面向下一代互联网的轻量级多级Capabilities机制

J4 ›› 2012, Vol. 34 ›› Issue (11): 14-20.

面向下一代互联网的轻量级多级Capabilities机制

张洪豪，王劲松，刘涛

(天津理工大学计算机与通信工程学院，天津 300384)

收稿日期:2011-10-13 修回日期:2011-12-28 出版日期:2012-11-25 发布日期:2012-11-25
基金资助:
国家自然科学基金资助项目(61272450)；天津市科技支撑计划重点项目(08ZCKFGX00600)；天津市教委项目（SB20080054）

A Lightweight MultiLevel Capabilities Mechanism for Next Generation Internet

ZHANG Honghao,WANG Jinsong,LIU Tao

(School of Computer and Communication Engineering,
Tianjin University of Technology,Tianjin 300384,China)

Received:2011-10-13 Revised:2011-12-28 Online:2012-11-25 Published:2012-11-25

摘要/Abstract

摘要：

本文提出了面向下一代互联网的轻量级的多级Capabilities机制(LMCM)来防御拒绝服务攻击。LMCM通过对用户的行为进行评估进而来区分合法用户与攻击者，采用轻量级的校验机制避免了核心网络进行复杂运算。LMCM采用多级Capabilities机制在不降低总体安全性的前提下提高了数据传输的效率，并能适应不同安全性需求。LMCM采用分级的队列管理机制来防御拒绝Capabilities攻击（DoC），保障网络资源的公平分享。此外，LMCM改进了TVA的流量控制机制，改进后的方案能够防御TVA所不能防御的某些复杂网络攻击，弥补了TVA在这方面的缺点和不足。为了得到可信的仿真实验结果，LMCM从CAIDA数据集中挑选实验所需要的有代表性的拓扑结构。不同场景下的仿真实验结果表明，与TVA相比，LMCM有利于提高数据传输的效率和增强防御体系的可扩展性。

关键词: 下一代互联网, 网络安全, 分布式拒绝服务, 通信流校验体系

Abstract:

An antiDoS (Denial of Service) mechanism called LMCM (Lightweight Multilevel Capabilities Mechanism) for next generation Internet is proposed. The LMCM distinguishes the malicious users and the benign users through their behaviors and adopts lightweight validation mechanism to avoid heavyweight operations in the core network. It improves data transfer efficiency but not lowers the overall security, meeting different security requirements. In order to defend DoC (DenialofCapability) attacks caused by the capabilities and guarantee fairly sharing the network resources, the LMCM adopts a hierarchical queue management mechanism. Furthermore, the LMCM improves the flow control mechanism to defend other complicated attack which cannot be defended in TVA（Traffic Validation Architecture） and makes up for the shortcomings and inadequacies of the TVA. In order to get convincing comparative results, we choose some representative topologies in the dataset of the CAIDA (Cooperative Association for Internet Data) as our experiment topologies. Simulation results in dissimilar scenarios indicate that the LMCM is conducive to improving the data transfer efficiency and enhancing the scalability of defense system compared with the TVA.

Key words: next generation Internet;network security;distributed denial of service;traffic validation architecture

张洪豪，王劲松，刘涛. 面向下一代互联网的轻量级多级Capabilities机制[J]. J4, 2012, 34(11): 14-20.

ZHANG Honghao,WANG Jinsong,LIU Tao. A Lightweight MultiLevel Capabilities Mechanism for Next Generation Internet[J]. J4, 2012, 34(11): 14-20.

[1]	杜放, 焦健, 焦立博. 基于因果关系的反取证擦除技术检测模型[J]. 计算机工程与科学, 2024, 46(07): 1229-1236.
[2]	白坚镜, 顾瑞春, 刘清河. SDN环境中基于Bi-LSTM的DDoS攻击检测方案[J]. 计算机工程与科学, 2023, 45(02): 277-285.
[3]	董哲1,唐湘滟1,程杰仁1,2,张晨1,林福生1. 基于HMM时间序列预测和混沌模型的DDoS攻击检测方法[J]. 计算机工程与科学, 2018, 40(12): 2164-2172.
[4]	张瑞芝1,唐湘滟1,程杰仁1,2. 基于改进模糊C-均值聚类的DDoS攻击安全态势评估模型[J]. 计算机工程与科学, 2018, 40(11): 1957-1966.
[5]	刘世文1,5，马多耀2,4，雷程1,3,5，尹少东2,4，张红旗1,5. 基于网络安全态势感知的主动防御技术研究[J]. 计算机工程与科学, 2018, 40(06): 1057-1061.
[6]	刘强，蔡志平，殷建平，董德尊，唐勇，张一鸣. 网络安全检测框架与方法研究[J]. 计算机工程与科学, 2017, 39(12): 2224-2229.
[7]	吴果，陈雷，司志刚，白利芳. 网络安全态势评估指标体系优化模型研究[J]. 计算机工程与科学, 2017, 39(05): 861-869.
[8]	赵宁1,谢淑翠2. 基于dpdk的高效数据包捕获技术分析与应用[J]. 计算机工程与科学, 2016, 38(11): 2209-2215.
[9]	任方. Ad Hoc网络的自适应分布式PKG机制[J]. J4, 2015, 37(07): 1272-1279.
[10]	陈宏亮，刘莉平，赵明，陈志刚. 认知无线网络中基于信誉度管理的动态频谱接入研究[J]. J4, 2015, 37(03): 498-502.
[11]	唐湘滟, 程杰仁, 殷建平, 龚德良. 基于NP模式的报文检测方法[J]. 计算机工程与科学, 2014, 36(11): 2128-2131.
[12]	陈大乾，任广伟. 对社区电子政务网络安全和数据共享问题的思考[J]. J4, 2014, 36(09): 1705-1710.
[13]	马占飞1，尹传卓2. 基于ACE和SSL的Firewall与IDS联动系统研究[J]. J4, 2014, 36(08): 1486-1492.
[14]	张令通1，2，罗森林2. 基于TCP协议首部的网络隐蔽通道技术研究[J]. J4, 2014, 36(06): 1072-1076.
[15]	张拥军1，2,唐俊2. 基于云模型的网络安全态势分析与评估[J]. J4, 2014, 36(01): 63-67.