高可靠信息系统非相似冗余架构中的执行体同步技术

非相似冗余架构被广泛使用到信息系统中,提高系统的安全性和可靠性。非相似冗余架构中的执行体之间存在差异,当系统正常工作时,执行体表现一致,但在面对恶意攻击行为时,执行体会表现出不一致。架构通过比较执行体的表现监控系统、感知威胁,从而提升系统安全可靠性。执行体的同步监控,是所有非相似冗余架构都需要解决的难题。目前没有针对同步技术比较系统性的描述和总结。该文首先对执行体同步问题进行了抽象建模,然后提出基于同步点的同步技术分类方法,并分别对每种技术的基本方式、流行度、优缺点进行了总结。该文还提出了影响同步效果的3个重要指标:同步点、误报率和性能,同时给出了同步技术的数学模型,可用于同步技术的设计评估。最后,结合网络弹性工程领域和软件定义晶上系统领域的发展,指出了同步技术未来的发展潜力和可能的发展方向。

智联计算网络技术发展研究

算网融合的理念和技术处于发展初期,相应计算任务调度、网络互联也处于“脱节”状态,因而把握智联计算网络技术发展趋势并提出自主创新的战略构想及发展路线成为亟需。本文分析了现有信息网络技术面临的挑战,提炼出网络与计算融合发展的主要趋势;论证形成我国自主创新的智联计算网络核心架构,精准阐明智联计算网络的发展目标与预期效益;深入剖析智联计算网络技术发展路线,涵盖多样化协议支撑、“网-算-存”一体化控制、服务功能智能编排、内生安全构造等智联计算网络关键技术布局,智慧园区网络场景、垂直行业网络场景、数据中心网络场景等智联计算网络示范应用。研究建议,深入创新智联计算网络技术体系,广泛部署智联计算网络示范应用,加速推动智联计算网络产品落地,以此促进智联计算网络技术的演进与应用。

基于国产FPGA的高速SS7信令研究与实现

高速SS7信令是一种在数字通信网中使用的公共信道信令技术,适用于无线和有线的公共交换电话网。现有高速信令解析方案可拓展性相对不足,在实际应用场景中扩展成本巨大,并且大都采用外国平台实现。随着国家信息系统软硬件平台对自主可控要求越来越高,文中提出一种基于国产高云FPGA的高速SS7信令解析方案。信令解析过程包括信令采集模块和信令过滤模块,分别对其进行了详细的介绍,并且解析信令的同时统计系统运行信息。相比现有方案,文中方案采用国产平台实现,满足自主可控要求,并对方案进行了模块化参数化设计,可以很容易地实现不同应用场景的扩展。最终设计实现了8路高速SS7信令的并发处理,经过实网测试验证,达到了预期的目的,并成功投入商用。

基于注意力机制的CNN和BiGRU的加密流量分类

针对传统加密流量分类方法准确率低、利用流量载荷会侵犯用户隐私,以及泛化能力弱的问题,提出一种基于注意力机制的CNN和BiGRU(CNN-AttBiGRU)的加密流量分类方法,可以同时适用于常规加密和VPN、Tor加密流量。该方法基于包大小、包到达时间以及包到达方向将流量转化为直观的图片,为提高模型准确率,使用CNN提取流量图片的空间特征,同时设计BiGRU和Self-attention模型提取时间特征,充分利用流量图片的时间和空间特征,可按照流量类别、加密技术和应用类型对流量进行不同层面的分类。该方法对加密流量类别分类的平均准确率达95.2%,较以往提升11.65%;对加密技术分类的准确率达95.5%,较以往提升7.1%;对流量所使用的应用程序分类的准确率达99.8%,较以往提升11.03%。实验结果表明,CNN-AttBiGRU方法的泛化能力强,并且其仅利用加密流量的部分统计特征,有效地保护了用户隐私,同时取得了高准确率。

基于改进CAE的物联网终端风险评估模型

物联网异构终端数量大、结构简单、安全防护能力弱,容易成为攻击目标。针对传统风险评估方法处理不断变化的大量风险因素时,评估机制建立困难,评估效率不高的问题,文章提出基于改进卷积自动编码器的物联网终端风险评估模型(Lightweight Convolutional Autoencoder Combined with Fully Connected Layers and Classifier Model,LCAE-FC)。将更轻量化卷积自动编码器与分类器结合构建模型,使高维特征学习与逐阶降维输出评估概率值一体化;编码器引入深度可分离卷积,每个通道学习广义行为特征内部结构;每个输出特征均进行平均池化,最大限度保留风险信息;全连接层与分类器结合将高维特征抽象后阶梯式降维输出风险概率值。N-BaIoT数据集上的实验结果显示,文章所提模型精确度和F1值均高达99.3%以上,相较传统的CAE、Bi-LSTM和SAE-SBR模型,性能更优。

支持增量式编程的多模态网络环境

当前,多模态网络编程模型与底层硬件紧耦合、强相关,导致网络程序呈现扁平化和单片化特征.因此,持续开发模态程序效率低下且极易出错,制约了网元设备的可用性和可靠性.为此,本文提出面向多模态网络的编程环境(PINet’s Programming Environment,PPE),支持增量式开发网络协议与功能.基于“巨型交换机”思想,PPE提出了一种平台无关的编程模型及语言,支持模块化编程和跨平台移植,通过模块单元的灵活组合提高网络程序的开发效率.同时,针对上述模型设计了前后端分离的编译系统框架.该系统自动化解析并组合分布式的模态程序,通过优化报文处理逻辑自动适配硬件资源约束.实验结果表明,在不影响硬件性能的基础上,PPE能够降低20%的程序开发量,同时引入编译时延和资源开销在合理范围内.

基于代表性节点扩张的保持社区结构的图采样算法

作为一种能够简化大规模图并保留其指定属性的方法,图采样被广泛应用于现实生活中。然而当前研究大多集中于保留节点级的性质,如度分布等,而忽略了图的社区结构等更为重要的信息。针对此问题,提出了一种保持社区结构的图采样算法。算法主要分为两个步骤,第一步为初始化社区代表点,根据提出的节点重要度计算公式算出节点的重要度,然后选出每个社区的代表性节点;第二步为社区结构扩张,针对每个社区,选择可能引入最少额外邻居的节点加入社区中,直到达到该社区节点上限。在多个真实数据集上进行了对比实验,使用多个评价指标来评估实验结果。实验结果表明,所提出的采样算法能够很好地保持原始图的社区结构,为大规模图的社区结构采样提供了可行的解决方案。

面向2035的多模态智慧网络技术发展路线图

当前互联网的基础架构与技术体系,在智慧化、多元化、个性化、高鲁棒、高效能等方面面临重大挑战,亟需变革网络基础架构并构建全维可定义的多模态智慧网络。本文在研判国内外网络技术领域发展态势的基础上,提出了多模态智慧网络技术的发展目标并凝练形成关键前沿技术预见清单,据此构建了面向2035年的我国多模态智慧网络技术发展路线图。研究表明,应前瞻布局网络架构、寻址与路由、网络全维可定义、网络智慧化、网络鲁棒控制等关键技术研发,以核心芯片、产品、系统等为核心内容来引导相关产业发展;可重点部署面向信息基础设施、垂直行业网络、天地一体化、人机物泛在互联的示范工程建设,以推动智慧网络业务落地实施。此外,从政策保障、科研平台支撑与联合攻关、扩大国际交流、人才培育与引进等方面提出了我国多模态智慧网络技术的保障措施建议。

异质弱相依网络鲁棒性研究

传统研究认为网络间相依边的引入使网络鲁棒性大幅降低,但现实相依网络的鲁棒性往往优于理论结果.通过观察现实相依网络的级联失效过程,发现节点不会因相依节点失效而损失所有连接边,且由于网络节点的异质性,每个节点的连接边失效概率也不尽相同.针对此现象,提出一种异质弱相依网络模型,与传统网络逾渗模型不同,本文认为两个弱相依节点的其中一个失效后,另一个节点的连接边以概率 γ 失效而不是全部失效,并且不同节点连接边失效概率 γ 会因节点的异质性而不同.通过理论分析给出模型基于生成函数的逾渗方程,求解出任意随机分布异质对称弱相依网络的连续相变点.仿真结果表明方程的理论解与随机网络逾渗模拟值相符合,网络鲁棒性随着弱相依关系异质程度的增大而提高.

NB-IoT技术在ATCA监测系统中的应用

为解决先进计算电信架构(Advanced Telecom Computing Architecture,ATCA)设备监测系统中存在的控制板卡自主可控度低、监测范围有限、部署实施难度大、运维成本高等问题,在实现智能平台管理控制器(Intelligent Platform Management Controller,IPMC)自主可控及监测界面设计的基础上,提出将现网中ATCA监测系统结构与近年备受关注的低功耗广域网(Low Power Wide Area Network,LPWAN)中的窄带物联网(Narrow Band Internet of Things,NB-IoT)技术相结合。通过对3种NB-IoT应用方案进行对比分析,结合目前现实情况,提出一种快速无线组网的可行方案,并基于此方案设计出一种能够进行数据处理及转发的传输节点,实现了智能平台管理接口(Intelligent Platform Management Interface,IPMI)消息在机箱管理控制器(Shelf Management Controller,ShMC)节点与NB-IoT模组之间的高效数据传输。

SDN网络边缘交换机异常检测方法

软件定义网络(SDN)为网络赋予了可编程性,降低了网络管理的复杂性,促进了新型网络技术的发展。SDN交换机作为数据转发与策略执行的设备,其权限不应被未经授权的实体窃取。然而,SDN交换机并不总是执行控制器下发的命令,恶意攻击者通过侵蚀SDN交换机对网络进行隐秘而致命的攻击,严重影响用户的端到端通信质量。通信顺序进程(CSP)作为针对并发系统设计的建模语言,可对SDN交换机-交换机,以及交换机-主机间的交互进行准确的描述。文中使用CSP对SDN交换机、终端主机进行建模,对两种异常交换机定位方法进行理论分析,并在实例化的模型系统中验证检测方法在边缘交换机作为出口交换机恶意转发时的有效性,结果表明无法检测该异常行为。针对这一问题,提出了边缘交换机异常检测方法,主机记录统计信息并通过构造特殊的数据包触发packet_in消息完成与控制器之间的信息传递,控制器收集统计信息并利用边缘交换机与主机之间的统计信息一致性检测边缘交换机的异常传输行为。最后,基于ryu控制器在mininet平台上进行实验,实验结果表明,边缘交换机异常检测方法可以成功检测异常行为。

基于改进Self-paced Ensemble算法的浏览器指纹识别

浏览器指纹技术凭借其无状态、跨域一致等优点,已经被许多网站应用到用户追踪、广告投放和安全验证等方面。浏览器指纹识别的过程是典型的不平衡数据的分类过程。针对当前浏览器指纹长期追踪过程中存在数据样本类不平衡导致指纹识别准确度低、长期追踪易失效等问题,提出了改进的Self-paced Ensemble(Improved SPE,ISPE)方法应用于浏览器指纹识别。对浏览器指纹样本欠采样过程和集成学习单个分类器的训练过程进行了改进,重点针对难以识别的浏览器指纹,添加类注意力机制并优化自协调因子,使分类器在训练和识别浏览器指纹的过程中更加注重边界样本的分类效果,从而提升总体的浏览器指纹识别准确度。在所收集的3 483条指纹和开源数据集中的15 000条指纹上进行了实验,结果表明,ISPE算法在浏览器指纹匹配识别的F1-score达到95.6%,相比Bi-RNN算法提高了16.8%。

RapidIO交换芯片的静态时序约束设计

静态时序分析是目前通用的芯片时序验证的重要方法,其依赖于时序模型和时序约束。时序约束是检验设计电路时序的准则,好的时序约束可以正确地体现芯片的设计需求。针对RapidIO交换芯片中存在的多时钟域构成、高速通道的高速时钟频率要求,2x/4x绑定模式下多lane时钟同步等的特殊要求,以及较多的跨异步时钟处理存在的问题,文中提出一种多分组的全芯片时序约束,通过设置时钟定义、时钟组定义、端口延迟定义、时序例外和虚假路径等,以及修正和优化必要的setup time/hold time违例,解决RapidIO交换芯片静态时序分析中的时序违例等时序问题,实现时序收敛的目的。实验验证及流片测试结果表明,所有时序路径均满足时序要求,RapidIO芯片的时序约束设计正确、完备。

面向大规模网络的服务功能链部署方法

网络功能虚拟化(NFV)将网络功能从硬件中间盒中解耦出来,部署功能实例并编排为服务功能链(SFC),从而实现网络服务。针对资源受限情况下大规模网络环境中的SFC动态部署问题,提出一种基于多智能体的群策部署方法,该方法结合了集中式深度强化学习(DRL)和传统分布式方法的优点。将SFC部署问题建模为部分可见马尔可夫决策过程,每个节点部署一个Actor-Critic智能体,仅通过观察本地节点信息即可得到全局训练策略,具有DRL的灵活性和自适应性。本地智能体控制交互过程,以解决集中式DRL方法在大规模网络中控制复杂、响应速度慢等问题。基于多线程的思想,收集、整合每个节点的经验进行集中式训练,避免完全分布式训练过程中部分节点因请求流量少而导致训练不充分、策略不适用等问题。实验结果表明,该方法无须考虑网络规模而且不依赖特定场景,可以很好地适应现实中复杂多变的网络环境,在相对复杂的流量环境中,与CDRL、GCASP方法相比,在多种流量模式下所提方法的部署成功率均提高了20%以上,同时能够降低部署成本。

云边协同下的虚拟网络功能部署和流量调度方法

基于网络功能虚拟化(Network Function Virtualization,NFV)软硬件解耦的网络架构,运营商通过部署多个端到端逻辑网络为垂直行业提供多样化服务.然而,面对时延敏感型服务,需要将部分虚拟网络功能(Virtual Network Function,VNF)下沉到网络边缘.基于此,多接入边缘计算(Multi-Access Edge Computing,MEC)技术应运而生.但是,与核心云相比,边缘云的资源容量和计算能力有限,因此,在部署网络服务时既要考虑云边协同下的资源分配问题,还要考虑如何进行流量调度以提升边缘云的资源利用率并解决底层网络中的负载均衡问题.鉴于此,本文提出了一种基于动态流量拆分的VNF部署和流量调度方法.通过动态流量拆分将流量请求分配到多条路径和多个节点,从而使全局流量分布的更加均衡,根据流量拆分结果进行VNF部署,进而减少发生网络拥塞和流量请求超时的概率.其中,每条流量请求的拆分条数与拆分比例可以根据底层网络的资源状态和流量的特性灵活调整.因此,整个过程包括有效的流量拆分策略、VNF部署策略和流量调度策略.本文将云边协同下的虚拟网络功能部署和流量调度问题描述为混合整数线性规划(Mixed Integer Linear Programming,MILP)问题,并提出了一种基于禁忌搜索算法和遗传算法的联合优化(TSGA)算法.仿真结果表明,TSGA算法相比于TS算法和RB算法可以分别提高7.7%和12.9%的流量请求接受率,并分别减少5.4%和7.8%的流量平均开销.

一种面向超高速以太网的双模RS解码器设计

100 GB以上超高速以太网采用FEC(Forward Error Correction)技术来降低误码率,提升传输可靠性。针对目前以太网中RS(528,514)码和RS(544,514)码两种编解码规范并存,导致的FEC解码器结构冗杂、资源耗费严重、面积占用大等问题,文中将多模RS解码器的概念引入以太网FEC解码器设计,提出一种适用于100 GB及以上超高速以太网的双模RS解码器。通过对不同的编解码规范进行研究与分析,设计通用的SC、KES、CSEE模块并实现部分内存共享,采用并行设计与流水线处理来降低传输时延、提高吞吐量。在100 GB以太网中进行仿真实验,测试该双模解码器的功能完整性、资源开销以及功耗。结果表明,所设计的双模RS解码器能成功实现对两种FEC规范的解码,解码时延分别为93 ns,96 ns,相比于传统RS解码器,资源开销与功耗分别降低32.32%,17.34%。

PIFET-协议无关的灵活加密传输机制

随着网络技术的发展,各类新型网络协议层出不穷。然而,当前异构网络缺乏完善、有效的安全机制,数据传输过程中面临着隐私泄露的风险,可能带来一系列安全问题。针对上述挑战,该文提出了一种协议无关的灵活加密传输机制(PIFET),通过提高数据的机密性和加密的灵活性,进一步保障异构数据的通信安全。首先,基于可编程平台设计了面向异构协议的灵活加密传输的系统架构;在此基础之上,根据异构数据的传输需要和安全需求,实现了灵活的加密机制,提供了两种不同安全等级的加密方法;最后,提出了面向隧道模式的字段灵活可选的加密机制。实验结果表明,PIFET为用户提供了多种安全级别的、可定义的加密方法,满足了不同数据类型的加密需求。字段灵活可选的加密机制减少了不必要的加密量,从而降低了延迟,提高了系统的时间效率。

全维可重构的多模态网络交换芯片架构设计

当前,IP网络结构僵化、可扩展性差、安全性差。为了解决这些问题,学者们提出了多模态网络的概念,并成为当前的研究热点。可编程网络交换芯片是多模态网络的实现基础。提出了一种全维可重构的多模态网络交换芯片架构,以嵌入式FPGA为基础实现了多模态网络的端口级、比特级细粒度可重构,以自主设计的网络处理单元为基础实现了网络交换引擎的粗粒度可重构,使网络交换芯片具备了全维可重构的能力,为多模态网络的数据层提供了实现基础。还提出了一种改进的位矢量查找算法,能够以较小的资源占用实现较快的流表查找,提升网络交换性能,展现出较高的实用性。

基于自注意力胶囊网络的伪造人脸检测方法

当前以换脸为代表的伪造视频泛滥,给国家、社会和个人带来潜在威胁,有效检测该类视频对保护个人隐私和维护国家安全具有重要意义。为提高视频伪造人脸检测效果,基于可解释性好的胶囊网络,以Capsule-Forensics检测算法为基础,提出一种结合自注意力胶囊网络的伪造人脸检测方法。使用部分Xception网络作为特征提取部分,降低模型的参数量,在主体部分引入带注意力机制的胶囊结构,使模型聚焦人脸区域,将综合多维度的Focal Loss作为损失函数,提高模型对难分样例的检测效果。实验结果表明,与Capsule-Forensics算法相比,该方法能够减少模型参数量和计算量,在多种伪造类型数据集上均具有较高的准确率。

自主创新打造网络空间安全中国方案——国家重点研发计划项目“网络空间拟态防御技术机制研究”取得阶段性成果

当前,网络空间的基本安全态势是“攻易守难”。根本技术原因在于网络空间存在泛在化的基于未知漏洞和后门等不确定威胁,且缺乏彻查漏洞和后门等的科学与技术方法。虽然已经发展出以入侵检测、入侵预防、入侵容忍等为代表的一系列防御技术和方法,但解决问题的基本思路仍停留在基于威胁特征和攻击行为感知的被动防御层面.