自然着色聚类过程中的网络安全事件计算

自然着色过程利用有部分重叠的短比特串映射,使两个Hash函数间带有相同的颜色,为判定两个Hash串是否同源提供了重要依据.在商集映射的视角下分析了多个不同的聚类函数间的差异和着色关系,结果表明聚类函数间的内部平衡性结合自然着色过程可以得到源串部分比特串的聚类特性,同时TCP宏观平衡性仍然保持不变.实验表明,利用这个特性可以从多个具有着色关系的短比特串映射的Hash存储空间得到如蠕虫爆发、DDoS之类的TCP宏观异常中发起者、受害者的聚类信息.因此自然着色过程大大扩展了TCP宏观平衡性的应用领域,为网络安全检测、监测和安全事件分布评估提供了有力的支持.

网络流超时策略研究

通过对现有流超时策略进行比较和分析,指出适用范围和存在的问题。针对单包流占总体流量很大比例的特点,提出了两层自适应超时策略(TSAT)。通过对不同特性的流采用不同的超时方式,增加网络测量性能,提高了测量系统的资源利用率。最后通过实验论证文章提出的超时策略在实际测量中的性能,并进一步分析适用范围。

网络入侵追踪研究综述

1引言 在制定目前Internet上使用的网络协议标准时,设计者们更多的是考虑到网络协议的可靠性和可扩展性,而不是它们所提供的安全服务和审计功能.

大规模网络中IP流长分布统计模型

对具有不同特征的大规模高速网络的TRACE进行分析,发现不同IP流的流长分布特征。在此基础上,提出大规模网络状况下IP流长分布经验模型,该模型在表达大规模网络IP流长分布上,其精度高于原有Pareto模型,复杂度低于原有双Pareto模型。对相关模型与实际TRACE流长分布的拟合程度进行了检验,并对模型的相关参数取值范围及该经验模型与现有模型存在的异同做了讨论,进而分析导致异同的原因,并指出IP流长分布的发展趋势。

网络取证系统及工具分析

随着网络技术的发展,计算机网络犯罪总量持续上升,计算机取证工作显得越来越重要。计算机取证分为事后取证和实时取证。早期的实时取证所利用的网络安全工具在取证学角度都存在一定的局限性,它们所产生的数据不能成为法律意义上的证据。由此,网络取证系统应运而生,它对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,弥补了传统安全工具在实时取证中的不足。文中对网络取证系统进行了详细分析,并对目前的一些网络取证工具进行了比较。

基于残差全卷积网络的图像拼接定位算法

为解决现有篡改定位网络随着深度加深不易收敛的问题,提出一种基于残差全卷积网络的图像拼接定位算法.所提算法一方面迁移残差思想,在全卷积神经网络(fully convolutional network,FCN)的部分卷积层中引入shortcut连接,使其输出的不仅是输入的映射,还是输入映射与输入的叠加.另一方面结合条件随机场(conditional random field,CRF)对定位结果进行后处理,并将FCN与CRF整合在一个端到端的学习系统中,进一步提高定位精度.此外,所提算法还融合3种FCN(FCN8、FCN16、FCN32)的预测结果.在实验中,随机选取公开数据集CASIA v2.0的5/6篡改图像作为训练集,然后对剩余1/6进行测试.为了测试提出算法的泛化性能,采用训练好的模型在公开数据集CASIA v1.0和DVMM上进行交叉测试.在3个数据集上的测试结果表明,所提算法的性能优于现有一些方法.

UDP流量对TCP往返延迟的影响

提出一个面向单条链路的TCP综合传输性能测度R,分析其与同一时间粒度内链路的占用带宽和UDP流量比例间的关系,使用中国和美国2条主干信道的实测数据进行了检验。结果表明R测度可表示为以占用带宽和UDP流量比例为参数的正态分布的随机过程。随后进行的CERNET链路R测度正态分布均值参数的拟合分析具有很高的可接受水平,拟合的结果给出的量化关系可用于流量的公平性评价。

基于警报序列聚类的多步攻击模式发现研究

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。

基于特征串的应用层协议识别

随着各种P2P协议的广泛应用以及逃避防火墙检测的需要,传统的基于常用端口识别应用层协议的方法已经出现问题。文章通过分析可用的文档和实际报文TRACE,分别为七种应用层协议找出其实际交互过程中必须出现且出现频率最高的固定字段,并将这些固定字段作为协议的特征串来识别这七种协议。实验结果表明,相较于端口方法,使用特征串方法识别这七种应用层协议具有更高的准确性,并且时间消耗的增长不会超过2%。

多特征关联的入侵事件冗余消除

通过对事件的源地址、宿地址和宿端口3个空间属性进行分析,枚举出事件在空间属性上的所有可能的关联特征;通过对相邻事件的时间间隔进行统计分析,提出了事件的时间关联特征可以用一个相对均方差模型描述.在此基础上给出了一种基于事件类型、空间和时间关联特征的冗余事件消除算法,它能根据冗余消除规则集实时处理入侵事件并进行冗余消除.实验结果表明,该冗余消除算法可以使冗余事件在总的事件中的比例低于1%,其冗余消除的准确性和消除程度均高于CITRA中提出的冗余消除方法.

自动入侵响应系统的研究

1.引言 随着计算机网络的不断发展和普及,安全问题日益严重,已成为当今研究的重点.从CERT每年的安全事件报告可以看出,安全事件的数量从1989年的6例上升到1999年的8268例[1],计算机网络的安全问题引起了广泛的关注.

多IDS环境中基于可信度的警报关联方法研究

针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。

基于流的哈希函数比较分析研究

为了缓解高速网络测量与硬件资源之间的矛盾,需要对网络流进行抽样处理,基于哈希的流抽样技术的广泛应用,流哈希函数性能是整个测量系统的核心.高速网络测量中对于哈希函数的研究主要集中在报文哈希函数性能方面,目前还未对现有的流哈希函数的性能进行分析比较研究.从理论分析和实验验证的角度出发,提出了几种流哈希函数的性能测度,并使用CERNET主干流量比较验证了一些通用的流哈希函数的均匀性、冲突率等性能测度,为流哈希函数的选择与使用提供依据.

基于时空约束的IDS系统能力评估方法

为了提高入侵检测系统评估结果的准确性和合理性,提出了基于时空约束的评估方法.该方法把承载攻击的报文序列作为描述入侵检测系统检测能力的基础,通过时空约束及其对应的内容约束对入侵检测系统的检测能力空间进行等价划分,完善基于分辨率方法提出的系统能力测度体系.实验表明,基于时空约束的入侵检测系统能力评估方法相对于传统评估方法可以在更精确的维度上对入侵检测系统的能力进行评估,并根据不同阶的时间约束具体指出入侵检测系统能力的弱点.使用基于时空约束的入侵检测系统能力评估方法提高了入侵检测系统评估结果的公平性、合理性和准确性.

一个检测超流的早期淘汰算法

超流是网络中具有大量不同宿IP/源IP链接的源IP/宿IP.实时检测出高速网络(OC48、OC192等)中的超流对网络安全具有非常重要的意义.近年来已经有论文提出了不同超流检测算法,但是这些算法都没有考虑控制测量过程中超流缓存空间的大小.论文在超流检测过程中增加了早期淘汰功能,将超流缓存中链接数较少的记录提前淘汰,以便腾出空间用于存储新检测到的IP记录,实现对超流缓存资源的控制.论文最后还使用实际网络日志数据对算法进行验证,实验表明:早期淘汰算法可以使系统以更少的内存空间和测量资源检测超流信息.

Super point detection based on sampling and data streaming algorithms

In order to improve the precision of super point detection and control measurement resource consumption, this paper proposes a super point detection method based on sampling and data streaming algorithms （SDSD）, and proves that only sources or destinations with a lot of flows can be sampled probabilistically using the SDSD algorithm. The SDSD algorithm uses both the IP table and the flow bloom filter （BF） data structures to maintain the IP and flow information. The IP table is used to judge whether an IP address has been recorded. If the IP exists, then all its subsequent flows will be recorded into the flow BF; otherwise, the IP flow is sampled. This paper also analyzes the accuracy and memory requirements of the SDSD algorithm , and tests them using the CERNET trace. The theoretical analysis and experimental tests demonstrate that the most relative errors of the super points estimated by the SDSD algorithm are less than 5%, whereas the results of other algorithms are about 10%. Because of the BF structure, the SDSD algorithm is also better than previous algorithms in terms of memory consumption.

Bloom Filter哈希空间的元素还原

本文提出使用语义增强的Counting B loom FilterReconstruction(RSECBF)算法来快速还原源串或给出源串的聚类特征.它给每个哈希函数独立的哈希映射空间以消除哈希函数的内部冲突;扩展哈希函数使其不受均匀性限制,使得哈希函数可以带有语义;利用哈希串的重叠和数量一致性来解决同源哈希串拼接成源串的问题,为源串的还原创造了条件.本文针对Pareto分布的哈希函数,为主成分的还原提出了一个简洁的源串还原算法.对于直接选择部分比特的哈希映射而言,如果主成分分析中的RSECBF不能还原出源串,则还原出来的最长串就是源串的聚类特征.仿真及实际检验表明,B loom Filter可以扩展其哈希函数来实现语义增强,RSECBF还原的结果是可信的.本算法可以在异常行为发生的时候挖掘网络行为特征.

一种改进的组播密钥管理方案

针对现有组播密钥管理方案存在的前向加密、后向加密和同谋破解问题,提出一种改进的组播密钥管理方案。改进方案由组播认证、安全组播转发树的维护、组密钥的分发和更新组成,通过二层控制方式降低组成员离开时密钥更新操作的复杂度,从而保障组密钥分发和更新过程的安全性和高效性。实验结果表明,改进方案具有较优越的计算开销、通信开销和可接受的存储开销。

IPv6主干环境下的校园网接入

以CERNET的双主干核心网、地区接入网以及校园网为背景，分析了在校园网接入IPv6时新的需求，针对这些需求给出了一个隧道接入平台，并将其与6to4方案进行了对比，结果表明其具有结构简单和通用性等优点。

高速IDS系统中读写缓冲区的互斥机制

在网络入侵检测系统中,通常需要在内存中开辟缓冲区对网络报文进行采集和分析,但是传统的读写缓冲区的互斥机制在高速网络环境中的效率都不甚理想,无法满足对高速IDS系统的性能需求。该文提出的一种基于并发锁机制的双缓冲区互斥机制可以改善传统锁机制的资源利用率,很好地解决了报文到达流和报文处理能力之间的性能瓶颈问题,显著地提高了IDS系统的性能。