针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3C S6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow 报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.
针对当前漏洞管理系统受制于漏洞扫描引擎,在可扩展性和性能上存在瓶颈的问题,设计并实现了一个漏洞自动化跟踪平台.该平台可统一管理各种渠道获得的信息系统漏洞信息,每个漏洞关联一个检测其是否已修复的检测脚本及参数,多进程方式并行执行的任务调度程序高频度复测漏洞状态,可扩展到多机部署进一步扩展性能.漏洞检测脚本以退出代码反馈测试结果,支持任何能在部署操作系统上执行的语言编写,并能被相似漏洞复用.开放的数据接口将本平台与IT资产数据库和流程管理系统对接,已完成的两套实际部署案例表明本平台对提高漏洞处置效率发挥了积极的作用.
针对国际互联网工程任务组IETF源地址验证增强SAVI工作组重点解决了接入网的IP源地址验证,而自治域间的源地址验证仍然面临挑战的问题,以入口和出口过滤(ingress/egress filtering)防御技术为基础,提出了一种基于自治域防御联盟的域间源地址验证系统方案.该方案通过设计特定的源宣告方式及相关路由策略,确立了联盟成员的验证规则配置形式,在保证方案轻量性的基础上提升了原入口和出口过滤技术的防御性能;着重研究了自治域防御联盟的源宣告策略,针对多路径和误宣告现象引发的回流误判提出了解决方法,证明了以自治域防御联盟为单位的过滤技术具备有效的域间源地址验证能力.
针对网页篡改问题,设计了一种基于机器学习的批量网页篡改检测方法.以一所综合性大学所有注册网站为研究对象,通过抓取网站首页面的所有信息,对抓取数据进行分类建立对应的检测规则,综合判断网页是否存在篡改.该方法分为学习阶段和检测阶段,学习阶段根据网页历史信息获取各个检测器的标准值,检测阶段对待检测网页的各个参数进行检测,综合多个检测器的输出,反馈检测结果,若结果为误报,则系统进行重新训练修正参数.以实际发生的网页篡改案例为依据,进行网页篡改模拟,并对误报率和漏报率进行了分析,结果表明:当检测数据集窗口大小为11,报警阈值为2时,误报率为1.183%,漏报率为0.878%,获得了最优的效果.
为了对用户数据报协议(UDP)反射攻击进行安全响应,设计并实现了一种基于路由器访问控制列表(ACL)在网络边界对UDP反射攻击进行拦截的方法,并在中国教育与科研计算机网(CERNET)江苏省网边界对字符发生器协议(CHARGEN)和简单网络管理协议V2版(SNMPv2)两种协议类型的UDP反射攻击进行了拦截实验.对实验数据进行的分析表明:该方法可以阻止这2种UDP反射攻击,且对控制命令的拦截比对攻击流量的拦截更加有效.对经过较长时间拦截后放大器攻击能力的恢复过程进行的观测表明:拦截时间的长短对放大器攻击强度的恢复的影响不明显,大部分放大器均可在短时间内恢复原有的攻击能力,从侧面证实了反射攻击的控制器全部位于实验网络之外.
提出了一种基于最大速率估计的自适应编码方法,该方法实现了单链路网络中高可靠的数据传输.利用单向链路中数据发送速率和丢包率之间的相关性,研究了在数据发送速率不超过最大速率的情况下冗余编码对丢包率的影响,即在低丢包率下采用基于ErasureCode算法的单向控制机制,并基于最大速率估计来调整编码策略,在传输报文间建立冗余校验,利用线路的最大安全速率传输冗余编码信息,将丢失的数据包尽可能高的冗余恢复出来.实验结果表明:该自适应编码方法能够在低丢包率的环境下进一步有效降低丢包率,较好地提高单向传输的容错性,实现单链路传输的可靠性.
为了提高安全事件应急响应的效率,设计并实现了一个入侵检测与取证分析自动化响应模型.该模型基于特定的安全事件信息,使用OpenFlow交换机实现报文的过滤和转发,利用PF-RING ZC零拷贝工具自动采集报文流量,使用开源入侵检测软件Suricata和多特征关联冗余消除算法完成对网络流量的入侵检测和警报冗余消除,同时结合Bro系统进行应用层协议分析以完成对网络流量的取证分析,可显著减少人工的干预.通过僵尸主机的检测实例对该模型进行了验证,结果表明了该模型对于提升安全事件应急响应效率的有效性.
为了定位Web服务器并对其流量行为进行分析,提出了一个以网络边界路由器提供的流记录为分析数据源,定位网内HTTP80端口服务主机的算法.算法实现在了CERNET南京主节点所覆盖的网络.对算法的检测结果用传统的扫描定位方式进行了检验,结果表明:本算法只须探测全网3%左右的IP地址空间,便可成功定位超过98%的HTTP80服务器.根据算法执行过程中获得的信息,还可以检测分析网络中的一些安全隐患,包括定位使用Web服务器缺省首页的主机和存在80端口滥用情况的主机等.该算法还具有较好的通用性,调整有关检测条件后可以用于包括DNS在内的其他服务器的角色定位.
为了解决网络应用程序引起的服务器敏感信息泄露问题,提出了基于动态污点跟踪的敏感文件泄露检测方法.该方法先标记敏感文件的读写缓冲区为污点源,然后实时跟踪文件缓冲区的处理流程,监测污染源是否传播到其他内存位置,或者写入其他文件.最后检测发送缓冲区是否包含污点数据,以确定是否发生敏感文件的泄露.实验结果表明:提出的方法不仅能够监控用户指定的敏感文件,还能防止应用程序将敏感信息写入其他文件或者发送到网络上.
研究了网络视频监控中行人检测和跟踪技术,并提出了基于多模型检测的视频监控行人跟踪算法.首先在已有检测算法的基础上,根据实验结果,分析了算法的优势和存在问题,提出了多模型融合检测算法,多模型融合检测算法充分利用各个单模型算法的优势,提高模型检测准确率,并使用快速特征金字塔算法提高了算法的实时性.随后在提出的检测算法基础上,结合卡尔曼滤波算法和匈牙利最优匹配算法实现多目标行人检测和实时跟踪.MOT测试视频实验结果表明:提出的跟踪算法能够较好地实现多目标行人检测和跟踪,适合网络视频监控场景.
针对运营商难以对用户感知质量(QoE)进行主动评估和预警,且难以有效利用海量的网络日常运行数据的问题,在调研了运营商的IPTV网络运行数据和指标基础上,分析了现有的IPTV QoE评价方法和相关的数据挖掘算法,提出了一种基于数据挖掘的IPTV QoE评价方法.该方法包括特征指标相关性分析、指标选择、指标降维、QoE评分及QoE预警等,通过相关性分析、回归分析等算法实现了从原始指标数据到IPTV QoE评价模型建立的过程.基于真实数据集的验证结果表明:当该方法选择80作为QoE评分阈值时,能够达到66.35%的预警命中率.
为了避免链路出现拥塞,针对数据中心流调度策略在进行数据流迁移尤其是大流的迁移容易产生数据流丢包并出现接收端数据包乱序,从而造成网络吞吐量降低的问题,基于SDN/OpenFlow架构,提出了一种采用熔断机制的动态路由算法F-TAM;同时,设计了新的测量方法来获取精确的链路状态时效信息,当算法被触发时能及时计算出合理的熔断时间,从而能充分利用网络中存在的多路径进行负载均衡,并解决了由于传输路径的不同时延所造成的接收端数据包乱序问题.实验结果表明:F-TAM能够利用网络中的冗余链路进行细粒度负载均衡并提升网络吞吐量,且不会出现接收端数据包乱序的问题.
采用网络演算理论研究复杂拓扑下确定性以太网的性能,提出级联拓扑和双通道级联拓扑,应用反卷积理论建立两种复杂拓扑下的网络演算模型,并建立相应仿真模型.最后将仿真结果和理论结果进行比较,并且根据不同大小的时间触发数据、速率受限数据和尽力而为数据分别在端到端时延、吞吐量以及丢包率三方面进行性能分析.分析结果表明:理论结果与仿真结果相符合,说明确定性以太网具有良好的确定性和实时性,且在双通道级联拓扑下具有很好的容错能力.
以减小延迟和冲突为切入点,提出了一种混合式beaconless基于地理位置路由协议(HBGR).HBGR的目标是在减少时延敏感数据报文的端到端时延的同时确保对普通数据报文的影响尽可能小.HBGR通过混合式RTS/CTS握手机制为不同类型的数据提供不同的传输服务,在信道争用过程中为普通数据和时延敏感数据分配不同的争用窗口.与此同时,还提出一种基于距离转发区域划分的方案来优化转发者(下一跳节点)选择.仿真结果表明:在不同的网络拥塞度下,无论是静止场景还是移动场景,与GF,OGF和AODV相比,HBGR在报文可达率、端到端时延以及能量消耗方面都表现良好.
以应用于隧道结构健康监测的无线传感器网络为基础,针对长线形的隧道结构和分布式的节点布置,提出了超长线状多跳非均匀分簇结构.通过考虑节点剩余能量和优化簇头分簇半径,降低并平衡节点能耗.针对传感器数据冗余量大的问题,提出了基于超长线状分簇结构的分布式卡尔曼滤波融合算法.利用单节点不同时刻的数据,通过卡尔曼滤波器得到局部估计值,降低数据时间冗余度.在簇头节点端和汇聚节点端分别实现分布式卡尔曼滤波融合算法,降低数据空间冗余度,达到具有一致性的网络数据估计值.实验结果表明:该方法能有效实现超长线状分簇结构下的分布式数据融合,具有高可靠性和准确性.
通过比对单个域内控制信道与数据信道比例,将所须安装流表项数据以源路由下发和直接下发两种方式动态混合处理,以此来减小控制器负载以及动态调节控制平面和数据平面负载均衡度,同时减小流表下发和端到端传输的时延以及控制逻辑出现不一致的概率.仿真显示:所提方法在控制器负载消耗量、流表安装时延和数据包平均传输时延等方面优于传统的流表直接下发方法以及基于源路由的流表下发方法.
针对证据数据完整性的问题,指出证据数据完整性评估的意义和重要性.通过考察信息系统在物理环境、网络传输、主机与系统、应用程序、管理和时间这六个方面对于证据数据完整性的影响和作用,提出了一种评估证据数据完整性的框架.运用数据融合方法对评价结果进行量化,通过分别对传统终端取证方法和面向云的取证方法的实例进行评估与量化,证实了该框架对证据数据完整性评估具有切实有效的指导作用及可操作性,结果表明使用传统终端取证工具所获取证据数据的不确定性在云环境下是传统终端取证的5倍.
提出一种通过名字地址映射关系简化IPv6地址配置和网络迁移的方法.利用IPv6本地链路地址可以在邻居节点间直接通信的特性,将根设备上定义的名字地址映射信息通过专用控制协议在全网范围内进行涟漪式传递,使得网络设备上须要配置传统128位IPv6地址的地方可以通过配置名字来替代,降低了IPv6地址配置的复杂性,同时大幅简化了网络迁移的难度.结果表明:本方法不仅可以极大减少IPv6地址配置和网络迁移的工作量,而且可以有效提高效率,降低误操作风险.
针对在主流网络硬盘中简单的用户名密码易在网络层被截获,用户无法甄别网络硬盘服务器的合法性以及用户必须手动断开网络硬盘连接等不足,设计并实现了虚拟桌面环境双向认证网盘系统.系统采取指纹识别型USB Key作为双向身份认证介质,实现对用户终端和服务器之间双方身份的严格认证,并由守护进程对USB端口进行轮询.待双方均成功认证后,虚拟桌面客户端读取USB Key中的身份信息并通过无缝传递实现对网盘的自动挂载.研究结果表明本设计能够解决虚拟桌面环境下的数据集中管理所面临的一系列安全问题.
针对ABC总最佳链接支持型QoS(服务质量)组播路由存在的链路参数不精确、用户QoS参数难以描述以及用户与网络运营商效用相矛盾等关键问题,提出了一种基于用户和运营商博弈的多目标模型,采用模糊数学的方法对链路参数和用户的QoS需求进行处理,利用用户和运营商在每条链路上效用的博弈达到纳什均衡下的Pareto最优,保证了用户和运营商的公平性.为有效求解该多约束QoS组播路由模型,提出一种基于动态Pareto解聚类分析的小生境粒子群的多目标算法.该算法采用聚类小生境保证解的多样性,引入动态更新Pareto最优边界加速寻得优质解过程.最后,基于NS2平台对路由机制及算法进行了仿真实现与性能指标评价.实验结果表明:该路由算法在可信度、用户效用、网络运营商效用等方面具有突出的优势,验证了其有效性与可行性.
提出了一种基于内核内存共享的同宿主Docker容器间高速通信方案.通过在宿主系统上实现面向内核内存共享的专用虚拟字符设备驱动,Docker容器间的通信进程通过该设备驱动中实现的内存映射方法将同一块内核内存空间映射到相应容器进程的地址空间中,在不破坏容器隔离特性的基础上实现容器间内存共享;在该内核内存共享空间设计实现了面向连接的通信模型,并提供用户级的应用程序接口,实现同宿主Docker容器高速互联.在NUMA体系环境下的验证结果表明:基于内存共享的同宿主Docker容器间通信方案与Docker默认的虚拟网桥通信方式相比,对于Docker容器在同一NUMA节点上和在跨NUMA节点上的两种通信场景,最大吞吐量分别提升了350%和110%.
针对车辆移动节点的路由机制和通信信息安全问题,从网联汽车的地理位置和通信安全出发,设计实现了一个融合了IPv6技术的车载通信系统,在C2C子层参考并优化了Cargeo6开源项目实现基于地理位置的单跳广播通信和多跳广播路由;在路边设施RSU中使用NAT技术实现车联网内部IPv6地址与公网地址的有效切换,同时引入IPv6中的IPsec技术来保证网联汽车通信信息的安全性.最后,在校园IPv6网络中验证了系统的通信性能,测试结果表明:该通信系统在实际场景中可实现多跳路由,单跳最远通信距离为450 m左右,实现了实际场景中低时延、高可靠的数据传输.
为解决用户在线检测算法依赖于流量分析,不便于部署在大型网络的问题,提出了一种基于DNS日志分析的用户在线检测算法.这种算法通过使用DNS日志记录避免了复杂的流量分析,利用用户不使用网络时产生的DNS静默期来识别出用户的上下线时刻和在线时间.使用了清华大学校园网的真实数据进行算法验证,达到90.6%的精确率和96.3%的召回率.进一步研究清华大学校园网络用户在线时长和上下线时间等特征的,结果证实了无线网络用户在线时间短、变化快等特点,而且工作日和周末用户特征明显不同,这些结果表明该算法能够实际应用于大型网络的管理中.
针对高校校园这一应用领域,设计并实现了一种基于多层策略的校园问答系统.提出了校园知识的3种类型,即服务型知识、常见问题型知识及文本检索型知识.针对不同类型的知识,建立了特定服务查询、常见问题查询和自由文本检索多级策略的问答系统模型,逐级匹配查询问句的答案:特定服务查询通过模式匹配将问句转换为服务接口;常见问题查询通过特征关键词提取、问题分类和问句相似度计算算法将问句与常见问题库中的问题答案对匹配;自由文本检索对全文检索引擎solr返回的候选文档进行答案抽取,获取答案段落.性能测试表明:对80%以上的查询问句,若问题相关知识存在于系统中,则系统都能给出满意的答案.
提出一种基于探测节点集合的探测策略算法(AMPD),并应用到测量策略中.该算法在探测节点部署阶段,充分考虑探针对重要节点和重要链路的覆盖作用.首先通过重要节点排序算法选出部分节点部署探针,然后从探针的直连链路、探针之间路径、待测量路径构成的链路矩阵中化简出基向量,用基向量的测量结果表示待测路径的性能,有效地减少了待测路径的数目,为网络路径故障的判定提供了更好的基础.NS3仿真实验验证了该算法的实用性和有效性.
为了有效地监控和管理高校仪器设备,对设备的能耗数据进行采集,以数据分析结果为依据为高校发展提供科学管理和智能决策支持.通过物联网和IPv6技术,部署智能硬件对仪器设备能耗数据进行计算和采集,以层次化结构为指导设计了松耦合的平台体系结构,采用Web服务作为数据上传和硬件控制的中间件,提出了相关的能耗分析算法对数据进行处理和分析.搭建了基于IPv6的校园仪器设备能耗监控平台,通过图形化界面展示数据分析和统计结果,实时显示仪器设备的能耗和运行状态.该平台能有效地监控仪器设备的能耗数据,有助于实现精细化管理并对节能减排和提高能源利用率提供技术保障.