基于启发式奖赏塑形方法的智能化攻击路径发现

渗透测试作为一种评估网络系统安全性能的重要手段,是以攻击者的角度模拟真实的网络攻击,找出网络系统中的脆弱点。而自动化渗透测试则是利用各种智能化方法实现渗透测试过程的自动化,从而大幅降低渗透测试的成本。攻击路径发现作为自动化渗透测试中的关键技术,如何快速有效地在网络系统中实现智能化攻击路径发现,一直受到学术界的广泛关注。现有的自动化渗透测试方法主要基于强化学习框架实现智能化攻击路径发现,但还存在奖赏稀疏、学习效率低等问题,导致算法收敛速度慢,攻击路径发现难以满足渗透测试的高时效性需求。为此,提出一种基于势能的启发式奖赏塑形函数的分层强化学习算法(HRL-HRSF),该算法首先利用渗透测试的特性,根据网络攻击的先验知识提出了一种基于深度横向渗透的启发式方法,并利用该启发式方法设计出基于势能的启发式奖赏塑形函数,以此为智能体前期探索提供正向反馈,有效缓解了奖赏稀疏的问题;然后将该塑形函数与分层强化学习算法相结合,不仅能够有效减少环境状态空间与动作空间大小,还能大幅度提高智能体在攻击路径发现过程中的奖赏反馈,加快智能体的学习效率。实验结果表明,HRL-HRSF相较于没有奖赏塑形的分层强化学习算法、DQN及其改进算法更加快速有效,并且随着网络规模和主机漏洞数目的增大,HRL-HRSF均能保持更好地学习效率,拥有良好的鲁棒性和泛化性。

网络蠕虫传播建模分析

概述了当前几种常用的蠕虫病毒传播模型,具体分析了随着因特网体系结构的演化,网络中NAT等设施的出现对蠕虫病毒传播带来的影响。针对传统模型在描述病毒传播过程中的一些不足,对一种解析主动蠕虫病毒传播模型进行了改进,提出了蠕虫病毒的两阶段传播模型。仿真结果与CAIDA实际测量的RedCodev2传播数据相比较表明,改进后的模型能更好地描述病毒的传播规律。

面向创新人才培养的计算机网络教学改革

针对计算机网络课程涵盖面广、知识点散等特点,改革教学模式,在教学过程的组织上,可以按照"课前猜想、课堂研讨、实验验证、课后思考"四个步骤进行,在课前预习中,实施问题驱动;在课堂教学中,加强师生互动;在实验验证时,倡导知行合一,并在课堂上创设学生主体、教师主导的教学氛围,充分调动学生的学习积极性,有利于培养学生的创新能力和综合素质。

高级计算机网络课程教学改革探析

阐述如何建立一套完善的研究生高级计算机网络课程的理论和实践教学体系,如何设计包括网络高级技术专题、网络基本设计原则、网络实践教学和论文阅读研讨写作的课程教学内容,同时构建教学全过程管理的考核评价机制,以实现基础理论和前沿研究并重、理论教学和实践训练并行,使研究生真正理解和掌握理论知识、提高动手能力,为后续的科研创新奠定坚实基础。

基于智能电网量测集受控随机化的移动目标防御方法

信息物理协同攻击利用网络攻击掩盖或者延长物理攻击的影响,对智能电网造成了极大威胁。为阻止协同的虚假数据注入攻击,暴露物理攻击的影响,提出了一种基于量测集受控随机化的移动目标防御方法。首先,形式化描述了量测值的选择需要满足的约束;其次,采用随机的量测集进行状态估计,使得攻击者关于电网的先验知识失效;最后,使用MATPOWER模拟器在IEEE标准系统上进行了大量的仿真,实验结果表明,该方法可以防止50%以上的状态被攻击。

网络距离预测技术

首先概述了网络距离预测的基本概念,从不同角度对网络距离预测技术进行了分类讨论.然后根据预测机理的差异将现有网络距离预测技术划分为基于虚拟坐标的预测技术、基于网络拓扑结构的预测技术以及网络邻近度估计技术.在对典型的预测技术进行分析对比后,详细综述了网络距离预测的研究现状,对现有的各种预测技术以及研究成果进行了分析,指出了需要进一步研究的问题.最后探讨了网络距离预测技术的未来发展方向.

一种抗网络侦察的网络指纹在线混淆机制

网络指纹探测是实施网络攻击之前的重要情报获取工作。但作为一种主动对抗指纹探测行为的典型方法,现有的网络指纹混淆技术仍存在部署复杂性高、对端系统不透明,以及对网络性能影响大等问题。为此,基于可编程数据平面技术,提出了一种抗网络指纹探测的分组在线混淆机制P4FO。P4FO利用可编程交换机的灵活分组处理能力,以端系统透明的方式在线混淆网络指纹信息。在分析探测流响应速率特征的基础上,实现了“识别—重构”相结合的网络指纹两阶段混淆方案,支持融主动探测流识别、虚假指纹定制,以及在线指纹混淆等能力为一体,并能够缓解高速网络环境中可编程交换机的资源约束。基于真实网络流量数据集的实验表明,P4FO在对抗网络指纹探测能力方面优于当前主流方法,为网络设备指纹保护提供了一种更为高效的解决途径。

一种基于域推荐相似度的P2P信任模型

为了提高P2P系统中资源定位效率并保证资源下载质量,提出了一种基于域推荐相似度的P2P信任模型(DRSTrust).该模型充分考虑了节点兴趣和身份对信任计算的影响,通过划分兴趣域,以解决节点间因兴趣不对称而难以建立直接信任关系的问题.在兴趣域的基础上,根据域推荐相似度加权个体的域推荐度来计算节点的域服务信誉,并利用域服务信誉来刻画节点在特定兴趣域内的服务行为细节.然后,提出了服务相似度的概念,通过使服务行为最为相似的节点成为邻居来激励好节点贡献资源,同时将恶意节点排斥在网络边缘,从而有效提高了P2P系统中节点信任计算准确度.分析及仿真结果表明,在迭代的收敛速度、下载成功率以及模型的安全性等方面,DRSTrust均优于现有的信任模型.

一种层次化网络距离预测机制

网络坐标系统向分布式应用提供了一种高效的网络距离信息获取机制,但现有基于单一度量空间嵌入的距离预测机制难以精确描述因特网复杂的层次结构特征,进而导致较大的距离预测误差.文章提出了一种分域的层次化网络距离预测机制NetPharos,该机制根据因特网结构以及性能特征将其划分为相互独立的核心预测域和边缘预测域,通过相关边缘预测域和核心预测域内预测值迭加获取节点间距离信息.理论分析和仿真实验显示,NetPharos能够有效解决预测过程中短距离和长距离的相互干扰问题,提高预测精度.

太比特路由器多元超立方体交换结构时延仿真

多元超立方体交换结构MHSF及相关汉明随机选路算法HRRA,是针对太比特路由器设计而提出的一种新的解决思路。时延性能是交换结构的重要性能指标。通过仿真在均匀流量条件下研究了时延性能与MHSF的链路加速因子s、元数k以及维数n的关系,找出了MHSF时延随着各个相关因素变化的规律。仿真结果表明,在较小参数条件下MHSF具有较好的时延性能。

基于OpenFlow的SDN技术研究

软件定义网络(software-defined networking,简称SDN)技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案.综述了基于OpenFlow的SDN技术发展现状,首先总结了逻辑控制和数据转发分离架构的研究背景,并介绍了其关键组件和研究进展,包括OpenFlow交换机、控制器和SDN技术,然后从4个方面分析了基于OpenFlow的SDN技术目前所面临的问题和解决思路.结合近年来的发展现状,归纳了在校园网、数据中心以及面向网络管理和网络安全方面的应用,最后探讨了未来的研究趋势.

IP定位技术的研究

IP定位技术就是确定Internet中IP设备的地理位置,它可以帮助网络应用改善性能、提高安全性以及提供新的服务.首先概述了IP定位技术的基本概念和应用情况;然后,将现有定位算法分为独立于客户端和基于客户端两类定位算法,并对每一类算法中的典型算法进行了具体分析,讨论了隐私保护技术和新技术的影响;最后,对现有的IP定位算法进行了综合对比,指出了IP定位技术的研究方向.

一种防御DDoS攻击的软件定义安全网络机制

软件定义网络的出现为防御DDo S攻击提供了新的思路.首先,从网络体系结构角度建模分析了DDo S攻击所需的3个必要条件:连通性、隐蔽性与攻击性;然后,从破坏或限制这些必要条件的角度出发,提出了一种能够对抗DDo S攻击的软件定义安全网络机制SDSNM(software defined security networking mechanism).该机制主要在边缘SDN网络实现,同时继承了核心IP网络体系架构,具有增量部署特性.利用云计算与Chord技术设计实现了原型系统,基于原型系统的测量结果表明,SDSNM具有很好的扩展性和可用性.

一种基于OpenFlow的多路径传输机制

针对高连通度数据中心网络存在吞吐量低、网络负载均衡差等流量工程问题,该文提出一种基于OpenFlow的多路径传输(OpenFlow based Multipath Transmission,OFMT)机制。借助OpenFlow集中控制的优势,OFMT为每条流精确计算传输路径,将网络中的流量优化分配到端到端的多条路径上,并通过周期性轮询和动态调度实现良好的负载均衡,进而提高数据中心网络吞吐量。实验结果表明,在相同的网络流量负载下,OFMT与较典型数据中心传输协议相比,有效提高了网络的吞吐量,并降低了流完成时间。

OpenFlow网络冗余控制报文消除机制研究

OpenFlow网络数据平面将未匹配流表的数据包发送给控制器,其中的无连接突发流量将产生冗余控制报文,对网络性能造成不良影响,而目前的OpenFlow协议并未对此进行处理.研究了在控制平面和数据平面分别消除冗余控制报文的方法 ERCMC(eliminating redundant control messages on the control plane)和ERCMD(eliminating redundant control messages on the data plane),分别在NOX和Open vSwitch上进行实现,并进行性能评价.实验结果表明,ERCMC方法能够消除冗余控制报文,但增加了额外的处理开销;ERCMD方法在减少冗余控制报文数量的情况下能够减小控制器和OpenFlow交换机负载.

计算机网络课程中的科学思维训练

针对我国大学教学主要关注传授专业知识的现状,研究了在高校专业课教学中融入科学思维训练以有效地培养学生能力素质的问题。提出了基于科学思维的教学法模型,设计了"预习-课堂讨论-实验验证-网上讨论"的训练环节,研究了处理课程知识点和探究性问题关系以及利用技术手段对课程进行全过程管理等问题。教学实践表明,计算机网络课程的科学思维训练的确能够激发学生的学习热情和创新精神。

OpenFlow网络测量分析系统的设计实现

OpenFlow网络目前缺少支持定量测量分析各种创新应用或机制的有效手段。以升级OpenFlow网络设备为具有本地日志功能的OpenFlow测量实体为基础,设计了一种基于集中式服务器控制测量实体进行分布式测量的机制,制定了其间的通信规程OpenFlow测量控制协议(OMCP),同时基于正则表达式、散列技术和可扩展的统计函数库等方式设计了一种分析测量日志的功能。原型系统的实验表明,OpenTrace服务器能够灵活部署和控制分布式测量任务,OpenTrace系统不仅能够定量地重现数据平面的数据流传输过程而且能够重现控制平面的控制事件交互过程,从而可为量化分析OpenFlow网络应用和新型机制提供广泛的性能数据。

主动测量SDN性能的机制

提出了一种能够主动测量SDN中任何两点间的端到端路径性能的机制,设计了Open Flow测量协议OFMP,实现了无需改变交换机转发规则就能测量两点间特定流的多种性能参数的原型系统OFMd。实验结果表明,OFMd只需发送一个测试报文就能快速高效地获取多种端到端路径性能参数。

S-Vivaldi:一种基于空间修复的因特网时延空间嵌入算法

为减少违反三角形不等式(TIV)对因特网时延空间建模的影响,提出了一种基于空间修复的因特网时延空间嵌入算法S-Vivaldi。S-Vivaldi先对原有的时延空间D进行指数变换修复,获得一个几乎没有TIV的距离矩阵D',再对D'采用Vivaldi算法进行坐标嵌入,当需要预测任意2个节点间的时延时,再进行一系列的逆变换。实验表明,该算法在大多数情况下可以显著提高预测精度。

面向全过程的课程考核方法研究

分析传统课程考核方式存在的弊端,提出面向全过程的课程考核方法,指出这种考核方法可以有效促进学生对知识点的掌握,降低教师处理试卷的工作量,提升教学效率。