基于IP熵变量的DDoS攻击溯源模型

针对当前溯源方法无法识别源于中间路由器的恶意攻击、无法区分攻击流量类型等问题,借鉴热力学中熵的概念并结合IP分布特征,定义IP熵变量,结合通信熵和IP熵提出一个基于熵变量的DDoS攻击溯源模型,设计DDoS攻击识别算法、DDoS攻击溯源算法和DDoS流量区分算法。实验结果表明,该模型在时间容忍范围内提升了溯源效率,降低了僵尸网络检测的漏报率,能够识别出快速DDoS攻击、慢速DDoS攻击及flash crowd等类型,识别率达到了85.71%。

基于时延的Flash Crowd控制模型

提出了一种session级别的flash crowd控制策略SGAC(session-granularity admission control),将session控制粒度和request控制粒度相结合,采用请求平均返回时延作为检测和控制的依据.对session采取一旦接受就完成的策略,在实现对服务器过载控制的同时,保护用户session的完整性,并能自动调节新session的准入速率,以提高服务器利用率.采用真实HTTP Log进行模拟,结果表明,SGAC方法能够有效控制服务器过载,保护session的完整性,提高服务器利用率,降低接入端路由器计算开销,保护有价值的交易session.

基于蜂拥的P2P流媒体系统可扩展性分析

P2P流媒体直播系统在互联网上显示出了巨大的潜在吸引力,但此类系统的大规模部署严重依赖于它们处理高动态变化的效率,特别是在蜂拥时期。其主要原因是P2P流媒体直播系统的扩展在很大程度上取决于流媒体应用的时间需求。在分析和实验的基础上,提出了系统规模与时间约束的内在联系及其制约因素,构建了一个通用的P2P流媒体系统模型,来集中分析节点在蜂拥时期加入系统的过程。首先说明了简单使用"需求供给"概念模型来描述系统的规模是不够的,然后利用类似Gossip协议的随机伙伴选择机制,推出系统规模随时间变化的上限,在MatlabR2010a平台上比较分析了一些关键性因素的变化对系统扩展的影响。

信息中心网络中网络缓存的角色探索

作为信息中心网络(information-centric networking,ICN)的特色之一,网络缓存在彰显ICN的优势方面扮演着重要的角色,但当前对网络缓存所扮演的具体角色没有一致的看法。指出网络缓存应具有三级缓存,解释这三级网络缓存可以在错误恢复、突发访问缓解、DDoS攻击防治、热点内容缓存及托管服务方面起一定的作用,并说明了实现这些角色需要解决的问题。

基于网络流量的应用层DDoS攻击检测方法研究

根据应用层DDoS攻击和正常网络流量在特征上的不同,提出一种基于流量分析的应用层DDoS攻击检测方法,通过对源IP地址进行分析,能够有效地识别应用层DDoS攻击。同时,针对DDoS攻击流量和突发流量的相似性,在识别DDoS攻击的同时,能够正确区分突发流量,减少误报和漏报。

应对P2P直播瞬间拥塞的用户访问控制方法①

针对P2P直播存在瞬间拥塞，导致用户启动延迟增大、系统服务拒绝率升高，从而降低用户体验的问题，提出了一种基于能力感知的用户访问控制算法。该算法可通过合理控制用户节点的加入速率，避免过多用户同时竞争带宽资源；优先允许高带宽用户节点接入，提高系统的服务能力；兼顾低带宽用户的等待时间，防止其因过长等待而离开。对该算法进行的数学建模分析、模型分析和相关实验表明，该算法能使P2P直播系统有效应对瞬间拥塞问题，改善用户服务质量。与两种控制方案的性能对比显示，该算法的平均延迟可分别降低17％和29％，拒绝率可分别减少60％和75％。

面向微服务架构的容器级弹性资源供给方法

容器作为物理资源的逻辑抽象,具有资源占用少、资源供给快等特点,适合工作负载突变的互联网应用模式,特别是面向微服务架构的新型服务范型.已有工作受限于物理机和虚拟化环境,或资源难以弹性供给或资源供给时效性较差,难以应对负载突变(flash-crowds)场景.针对此问题提出了一种服务质量(quality of service,QoS)敏感的、基于前馈的容器资源弹性供给方法,该方法采用排队论刻画工作负载、资源利用率和响应时间的关联关系,构建应用性能模型.其中,响应时间采用模糊自适应卡尔曼滤波进行预测(前馈控制器),预测结果违背QoS是触发资源弹性供给的依据.基于CloudStone基准的实验结果显示,前馈控制器具有快速收敛的特点,对响应时间的预测误差小于10%.在flash-crowds场景下,相对于已有方法可有效保障应用的QoS.

网络DDoS攻击流的小波分析与检测

将小波分析中的小波变换模极大方法用于检测分布式拒绝服务攻击引起的突发流量。在探讨如何运用小波模极大对突发流量进行判定的基础上,设计了一个检测突发攻击流量的方法,并对实际采集到的网络流量和仿真攻击流量的混合流作了计算机模拟验证。结果表明,当攻击流的突变幅度为正常流量的2倍￣3倍时,检测漏判率不超过5%;当攻击流的突变幅度提升为正常流量均值的3倍￣5倍时,检测漏判率不超过1%。攻击越强,检测漏判率越小。

一种基于动态阈值的突发流量异常检测方法

网络异常流量检测是当前网络安全领域的热点问题。传统的基于信息熵的检测方法大多采用固定阈值,无法动态适应不断变化的网络环境。针对该问题提出了一种改进的基于信息熵的突发流量检测方法,能根据正常历史流量的熵值动态调整阈值大小。实验结果表明,该方法对DDo S和Flash Crowd这两种情形引起的突发流量具有较好的检测效果。

基于CDN-P2P流媒体直播系统方案设计实现

为了更好的实现流媒体直播系统的性能、控制系统的成本,着重研究了融合CDN和P2P技术组成的视频直播系统的结构和算法。针对流媒体直播系统视频流的特点,提出了特定的缓冲算法,较好的减少了节点的启动时延。对peer节点引入评分,并且利用CDN边缘服务器,对P2P的难点瞬时拥塞,做出一定的算法改进。仿真实验结果表明,系统在总体时延和各节点播放的连续度方面都有较大的提升。

BitTorrent瞬间拥挤阶段日周期特性建模与分析

BitTorrent是目前最流行的P2P内容分发系统之一,其在线节点数的变化有明显日周期特性(Daily-Cycle Property)。通过建立日周期模型,研究BitTorrent系统中节点数及服务能力在瞬间拥挤(Flash-Crowd)阶段表现出的日周期特性。揭示了在BitTorrent系统节点数及服务能力发展过程中,用户作息规律对BitTorrent系统性能的影响。日周期模型与观测数据拟合效果较好。根据模型,提出了改善BitTorrent系统服务能力的可行方案。

结构化P2P网络模型Tapestry的改进方案

为了解决Tapestry系统在大规模节点并发失效的情况下高效定位资源节点的问题,提高Tapestry应用系统的工作效率,提出了一种Tapestry逐位匹配路由的改进方案。该方案着重于节点路由的动态选择,在传统的匹配表的基础上利用增加的容错路由表来提高定位目的节点的能力,通过容错路由表增强节点在高失效节点网络的路由功能。实验结果和仿真数据表明,该方案可以解决网络中存在失效节点和热点的问题,有效地增强了Tapestry系统在高动态对等网络条件下的可用性。

BitTorrent系统中瞬间拥挤阶段建模与分析

BitTorrent是目前最流行的P2P内容分发系统之一.使用Kermack-Mckendrick模型对BitTorrent系统中瞬间拥挤(Flash-Crowd)阶段进行建模,研究了系统节点数及服务能力在瞬间拥挤阶段的发展演化过程.与原有模型相比,Kermack-Mckendrick模型能更好的吻合观测数据.最后结合BitTorrent系统的实际特点,给出提高BitTorrent系统处理瞬间拥挤能力的可行方案,如增加初始种子数量,减少文件段的大小,增加激励策略等.

SDN中基于流特征的DDoS攻击与闪拥事件检测

在软件定义网络(software defined networking,SDN)中,由于集中管理与可编程的特点,其安全性面临着巨大的挑战。恶意攻击者容易利用SDN网络的安全漏洞进行分布式拒绝服务(distributed denial of service,DDoS)攻击,而对DDoS攻击与闪拥事件检测的分析不论是对预防恶意流量还是电子数据取证都至关重要。提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法,其中可调节的φ-熵增加不同数据类型间的距离以便在流形成初期及时发现攻击行为。对一些常见的DDoS攻击方式进行详细分析,并通过获取交换机中流表的多维特征对样本进行训练分类,在有效检测DDoS攻击流量的同时还能在一定程度上区分DDoS攻击与闪拥事件。通过Mininet平台进行仿真实验,实验表明,该方法可以有效提高DDoS攻击检测率并降低闪拥事件误报率,验证了实验的准确性和有效性。

Flash Crowd与DDoS攻击区分方法研究综述

由于Web服务器的DDoS攻击行为与Flash Crowd非常接近,Flash Crowd与DDoS攻击的区分问题成为网络安全领域新的研究热点。首先概述了Flash Crowd的基本概念与分类,比较了Flash Crowd与DDoS攻击的相似性与差异性;随后详细介绍了目前区分Flash Crowd与DDoS攻击的3类方法:基于流量特征的方法、基于用户行为的方法和基于主机测试的方法;然后介绍了几个目前使用最广泛的数据集;最后对该领域的研究方向进行了预测。

A Two-Parameter Description for the Injury Risk of Flash Bangs with Uncertainty

We study the random injury outcome caused by multiple flash bang submunitions on a crowd. We are particularly interested in the fluctuations in injury outcome among individual realizations. Previously, to simulate the distribution of the actual number of injured, we developed a comprehensive Monte Carlo model. While the full computational model is important for thorough theoretical investigations, in practical operations, it is desirable to characterize the phenomenological behavior of injury outcome using a concise model with only one or two parameters. Conventionally, the injury outcome is indicated by the average fraction of injured, which is called the risk of significant injury (RSI). The single metric RSI description fails to capture fluctuations in the injury outcome. The number of injured in the crowd is influenced by many random factors: the aiming error of flash bang mortar, the dispersion of submunitions after mortar burst, the amount of acoustic dose reaching individual subjects, and the biovariability of individual subjects’ reactions to a given acoustic dose. We aim to include these random factors properly and concisely. In this study, we represent the random injury outcome as a compound binomial model, in which the hidden injury probability is drawn from a two-parameter model distribution. We formulate and examine six model distributions for the injury probability. The best performer is a mixture of uniform and triangle distributions, parameterized by (RSI, dp) where dp is the standard deviation of the hidden injury probability. This mixture model predicts the behavior of injury outcome with uncertainty, based solely on the two parameters (RSI, dp) in the flash bang description. For example, we can predict the probability of the injury outcome not exceeding a prescribed tolerance. We advocate the adoption of this two-parameter characterization for flash bangs to replace the single-parameter RSI description. Whenever we need to give a high level coarse description of a flash bang situation, we state that the injury risk is represented by (RSI, dp).

一种基于接口异常度可信判断的内容中心网络缓存污染防御方法

针对内容中心网络的缓存污染攻击问题,提出一种基于接口异常度可信判断的限速机制,根据接口异常度检测缓存污染攻击类型,并结合接口命中率对异常接口进行限速控制.仿真结果表明,该机制可以同时防御缓存恶意侵占(Locality-Disruption)和虚假内容缓存(False-Locality)2种攻击,且通过引入False-Locality攻击的可信度判断,可大概率区分异常的False-Locality攻击和正常的突发拥塞事件,避免错误抑制Flash Crowd网络行为.