基于知识图谱的网络空间地理图谱构建方法

在互联网快速发展且网络安全愈发重要的数字信息时代,网络空间地理图谱被认为是认知和管理网络空间的新型手段,其通过综合网络空间和地理空间的信息,能够从多个角度更加全面地展示网络空间态势。但目前对于网络空间地理图谱的研究工作缺乏对网络空间模型细粒度的刻画,也缺乏网络空间地理图谱的具体构建方法和应用方式。针对上述问题,以网络空间认知为目标,文中扩展提出了一个带有时间参考轴的四层四级的网络空间分层模型。此外,为了更好地理解复杂的网络空间环境,还结合知识图谱技术,提出了一个构建网络空间地理图谱的具体框架以及构建网络空间本体的方法。基于Censys的真实测绘数据,成功构建了一个模拟园区网络的网络空间地理图谱原型。本研究提出了对网络空间分层结构的改进方法,同时也将知识图谱引入网络空间地理学的研究领域。这不仅有助于提高对网络空间的理解,而且在网络安全、资源管理、故障恢复、决策制定等方面具有实际的应用意义。

轻量级链式验证的网络传输层安全性增强方法

传输层是网络协议栈的关键组成部分,负责为不同主机间的应用程序提供端到端的服务.已有的传输层协议如TCP等为用户提供了基本的差错控制和确认应答等安全保护机制,在一定程度上保证了不同主机间应用程序收发报文的一致性.但现有的传输层安全保护机制存在严重的缺陷,如TCP报文的序列号容易被猜测推理,报文校验和的计算依赖于有漏洞的补码求和算法等.这导致现有的传输层安全机制并不能保证报文的完整性和安全性,从而允许一个远程的攻击者伪造出一个报文,注入到目标网络流中,对目标网络流形成污染或攻击.针对传输层的攻击发生在网络协议栈的基础层次,可以旁路掉上层应用的安全保护机制,对网络基础设施造成严重的危害.深入研究近年来针对网络协议栈的各种攻击和相关安全漏洞,提出一种基于轻量级链式验证的传输层安全性增强方法LightCTL.所提方法基于哈希验证的方式,使TCP连接双方能够对传输层报文形成彼此可验证的共识,避免攻击者或中间人窃取和伪造敏感信息,从而解决网络协议栈面临的典型安全威胁,包括基于序列号推理的TCP连接重置攻击、TCP劫持攻击、SYN洪泛攻击、中间人攻击、报文重放攻击等.LightCTL不需要修改中间网络设备如路由器等的协议栈,只需对终端协议栈中的校验和相关部分进行修改,因此方法易于部署,同时显著提升了网络系统的安全性.

可扩展的网络验证技术:研究现状与发展趋势

互联网作为国家信息基础设施的重要组成部分,已经在各个领域发挥着巨大的作用.随着其规模不断扩大和应用持续深入,我们也面临着意图不一致的网络行为可能导致的灾难性危害.为了确保互联网的正常运行和网络行为的一致性,我们迫切需要可部署的网络验证技术,以确保网络运行时的行为与网络运维人员的意图一致.当前已经有许多关于网络验证技术的研究,这些研究帮助用户实现自动检测网络错误,并进一步分析错误产生的原因.然而,为了满足互联网规模不断扩大的需求,可扩展性问题成为在互联网部署网络验证技术的一项重要挑战.即如何在满足时间和空间复杂度约束的前提下,快速发现并排查网络策略的错误,真正将网络验证技术应用于实际,成为一个研究热点.本文从数据面验证和控制面验证两个方面出发,深入研究和总结了现有的网络验证研究工作,并探索了基于时空优化的可扩展性技术,对这些方案的特点进行了系统性分析.最后,本文总结和展望了网络验证可扩展技术的未来研究趋势,为该领域的研究人员提供一定的参考.

网络空间信息系统模型与应用

针对网络空间可视化往往还在使用传统的地理信息系统,难以真正展现网络空间特点和规律的问题,提出了多尺度、多维度、多视图的网络空间信息系统模型,将网络空间信息系统定位为与地理信息系统相平行的概念,即地理信息系统支持以地理坐标系为基础的可视化表达,网络空间信息系统支持基于网络空间自身坐标系的可视化表达。同时定义了网络空间信息系统的基本概念模型,为之后的研究奠定理论基础,并阐述了网络空间信息系统关键技术,以及部分关于坐标系、比例尺、多维度表达模型等探索性研究工作和应用案例。研发的原型效果表明,网络空间信息系统更便于网络空间事务的展现和处理。

清华大学校园安防系统建设与应用

介绍了清华大学校园安防系统的组成构架。在该安防系统的设计和建设中,除了考虑技术先进性外,还考虑到系统的可扩展性、易用性和安全可靠、应急处理的可视化、机动性、实时交互和智能化。清华大学校园安防系统由安防专网、安防管理平台与应用支撑系统、应用子系统、监控指挥中心及分控中心等几部分组成。该系统的建成为清华大学校园安全保卫工作提供了很好的技术支撑。

专栏评述:网络公害治理

当前网络博彩、电信诈骗、色情网站和网络攻击等新型匿名化网络公害主体呈现出反侦查能力强、匿名化手段多以及产业化程度高等认知对抗特点,网络公害治理面临源头发现难、取证难以及溯源难等突出问题,亟需新的基础理论和关键技术来支撑.随着人工智能、知识图谱和大模型等技术的发展,如何将新理论和新技术应用到网络公害源头的发现、相关人员及组织的取证溯源,对于维护天朗气清的网络空间良好生态具有重大的意义.

专栏评述:网络公害治理

当前网络博彩、电信诈骗、色情网站和网络攻击等新型匿名化网络公害主体呈现出反侦查能力强、匿名化手段多以及产业化程度高等认知对抗特点,网络公害治理面临源头发现难、取证难以及溯源难等突出问题,亟需新的基础理论和关键技术来支撑.随着人工智能、知识图谱和大模型等技术的发展,如何将新理论和新技术应用到网络公害源头的发现、相关人员及组织的取证溯源,对于维护天朗气清的网络空间良好生态具有重大的意义.

面向IPv6的网络空间国际治理联合研发与示范

互联网向基于IPv6的下一代互联网演进已成为全球共识。IPv6技术与5G、物联网技术共同发展,将真正实现万物互联,随之而来的数据泄露、网络攻击等安全问题也更加突出。互联网是全球共享的重要资源和关键基础设施,任何网络安全威胁和攻击都可能在全球蔓延,所有国家都需要共同面对各种网络安全威胁。清华大学网络科学与网络空间研究院王继龙教授团队联合13个其他国家的15个研究机构和中国的7个研究机构成功申报并推进“面向IPv6的网络空间国际治理联合研发与示范”项目,针对IPv6网络空间国际治理中存在的问题进行研究,创新体系结构、突破关键技术、研发原型设备和系统、开展规模应用示范,提高网络空间国际治理能力。

课联网——网络空间时代的“互联网+教育”

以互联网为基础的网络空间已成为继大陆、海洋、天空、太空之后的人类社会第五大疆域。与物理空间相似,网络空间同样包含政治、经济、军事、文化、社会、生态等诸多维度,正发展成为一个与物理世界平行的新世界,由人类自己作为＂上帝＂缔造的新世界。人们将同时生活在线上和线下两个世界,未来将会如此的不同,以至一切传统都面临革命和被革命的选择。

2022年中国网络安全产业十大创新方向

网络安全行业的一大特点,是新概念、新名词术语多,不仅以Gartner为代表的研究咨询机构每年要新定义很多新的产品品类、技术方向,众多安全企业也从营销的角度在“造词”。本文盘点2022年产业界关注度较高的“热词”,解析这些词背后的技术和产品的核心能力、应用场景和关键挑战。

ADN:地址驱动的网络体系结构

以TCP/IP架构为基础的互联网,在可扩展性、高效性、安全性和灵活性等诸多方面面临着重大挑战.究其根源是因为在现有的大部分解决方案下,IP地址的多重属性没有得到充分体现和应用.文中提出了一种以地址为驱动的网络体系结构ADN(Address Driven Network).ADN的核心思想是以IP地址的创新管理和使用方法为驱动,充分利用IP地址的多重属性,包括长度属性、逻辑属性、拓扑属性、时间属性、空间属性、所有者属性等,来解决当前互联网面临的规模扩展、平滑移动、安全可信、服务质量、网络虚拟化等问题.ADN在IP地址多重属性得到应用的基础上,能够实现多种技术或应用,包括真实IP地址、二维路由、动态IP等.其中,二维路由将IP报文的源地址和目的地址一齐作为路由的依据,在保持纯IP路由的前提下能够完成许多现有扩展协议在牺牲一定性能和可管理性的基础上才能够完成的复杂路由;真实IP地址和动态IP则分别对报文的源地址和目的地址的真实有效性进行验证,防止恶意终端通过伪造源地址的方式发起规避追踪的网络攻击,或者对其他终端发起未得到授权的访问.

基于区块链的网络安全体系结构与关键技术研究进展

随着互联网技术的不断演进与用户数量的“爆炸式”增长,网络作为一项基础设施渗透于人们生存、生活的各个方面,其安全问题也逐渐成为人们日益关注的重点.然而,随着网络规模的扩大以及攻击者恶意行为的多样化、复杂化,传统网络安全体系架构及其关键技术已经暴露出单点信任、部署困难等诸多问题,而具备去中心化、不可篡改等特性的区块链技术为网络安全所面临的挑战提供了新的解决思路.本文从网络层安全、应用层安全以及PKI安全三方面对近几年基于区块链的网络安全体系结构与关键技术研究进行梳理,并将区块链的作用归类为真实存储、真实计算、真实激励三种情形.针对区块链的具体应用领域,本文首先介绍了该领域的安全现状,然后对区块链的具体应用研究进行了介绍,并分析了区块链技术在该领域所存在的优势.本文最后结合现有的解决思路对未来区块链应用中所需要注意的隐私问题、可扩展性问题、安全问题以及区块链结构演进的方向进行了分析,并对未来基于区块链的网络安全体系结构与关键技术研究进行了展望.

软件定义网络中北向接口语言综述

软件定义网络(software defined networking,简称SDN)的产生使得网络中的数据平面与控制平面相分离,网络中的控制逻辑集中于控制器上,运行于控制器上的网络应用使得网络变得更加简单可控和灵活.软件定义网络中的北向接口是指控制器与网络应用之间进行通信的接口.在软件定义网络应用研究与开发的过程中,北向接口占据着一个重要的地位.综述了SDN中北向接口的编程语言,首先介绍北向接口编程语言的研究背景,然后根据编程语言的抽象程度、编程模型、实现机制以及是否引入新功能这4个方面将编程语言分类,详细介绍每个类别下各种北向接口语言的结构和核心特性,最后结合语言的应用场景对编程语言进行横向比较,进而展望了北向接口编程语言未来的研究方向.

IP网络时延敏感型业务流自适应负载均衡算法

互联网对时延敏感的业务数据流,要求具有较低的端到端时延,但是网络拥塞的发生,将会使服务质量无法保证。基于链路关键度提出了一种新的自适应负载均衡路由算法(LARA,load adaptive routing algorithm),能最大限度地避开拥塞链路从而减少端到端延迟。该算法通过得到一个优化目标函数,并利用凸优化理论将优化目标函数分解为若干个子函数,最终得到一个简单的分布式协议。利用NS2仿真器在基于CERNET2真实的拓扑结构上进行仿真实验,同时与网络中能普遍部署的等开销多路径(ECMP,equal-costmulti-path)算法相比较,通过测试反馈时延、分组丢失率、流量负载,结果表明LARA具有更好的自适应性和健壮性,性能相比更优。

基于拓扑分析的区域级网络抗毁性研究

为了衡量区域受到不同攻击的整体影响,捕捉区域网络拓扑之间的抗毁性差异,提出一种区域抗毁性评估算法。从区域内部和区域外部出发,分析区域内部自身抗毁性和区域之间通信拓扑的抗毁性。多方获取测量数据并校验以构建拓扑关系图,实现区域间链接的预测作为拓扑数据的补充。基于分层概率采样,多次模拟破坏以逼近真实情况下区域的受破坏情况。实现显著性检验器,分别从整体水平和特殊薄弱点衡量区域受破坏的影响,发现区域之间受破坏情况的差异,计算区域抗毁性排名。最终给出48个区域的排名和聚类结果。

基于位置的天地一体化网络路由寻址机制研究

针对卫星高速移动导致的卫星网络内部及与地面网络间的连接关系不断变化的问题,提出了一种基于位置的天地一体化网络路由寻址机制——LA-ISTN。用户的IP地址携带其地理位置信息,在星间路由时,基于位置信息计算得到的路由方位选择最优的转发接口。仿真结果表明,相对于快照协议和OSPF路由协议,LA-ISTN显著降低了星上路由表存储开销,没有路由更新包交换开销和邻居通信开销;星上路由不依赖预测的链路连接关系,稳健性强,可保证网络时刻可用。

骨干网络中RoQ攻击的监测、定位和识别

降质(reduction of quality,RoQ)攻击是一种非典型拒绝服务攻击,它利用TCP自适应机制的安全漏洞能够显著降低或抑制TCP服务质量,且具有很强的隐蔽性.现有的研究集中在针对单条网络链路上的攻击和检测.但是,RoQ攻击的对象并不局限于此,它既可以对单条链路发动攻击,也可以有选择的对多条链路(甚至整个网络)发起攻击,造成更大的危害,所以需要有一种能够从网络全局角度分析和识别的方法.为此,提出了一种基于骨干网络流量分析的异常监测、定位和识别的方法 MIL-RoQ(monitoring,identifying and locating the RoQ attack in backbone network).主要使用主成分分析(principal component analysis,PCA)和频谱分析(spectrum analysis)技术对骨干流量进行流量建模分析,从全局角度监测网络流量变化情况,能够同时分析和判断多条链路的异常情况,并能准确识别出RoQ攻击.使用了CERNET骨干网络数据进行实验分析,结果表明该方法能够有效地定位和识别RoQ攻击;同时,攻击识别时只需要使用局部的流量数据,因而能显著降低计算量和复杂度.

基于Telemetry架构的数据中心网络纳秒级时间同步

为了解决传统的局部时间同步架构与集中式管理脱节、需要额外交互开销、时间数据较少易受离群值影响等问题,针对数据中心网络的高精准时间同步需求,提出了基于Telemetry架构的纳秒级时间同步系统。该系统借助数据中心的背景流量收集时间信息,结合离群因子检测算法对汇报上来的大量时间信息进行分析处理,达成一种集中式的纳秒级自动同步,便于后续全局网络调度。所提系统在可编程交换机上实现并进行了评估,结果显示在多跳之间及不同链路速率下,节点间均可以达到纳秒级的高精准时间同步。

社交网络研究综述

社交网络已成为Web2.0时代最流行的应用,其服务范围已逐步从社交关系管理扩展到媒体信息、应用集成、电子商务等领域。社交网络中大量的活跃用户为研究网络行为、数据安全、信息传播以及其他跨学科问题提供了宝贵的数据和场景。自Facebook出现以来,研究者先后从不同的角度对社交网络进行了大量的研究,这些研究对人们认识社交网络内部规律、促进ICP服务改进具有重大意义。首先对社交网络的发展进行了简单的回顾;然后从社交网络的数据采集技术、社交网络用户行为分析、社交网络中的信息传播及社交网络中的用户隐私4个方面对已有的研究工作进行总结评价;最后,总结了当前研究中出现的问题并对未来研究发展趋势进行了展望。希望能为该领域的研究者提供一些有益的启示。

宽带无线网络中的频谱资源管理综述

在宽带无线网络中,频谱是重要但很稀缺的资源.随着无线网络规模的迅速增长,有限的频谱资源已无法满足日益增长的移动流量.为缓解网络压力、提高频谱资源的利用效率,频谱资源管理机制得到了广泛的关注.首先简述无线通信中频谱资源的基本知识,并分析频谱使用所面临的主要挑战;然后,从传统的静态频谱管理和正在成为主流的动态频谱管理两个方面对宽带无线网络中的频谱资源管理研究进行分类总结和分析评价;最后,从管理架构和关键要素两个层面对频谱资源管理未来研究的发展趋势进行了展望.