基于多样化时间关联的流量对抗攻击方法

传统基于长短期记忆(Long Short-Term Memory,LSTM)网络的流量对抗样本生成方法需在知晓整条流量信息的基础上生成,无法应用于实网端到端环境。针对该问题,提出了基于多样化时间关联的流量对抗攻击(Diversified Time Correlation Attack,DTCA)方法。首先,该方法在攻击发动前使用因子主成分分析,对恶意流量进行时间簇特征提取。其次,利用多输入LSTM模型,对网络中流经的正常流量进行时间关联性学习,再以此对恶意流量持续时间进行预测并对其进行对抗“伪装”。最后,基于对抗生成的流量持续时间重塑恶意流量,重放回至目标网络并检测攻击效果。实验使用DTCA与传统方法在3种经典检测模型上进行测试,并从对抗流量的生成和攻击有效性进行分析。结果表明,DTCA方法能使3种检测器的检测效果平均下降60%以上,并可用于实网端到端的环境。

深度网络异常检测模型的泛化性能研究

近年来,基于深度学习的网络异常检测模型成为领域内研究的热点,业已在实验环境下取得了出色的效果。但基于深度学习的网络异常检测模型在不同网络环境下的泛化性能尚无深入研究。分别基于多层感知机、一维卷积神经网络以及深度自编码器构建了3种具有代表性的深度网络异常检测模型,并在CICIDS2017、CICIDS2018数据集上进行模型表现的交叉评估,以量化研究其泛化性能。实验结果显示,评估过程中这3类模型的准确率分别出现了平均20.78%、23.18%、11.13%的下滑,发现了深度网络异常检测模型泛化性能的严重问题,揭示了深度学习技术应用于网络安全领域的隐患与其走向生产化部署的关键性阻碍。最后,对这一问题进行总结与分析,并就解决方案进行探讨与展望。

拟态路由器BGP代理的设计实现与形式化验证

为确保拟态路由器中协议代理等“拟态括号”关键组件的安全性和功能正确性,设计实现了边界网关协议(BGP)代理,并采用形式化方法对BGP代理的安全性和功能正确性进行了验证。BGP代理通过监听邻居路由器与主执行体之间的BGP会话报文,模拟邻居路由器与从执行体展开BGP会话,实现各执行体的BGP状态一致。采用VeriFast定理证明器,编写基于分离逻辑的形式化规约,证明程序不会出现空指针引用等内存安全问题,并验证了BGP代理各功能模块实现的高级属性符合功能规约。BGP代理实现与验证代码量之比约为1.8:1,程序设计实现和程序验证所耗费的时间之比约为1:3。经过形式化验证的BGP代理处理100000条BGP路由所花费的时间为0.16 s,约为未经过验证的BGP代理的7倍。研究工作为应用形式化方法证明拟态防御设备与系统中关键组件的安全性和功能正确性提供了参考。

拟态路由器TCP代理设计实现与形式化验证研究

拟态路由器基于拟态防御的动态异构冗余架构进行设计,对于未知漏洞后门具有良好的防御能力。协议代理在拟态路由器中处于内外联络的枢纽位置,协议代理的安全性和功能正确性对于拟态路由器有着重要意义。本文设计实现了拟态路由器的TCP协议代理,并采用形式化方法,对其安全性和功能正确性进行了验证。TCP协议代理嗅探邻居和主执行体之间的TCP报文,模拟邻居和从执行体建立TCP连接,并向上层应用层协议代理提供程序接口。基于分离逻辑与组合思想,采用Verifast定理证明器,对TCP协议代理的低级属性,包括指针安全使用、无内存泄露、无死代码等,进行了验证;同时,还对TCP协议代理的各主要功能模块的部分高级属性进行了形式化验证。搭建了包含3个执行体的拟态路由器实验环境,对实现结果进行了实际测试,结果表明所实现的TCP代理实现了预期功能。TCP协议代理实现总计1611行C代码,其中形式化验证所需人工引导定理检查器书写的证明共计588行。实际开发过程中,书写代码实现与书写人工证明所需的时间约为1︰1。本文对TCP协议代理的实现与形式化验证工作证明了将形式化验证引入拟态路由器的关键组件开发中是确实可行的,且证明代价可以接受。

OSPF路由协议脆弱性研究及分析

互联网的高速发展带来了网络规模的持续增长以及拓扑结构的愈加复杂,同时给网络安全提出了巨大的挑战,OSPF(OpenShortestPathFirst)已经成为网络部署中使用最为广泛的路由协议,OSPF等路由协议的安全是网络安全的重要组成部分,没有正确的路由信息,也就没有了网络的安全与稳定。本文论述了OSPF路由协议内在的交互机制,挖掘了自身机制存在的漏洞,深入研究了基于OSPF协议脆弱性的攻击技术,通过分析协议的设计缺陷,突破协议自带的保护机制,扰乱正常协议交互达到攻击目的。本文详细描述了几种典型的攻击原理,在仿真软件中搭建网络环境证实了漏洞的存在。本文对OSPF安全隐患与常见漏洞做了详细的量化评估与分析,基于OSPF漏洞特点对CVSS3.0评分系统进行扩展,创新地增加攻击范围的修正系数,提高了OSPF协议漏洞评价的合理性,量化评估结果能为漏洞防御的研究工作提供指导,对其他路由协议的脆弱性研究分析有积极的示范作用。最后针对本文描述的漏洞提出了相应的安全防范措施,提出一个路由威胁监测预防系统用于路由协议攻击的监测和预防。总之,保护OSPF等路由协议的安全需要建立一个整体的安全观,从多个层面来保障网络安全。

拟态防御体系OSPF协议研究及分析

网络空间拟态防御技术是一种基于动态异构冗余的新型主动防御技术,通过引入多个异构冗余的执行体,增强广义鲁棒性,通过对多个执行体的策略或者周期性调度,对外呈现特征的不确定性变化,增强安全性。路由协议安全是网络安全的重要组成部分,OSPF协议作为网络空间中部署最广泛、实现最复杂的路由协议,如何实现各异构执行体OSPF协议功能的等价,是支持拟态防御的网络设备亟需解决的问题。首先,科学阐述了拟态防御的设计思想,详细描述了支持拟态防御的路由器的体系结构,论述了OSPF协议在拟态防御体系结构中的处理方法,通过引入OSPF协议代理实现各异构执行体OSPF协议功能的等价,在支持拟态防御的路由器原型样机中验证了该方法的可行性和高性能。最后,结合几种经典的OSPF路由攻击产生的路由器安全风险进行了具体说明及实验验证,实验表明该方法能够有效提高其应对OSPF网络攻击的能力。

网络虚拟化环境下的资源监控策略

在网络虚拟化环境中,需要对底层网络资源状态进行实时监控,合理的监控策略应该尽量减少状态信息上报所需的时延和带宽。为了实现该目标,该文设计了一种基于监控代理的资源监控策略,该策略将监控代理的部署转化为0-1规划问题,并通过改进的量子遗传算法对该问题进行求解。仿真实验表明:该策略生成的监控代理部署方案在降低通信开销方面有着较好的表现。

网络虚拟化环境中面向服务聚合的映射算法

可重构信息通信基础网络通过构建宏电路实现针对特定服务的传输质量优化.由于该网络架构加入了对网络虚拟化技术的支持,因此在对服务请求进行映射时,若将类型相同的服务映射到同一组底层设备上,则能够有效提升宏电路的优化效果.针对该需求,提出了一种面向服务聚合的虚拟网映射算法,该算法综合考虑了底层设备的剩余资源和服务承载情况,使得服务可被优先映射到承载同类型服务较多的底层设备上.此外,为了对算法的运行时间进行优化,还提出了一种基于跳数约束的候选节点选取策略.实验结果表明,该算法不但在请求接收率和资源占用率等评价指标上有着较好表现,而且还能有效提高映射后服务的聚合程度.

分布式环境中基于协商的虚拟网映射算法

网络虚拟化技术可以在共享的底层物理网络上为用户同时提供多种可定制的服务网络。目前的虚拟网映射算法比较依赖于集中式的管理节点,使其在可靠性和适用范围等方面存在诸多问题。为此,提出了一种分布式环境下的虚拟网映射算法,该算法通过多个节点之间的相互协商来完成虚拟网的映射,并且在降低通信开销和缩短虚拟链路的路径长度方面进行了相应改进。实验结果表明,该算法与同类型算法相比,在资源利用率和通信开销方面具有一定的优越性。

面向收益最大化的虚拟网跨域映射策略

虚拟网映射算法主要解决的是如何通过对资源的合理规划,在底层网络上承载更多的虚拟网络。跨域映射能够为虚拟网提供更多的底层资源,但跨域映射策略一方面需要考虑如何降低跨域映射带来的额外开销,另一方面还需要考虑如何满足网络运营商的自私性。为解决该问题,提出一种面向收益最大化的虚拟网跨域映射策略。为了建立虚拟网拓扑分割和本地映射方案的同步求解模型,该策略首先通过对本地基础设施提供商的域视图进行转换,在模型中引入域节点的概念;然后,设计了一种基于竞价的本地基础设施提供商选择策略;最后,设计了一种基于遗传进化思想的本地映射算法对模型进行求解,该算法根据虚拟网映射的约束,对遗传进化算法的初始化和染色体交叉等步骤进行相应修改。算法生成的映射方案将把虚拟节点和链路优先映射在本地域里,同时尽可能地减少虚拟链路对底层域间链路带宽资源的占用。本策略支持根据跨域映射的实际额外开销情况对参数进行调节,从而生成使本地基础设施提供商收益最大化的分割方案。仿真实验表明,若跨域映射带来的额外开销越大,则本策略将越倾向于减少跨域虚拟链路的数量;从映射效果上来看,由于本策略比同类型策略消耗的映射开销要小,所以在实际收益和映射接受率等指标方面都有明显提高。

Windows7安全启动技术分析

分析Windows7中的安全启动技术,研究基于可信计算的BitLocker驱动器加密的启动流程。针对实现过程中存在的BitLocker、Bootmgr安全隐患,设计BitLocker、Bootmgr绕过方案以及地址空间格局随机化的应对方案,验证了Windows7的安全启动保护措施仍可能被Bootkit等恶意软件攻破。

网络虚拟化技术综述

网络虚拟化的核心思想是在一个基础网络架构中实现多种异构的虚拟网络并存,该技术是未来网络的一个重要研究方向。本文回顾了网络虚拟化技术的发展历程,对虚拟网的管理与映射算法进行了介绍,并对网络虚拟化的应用前景进行了展望。

基于量子自适应粒子群优化径向基函数神经网络的网络流量预测

该文提出一种量子自适应粒子群优化算法,该算法中,粒子位置的编码采用量子比特实现,利用粒子飞行轨迹信息动态更新量子比特的状态,并引入量子非门实现变异操作以避免陷入局部最优。用该算法训练神经网络,实现了径向基函数(RBF)神经网络参数优化,建立了基于量子自适应粒子群优化RBF神经网络算法的网络流量预测模型。对真实网络流量的预测结果表明,该方法的收敛速度和预测精度均要优于传统RBF神经网络法、粒子群-RBF神经网络法、混合粒子群-RBF神经网络法和自适应粒子群-RBF神经网络法,并且预测效果不易受时间尺度变化的影响。

软件定义网络控制平面可扩展性研究进展

软件定义网络(software-defined networking,简称SDN)遵循控制转发分离的设计原则,其控制平面采用集中的控制逻辑,在提供灵活、高效的网络控制的同时,也面临着严重的可扩展性问题.对SDN控制平面可扩展性相关工作进行了综述.首先,分析了控制平面可扩展性的影响因素并给出改善思路.在此基础上,从数据平面缓存优化、高性能控制器、分布式控制平面和控制资源优化分配4种技术路线出发,论述了主要的解决方案和研究进展.最后给出总结,并展望了未来的研究工作.

基于动态异构冗余机制的路由器拟态防御体系结构

路由器作为网络空间的基础核心要素,其安全性能对网络安全具有决定性意义。但由于它的封闭性、专用性和复杂性,导致其存在的漏洞更多,后门隐藏更深。目前对路由器的安全防御手段均为被动式"补漏洞、堵后门"的"亡羊补牢"式的防御,不仅防御滞后更无法应对未知的安全威胁。本文基于拟态防御技术,在路由器体系架构上引入异构冗余功能执行体,通过动态调度机制,随机选择多个异构执行体工作,在相同外部激励的情况下,通过比对多个异构功能执行体的输出结果,对功能执行体进行异常检测,实现路由系统的主动防御。实验结果表明,该架构可以明显提升攻击链中每一步攻击的实施难度,增加攻击成本,并能抵御基于未知漏洞与后门的攻击。

路由器拟态防御能力测试与分析

路由器是网络中的核心基础设备,但其面对基于漏洞和后门的攻击时却缺少有效的防御手段。拟态防御机制作为一种创新的主动防御方法引入到路由器的设计架构中,构建了路由器拟态防御原理验证系统。结合拟态防御机制的特性和路由器的特点,提出了针对路由器拟态防御原理验证系统的测试方法,并按照测试方法对该系统进行了全面测试,包括基础性能测试,拟态防御机制测试以及防御效果测试。测试结果表明,路由器拟态防御原理验证系统能在不影响路由器基本功能和性能指标的前提下实现了拟态防御机制,拟态防御机制能够改变固有漏洞或者后门的呈现性质,扰乱漏洞或后门的可锁定性与攻击链路通达性,大幅增加系统视在漏洞或后门的可利用难度。

SDN中基于分布式决策的控制器负载均衡机制

针对SDN多控制器负载均衡过程中,控制器选取僵化和交换机迁移冲突问题,提出了一种基于分布式决策的控制器负载均衡机制,分为三个阶段进行实施:首先通过周期性收集网络信息,结合控制器负载状况构建分布式迁移决策域;然后在域中依据选取概率确定迁移交换机,综合权衡数据收集、交换机迁移和状态同步三种代价选择目标控制器;最后建立迁移时钟模型,完成交换机迁移和控制器角色转换.仿真结果表明,与现有的负载均衡机制相比,降低了网络的通信开销,流建立时间平均缩短0. 14s,控制器资源利用率提高了21. 7%.

一种保证NFV可靠性的最优备份拓扑生成方法

网络功能虚拟化(NFV)将服务功能链(SFC)映射到底层网络时,与传统的虚拟网络一样,会存在可靠性问题。针对NFV环境中的单链路故障,在考虑SFC拓扑设计和映射的基础上添加备份拓扑提高可靠性,再进一步简化备份拓扑,减少资源消耗。按照服务路径是否可分离,提出了两种最优备份拓扑的生成算法。仿真结果表明,最优备份拓扑在提高可靠性的基础上能够有效地减少备份带宽资源的消耗,提高资源利用率。

基于可靠性的服务功能链构建算法

随着网络规模及内容数量不断扩大,网络运营商经常面临数据传输的中断问题,如何提高数据传输的可靠性成为研究热点。从NFV环境相比传统TCP/IP架构所具有的巨大优势入手,基于网络节点具备安全服务能力的背景,提出了一种构建服务功能链的可靠性算法。首先,介绍了网络拓扑的结构,将其抽象为有向图进行建模分析。其次,量化指标,设计了相应算法对失效概率的上下界进行界定并采用启发式算法对模型求解。实验结果表明,所提选路算法对服务链的可靠性提升幅度较高其耗时更少。

流特征感知的软件定义网络控制器动态关联机制

在部署分布式控制平面的软件定义网络中,控制器与交换机的关联仅以数据流请求的数量分布作为控制资源分配的依据。该文针对这一问题,以数据流的源目的地址特征为例,对不同特征数据流的控制资源消耗进行了分析,提出在控制资源分配中应对数据流的特征分布加以考虑。然后,设计了一种流特征感知的控制器关联决策机制,并针对网络流的动态变化特性设计了一种快速求解算法。仿真结果表明,与基于负载均衡的机制对比,所提机制在使用模拟退火算法求解时能节省10%~20%的控制资源消耗;所提快速求解算法可节省10%的资源消耗,且相比模拟退火算法具有较大的速度优势和良好的可扩展性。