导读:本文包含了软件攻击的防御论文开题报告文献综述及选题提纲参考文献,主要关键词:实验综述,MAC泛洪,仿真软件,网络安全
软件攻击的防御论文文献综述
黄飞[1](2019)在《基于仿真软件模拟MAC泛洪攻击与防御的实验综述》一文中研究指出在信息安全的安全网络教学中,攻击检测与防御是一种重要的网络安全特性。我们需要对此进行实验验证,但在实际实验的过程中,发现信息安全实验大多具有破坏性和不可逆性等,无法大规模在真实环境下进行。该文利用VMwareWorkstation和eNSP仿真软件模拟MAC泛洪攻击过程与防御措施,便于学生直观地了解和分析MAC泛洪攻击过程,加深对交换机工作原理的理解,掌握MAC泛洪的具体防御措施。同时能够有效突破实验室设备固定、设备数量限制和网络实验拓扑搭建等问题,便于学生随时随地学习与研究。教学实验效果得到了较好的提升。(本文来源于《电脑知识与技术》期刊2019年18期)
邹承明,刘攀文,唐星[2](2019)在《动态主机配置协议泛洪攻击在软件定义网络中的实时防御》一文中研究指出在软件定义网络(SDN)中,动态主机配置协议(DHCP)泛洪攻击报文通常能通过reactive方式主动地进入控制器,对SDN危害巨大。针对传统的DHCP泛洪攻击防御方法无法阻止SDN中该攻击带来的控制链路阻塞这一问题,提出一种DHCP泛洪攻击的动态防御机制(DDM)。DDM包含检测模型和缓解模型。在检测模型中,不同于他人提出的静态阈值检测方法,采用DHCP流量均速和IP池余量两个关键参数建立动态峰值估计模型来评估端口是否受到攻击,若受到攻击则交由缓解模型进行防御。在缓解模型中,利用地址解析协议(ARP)的应答特点进行IP池清洗,并设计了周期内分时段拦截机制对攻击源进行截流,在缓解阻塞的同时,最大限度减少拦截对用户正常使用的影响。仿真实验结果表明,相对静态阈值检测,DDM检测误差平均降低18.75%。DDM缓解模型能高效地拦截流量,同时将用户在拦截期正常接入网络的等待时间平均缩短81.45%。(本文来源于《计算机应用》期刊2019年04期)
王睿[3](2018)在《面向软件定义物联网的信任管理及攻击防御机制研究》一文中研究指出物联网(Internet of Things,IoT)被视为是继计算机、互联网之后,世界信息产业发展的第叁次浪潮。近年来,随着微电子技术、嵌入式技术以及无线网络技术的发展,物联网技术取得了长足的进步,并被广泛应用于智能交通、环境监测、工业控制、电子商务、国防军事等领域。可以预见,物联网将会对人类经济发展和社会生活产生深刻的影响。然而,随着物联网产业的迅速发展,不断涌现的应用场景和应用需求对物联网提出了新的挑战。除存在部署和维护成本较高、软件更新困难、资源利用不够充分等网络管理问题外,物联网安全问题变得日益突出,成为制约物联网发展的重大瓶颈。物联网感知层具有无线通信信道开放、节点物理结构简单、节点资源有限、网络拓扑动态变化等安全特点,这使得感知网络很容易遭受恶意攻击。同时,由于物联网设备众多,大量存在安全漏洞的物联网设备被黑客攻陷,组建僵尸网络并发动网络攻击的现象越发频繁。目前,物联网设备已成为分布式拒绝服务(Distributed Denial of Service,DDoS)攻击增长的主要来源,对物联网网络层正常数据的传输造成极大的破坏。因此,如何有效地管控网络节点、防御网络攻击以及保障数据可靠传输是物联网安全管理过程中迫切需要解决的问题。新兴网络体系架构——软件定义网络(Software-Defined Networking,SDN)的出现,为上述问题的解决提供了新的契机。鉴于SDN在网络管理和安全维护等方面的成功,越来越多的国内外研究学者尝试将其集中控制、控制与转发分离的设计理念引入到物联网中,提出新型软件定义物联网(Software-Defined Internet of Things,SDIoT)体系架构。利用统一南向接口,SDIoT能够有效应对多种类型的物联网网络协议,简化物联网设备的配置和管理,降低业务实现与运维的成本,实现灵活的应用部署。更重要的是,SDIoT为改善物联网安全问题带来了重大机遇。SDIoT控制器通常具有较高的计算和存储资源,能够将传统物联网、无线传感网络(Wireless Sensor Network,WSN)中难以实现的攻击防御算法容易地部署在控制器中,并利用SDIoT集中控制、全局拓扑视图等优势实现灵活的攻击响应。然而,目前SDN设计并不完善,本身也存在一定的安全风险。考虑到物联网网络的脆弱性,SDN自身存在的一些特性,如集中控制、流表请求处理的运行模式,在引入到物联网后会给SDIoT带来新的安全风险、控制开销、网络能耗等方面挑战。因此,如何在利用SDIoT应对物联网安全攻击的同时,克服自身存在的诸多缺陷,对于完善SDIoT具有重要的研究意义及应用价值。本文针对这些问题展开研究,通过合理利用SDN的技术优势,对严重影响感知层安全组网、转发层可靠传输的多种网络攻击,提供有效的信任管理及攻击防御措施,从而实现更可信、更可靠、更高能效的SDIoT网络环境。本文的主要工作与主要贡献包括以下内容。本文首先探讨了物联网、SDIoT的起源、相关体系架构以及安全研究现状,并重点讨论了 SDIoT所面临的安全机遇与挑战。通过利用SDN全局拓扑感知、集中控制等技术优势,基于信任管理模型、P2DR安全模型等网络安全理论,本文设计了模块化的SDIoT安全架构。在此基础上,针对严重影响SDIoT感知层和转发层正常运行的选择性转发攻击、新流攻击、DDoS攻击等多种攻击类型,本文通过协同利用感知层、转发层以及控制层叁个层面的安全资源,自下而上地设计与实现了信任管理、DDoS攻击检测以及DDoS攻击溯源与缓解等安全功能。作为物联网感知层的重要组成部分,WSN系统通常与应用密切绑定,一经部署难以更新,严重阻碍了技术革新。将SDN的思想引入WSN中设计新型软件定义无线传感网(Software-Defined Wireless Sensor Network,SDWSN),可以有效地解决该问题。然而,大部分相关工作侧重于SDWSN架构与应用方面的研究,忽略了感知组网过程中存在的安全隐患及能耗问题。为实现集中控制,SDWSN的周期性拓扑收集过程不仅会对感知层带来额外的控制开销和能量消耗,而且也容易遭受妥协节点发动的选择性转发攻击,丢失关键控制报文,进而影响网络的正常运行。此外,攻击者可以利用SDWSN中无法处理的流量需要请求控制器处理这个特点,不断地制造新的报文发动新流攻击(New-flow Attack),拥塞控制链路,进而造成网络瘫痪。作为基于密码学安全机制的重要补充,信任管理机制能够有效地防御网络内部攻击。因此,针对面向物联网应用的SDWSN中存在的安全攻击及控制开销问题,本文提出一种高能效信任管理与可信路由机制。首先,通过将基于Bayesian的轻量级本地信任评估机制与控制器的全局信任管理机制相结合,本文实现一种综合信任管理机制,有效地识别和隔离了网络中存在的恶意攻击节点。随后,在全局信任的基础上,本文进一步提出一种高能效拓扑信息聚合收集机制,该机制以最小化全局拓扑收集能耗为优化目标,以节点全局信任值、剩余能量、网络覆盖为约束条件,通过求解整数非线性规划(Integer Nonliner Programming,INLP)问题来选举聚合节点,从而实现高能效、高可靠的拓扑收集。最后,综合考虑节点的全局信任值与剩余能量,本文提出一种集中式最小传输代价路由机制,以保障数据报文的传输可靠性。实验结果表明,相比于已有的解决方案SDN-WISE[5],本文提出的方案有效地提高了网络分组投递率、减少了网络能耗、降低了控制开销、延长了网络寿命,保障了感知层组网安全。虽然通过信任管理策略能够保障物联网设备安全可靠地接入互联网,但是目前利用恶意软件Mirai入侵大量存在安全漏洞的物联网设备,组建僵尸网络并发动DDoS攻击的现象越发严峻,严重影响转发层数据的正常传输。攻击检测是实现DDoS攻击防御的前提,传统基于SDN的DDoS攻击检测方案主要通过收集各个交换机中的流表信息,统计分析网络流量以实现攻击检测。然而,随着网络规模的扩大,流表信息采集过程将会对控制平面造成较大的监控负担。使用采样机制虽然能够缓解南向接口的链路压力,但会降低攻击检测准确率,并且需要在采样频率和检测精度之间做出权衡。为此,针对DDoS洪泛攻击,在SDIoT安全架构的基础上,通过协同利用控制层和转发层的安全资源,本文提出一种基于信息熵的分布式攻击检测机制。首先,在不违背SDN特性的前提下,本文将一部分安全能力引入到SDN边缘交换机中,通过对OpenFlow计数器字段进行扩展,使边缘交换机方便地实现本地入口流量的统计工作。随后,在本地入口流量的基础上,本文提出一种基于信息熵的异常检测算法,实现了本地网络中DDoS攻击的检测。最后,通过将DDoS攻击算法分布式部署于所有边缘交换机中,实现了全网范围内的攻击检测。仿真和原型实验结果表明,本文提出的方案具有检测速度快、检测精度高、资源负担小的优点。相比于集中式检测方案,本文提出的方案有效地缓解了控制器的监控负担,降低了攻击检测延迟。当网络中存在DDoS攻击时,不仅受害者不能响应正常请求,而且网络中也会存在大量攻击流量,占据大量网络带宽和资源。因此,在检测到DDoS攻击后,需要及时地响应DDoS攻击,以减少攻击危害。然而,在发动DDoS攻击时为避免被追踪定位,攻击者通常会使用伪造源IP地址、跳板等技术以达到隐藏真实身份的目的,导致防御者难以确定攻击源头,无法实施针对性的防御措施。因而,网络攻击追踪溯源是网络主动防御的重要环节,根据追踪溯源的结果,在攻击源端处进行攻击缓解能够有效地减轻攻击流量对网络的破坏。然而,当前SDN中针对DDoS攻击的研究工作侧重于攻击检测、被攻击侧清洗方面,DDoS攻击溯源、源端缓解方面的研究却相对较少。因此,在SDIoT安全架构基础上,通过转发层和控制层的跨层协作,本文提出DDoS攻击溯源与攻击缓解机制,并与攻击检测机制相结合构成了完整的DDoS攻击主动防御体系。当前,SDN中传统的基于流表分析或基于Packet-In消息的攻击溯源机制,会将全部分析工作转移至SDN控制器完成。随着网络规模的不断扩大,控制器的溯源负担也越来越大。对此,首先在不违反SDN运行原理的前提下,本文将一部分溯源工作下放到SDN边缘交换机中执行,以减轻控制器的工作压力。为满足不同规模网络的溯源需求,利用确定性包标记(Deterministic Packet Marking,DPM)算法,本文提出两种基于OpenFlow-DPM的DDoS攻击溯源算法。利用扩展的OpenFlow包标记动作,边缘交换机能够以流水线方式实现对攻击流量的标记。随后,基于被标记的攻击报文,攻击受害者能够重构出攻击端入口交换机的地址信息,进而实现攻击溯源定位。最后,在攻击溯源结果的基础上,结合SDN集中控制、全局网络视图等优势,本文设计一种基于包对称性的入口过滤机制,从攻击源头处过滤攻击流量,实现了 DDoS攻击缓解。仿真和原型实验结果均表明,本文提出的方案能够从攻击源头防御DDoS攻击,在保护攻击受害者的同时,减少了网络中间设备带宽和资源的消耗。(本文来源于《山东大学》期刊2018-10-20)
刘旭[4](2018)在《从“软件基因”视角看物联网网络威胁攻击防御的基本面》一文中研究指出随着物联网技术的发展和应用,其安全性值得关注和警惕,"软件基因"技术借鉴生物基因认识生命本源的思想,是和传统基于"特征检测"方法并行的技术路线,使我们可以以"基因"视角认识网络空间并解决多种网络安全技术痛点。伴随万物互联时代到来,物联网安全也日益凸显。美国最新公布的《2016—2045年新兴科技趋势报告》认为,到(本文来源于《网信军民融合》期刊2018年07期)
余畅[5](2018)在《软件定义网络中的DDoS攻击检测与防御》一文中研究指出分布式拒绝服务(Distributed Denial of Service,DDoS)攻击实施难度低、溯源难度大、危害性强。软件定义网络(Software Defined Network,SDN)是一种新型的网络架构,其集中式的控制方式给网络带来一定的脆弱性。SDN网络中的DDoS攻击不仅会对目标主机造成破坏,更会对网络中控制器与交换机产生影响,严重时将直接导致整个SDN网络崩溃。针对SDN网络中的DDoS攻击问题,设计并实现DDoS攻击检测与防御系统。系统由数据收集与预处理模块、特征提取模块、攻击检测模块和定位防御模块四个部分组成。数据收集与预处理模块在控制器上收集交换机上发给控制器的packet_in数据包,并对原始数据进行清洗;特征提取模块从数据包中提取源IP、源端口、目的IP、目的端口和协议类型五元特征,并设置最优滑动窗口,计算每个窗口下各个特征的熵值;攻击检测模块基于特征提取模块计算的各个特征的熵值,采用支持向量机算法训练攻击检测模型,检测网络中是否存在DDoS攻击;定位防御模块根据SDN控制器掌握的全局网络拓扑信息,定位攻击报文产生的接入交换机端口,由控制器下发流表规则,实时过滤攻击流量。采用floodlight控制器和mininet搭建实验SDN网络环境,实验结果表明:对25%攻击强度的混合比例DDoS攻击,检测模块能达到97%的检测准确率,攻击定位防御模块能在3s内定位并下发流表规则,过滤攻击流量。此外,检测模块能以91%的准确率检测出经典入侵检测数据集DARPA2000中的攻击。实验中发现,防御模块下发的规则容易过滤部分正常流量,如何更精准的生成防御规则是未来的研究重点。(本文来源于《华中科技大学》期刊2018-05-01)
吴鹏鹏[6](2018)在《软件定义网络下拒绝服务攻击防御研究》一文中研究指出软件定义网络作为一种新型网络架构,将控制平面和数据平面分离,提供集中化以及可编程的网络控制能力。流量型拒绝服务攻击作为传统网络中最为常见与有效的攻击手段,仍然是软件定义网络的安全方面的研究热点。针对拒绝服务攻击的软件定义网络的安全研究主要分为两方面:利用软件定义网络的新特性更有效解决传统的拒绝服务攻击;防御以软件定义网络本身为攻击目标的拒绝服务攻击。本文针对这两方面分别开展了安全研究工作。一方面,针对控制器的流量型拒绝服务攻击会导致数据平面和控制平面的信道拥塞并使控制器超负荷,最终导致整体网络瘫痪。因此本文提出了利用多控制器以及可疑流迁移的安全保护策略FMD(Flow Migration Defense)。FMD利用可疑流迁移至附属控制器缓解了主控制器信道的拥塞问题。附属控制器利用请求缓存和请求转发缓解了主控制器超负荷问题。另一方面,虽然软件定义网络架构的新特性有利于监控网络中潜在的传统拒绝服务攻击,但是在大规模网络特征采集依旧会导致的网络资源开销过大的问题。因此本文提出了粗粒度监测链路与细粒度监测网络流相结合的监测方法ADSS(Adaptive DDoS Sense Scheme)。ADSS采用了自组织映射神经网络对链路特征和网络流特征分别进行检测潜在的拒绝服务攻击。本文采用Ryu控制器和Mininet网络仿真器来对上述两个研究方案进行了仿真实验。对于FMD的实验结果表明,其可以在大流量拒绝服务攻击下,可以以保证控制器的低响应时间与低网络丢包率,有效保护控制信道和控制器资源。对于ADSS的实验结果表明,其可以在复杂的网络环境中有效定位DDoS攻击者与受害人,抵抗源IP伪造攻击,并且降低控制器计算资源和交换机缓存资源的开销。(本文来源于《大连理工大学》期刊2018-03-26)
谭韧,殷肖川,焦贤龙,廉哲,陈玉鑫[7](2018)在《一种软件定义APT攻击移动目标防御网络架构》一文中研究指出针对传统网络架构的确定性、静态性和同构性造成APT攻击难以有效防御的问题,提出了一种软件定义APT攻击移动目标防御网络架构SDMTDA。对APT攻击行为进行了建模,总结了APT攻击依赖网络结构和漏洞信息的特点;结合软件定义安全理念建立了从下到上分别为物理层、控制层、应用层的叁层网络架构,并给出了网络结构变化和漏洞信息变化的算法,分析了移动目标防御的叁种方法在SDMTDA中的实现;对架构进行了分析、实现并测试。实验结果表明,该架构具有软件定义、变化迅速、扩展性强的优点。(本文来源于《山东大学学报(理学版)》期刊2018年01期)
赵茹东[8](2017)在《软件定义网络中DDoS攻击检测和防御技术研究》一文中研究指出随着网络规模及网络业务的增多,传统网络面临着越来越多的问题,如传统网络协议复杂,运行维护困难,新业务的上线速度太慢,流量路径的调整困难等。而SDN(Software Defined Network,软件定义网络)作为新一代网络体系架构,为解决传统网络面临的问题开辟了新的道路。DDoS(Distributed Denial of Service,分布式拒绝服务攻击)攻击一直是威胁网络安全的重要问题,分布在网络中的多个主机同时向目标主机发起攻击,消耗目标主机资源,导致目标主机难以提供正常服务甚至崩溃。本文主要研究利用SDN网络的特性解决DDoS攻击检测及防御的问题。查找恶意主机,屏蔽恶意流量一直是DDoS攻击防御的重点研究内容,本文在DDoS防御方面主要研究在SDN网络下的溯源方法。本文的主要工作如下:1)本文设计了动态监控模块和分类检测模块用于检测SDN网络下的DDoS攻击。本文利用OpenFlow协议中的Packet-in消息进行动态监控,当动态监控阶段找到可疑主机后,控制器才通过查询相关交换机中的统计数据并使用分类算法进一步判断是否发生了 DDoS攻击。本文设计的利用Packet-in消息监控网络流量,既保证了实时性,又避免了控制器轮询交换机统计数据对控制器及网络性能影响较大的问题。本文考虑到SDN及DDoS攻击的特点,提出了基于流的用于DDoS攻击分类检测的特征集,并使用准确率高且可避免过拟合的随机森林算法进行分类检测。本文的动态监控模块和分类检测模块充分利用了 SDN控制器掌握的全局网络拓扑信息,减小了监控和检测的范围。2)本文充分利用OpenFlow协议及OpenFlow交换机流表项结构,提出了 SDN网络下DDoS攻击防御的方法。本文的DDoS攻击防御,重点研究如何找到恶意主机。在查找恶意主机方面,本文提出了 3种SDN网络下的IP数据包溯源方法,分别是基于Packet-in消息的溯源方法,基于Flow-removed消息的溯源方法和基于“first_DPID”的溯源方法。其中前两种溯源方法使用OpenFlow消息溯源,最后一种方法通过修改交换机流表项结构进行溯源。本文通过理论和实验比较了这3种溯源方法的优劣。本文实现了 DDoS攻击检测及防御算法,并通过理论和实验证明了本文提出的SDN网络中DDoS攻击检测算法和防御算法的有效性。(本文来源于《南京理工大学》期刊2017-12-01)
邱晨辉[9](2017)在《中国科学家研发“金刚”软件防御有组织网络攻击》一文中研究指出本报讯(中国青年报·中青在线 邱晨辉)从中国科学院软件研究所获悉,该所近日发布了研究人员研制的金刚(KingKong)恶意软件智能分析系统,该系统主要面向网络空间中的有组织攻击——高可持续性威胁,通过捕捉软件运行过程中的细微异常,识别攻击行为,从(本文来源于《中国青年报》期刊2017-06-05)
那锐,孙涛[10](2013)在《基于P2P软件的分布式拒绝服务攻击防御方法》一文中研究指出因P2P软件和协议设计上的漏洞,无须入侵大量主机就可以发起大规模的分布式拒绝服务(DDoS)攻击。为此,提出一种分布式防御方法。通过在应用层构建一套数据发送授权机制,使点对点软件中的节点在未得到目标节点授权之前不能向其发送大量数据,从而阻止攻击数据到达被攻击者。(本文来源于《黑龙江科技信息》期刊2013年03期)
软件攻击的防御论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
在软件定义网络(SDN)中,动态主机配置协议(DHCP)泛洪攻击报文通常能通过reactive方式主动地进入控制器,对SDN危害巨大。针对传统的DHCP泛洪攻击防御方法无法阻止SDN中该攻击带来的控制链路阻塞这一问题,提出一种DHCP泛洪攻击的动态防御机制(DDM)。DDM包含检测模型和缓解模型。在检测模型中,不同于他人提出的静态阈值检测方法,采用DHCP流量均速和IP池余量两个关键参数建立动态峰值估计模型来评估端口是否受到攻击,若受到攻击则交由缓解模型进行防御。在缓解模型中,利用地址解析协议(ARP)的应答特点进行IP池清洗,并设计了周期内分时段拦截机制对攻击源进行截流,在缓解阻塞的同时,最大限度减少拦截对用户正常使用的影响。仿真实验结果表明,相对静态阈值检测,DDM检测误差平均降低18.75%。DDM缓解模型能高效地拦截流量,同时将用户在拦截期正常接入网络的等待时间平均缩短81.45%。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
软件攻击的防御论文参考文献
[1].黄飞.基于仿真软件模拟MAC泛洪攻击与防御的实验综述[J].电脑知识与技术.2019
[2].邹承明,刘攀文,唐星.动态主机配置协议泛洪攻击在软件定义网络中的实时防御[J].计算机应用.2019
[3].王睿.面向软件定义物联网的信任管理及攻击防御机制研究[D].山东大学.2018
[4].刘旭.从“软件基因”视角看物联网网络威胁攻击防御的基本面[J].网信军民融合.2018
[5].余畅.软件定义网络中的DDoS攻击检测与防御[D].华中科技大学.2018
[6].吴鹏鹏.软件定义网络下拒绝服务攻击防御研究[D].大连理工大学.2018
[7].谭韧,殷肖川,焦贤龙,廉哲,陈玉鑫.一种软件定义APT攻击移动目标防御网络架构[J].山东大学学报(理学版).2018
[8].赵茹东.软件定义网络中DDoS攻击检测和防御技术研究[D].南京理工大学.2017
[9].邱晨辉.中国科学家研发“金刚”软件防御有组织网络攻击[N].中国青年报.2017
[10].那锐,孙涛.基于P2P软件的分布式拒绝服务攻击防御方法[J].黑龙江科技信息.2013