计算机网络安全性分析建模研究

安全性分析研究工作需要把计算机网络与安全相关的系统资源和安全因素抽取出来建立一种面向安全性分析的安全模型。从安全需求的类别、等级和面临的主要威胁出发,分析了系统设备、访问权限、主体连接关系和弱点,从攻击者目的是提升特权的角度对攻击作了形式化的描述。针对计算机系统的安全故障树方法和网络信息系统的攻击图方法应用了这一安全分析建模工作。

基于信息融合的计算机网络信息发现

引入信息融合技术,利用多个探测工具收集网络信息,并将来自不同类型网络探测工具的信息在不同的层次上进行融合。在数据层融合中,使用模糊逻辑的统计方法识别系统类别、区分网络设备;在决策层融合中,通过系统知识库的支持,获得最可信的网络信息。

一个网络信息内容安全的新领域——网络信息渗透检测技术

提出了一个新的网络与信息安全领域的应用技术:网络信息渗透检测技术,适用于国际反恐、应急处理等方面的技术分析。文中研究并给出了信息渗透及检测技术的研究模型和总体框架,提出了总体解决思路,对网络信息渗透技术进行了抽象研究,划分了三类通道,提出了采用降级方式分别对三类通道进行处理的策略,并用未知通信协议的分析对综合集成方法进行了验证。

基于故障树的计算机安全性分析模型

提出了通过分析计算机系统的资源实体、访问者权限、安全需求和弱点等安全属性,按照不同的安全需求构造出安全故障树来直观地反映攻击者可能选取的攻击手段的安全状况评价方法;分析安全故障树,使用潜在攻击路径和系统安全失效概率从定性和定量两个方面表达计算机系统的安全状况,为系统的安全改进提供指导和建议.

计算机弱点数据库综述与评价

计算机弱点数据库已成为弱点研究的重要组成部分,对收集、存储和组织弱点信息具有重要意义。本文介绍了计算机弱点的定义及分类,分析并评价了现有的弱点数据库,最后讨论了其存在的问题以及将采取的技术路线。

网络流量分析中的频繁项监测技术研究

无限数据流中频繁项监测问题定义为对给定输入数据流在任意时刻输出一个当前所有输入数据项中出现频率超过阈值的频繁数据类型及频率值的列表,它对于大规模网络流量分析具有重要意义。本文基于网络报文流分析的应用需求,归纳出一般意义上的报文流分析模型和频繁项监测问题抽象定义,并据此对当前典型的频繁项监测算法进行分析比较。本文还提出一种在有界存储中进行频繁项监测的高精度改进算法,实验结果表明该改进算法满足高速网络报文流的应用需求。

KAD网络负载均衡技术研究

由于应用环境的特殊性和网络节点的异构性,大多数DHT网络都存在负载不均衡问题。以拥有大量用户群的eMule的KAD网络为研究对象,通过实际测量发现,由于关键词使用频率的不同,文件索引信息在KAD网络中的存储分布是不均匀的,会影响系统正常的资源发布和搜索。针对这一问题,本文提出了一个基于多重目标ID的KAD索引信息发布机制,通过让更多的节点负责拥有高频关键词的文件索引,提高KAD网络文件索引资源的负载均衡,并通过仿真实验证明了该方法的有效性。

基于P2P的网络恶意代码检测技术研究

提出了一种基于 P2P 的大规模分布式网络恶意代码检测模型,描述了系统各个部分的功能与实现。该模型利用改进的 Rabin 指纹算法实现了对恶意代码特征码的自动提取。提出了基于子序列指纹的分布式存储的信息融合策略,并在此基础上给出了分布式架构下的恶意代码检测算法。这种方法适用于大规模网络中的恶意代码的检测。

用于评估网络信息系统的风险传播模型

为了评估网络信息系统的安全风险,提出了一个由风险网络和风险传播算法构成的风险传播模型,并以一个具有代表性的实例阐明了该模型在网络风险评估中的应用,验证了传播算法的正确性.实例分析表明,应用风险传播模型的评估方法较传统方法在评估结论的准确性和制定符合最优成本效应的安全建议等方面更具优势.

网络风险评估中网络节点关联性的研究

在网络风险评估领域中,为了提高评估的准确性,很多研究工作中都引入了网络节点间的连通性,然而,这种性质还不足以表达出各节点间基于物理连通关系之上的某种特殊的逻辑关系,如一方对另一方独有资源的控制关系.为此,文中引入了网络节点关联性(NNC)的概念,通过对实践过程中若干种访问情景的分析,提出了NNC的分类方法,然后讨论了NNC的发现方法,并举例阐明了NNC在网络风险评估中的应用及作用.通过深入地分析和对比可以看出,利用NNC可以将若干孤立的弱点联系起来,有助于分析网络的安全风险;此外,NNC在包含各协议层连通性的基础上丰富了网络节点间独有的特权关系,利用NNC也有助于提高检测网络弱点和网络攻击的准确性.

基于测量的网络性能评价方法研究

网络性能评价方法的研究对于指导网络设计和改进网络运行性能状况有着重要的意义。为了综合地评价网络的运行状况,在测量的基础上,提出了基于多个测量指标的多指标综合评价方法,并应用到路径性能评价和网络性能评价上,该值反映了路径和网络的综合性能状况,并可以按照不同的策略分析路径和网络之间的性能变化情况。实验结果表明,该方法可以有效的评价目标路径和网络的运行状况。

网络攻击图生成方法研究

针对网络安全分析研究的要求,在已有研究的基础上,提出了一种灵活的网络攻击图生成方法。首先通过分析网络主机、用户权限、主机之间的连接关系和攻击等安全属性,建立了一个面向网络安全分析的安全模型，然后使用广度优先的正向搜索算法生成攻击路径，实现了网络攻击图的生成。通过实验和比较证明，该方法具有更高的有效性和更快的攻击图生成速度。

基于改进SIP协议的SIP网络安全通信模型

通过对SIP协议安全性的深入研究,结合PKI技术、数字时间认证技术、数字证书及SIP网络的特点提出了基于改进SIP协议的SIP网络安全通信模型。借鉴原有的协议流程制定了新的呼叫建立子协议,重新制定了注册子协议和漫游注册子协议,增加了时间同步子协议和密钥协商子协议,并在实际环境下对该模型进行时间延迟测试。实验结果表明该模型在有效提高SIP网络机密性、完整性、可用性、抗否认性和新鲜性的同时所带来毫秒级的时间延迟是可接受的。

DNS权威名字服务器性能与安全性的研究

与根域名服务器等顶级域相比,本地的权威名字服务器更易于发生设备故障和遭受恶意攻击。阐述了权威名字服务器的现状并实现了一个新型DNS测量工具DNSAuth来自动获取权威名字服务器的信息。实验着重分析了权威名字服务器的分布、地理位置及其对性能和安全性的影响,按照五个有代表性的属性,对中国Top100网站的权威名字服务器进行了量化评估,实验结果表明只有32%的权威名字服务器具有较好的性能和安全性。

基于网络的恶意代码检测技术

通过对传统分布式IDS的分析,指出基于详细协议分析的多引擎小规则集的系统结构用于网络级恶意代码检测的缺陷,设计了单引擎大特征集的网络级恶意代码检测模型及恶意代码特征描述语言;分析了网络数据流的特征,通过对特征串进行优化的方法,避免特征串后缀与数据流的频繁碰撞及链表分支不平衡的问题,大幅度提高了WM算法检测网络恶意代码的效率。

IPv6环境下隧道流量解析安全性增强技术

隧道是IPv4向IPv6过渡的主要方式之一,它通过附加外层包头方式解决了IPv4或IPv6孤岛的通信问题.文中对隧道流量进行了分析,指出其具有层次和类型不确定性,提出了广义隧道的概念.研究了网络协议解析设备上传统双栈对广义隧道的解析过程,指出恶意隧道流量会引发隧道干扰和多层分片攻击两类安全问题,并提出隧道流标记和后移重组两个关键技术予以解决.实验表明:隧道流标记代价较小,每层至多增加1%的计算时间,而后移重组平均每层减少7.5%的计算时间,增强了应对恶意隧道流量的能力.

大规模复杂规则匹配技术研究

针对当前安全系统对复杂规则的需求和复杂规则匹配技术的状况,提出了一种新的规则表示方式——字符串表达式,并给出了对应的匹配方法——基于扩展的有限状态自动机(XFA)实现大规模复杂规则匹配的算法。字符串表达式可以描述多个精确字符串之间的逻辑关系与空间位置关系,从而满足安全系统对复杂特征的描述需求。匹配使用二维结构来完成,首先用经典串匹配算法进行字符串的存在性验证,然后将其结果作为输入,驱动以表达式中字符串为"字符"的XFA完成逻辑关系的验证。基于XFA的匹配方法的空间效率和时间效率都接近多模精确串匹配算法。实验结果表明,文中提出的方法既能满足安全系统对关联特征的描述需求,又能提供高效的匹配性能,较好地解决了大规模(万条)的复杂规则匹配问题。

面向网络数据实时检测的多线程内存管理技术

针对目前内存管理算法在多线程环境下存在的问题,提出了一种新的面向网络数据实时检测系统的多线程内存管理算法 MLMalloc。MLMalloc 算法采用线程局部内存区的方式解决了在多线程环境下内存锁的频繁竞争问题;预先在线程局部区和全局内存区分配大量内存,减少了在线程局部内存区、全局内存区和系统内存区之间的内存获取和归还抖动;线程局部内存区和全局内存区由固定大小的内存堆构成,在两种内存区之间采用预测的方式,一次锁操作分配或归还多个堆,减少了对内存区锁的竞争次数。实验结果表明,MLMalloc 算法显著地提高了多线程环境下大规模网络数据实时检测系统内存操作的效率。MLMalloc 算法的性能要优于 PTFMalloc 算法和 TCMalloc 算法,并且运行线程的数目越多,性能提高的幅度越大。

大规模网络宏观预警的研究现状与分析

对国内外的宏观预警技术的研究现状进行了综述,依据宏观预警系统的实施过程对当前研究方法和研究成果进行了较为全面的概述与分析,对现有技术进行了总结与归纳。

类Gnutella的对等网络的测量方法研究

详细阐述了用于测量Gnutella网络拓扑的爬行器的设计和实现,并实验性地测定了完成该网络拓扑快照的最佳快门延迟。