当前,越来越多的分布式拒绝服务(distributed denial of service,DDoS)攻击的攻击源迁移至云中,给云计算的可控性及整个网络空间的安全带来了严重挑战.然而关于有效控制云中该类攻击源的研究还比较缺乏.为此设计了一种面向可控云计算的D...当前,越来越多的分布式拒绝服务(distributed denial of service,DDoS)攻击的攻击源迁移至云中,给云计算的可控性及整个网络空间的安全带来了严重挑战.然而关于有效控制云中该类攻击源的研究还比较缺乏.为此设计了一种面向可控云计算的DDoS攻击源控制系统pTrace,该系统包括入口流量过滤inFilter和恶意进程溯源mpTrace两部分.其中,inFilter过滤伪造源地址信息的数据包;mpTrace先识别攻击流及其源地址信息,依据源地址信息追溯并管控发送攻击流的恶意进程.在Openstack和Xen环境下实现了pTrace的原型系统,分析及实验表明,inFilter可以有效地防止含有虚假源地址信息的DDoS攻击包流出云外;当攻击流速率约为正常流量的2.5倍时,mpTrace即可正确识别攻击流信息,并可在ms级的时间内正确追溯攻击流量发送进程.该方法有效控制了位于云中的DDoS攻击源,减小了对云内傀儡租户及云外攻击目标的影响.展开更多
随着人们隐私保护意识的提高,匿名通信系统获得了越来越多的关注.I2P(invisible Internet project)是当前应用最广泛的匿名通信系统之一,与Tor(另一种非常流行的匿名通信系统)网络类似,I2P采用大蒜路由的方式隐藏通信双方的通信关系,即...随着人们隐私保护意识的提高,匿名通信系统获得了越来越多的关注.I2P(invisible Internet project)是当前应用最广泛的匿名通信系统之一,与Tor(另一种非常流行的匿名通信系统)网络类似,I2P采用大蒜路由的方式隐藏通信双方的通信关系,即通过使用包含多个节点的隧道,使得隧道中的任意单一节点都不能同时获知通信双方的身份信息.然而,如果能够共谋同一隧道的两端节点或是能同时观察到I2P通信链路进、出I2P网络的流量,攻击者依然可以通过流量分析的方法对通信的双方进行关联,进而破坏I2P网络的匿名性.通过分别从I2P网络内部攻击者和传输路径上外部网络攻击者的角度,对当前I2P路径选择过程中可能面临的共谋攻击威胁进行分析,结果显示,I2P网络当前的路径选择算法并不能有效地防范内部攻击者和外部网络攻击者,I2P网络的匿名性仍然面临着巨大的共谋攻击威胁.展开更多
文摘当前,越来越多的分布式拒绝服务(distributed denial of service,DDoS)攻击的攻击源迁移至云中,给云计算的可控性及整个网络空间的安全带来了严重挑战.然而关于有效控制云中该类攻击源的研究还比较缺乏.为此设计了一种面向可控云计算的DDoS攻击源控制系统pTrace,该系统包括入口流量过滤inFilter和恶意进程溯源mpTrace两部分.其中,inFilter过滤伪造源地址信息的数据包;mpTrace先识别攻击流及其源地址信息,依据源地址信息追溯并管控发送攻击流的恶意进程.在Openstack和Xen环境下实现了pTrace的原型系统,分析及实验表明,inFilter可以有效地防止含有虚假源地址信息的DDoS攻击包流出云外;当攻击流速率约为正常流量的2.5倍时,mpTrace即可正确识别攻击流信息,并可在ms级的时间内正确追溯攻击流量发送进程.该方法有效控制了位于云中的DDoS攻击源,减小了对云内傀儡租户及云外攻击目标的影响.
文摘随着人们隐私保护意识的提高,匿名通信系统获得了越来越多的关注.I2P(invisible Internet project)是当前应用最广泛的匿名通信系统之一,与Tor(另一种非常流行的匿名通信系统)网络类似,I2P采用大蒜路由的方式隐藏通信双方的通信关系,即通过使用包含多个节点的隧道,使得隧道中的任意单一节点都不能同时获知通信双方的身份信息.然而,如果能够共谋同一隧道的两端节点或是能同时观察到I2P通信链路进、出I2P网络的流量,攻击者依然可以通过流量分析的方法对通信的双方进行关联,进而破坏I2P网络的匿名性.通过分别从I2P网络内部攻击者和传输路径上外部网络攻击者的角度,对当前I2P路径选择过程中可能面临的共谋攻击威胁进行分析,结果显示,I2P网络当前的路径选择算法并不能有效地防范内部攻击者和外部网络攻击者,I2P网络的匿名性仍然面临着巨大的共谋攻击威胁.
