004年03期
2 方吉欢,张平;“IP欺骗”的黑客攻击手段的研究及防范[J];计算机时代;2000年06期
3 曾成;黑客毒招:IP欺骗[J];电脑爱好者;2000年08期
4 梁毅,王忠;TCP/IP协议的漏洞与防御[J];通信与信息技术;2004年05期
5 沈继辉;浅析黑客进攻方式──IP欺骗的原理[J];计算机周刊;2001年43期
6 杨振钧,谢瑞和,向阳;IP欺骗原理及其对策[J];电信快报;1999年05期
7 杨振钧,谢瑞和,向阳;IP欺骗原理及其对策[J];通信世界;1999年04期
8 柴晨阳;基于校园网的网络计费系统的研究与实现[J];计算机工程与科学;2002年05期
9 李佳音;;IP欺骗攻击的原理、实现与防范[J];电脑编程技巧与维护;2009年02期
10 尚涛 ,牛连强 ,唐任远;IP欺骗的技术分析及防御措施[J];微计算机信息;2002年04期
11 陈晓苏,李永辉,肖道举;基于IP欺骗攻击的状态分析法研究[J];华中科技大学学报(自然科学版);2003年05期
12 青宇航;防火墙在安全方面的缺点和改进[J];科学技术与工程;2005年14期
13 赵树平;;IP欺骗技术原理及方法研究[J];湖南工业职业技术学院学报;2008年03期
14 林绍太,张会汀;Linux定时器及其在网络安全中的应用[J];计算机系统应用;2004年10期
15 袁鑫攀;张祖平;;IP欺骗技术和防范方法[J];计算技术与自动化;2007年03期
16 王宝光;拒绝服务攻击及防御对策[J];数据通信;2002年02期
17 任侠,吕述望;IP欺骗原理分析[J];计算机工程与应用;2003年23期
18 叶建成;;DDoS攻击及其防御技术研究[J];现代计算机(专业版);2008年01期
19 夏放怀,高峰,唐朝京;IP欺骗攻击原理分析与防范[J];中国数据通信;2001年05期
20 王换招,王灏,李健;网络已知攻击类型的防御方法[J];计算机工程与应用;2003年21期
中国重要会议论文全文数据库 前2条
1 李长庆;马严;;IPv6网络入侵检测中旁路阻止攻击的方法研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
2 查月;高磊;;TCP/IP协议的安全性分析与防御[A];2008-2009年船舶通信导航论文集[C];2009年
中国博士学位论文全文数据库 前1条
1 吕高锋;IP源地址欺骗的域间防御技术研究[D];国防科学技术大学;2008年
中国硕士学位论文全文数据库 前6条
1 杨婧;基于包标记技术DDoS防御机制研究[D];哈尔滨理工大学;2009年
2 綦贺;大规模网络误用行为检测技术[D];哈尔滨工业大学;2006年
3 刘阳;空间站因特网接入网关协议转换的设计与实现[D];哈尔滨工业大学;2011年
4 王茜;基于Linux的网络防火墙技术研究[D];大连海事大学;2001年
5 陈莉;基于Linux的网络入侵检测系统的研究[D];武汉理工大学;2004年
6 肖述超;分布式网络入侵检测系统中事件分析器的设计与实现[D];华中科技大学;2004年
中国重要报纸全文数据库 前10条
1 北电网络运营商数据网络部产品经理 谢群;宽带网络的“卫生防疫”措施(续)[N];网络世界;2003年
2 海鸟;网络安全[N];中国计算机报;2002年
3 陈升;网络是怎样被入侵的[N];中国电脑教育报;2002年
4 李鹰、梁坤丽;解决IP地址硬伤[N];中国计算机报;2003年
5 海心阁 糯米;看懂网址,小心URL欺骗[N];电脑报;2003年
6 ;安全是核心[N];网络世界;2002年
7 北电网络运营商数据网络部产品经理 谢群;宽带网络的“卫生防疫”措施(下)[N];计算机世界;2003年
8 本报记者 雍忠玮;Catalyst 6500:从高交换到高保障[N];计算机世界;2004年
9 北电网络运营商数据网络部产品经理谢群;宽带网络的“卫生防疫”措施[N];人民邮电;2003年
10 记者 陈一;首信蓄锐待发通信展[N];中国电子报;2000年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978