EAGLE:一种内核态及用户态中基于遥测数据图的网络遥测方案

网络遥测是一种新型的网络测量技术,具有实时性强、准确性高、开销低的特点。现有网络遥测技术存在无法收集多粒度网络数据、无法有效存储大量原始网络数据、无法快速提取及生成网络遥测信息、无法利用内核态及用户态特性设计网络遥测方案等问题。为此,提出了一种融合内核态及用户态的、基于遥测数据图和同步控制块的多粒度、可扩展、覆盖全网的网络遥测机制(a nEtwork telemetry mechAnism based on telemetry data Graph in kerneL and usEr mode,EAGLE)。EAGLE设计了一种能够收集多粒度数据且数据平面上灵活可控的网络遥测数据包结构,用于获取上层应用所需的数据。此外,为快速存储、查询、统计、聚合网络状态数据,实现网络遥测数据包所需遥测数据的快速提取与生成,EAGLE提出了一种基于遥测数据图及同步控制块的网络遥测信息生成方法。在此基础上,为了最大化网络遥测机制中网络遥测数据包的处理效率,EAGLE提出了融合内核态及用户态特性的网络遥测信息嵌入架构。在Open vSwitch上实现了EAGLE方案并进行了测试,测试结果表明,EAGLE能够收集多粒度数据并快速提取与生成遥测数据,且仅增加极少量的处理时延及资源占用率。

基于曲线决策融合的SDN饱和攻击检测方法

针对软件定义网络(SDN)交换机和控制器的饱和攻击是SDN中的主要安全问题。在使用集成学习方法检测饱和攻击时,现有方法通常使用距离或熵值等简单的信息计算方法修正证据,可能存在信息丢失问题,降低饱和攻击检测精度。为解决上述问题,提出一种基于曲线决策融合的饱和攻击检测方法(SACOIN)。SACOIN首先计算多分类器概率矩阵的混乱程度修正多分类器内证据;随后将多分类器概率矩阵转换为曲线并去除噪声,提取重构小波的信号特征组成特征矩阵;然后计算特征矩阵行内互信息,基于上述互信息修正多分类器间证据;最后使用D-S证据理论融合修正证据,得到最终检测结果。实验结果表明,SACOIN在检测针对SDN交换机和控制器的饱和攻击时的准确率、精确率、召回率、F1值分别为92.3%、93%、92.1%、91.3%。

COURIER:基于非抢占式优先排队和优先经验重放DRL的边缘计算任务调度与卸载方法

边缘计算(Edge Computing,EC)将计算、存储等资源部署在网络边缘,以满足业务对时延和能耗的要求。计算卸载是EC中的关键技术之一。现有的计算卸载方法在估计任务排队时延时使用M/M/1/∞/∞/FCFS或M/M/n/∞/∞/FCFS排队模型,未考虑高时延敏感型任务的优先执行问题,使得一些对时延要求不敏感的计算任务长期占用计算资源,导致系统的时延开销过大。此外,现有的经验重放方法大多采用随机采样方式,该方式不能区分经验的优劣,造成经验利用率低,神经网络收敛速度慢。基于确定性策略深度强化学习(Deep Reinforcement Learning,DRL)的计算卸载方法存在智能体对环境的探索能力弱和鲁棒性低等问题,降低了求解计算卸载问题的精度。为解决以上问题,考虑边缘计算中多任务移动设备、多边缘服务器的计算卸载场景,以最小化系统时延和能耗联合开销为目标,研究任务调度与卸载决策问题,并提出了基于非抢占式优先排队和优先经验重放DRL的计算卸载方法(Computation Offloading qUeuing pRioritIzed Experience Replay DRL,COURIER)。COURIER针对任务调度问题,设计了非抢占式优先排队模型(M/M/n/∞/∞/NPR)以优化任务的排队时延;针对卸载决策问题,基于软演员-评论家(Soft Actor Critic,SAC)提出了优先经验重放SAC的卸载决策机制,该机制在目标函数中加入信息熵,使智能体采取随机策略,同时优化机制中的经验采样方式以加快网络的收敛速度。仿真实验结果表明,COURIER能有效降低EC系统时延和能耗联合开销。

基于API潜在语义的勒索软件早期检测方法

加密型勒索软件通过加密用户文件来勒索赎金.现有的基于第一条加密应用编程接口(Application Programming Interface,API)的早期检测方法无法在勒索软件执行加密行为前将其检出.由于不同家族的勒索软件开始执行其加密行为的时刻各不相同,现有的基于固定时间阈值的早期检测方法仅能将少量勒索软件在其执行加密行为前准确检出.为进一步提升勒索软件检测的及时性,本文在分析多款勒索软件运行初期调用动态链接库(Dynamic Link Library,DLL)和API行为的基础上,提出了一个表征软件从开始运行到首次调用加密相关DLL之间的时间段的概念——运行初始阶段(Initial Phase of Operation,IPO),并提出了一个以软件在IPO内产生的API序列为检测对象的勒索软件早期检测方法,即基于API潜在语义的勒索软件早期检测方法(Ransomware Early Detection Method based on API Latent Semantics,REDMALS).REDMALS采集IPO内的API序列后,采用TF-IDF(Term Frequency-Inverse Document Frequency)算法以及潜在语义分析(Latent Semantic Analysis,LSA)算法对采集的API序列生成特征向量及提取潜在的语义结构,再运用机器学习算法构建检测模型用于勒索软件检测.实验结果显示运用随机森林算法的REDMALS在构建的变种测试集和未知测试集上可分别获得97.7%、96.0%的准确率,且两个测试集中83%和76%的勒索软件样本可在其执行加密行为前被检出.

基于随机博弈网的窃密木马诱导式博弈模型

为实现长期窃取信息的目的,窃密木马通常采用触发执行策略来实施其恶意行为,使得其恶意行为的执行具有高隐蔽性和不确定性。主流的窃密木马防御模型采用被动监测窃密木马行为并加以检测的被动防御策略,容易出现漏报和检测不及时的情况。为了提升窃密木马防御模型的防御效果,文章引入诱导操作以构建窃密木马诱导式防御策略,并使用随机博弈网对窃密木马和防御方的攻防对抗过程进行建模分析,构建了IGMDT-SGN。IGMDT-SGN直观揭示了防御方运用诱导式防御策略来对抗窃密木马的策略性逻辑和时序关系。通过模型量化计算对IGMDT-SGN中诱导式防御策略的防御效果进行定量分析,结果表明,窃密木马诱导式防御策略在防御成功率、防御平均时间上优于窃密木马被动防御策略,可为窃密木马的防御提供有益参考。

SDN中面向流表溢出攻击检测的网络遥测调度方法

针对基于固定周期或特定事件调度的网络遥测在流表溢出攻击检测中产生的数据冗余问题,提出了一种面向流表溢出攻击检测的网络遥测调度方法——F-Sense INT。F-Sense INT通过分析流表溢出攻击流的特征,在数据平面针对性地收集对用于流表溢出攻击检测的网络状态信息,在降低控制器资源及南向通道带宽占用的前提下减少遥测报告量。实验结果表明,与原生OVS系统相比,在仅增加1.13%的交换机CPU占用率和4.18%的内存占用率的情况下,F-Sense INT能有效地过滤网络中的非流表溢出攻击流,使遥测数据包数量减少。F-Sense INT显著提升了面向流表溢出攻击检测的网络遥测效率,同时也具备了较高的实用性。

基于中国剩余定理的测距算法仿真与性能分析

对目前已有的4种中国剩余定理的求解方法,即传统中国剩余定理算法、闭式解的中国剩余定理算法、高效中国剩余定理算法以及多频中国剩余定理算法,进行了较详细的理论分析与性能比较。将上述算法应用于无线传感与激励网络中对未知节点进行测距,设计了相应的测距算法,分析了各算法的性能特点,并通过仿真实验分析比较了各自在估计精度、计算复杂度以及鲁棒性等方面的差异,并讨论了各算法的适用场景。

网络攻击原理与防范技术课程考核评价方式改革与实践

构建适用于应用型、创新型人才培养的课程考核评价方式,对推进新工科建设和提升课程教学质量具有重要的意义.课题组针对传统网络攻防类课程考核评价方式存在的问题,从提升学生网络攻防实操能力的意图出发,两次改革和实践了贵州大学网络攻击原理与防范技术课程的考核评价方式,并探讨了新的课程考核评价方式对学生学习重点及课程成绩的影响.

面向行为多样期的挖矿恶意软件早期检测方法

挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB). CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件.

CHAIN:基于重合支配的边缘计算节点放置算法

边缘计算将计算资源部署在离终端用户更近的边缘计算节点,从待选的位置中选择合适的边缘计算节点部署位置能提升边缘计算服务的节点容量以及用户服务质量(QoS)。然而,目前对于如何放置边缘计算节点以降低边缘计算成本的研究较少。此外,在边缘服务的时延等QoS因素的约束下,目前尚没有一种边缘计算节点部署算法能最大限度地提高边缘服务的鲁棒性同时最小化边缘节点部署成本。针对上述问题,首先,通过建立计算节点、用户传输时延和鲁棒性的模型将边缘计算节点放置问题转化为带约束条件的最小支配集问题;随后,提出重合支配的概念,基于重合支配衡量网络鲁棒性,设计了基于重合支配的边缘计算节点放置算法——CHAIN(edge server plaCement algoritHm based on overlApping domINation)。仿真实验结果表明,与面向覆盖的近似算法和面向基站的随机算法相比,CHAIN的系统时延降低了50.54%与50.13%。

基于虚拟扩展网络的虚拟机及路由路径联合部署

为响应租户的虚拟机使用请求,云数据中心通常从物理服务器中选择虚拟机放置服务器,随后计算租户与所选择的虚拟机放置服务器之间的路由路径以承载两者之间的流量。但是这种顺序的处理方式使得虚拟机放置服务器的计算过程难以考虑其对网络造成的影响,可能导致网络利用率降低甚至出现网络拥塞。为解决该问题,提出一种虚拟机及路由路径联合部署算法VENet。VENet通过添加虚拟交换机及虚拟链路将原网络拓扑扩展为虚拟网络拓扑,基于该虚拟扩展网络拓扑,将虚拟机及路由路径联合部署问题近似为商品流问题,即将虚拟机请求近似为从相应接入起点交换机到虚拟目的交换机之间的商品流,对该商品流问题进行建模,通过线性规划的方式求解该模型,即可同时获得虚拟机放置位置及相应的路由路径。实验结果表明,VENet算法能够提高数据中心可接受的虚拟机请求数上限,缩短租户与虚拟机部署位置之间的路由路径长度同时降低数据中心的网络负载率,路由路径长度和网络负载率相比WLC-GA算法分别降低42%和30%。

基于协同迁移进化的自适应网络遥测路径编排方法

日趋庞大、复杂、高速的网络使得传统网络测量技术已经不能满足当下网络智慧管控的需求。作为一种新型网络测量技术,网络遥测可以提供细粒度、精确的会话级或报文级遥测信息。目前已有的网络遥测方案在部署网络遥测路径时不考虑网络状态,大多以静态的方式部署网络遥测路径。这种方法无法适应网络的动态性及不可靠性,如果网络遥测包所经路径出现带宽饱和或者遭遇网络攻击,则会造成网络遥测包丢失,使得网络遥测可靠性变差。除此之外,现有网络遥测方案通常采用全链路覆盖方式实现,遥测冗余较大,探针数据包的有效载荷较低。为了解决上述问题,文中提出了基于协同迁移进化的自适应网络遥测路径编排方法(AdaPtive network telemetry Path OrchestratIoN method based on CooperaTivE MigRation Evolution, APPOINTER)。APPOINTER根据网络状态信息,计算能够覆盖全部网络设备的最优网络遥测路径,以转发遥测报文。实验结果表明,APPOINTER增强了网络遥测的可靠性,有效避免了遥测冗余,提高了遥测效率。

Linux系统编程课程改革与实践

针对传统的Linux系统编程课程中学生编程能力训练不够的问题,Linux系统编程以编程实践能力培养为导向,以国产化技术为主线融入课程思政内容,融合产学研合作资源,采取线上线下混合教学模式,加强学生在国产Linux系统openEuler上的编程实践能力培养。为学生打造“全开放的Linux系统编程实践空间”,学生充分利用自由碎片化时间加强学习,参与课程教学、实验和实践环节。以学生为中心,为学生提供更全面、更多元、更具挑战的进阶学习方式,从多个维度提高学生的编程实践技能,帮助学生建立操作系统理论联系实践的知识体系。开发的在线课程选课人数超过1.7万人,开发的实践课程被10余所高校使用,课程应用推广效果良好。

基于动态调整阈值的虚拟机迁移算法

针对当前数据中心服务器能耗优化和虚拟机迁移时机合理性问题,提出一种基于动态调整阈值(DAT)的虚拟机迁移算法。该算法首先通过统计分析物理机历史负载数据动态地调整虚拟机迁移的阈值门限,然后通过延时触发和预测物理机的负载趋势确定虚拟机迁移时机。最后将该算法应用到实验室搭建的数据中心平台上进行实验验证,结果表明基于DAT的虚拟机迁移算法比静态阈值法关闭的物理机数量更多,云数据中心能耗更低。基于DAT的虚拟机迁移算法能根据物理机的负载变化动态迁移虚拟机,达到提高物理机资源利用率、降低数据中心能耗、提高虚拟机迁移效率的目的。

面向异构分布式机器学习的动态自适应并行加速方法

分布式机器学习因其优越的并行能力成为人工智能领域复杂模型训练的常用技术。然而,GPU升级换代非常快,异构集群环境下的分布式机器学习成为数据中心、研究机构面临的新常态。异构节点之间训练速度的差异使得现有并行方法难以平衡同步等待和陈旧梯度的影响,从而显著降低模型整体训练效率。针对该问题,提出了一种基于节点状态的动态自适应并行方法(dynamic adaptive synchronous parallel,DASP),利用参数服务器动态管理节点训练时的状态信息并对节点的并行状态进行划分,通过节点状态信息自适应调整每个节点的并行状态,以减少快速节点对全局模型参数的同步等待时间与陈旧梯度的产生,从而加快收敛效率。在公开数据集上的实验结果表明,DASP比主流方法收敛时间减少了16.9%~82.1%,并且训练过程更加稳定。

USPS:面向算力资源高效协同的用户态跨协议代理系统

随着算力网络的快速发展,通用算力、人工智能算力、超算等算力资源分布广泛。算力资源协同服务是算力网络研究的关键问题。在算力资源协同过程中,一方面,算力网络面临海量终端算力服务的高并发请求和低时延响应需求;另一方面,其难以充分发挥数据中心算力资源的高吞吐和低时延优势,进而难以为用户提供高效的算力服务。针对上述挑战,提出一种基于用户态协议栈和远程直接内存访问(Remote Direct Memory Access,RDMA)的用户态代理系统(User-Space Proxy System,USPS),通过用户态协议栈响应客户高并发算力请求,在动态批处理策略协调下实现基于RDMA的数据中心算力高吞吐、低时延服务。在通信方面,USPS实现了一个高效的远程过程调用(Remote Procedure Call,RPC)通信机制,能够充分利用RDMA网卡带宽提供高速消息通信;在请求处理方面,提出了一个动态批处理调度方法,能够在满足用户时延要求的前提下最大化批处理效率。实验结果表明,USPS的服务响应时延仅是传统内核态Nginx代理系统的7.8%~23.1%,是其他用户态代理系统的17.3%~24.7%;吞吐量比传统内核态的Nginx代理系统提升了3.4~8.9倍,比其他用户态代理系统提升了3.2~4.2倍。

面向软件定义网络的隐蔽通信检测机制

为提高软件定义网络抵抗高级持续性威胁的能力,对软件定义网络特性及高级持续性威胁中的隐蔽通信进行了分析,提出了一种适用于软件定义网络的高效隐蔽通信检测机制.该隐蔽通信检测机制首先利用软件定义网络抓取网络流量并从中获取可能包含隐蔽通信的报文;随后从上述报文中提取SSL证书,并计算用于表征该证书的特征值;最后采用孤立森林算法对证书的特征值进行检测以判断证书是否为非法证书,基于此检测结果判断网络中是否存在隐蔽通信.实验结果及分析表明,该隐蔽通信检测机制能够提高隐蔽通信检测精度,降低隐蔽通信误检率;同时该机制可扩展性较高,能够适用于不同应用场景.

基于自优化的SDN交换机动态迁移机制

为提高SDN控制器的使用效率以及多控制器之间的负载均衡度,对多控制器的部署问题进行了研究,并提出了一种交换机动态迁移机制.该动态迁移机制基于周期性运行的自优化的算法实现,按照控制器的部署情况,将网络划分成多个域,通过分析各域内相关参数,分别找出负载最高和最低的控制器节点,并根据控制器负载和交换机请求率快速选择出最佳的迁移交换机和迁移目的地.控制器的负载均衡度、交换机请求的处理时延和算法的复杂度是算法设计中所考虑的主要因素.该算法的优点在于通过局部的动态调整实现了对SDN控制层的灵活管理.仿真结果表明,基于自优化的交换机动态迁移方案能够有效提高多控制器间的负载均衡度,减小流请求的处理时延,同时将运算复杂度保持在一个相对合理的水平.

一种基于诱导机制的间谍软件检测方法

间谍软件是攻击者广泛采用的一类信息窃取类恶意软件,具有高威胁性、高隐蔽性等特点.间谍软件在实施窃密行为时通常采用触发执行策略,使得基于软件行为的动态检测方法难以在短时间内将其捕获,故上述方法检测间谍软件效果不佳.针对该问题,本文采用主动诱导间谍软件执行窃密行为的思路,从应用程序编程接口(Application Programming Interface,API)层面分析不同诱导操作和诱导强度对间谍软件的不同诱发效果,进而提出一种基于诱导机制的间谍软件检测方法(Spyware Detection Method based on Inducement Mechanism,SDMIM).SDMIM包含诱导操作筛选、软件“活跃度”计算、间谍软件判别3个阶段,能够适用于多种类型间谍软件的诱导式检测.实验结果表明,SDMIM能够在包含5种不同类型间谍软件的样本集上获得95.98%的检测准确率.

基于API短序列的勒索软件早期检测方法

传统的勒索软件动态检测方法需要收集较长时间的软件行为,难以满足勒索软件及时检测的需求.本文从勒索软件及时检测的角度出发,提出了“勒索软件检测关键时间段(Critical Time Periods for Ransomware Detection,CTP)”的概念,并基于CTP的要求提出了一种基于应用程序编程接口(Application Programming Interface,API)短序列的勒索软件早期检测方法(Ransomware Early Detection Method based on short API Sequence,REDMS).REDMS以软件在CTP内执行时所调用的API短序列为分析对象,通过n-gram模型和词频-逆文档频率算法对采集到的API短序列进行计算以生成特征向量,然后运用机器学习算法建立检测模型对勒索软件进行早期检测.实验结果显示,REDMS在API采集时段为前7s且使用随机森林算法时,分别能以98.2%、96.7%的准确率检测出已知和未知的勒索软件样本.