EAGLE:一种内核态及用户态中基于遥测数据图的网络遥测方案

网络遥测是一种新型的网络测量技术,具有实时性强、准确性高、开销低的特点。现有网络遥测技术存在无法收集多粒度网络数据、无法有效存储大量原始网络数据、无法快速提取及生成网络遥测信息、无法利用内核态及用户态特性设计网络遥测方案等问题。为此,提出了一种融合内核态及用户态的、基于遥测数据图和同步控制块的多粒度、可扩展、覆盖全网的网络遥测机制(a nEtwork telemetry mechAnism based on telemetry data Graph in kerneL and usEr mode,EAGLE)。EAGLE设计了一种能够收集多粒度数据且数据平面上灵活可控的网络遥测数据包结构,用于获取上层应用所需的数据。此外,为快速存储、查询、统计、聚合网络状态数据,实现网络遥测数据包所需遥测数据的快速提取与生成,EAGLE提出了一种基于遥测数据图及同步控制块的网络遥测信息生成方法。在此基础上,为了最大化网络遥测机制中网络遥测数据包的处理效率,EAGLE提出了融合内核态及用户态特性的网络遥测信息嵌入架构。在Open vSwitch上实现了EAGLE方案并进行了测试,测试结果表明,EAGLE能够收集多粒度数据并快速提取与生成遥测数据,且仅增加极少量的处理时延及资源占用率。

可添加量不受限的对抗样本

基于灰度图像和深度学习的恶意软件检测方法具有无需特征工程和检测精度高的特点,通过对抗样本能够欺骗该类检测方法。然而当前大部分研究所生成的对抗样本难以在不破坏原文件功能完整性的情况下大幅度降低该类检测方法对其的判别准确性。在分析可移植可执行(PE)文件的结构以及加载机制的基础上,提出一种不破坏PE文件原有功能且可添加量不受限的字节码攻击方法(BAUAA)。BAUAA通过在PE文件中分散于各区段之后且不会载入内存的“区段附加空间”添加字节码来生成对抗样本,并且由于该空间具有可添加量不受限的特点,可使得生成的对抗样本所转化的灰度图像在尺寸和纹理上发生变化,从而能够影响基于灰度图像和深度学习的恶意软件检测方法对其的判别准确性。实验结果表明,基于灰度图像和深度学习的恶意软件检测方法判别BAUAA所生成对抗样本的准确率明显低于其判别非对抗样本的准确率。为避免在现实中滥用BAUAA,提出一种针对性的对抗样本检测方法。

COURIER:基于非抢占式优先排队和优先经验重放DRL的边缘计算任务调度与卸载方法

边缘计算(Edge Computing,EC)将计算、存储等资源部署在网络边缘,以满足业务对时延和能耗的要求。计算卸载是EC中的关键技术之一。现有的计算卸载方法在估计任务排队时延时使用M/M/1/∞/∞/FCFS或M/M/n/∞/∞/FCFS排队模型,未考虑高时延敏感型任务的优先执行问题,使得一些对时延要求不敏感的计算任务长期占用计算资源,导致系统的时延开销过大。此外,现有的经验重放方法大多采用随机采样方式,该方式不能区分经验的优劣,造成经验利用率低,神经网络收敛速度慢。基于确定性策略深度强化学习(Deep Reinforcement Learning,DRL)的计算卸载方法存在智能体对环境的探索能力弱和鲁棒性低等问题,降低了求解计算卸载问题的精度。为解决以上问题,考虑边缘计算中多任务移动设备、多边缘服务器的计算卸载场景,以最小化系统时延和能耗联合开销为目标,研究任务调度与卸载决策问题,并提出了基于非抢占式优先排队和优先经验重放DRL的计算卸载方法(Computation Offloading qUeuing pRioritIzed Experience Replay DRL,COURIER)。COURIER针对任务调度问题,设计了非抢占式优先排队模型(M/M/n/∞/∞/NPR)以优化任务的排队时延;针对卸载决策问题,基于软演员-评论家(Soft Actor Critic,SAC)提出了优先经验重放SAC的卸载决策机制,该机制在目标函数中加入信息熵,使智能体采取随机策略,同时优化机制中的经验采样方式以加快网络的收敛速度。仿真实验结果表明,COURIER能有效降低EC系统时延和能耗联合开销。

基于安全知识图谱与逆向特征的弱点信息补全

开源网络安全知识库已经成为弱点安全加固措施的有效来源,但是受异构信息协同难、历史信息维护难等因素影响,导致开源网络安全知识库弱点信息缺失。针对现有弱点信息补全方法对弱点信息不同邻域特征学习不充分的问题,提出一种基于安全知识图谱和逆向特征的弱点信息补全方法 VulKGC-RN。为捕获不同邻域信息,构建关联CVE、CWE、CAPEC和ATT&CK 4类开源网络安全知识库的弱点安全知识图谱,并分析弱点安全知识图谱中安全实体的网络结构,采用逆向知识图谱捕获逆向邻域信息。为学习不同邻域特征,采用图注意力机制,并融合图注意力网络所学习安全实体的正向邻域和逆向邻域的角色特征,以实现弱点安全知识图谱的信息补全。在由5种7 199个安全实体和15种11 817条关联关系组成的开源网络安全数据集上进行实验,结果表明,VulKGC-RN的平均排名达到179,平均倒数排名达到0.671 4,优于基线方法。

基于AECD词嵌入的挖矿恶意软件早期检测方法

挖矿恶意软件会损害系统安全,缩减硬件寿命,以及造成大量电力消耗,实施对挖矿恶意软件的早期检测以及时阻止其损害对于维护系统安全至关重要。现有的基于动态分析的挖矿恶意软件早期检测方法未能兼顾检测的及时性和准确率。为及时且准确地检测挖矿恶意软件,将挖矿恶意软件运行初期所调用的一定长度的API(application programming interface)名称、API操作类别和调用API的DLL(dynamic link library)进行融合以更充分地描述其在运行初期的行为信息,提出AECD(API embedding based on category and DLL)词嵌入方法并进一步提出基于AECD词嵌入的挖矿恶意软件早期检测方法(CEDMA)。CEDMA以软件在运行初期所调用的一定长度的API序列为检测对象,使用AECD词嵌入和TextCNN(text convolutional neural network)建立检测模型来实施对挖矿恶意软件的早期检测。实验结果显示,CEDMA以软件运行后首次调用的长度为3000的API序列作为输入时,可分别以98.21%、96.76%的Accuracy值检测实验中已知和未知的挖矿恶意软件样本。

Linux系统编程课程改革与实践

针对传统的Linux系统编程课程中学生编程能力训练不够的问题,Linux系统编程以编程实践能力培养为导向,以国产化技术为主线融入课程思政内容,融合产学研合作资源,采取线上线下混合教学模式,加强学生在国产Linux系统openEuler上的编程实践能力培养。为学生打造“全开放的Linux系统编程实践空间”,学生充分利用自由碎片化时间加强学习,参与课程教学、实验和实践环节。以学生为中心,为学生提供更全面、更多元、更具挑战的进阶学习方式,从多个维度提高学生的编程实践技能,帮助学生建立操作系统理论联系实践的知识体系。开发的在线课程选课人数超过1.7万人,开发的实践课程被10余所高校使用,课程应用推广效果良好。

面向大规模微博消息流的突发话题检测

突发事件在微博中迅速传播,产生巨大的影响力,因此,突发舆情受到政府、企业的广泛关注.现有的突发话题检测算法只考虑单一的特征实体,无法处理微博中新词、图片、链接等诱导的突发.面向大规模微博消息流,提出一种无需中文分词的实时突发话题检测框架模型.模型依据消息流动态调整窗口大小,并通过传播影响力度量实体的突发权值.采用高阶联合聚类算法同时对实体、消息、用户进行聚类分析,在检测突发话题的同时,得到话题的关联消息及参与用户.对比实验结果表明,算法的准确性高,能够更早地检测到突发话题.

基于非负矩阵分解的大规模异构数据联合聚类

异构信息网络中包含多类实体和关系.随着数据规模增大时,不同类实体规模增长不平衡,异构关系数据也变得异常稀疏,导致聚类算法的时间复杂度高、准确率低.针对上述问题,提出了一种基于关联矩阵分解的2阶段联合聚类算法FNMTF-CM.第1阶段,抽取规模较小的一类实体中的关联关系构建关联矩阵,通过对称非负矩阵分解得到划分指示矩阵.与原始关系矩阵相比,关联矩阵的稠密度更高,规模更小.第2阶段,将划分指示矩阵作为关系矩阵三分解的输入,进而快速求解另一类实体的划分指示矩阵.在标准测试数据集和异构关系数据集上的实验表明,算法准确率和性能整体优于传统的基于非负矩阵分解的联合聚类算法.

基于扩散小波的社会网络多尺度分析

针对社会网络中的同质性关系提出一个基于扩散小波的多尺度分析框架,通过局部相似性度量构造扩散算子,在统一的框架下对社会网络中的结构、内容、用户行为等进行多尺度分析。在合成和真实网络数据上进行实验,与典型算法的对比表明,本算法在无参数的条件下快速收敛并得到更好的结果。

网络攻击原理与防范技术课程考核评价方式改革与实践

构建适用于应用型、创新型人才培养的课程考核评价方式,对推进新工科建设和提升课程教学质量具有重要的意义.课题组针对传统网络攻防类课程考核评价方式存在的问题,从提升学生网络攻防实操能力的意图出发,两次改革和实践了贵州大学网络攻击原理与防范技术课程的考核评价方式,并探讨了新的课程考核评价方式对学生学习重点及课程成绩的影响.

对盘活财政存量资金的一点认识

国务院总理李克强最近在国务院常务会议研究激活财政存量资金时，强调要进一步盘活存量，把闲置、沉淀的财政资金用好，集中有限的资金用于稳增长、调结构、惠民生的重点领域和关键环节。

大学生科技创新

为了响应建设创新型国家的号召，展示高校学生的科技创新成果，进一步鼓励高校学生的科技创新热情，并为高校之间、高校与企业之间的横向交流搭建平台。特开辟本栏目，刊载“挑战杯”全国大学生课外学术科技作品竞赛、Intel杯大学生电子设计竞赛以及其他全国性科技竞赛的获奖作品。这些竞赛影响大、范围广、水平高，许多获奖作品设计思路独特，使用功能先进，是企业进行投资的理想选择。

CHAIN:基于重合支配的边缘计算节点放置算法

边缘计算将计算资源部署在离终端用户更近的边缘计算节点,从待选的位置中选择合适的边缘计算节点部署位置能提升边缘计算服务的节点容量以及用户服务质量(QoS)。然而,目前对于如何放置边缘计算节点以降低边缘计算成本的研究较少。此外,在边缘服务的时延等QoS因素的约束下,目前尚没有一种边缘计算节点部署算法能最大限度地提高边缘服务的鲁棒性同时最小化边缘节点部署成本。针对上述问题,首先,通过建立计算节点、用户传输时延和鲁棒性的模型将边缘计算节点放置问题转化为带约束条件的最小支配集问题;随后,提出重合支配的概念,基于重合支配衡量网络鲁棒性,设计了基于重合支配的边缘计算节点放置算法——CHAIN(edge server plaCement algoritHm based on overlApping domINation)。仿真实验结果表明,与面向覆盖的近似算法和面向基站的随机算法相比,CHAIN的系统时延降低了50.54%与50.13%。

面向行为多样期的挖矿恶意软件早期检测方法

挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB). CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件.

基于深度学习的勒索软件早期检测方法

近年来,勒索软件的活跃度高居不下,给社会造成了严重的经济损失。文件一旦被勒索软件加密后将难以恢复,因此如何及时且准确地检测出勒索软件成为了当前的研究热点。为了提升勒索软件检测的及时性和准确性,在分析多种勒索软件家族与良性软件运行初期行为的基础上,提出了一种基于深度学习的勒索软件早期检测方法(Ransomware Early Detection Method Based on Deep Learning,REDMDL)。REDMDL以软件运行初期所调用的一定长度的应用程序编程接口(Application Programming Interface,API)序列为输入,结合词向量和位置向量对API序列进行向量化表征,再构建深度卷积网络与长短时记忆网络(Convolutional Neural Network-Long Short Term Memory,CNN-LSTM)相结合的神经网络模型,来实现对勒索软件的早期检测。实验结果显示,REDMDL能够在一个软件运行后数秒内高准确率地判定其是勒索软件还是良性软件。

面向异构分布式机器学习的动态自适应并行加速方法

分布式机器学习因其优越的并行能力成为人工智能领域复杂模型训练的常用技术。然而,GPU升级换代非常快,异构集群环境下的分布式机器学习成为数据中心、研究机构面临的新常态。异构节点之间训练速度的差异使得现有并行方法难以平衡同步等待和陈旧梯度的影响,从而显著降低模型整体训练效率。针对该问题,提出了一种基于节点状态的动态自适应并行方法(dynamic adaptive synchronous parallel,DASP),利用参数服务器动态管理节点训练时的状态信息并对节点的并行状态进行划分,通过节点状态信息自适应调整每个节点的并行状态,以减少快速节点对全局模型参数的同步等待时间与陈旧梯度的产生,从而加快收敛效率。在公开数据集上的实验结果表明,DASP比主流方法收敛时间减少了16.9%~82.1%,并且训练过程更加稳定。

基于虚拟扩展网络的虚拟机及路由路径联合部署

为响应租户的虚拟机使用请求,云数据中心通常从物理服务器中选择虚拟机放置服务器,随后计算租户与所选择的虚拟机放置服务器之间的路由路径以承载两者之间的流量。但是这种顺序的处理方式使得虚拟机放置服务器的计算过程难以考虑其对网络造成的影响,可能导致网络利用率降低甚至出现网络拥塞。为解决该问题,提出一种虚拟机及路由路径联合部署算法VENet。VENet通过添加虚拟交换机及虚拟链路将原网络拓扑扩展为虚拟网络拓扑,基于该虚拟扩展网络拓扑,将虚拟机及路由路径联合部署问题近似为商品流问题,即将虚拟机请求近似为从相应接入起点交换机到虚拟目的交换机之间的商品流,对该商品流问题进行建模,通过线性规划的方式求解该模型,即可同时获得虚拟机放置位置及相应的路由路径。实验结果表明,VENet算法能够提高数据中心可接受的虚拟机请求数上限,缩短租户与虚拟机部署位置之间的路由路径长度同时降低数据中心的网络负载率,路由路径长度和网络负载率相比WLC-GA算法分别降低42%和30%。

USPS:面向算力资源高效协同的用户态跨协议代理系统

随着算力网络的快速发展,通用算力、人工智能算力、超算等算力资源分布广泛。算力资源协同服务是算力网络研究的关键问题。在算力资源协同过程中,一方面,算力网络面临海量终端算力服务的高并发请求和低时延响应需求;另一方面,其难以充分发挥数据中心算力资源的高吞吐和低时延优势,进而难以为用户提供高效的算力服务。针对上述挑战,提出一种基于用户态协议栈和远程直接内存访问(Remote Direct Memory Access,RDMA)的用户态代理系统(User-Space Proxy System,USPS),通过用户态协议栈响应客户高并发算力请求,在动态批处理策略协调下实现基于RDMA的数据中心算力高吞吐、低时延服务。在通信方面,USPS实现了一个高效的远程过程调用(Remote Procedure Call,RPC)通信机制,能够充分利用RDMA网卡带宽提供高速消息通信;在请求处理方面,提出了一个动态批处理调度方法,能够在满足用户时延要求的前提下最大化批处理效率。实验结果表明,USPS的服务响应时延仅是传统内核态Nginx代理系统的7.8%~23.1%,是其他用户态代理系统的17.3%~24.7%;吞吐量比传统内核态的Nginx代理系统提升了3.4~8.9倍,比其他用户态代理系统提升了3.2~4.2倍。

基于协同迁移进化的自适应网络遥测路径编排方法

日趋庞大、复杂、高速的网络使得传统网络测量技术已经不能满足当下网络智慧管控的需求。作为一种新型网络测量技术,网络遥测可以提供细粒度、精确的会话级或报文级遥测信息。目前已有的网络遥测方案在部署网络遥测路径时不考虑网络状态,大多以静态的方式部署网络遥测路径。这种方法无法适应网络的动态性及不可靠性,如果网络遥测包所经路径出现带宽饱和或者遭遇网络攻击,则会造成网络遥测包丢失,使得网络遥测可靠性变差。除此之外,现有网络遥测方案通常采用全链路覆盖方式实现,遥测冗余较大,探针数据包的有效载荷较低。为了解决上述问题,文中提出了基于协同迁移进化的自适应网络遥测路径编排方法(AdaPtive network telemetry Path OrchestratIoN method based on CooperaTivE MigRation Evolution, APPOINTER)。APPOINTER根据网络状态信息,计算能够覆盖全部网络设备的最优网络遥测路径,以转发遥测报文。实验结果表明,APPOINTER增强了网络遥测的可靠性,有效避免了遥测冗余,提高了遥测效率。

面向微博的多实体稀疏关系数据联合聚类

针对大规模微博中多实体间的稀疏关系数据,提出一种面向多实体稀疏关系数据的高效联合聚类算法。在算法中,为了充分利用多关系数据,提出了一种顽健的约束信息嵌入方法构建关系矩阵,降低了矩阵的稀疏性,进一步提高了算法的准确率。在稀疏约束的块坐标下降框架下,关系矩阵通过非负矩阵三分解算法同时获得不同实体的聚类指示矩阵。非负矩阵分解过程中,通过高效的投射算法实现快速求解,确保了聚类结果的稀疏结构。在人工和真实数据集上的实验表明,算法在3个指标上都具有明显提高,特别是在极端稀疏数据上的效果更加明显。