一个千兆网络入侵防御系统的设计与实现

随着网络速度的日益提高和网络入侵行为的越来越复杂化，高速高性能的网络入侵检测和防御系统越来越受到重视，但是目前绝大部分研究都集中在网络入侵检测系统方面．但是由于入侵检测系统的局限性，同时不具有实时阻断的功能，目前入侵防御技术和系统更受人们的重视．由于入侵防御系统涉及很多关键技术和技术难点，因此目前千兆级的实用的入侵防御系统并不多见，论文提出了一个实现网络入侵防御系统的基于硬件的框架，这个框架实现了网络入侵防御系统的所有功能．测试表明具有实用性．     

防火墙与入侵检测联动的研究与设计

目前,网络攻击和入侵行为日趋复杂,单一的防御技术已经无法有效地保护网络。介绍防火墙、入侵检测技术的概念．设计一种防火墙和入侵检测系统联动的模型。使系统既能检测入侵行为,又能实时阻断攻击,从而达到提升系统整体防御能力的目的。     

高速网络下的DDoS检测

分布式拒绝服务（DDos）攻击是长期困扰网络安全领域的问题之一。特别是高速网络下，检测系统需要处理大量的数据，其检测策略和系统处理能力直接影响到DDoS检测的准确率和响应速度。该文提出了在高速网络下的DDoS检测系统DDES（DDoS Detection System）。DDES在协议分析的基础上，对处于危险状态的连接进行统计分析；它采用分布式的结构，多个探测子节点协同分析处理以提高处理性能；同时配合网络边缘设备对攻击源实施阻断。     

基于联动机制的入侵防御系统

当前的IDS入侵检测系统对于较为复杂的攻击缺乏有效的应对和阻断能力，而防火墙则缺乏针对各种攻击的灵活的过滤策略。文章以snort入侵检测系统和iptables防火墙为实例，构架了一个基于联动机制的入侵防御系统。该系统能够使IDS入侵检测系统与防火墙联动运行，利用IDS的入侵检测能力，动态地为防火墙定制针对各种入侵的过滤规则，实现对入侵行为的实时阻断。     

企业网十点防入侵

保护企业至关重要的服务器不受攻击,使IT和网络安全经理面临着众多的挑战。缺少专用的安全资源和越来越隐蔽的攻击方式是最令人头疼的两个问题。尽管在过去,入侵检测系统(IDS)是一种受到企业欢迎的解决方案,但它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会在攻击发生前主动阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击或老式攻击的变形,它们也不能对加密流量中的攻击进行检测。那么,企业还有什么选择呢?入侵防护系统(IPS)是企业安全的下一步合理防护措施。它不仅可进行检测,还能在攻击造成损失前阻断它们,从而将入侵检测系统提升到一个新水平。这两种技术间的区别是企业管理人员已经非常熟悉的:入侵防护阻断了红色代码、尼     

主动攻击响应技术研究

本文首先介绍了当前的入侵检测系统在攻击阻断方面所采用的主要技术，并分析了这些技术的局限性。然后提出了一个协同主动攻击响应机制，这种机制通过协同防火墙、入侵检测系统、特定攻击阻断代理、攻击取证与恢复系统等来提高攻击响应能力，特别是主动攻击响应能力。     

入侵检测系统中网络数据采集技术研究

网络数据采集是入侵检测系统的基础组件。入侵检测系统采集到数据后,将首先通过过滤机制过滤掉无用的数据,然后对数据进行协议分析和模式匹配,以检测攻击的发生。本文对流行的网络数据采集工具Libpcap进行了详细分析,该工具只适合在普通网络环境下运行,不能满足高速入侵检测系统的需求。为此,本文又对零拷贝技术进行了研究与试验,并成功实现了该技术,从软件上满足了高速入侵检测系统的要求。     

计算机网络入侵检测技术

入侵检测作为一种主动的安全防护技术．提供对内部攻击、外部攻击和误操作的实时保护。阐述网络入侵以及入侵检测的基本概念,介绍当前常见的入侵检测技术,分析入侵检测系统存在的问题．并针对存在的问题提出基于神经网络BP算法的入侵检测模型。     

关于网络入侵检测系统的技术改进

本文在对基于网络的入侵检测系统的研究中,提出将主机知识、网络域知识结合到检测系统中去,解决了检测系统易受插入攻击、躲避攻击的问题。本文还提出了检测子网的概念,根据检测需要将物理子网划分为几个检测子网,可以实现负载的分流和检测任务的专业化分工,负载分流可以彻底解决高速网对网络入侵检测系统的威胁,专业化分工可以大大提高检测引擎的处理速度。     

入侵防御系统在应急平台网络中的应用研究

随着国家应急平台项目的深入建设和网络环境的日趋复杂,以及入侵手段日益多样化,传统的防火墙技术和入侵检测系统在网络安全防护方面的缺陷凸显.提出了一种基于入侵防御系统的应急平台网络安全解决方案,分析了这种新的安全防护技术的工作原理、技术优势及在应急网络平台中的发展前景.测试运行表明,部署该安全解决方案后阻断了大量外部攻击,给整个网络的安全性提供了有力的保障.     

一种有效的无结构对等网络搜索算法

点对点（Peer-to-Peer）网络已发展成为当今最为流行的资源共享系统之一。其中的资源搜索是一个关键性问题。传统的方法借助本地所掌握的网络信息,利用某种搜索算法来定位资源。但是这些方法只遵循很少的搜索规则,因此不能取得理想的搜索性能。文章提出一种更为高效的预搜索忽略优化算法来搜索P2P网络。它分为两个阶段：第一个阶段进行预搜索并获取网络拓扑结构和资源的信息,第二个阶段通过已获取的信息对网络结构进行逻辑上的优化,进而更高效地搜索P2P网络。     

基于DHT的拓扑感知节点聚集算法

在文件共享、流媒体和协作计算等P2P应用模型中,节点间采用单播通信并构建出对应的覆盖网络.由于覆盖网络通常建立在已有的底层网络之上,节点随机加入系统将导致上下层网络拓扑不匹配,不仅增加了节点间通信延时而且给底层网络带来较大的带宽压力.当前的拓扑匹配算法尚存在可扩展性低、节点聚集时延长等问题.在网络坐标算法和DHT算法基础之上,提出一种分布式的拓扑感知节点聚集算法TANRA,利用等距同心圆簇对节点二维网络坐标平面进行等面积划分,并根据节点所处区域进行多层命名空间中区间的一一映射.由于保留了节点之间的邻近关系,从而可使用DHT基本的"发布"和"搜索"原语进行相邻节点聚集.仿真结果表明,TANRA算法在大规模节点数时能有效保证网络拓扑匹配,并且具有较低的加入延时.     

C-trust: A trust management system to improve fairness on circular P2P networks

An important issue in Peer-to-Peer networks is to encourage users to share with others as they use the resources of the network. However, some nodes may only consume from users without giving anything in return. To fix this problem, we can incorporate trust management systems with network infrastructures. Current trust managements are usually made for unstructured overlays and have several shortcomings. They are made to be very similar to e-commerce scoring websites which may not be the best design for fairness in P2P networks. Several problems may arise with their designs such as difficulties to provide a complete history of freeloaders or lack of an autonomous removal mechanism in case of severe attacks. In this paper, we argue that such systems can be deployed more efficiently by using a structured paradigm. For this purpose, we propose C-Trust, a trust management system which is focused on fairness for P2P networks. This is done by getting help from current circular structured designs. This method is able to mark freeloaders, identify their severity of abusion and punish them accordingly. We are also able to effectively protect both Seeder-to-Leecher and Leecher-to-Leecher transactions. This feature is specially important for fairness which other trust systems have not considered so far.     

一种新的无线网络显式误码丢包指示机制及其分析讨论

无线应用的飞跃发展和广阔的应用前景,使得人们不得不把更多的目光投向无线网络的通信。由于无线环境与有线环境相比,具有误码率高、时延大、带宽低、信道不对称以及频繁的移动等特性,使无线网络中的通信质量难于保证。针对这一问题,提出了一种新的无线网络显式误码丢包指示机制,并对其进行了分析讨论。此机制实现简单,所增加的系统额外开销小,能有效地改善无线网络中的通信性能,具有明显的现实意义。     

QUIET: A Methodology for Autonomous Software Deployment using Mobile Agents

Every software setup has an installation wizard that helps the user to install/un-install the software on PCs. Typically user interaction is required and the process cannot proceed without user input. Silent Unattended Installation Package Manager (SUIPM) automates the process of software installation/un-installation and can be used to deploy any software silently without user interaction. In this paper, we have proposed A Methodology for Autonomous Software Deployment using Mobile Agents, which deploys silent unattended installation/un-installation packages efficiently and smartly on networks without user interaction or intervention, suitable for network of networks, commonly known as CAN (campus area network). The system once initialized is fully autonomous and deployment of the software(s) is performed efficiently and autonomously with the help of mobile agents. We have evaluated this architecture on the university campus having 7 laboratories equipped with 20–300 PCs in various laboratories. Results are very promising and support the implementation of the solution.     

基于SDN的TDMA体制星间网络架构设计

TDMA(时分多址)体制的导航星间网络既可以实现导航测距,也具备较高的数据传输速率,具有较为广泛的业务适应能力;然而,TDMA体制的星间网络系统也存在着星上处理复杂与卫星节点处理能力低的矛盾;借鉴SDN(软件定义网络)将网络系统控制层面与数据层面相分离的思想,在TDMA体制的星间网络中引入SDN技术,设计了基于SDN的TDMA体制星间网络架构,将控制功能从卫星节点抽离出来,使其可以专注于星间数据转发,控制管理信息主要由卫星地面站(后续为高轨道卫星)扮演的SDN控制节点制定并分发,从而简化了卫星的业务负担,同时可以借鉴成熟的地面网络技术制定高效的控管策略;对所设计架构的主要的控管流程进行了仿真模拟,仿真结果表明,该架构具有一定的可行性。     

基于延迟的MPLS网络流级多径负载平衡

提出一种流级的多径负载平衡模型。该模型考虑到实际网络中的背景业务，将每个LSP模拟为M／G／1处理器共享队列，通过成本函数最小化原则，实现多径负载均衡。根据对模型的分析，提出一种应用于MPLS网络中的稳定的负载平衡机制。核心LSR并不参与执行流量工程，根据测量到的延迟按流实现负载分配。仿真结果证明该算法是有效的，能够在多径之间平衡地分配流量，吞吐率得到很大提高，网络资源得到有效利用。     

移动自组织网络路由选择算法研究进展

移动Ad Hoc无需基础设施,可支持高动态的移动数据通信,具有广泛应用的前景。然而,其高动态特性导致互联网现有路由协议不再适用。近年来学者针对Ad Hoc网络提出了大量的路由选择算法。给出了各种路由技术分类方法,简述了Ad Hoc网络的基本路由协议和路由选择算法,进而从预测模型、能量模型、位置信息、服务质量控制和安全支持等5个角度,深入分析了当前Ad Hoc网络路由选择算法的最新研究进展。预测模型通过基于历史信息的移动预测,降低了路由选择的时间代价;能耗模型则采用适当的数学模型来描述网络能耗情况,在选路过程中实现了分组传送的能耗最小化和能量负担均衡之间的权衡;基于位置的路由选择算法根据节点的地理位置来标识目的地,从而利用该地理位置信息进行路由选择;服务质量感知的路由选择算法在本地计算中考虑带宽、延迟、能量和电池生命周期,从而在选路过程中提供了服务质量支持;安全路由选择算法则利用适合移动Ad Hoc网络的密钥、哈希链、电子签名等技术对协议交互消息进行加密来保障网络安全。最后从通信开销、计算和存储开销、路径数量、关键节点的存在性以及算法类型等方面详细对比总结了近年来提出的30余种典型路由选择算法,指出了各自的特点...     

大规模移动自组网安全群组通信研究

移动自组网中的安全群组通信需要处理群组成员关系的动态性、成员位置的动态性、以及网络分区和合并等情况。如何高效地处理这些情况是移动自组网安全群组通信中要解决的重要问题。针对成员关系动态性、成员位置动态性和网络分区和合并带来的问题，提出研究与设计一种移动自组网中的“虚拟动态骨干网”模型。主要从组成员认证和组密钥管理两方面进行了研究，并基于虚拟动态骨干网提出了初步的解决方案。     

A survey on routing algorithms for wireless Ad-Hoc and mesh networks

Wireless networking technology is evolving as an inexpensive alternative for building federated and community networks (relative to the traditional wired networking approach). Besides its cost-effectiveness, a wireless network brings operational efficiencies, namely mobility and untethered convenience to the end user. A wireless network can operate in both the “Ad-Hoc” mode, where users are self-managed, and the “Infrastructure” mode, where an authority manages the network with some Infrastructure such as fixed wireless routers, base stations, access points, etc. An Ad-Hoc network generally supports multi-hopping, where a data packet may travel over multiple hops to reach its destination. Among the Infrastructure-based networks, a Wireless Mesh Network (with a set of wireless routers located at strategic points to provide overall network connectivity) also provides the flexibility of multi-hopping. Therefore, how to route packets efficiently in wireless networks is a very important problem.A variety of wireless routing solutions have been proposed in the literature. This paper presents a survey of the routing algorithms proposed for wireless networks. Unlike routing in a wired network, wireless routing introduces new paradigms and challenges such as interference from other transmissions, varying channel characteristics, etc. In a wireless network, routing algorithms are classified into various categories such as Geographical, Geo-casting, Hierarchical, Multi-path, Power-aware, and Hybrid routing algorithms. Due to the large number of surveys that study different routing-algorithm categories, we select a limited but representative number of these surveys to be reviewed in our work. This survey offers a comprehensive review of these categories of routing algorithms.In the early stages of development of wireless networks, basic routing algorithms, such as Dynamic Source Routing (DSR) and Ad-Hoc On-demand Distance Vector (AODV) routing, were designed to control traffic on the network. However, it was found that applying these basic routing algorithms directly on wireless networks could lead to some issues such as large area of flooding, Greedy Forwarding empty set of neighbors, flat addressing, widely-distributed information, large power consumption, interference, and load-balancing problems. Therefore, a number of routing algorithms have been proposed as extensions to these basic routing algorithms to enhance their performance in wireless networks. Hence, we study the features of routing algorithms, which are compatible with the wireless environment and which can overcome these problems.