一种纠删码条带化数据的一致性检查方法

纠删码冗余策略常用于分布式存储系统.在纠删码数据中,条带是一致性检查的基本单元,每个条带包含多份原始数据单元和校验数据单元.为了减少纠删码条带化数据一致性检查的读取开销,提高纠删码数据一致性检查和读后写的效率,在执行纠删码条带化数据写入时,为每个条带单元加入自修正数据标签(SCDT),后续对每个条带的一致性检查基于SCDT完成.该方法不需要读取每个条带中所有数据单元即可完成该条带的一致性检查,将一致性检查效率提升了1.7~2.6倍,并且当写入数据更新的条带单元数小于临界值时,可以有效减少写入的输入输出(IO)交互次数.本文方法可以更好地应对条带化数据组的部分更新,同时提高一致性检查效率.

基于元数据的网络数据资产目录设计与应用

随着企业业务的不断发展,各行各业产生的数据越来越复杂,不仅表现在数据规模的增长,也表现在数据异构化的出现.以网络安全公司为例,公司在使用网络基础设施和数据库时产生的日志数据不仅规模量大,而且存储的数据字段差异性大,若没有一个统一的模型来处理这些数据,那么数据的集中利用和共享将很难实现.提出在元数据基础上对数据进行统一集成并最终形成数据资产目录的一种方法,先设计数据领域、设备类型、设备名、数据表名、数据字段名以及字段数据类型等元数据项,然后按元数据项层级构建数据资产树形目录结构,依据元数据项提供的上下文信息定位数据源,最后实现了一个基于元数据的网络数据资产目录系统.

基于策略的网络安全模型及形式化描述

当前许多安全技术从不同方面增强了网络安全。但是各类技术相对独立,冗余性大,在可管理和可扩展性方面都存在很多局限,没有从系统的角度提出一个很好的全面的解决方案。文章首先从系统整体安全的角度提出了新颖的信息安全系统的参考模型,并用形式化方法描述了模型中的一些关键技术。最后描述了参考模型在实际安全系统设计中的应用。

主动检测网络扫描技术

提出一种基于TCP端口和标志位异常检测的主动检测扫描技术。通过主动学习被保护网络提供的服务端口和TCP标志字段的分布特征,判断出每个到达数据包的异常性,检测各种基于TCP的扫描行为包括慢扫描和隐蔽扫描等多种系统扫描行为。测试表明,主动扫描技术具有很高检测率和较低的误报警率。

全连通虚拟网络

虚拟网络是网络安全的重要手段,可以确保信息传输的安全。然而,传统IPSEC协议存在局限性,不能构建动态VPN网络,阻碍当前的VPN网络的发展。该文讨论了虚拟专用网络和物理网络的逻辑关系,并提出了全连通虚拟网路的系统框架和虚拟网络的路由算法。这种新颖的路由算法确保虚拟网络能有效穿越私网环境。

Anomaly detection for network traffic flow

This paper presents a mechanism for detecting flooding-attacks. The simplicity of the mechanism lies in its statelessness and low computation overhead, which makes the detection mechanism itself immune to flooding-attacks. The SYN-flooding, as an instance of flooding-attack, is used to illustrate the anomaly detection mechanism. The mechanism applies an exponentially weighted moving average (EWMA) method to detect the abrupt net flow and applies a symmetry analysis method to detect the anomaly activity of the network flow. Experiment shows that the mechanism has high detection accuracy and low detection latency.

虚拟专用网的网关快速转发模型与实现

虚拟专用网 ( VPN)的网关使用加密算法保护网络信息 .但是加密算法占用大量的 CPU资源 ,降低了 VPN网关的吞吐量 .提出一种新的快速转发技术 ,利用网络分组在一段时间内存在极大相似性的原理 ,减少网关设备的冗余操作 ;讨论了网络流理论 ,并根据 IPSEC协议和 NAT协议 ,修正了网络分组的相似性定义 ;提出了 IPSEC和 NAT网络流快速交换的理论 ,并介绍了 VPN网关的快速转发功能的实现过程 .该技术可提高 VPN网关的吞吐率 ,降低分组的时延 .

网络洪流攻击的异常检测

提出了一种新颖的网络洪流攻击的异常检测机制。这种检测机制的无状态维护、低计算代价的特性保证自身具有抗洪流攻击的能力。以检测SYN洪流行为为实例详细阐述了流量强度、对称性度量的检测方法。测试结果表明所提出的检测机制具有很好的检测洪流攻击的准确度,并具有低延时特性。

安全网关优化

安全网关是网络安全的重要手段,既能控制网络行为,又能保证信息安全传输.但是,安全网关的协议变换操作和数据加密封装,增加了系统的复杂度和CPU的负荷,降低了安全网关的性能.重点研究安全网关的软件结构优化和系统性能优化.在系统软件结构优化方面,抽象出安全网关的原子操作集及操作序列表达式,并改进了安全网关的访问控制表;在系统性能优化方面,本文提出了安全快速处理算法.实验结果表明,新的算法和软件结构大大提高了安全网关的吞吐率,降低了分组处理延时,保证策略数目不会影响吞吐率的变化.

一种基于Patricia树的检测Syn Flood攻击的方法

分析了Syn flood攻击的原理、攻击的方式及其基本特征。利用Patricia树进行SYN流量统计,并提出了改进的TCP连接状态检测。试验表明,该检测算法在占用很少系统资源的情况下,准确检测到Syn flood攻击。

基于Snort和Acid的协同入侵检测系统设计与实现

提出一种基于Snort和Acid的分布式协同入侵检测系统(SADIDS),控制台和传感器之间传送的控制命令用SADIDS命令格式编码,添删的规则用Blowfish算法加密,使传感器之间的工作既具有独立性,并且通过远程配置,又可以使各个传感器之间安全地进行最大可能的分工协作,系统组件功能的独立均衡保证了自身的安全性。

利用Zabbix系统强化主机安全性

本文提出利用开源的内网监控解决方案zabbix,结合Windows系统命令的运用,有效的解决工作组环境下的主机安全问题的方法。由监控系统根据客户端采集到的数据进行判断,当数据满足一定条件时主动的修改客户端的系统配置,对客户端进行安全加固。

一种高效的系统扫描检测方法

系统扫描检测是网络入侵检测与预警系统的重要组成部分。传统基于统计的系统扫描方法具有阈值、时间窗口难以设定,而且难以检测隐蔽扫描等不足。该文提出一种基于TCP包头异常检测的系统扫描检测方法THAD。通过学习到达被保护主机的TCP包的端口(Port)和标记(Flag)的分布特征,THAD可计算出每个到达TCP包的异常值,并结合TCP协议本身的特征对检测方法进行优化。测试表明,THAD可以有效地检测包括慢扫描和隐蔽扫描等多种系统扫描行为,与已有多种检测方法相比,THAD显著提高了检测的准确性,并提高了检测的效率和实时性。

结合主动探测技术的入侵检测系统

入侵检测是保护网络和信息的重要举措之一。文章针对入侵检测系统被动监测的弱点,提出了一种结合端口扫描技术的入侵检测系统。通过主动扫描被保护网络,获取有效信息,动态地配置入侵检测系统,提高检测效率。同时密切监控未开放端口,有效识别外部扫描,提高检测的灵敏度。

基于TDI层的动态网络控制技术

本文描述的动态网络控制技术使用基于TDI层的过滤驱动技术实现,可以完成基于进程、IP地址、端口、用户和协议的多元过滤、检测。通过对注册表、文件系统、IDT表、SSDT表等处进行Hook,进行学习,记录程序正常运行时的状态,建立规则,以此对程序异常行为进行监控,实施防火墙联动。最后使用一个缓冲区溢出攻击实验对系统的执行效果进行了检验。

基于域活动目录的网络准入控制方案的研究

提出了一个基于域活动目录的网络准入控制方案,利用活动目录中的应用目录,分区存储网络准入控制中的主机信息、安全策略配置、站点网络环境等数据,集成域用户身份认证,同时利用VMPS协议实现动态VLAN划分,隔离认证与未认证主机,合格与不合格主机。

An Adaptive Algorithm to Detect Port Scans

Detection of port scan is an important component in a network intrusion detection and prevention system. Traditional statistical methods can be easily evaded by stealthy scans and are prone to DoS attacks. This paper presents a new mechanism termed PSD(port scan detection), which is based on TCP packet anomaly evaluation. By learning the port distribution and flags of TCP packets arriving at the protected hosts, PSD can compute the anomaly score of each packet and effectively detect port scans including slow scans and stealthy scans. Experiments show that PSD has high detection accuracy and low detection latency.

网络交换技术

阐述了网络控制的基本方法，介绍３ＣＯＭ公司的ＦＡＳＴＩＰ技术和ＣＩＳＣＯ公司的标记交换技术，提出了“一次路由，随后转发”的概念，并详细介绍了快速转发的软件实现过程。

分布式入侵检测系统的体系架构

由于 ＴＣＰ／ＩＰ协议的开放性，目前的网络极易受到攻击。网络入侵行为，特别是分布式入侵行为，给网络的正常运行造成了巨大的危害，阻碍了网络经济的迅速发展。为了能有效地检测和跟踪入侵行为，这里提出了一个基于智能代理的入侵检测系统的体系结构和分布跟踪算法。该系统是一个分布式实时入侵检测系统，它由智能的主机代理、网络代理和路由器／网关代理组咸。每个智能代理都是独立的实体，拥有解决问题的不完全的信息或能力，通过协同工作并使用分布跟踪算法，实时检测网络入侵行为，跟踪网络入侵者，有效地维护网络安全。