基于WBEM的防火墙策略异常检测系统

面对网络规模的无限量扩大以及新型攻击的不断出现，企业开始采用多级防火墙机制加强对整个网络的安全保护。然而这种保护机制同时向人们提出了如何保证策略与策略之间无异常的问题。因此，从防火墙底层的规则入手，主要针对防火墙的包过滤规则，定义了规则之间可能存在的异常，同时提出相应的检测算法以及基于WBEM架构的异常检测系统，在解决策略异常问题的同时实现防火墙策略整体上的对外一致性。     

高速网络中基于流速测度的动态超时策略

基于流特性的测量在网络行为分析中发挥着越来越重要的作用.超时策略作为流识别的主要标志之一,对流特性测量的正确性和性能具有重要的影响.通过对现有流超时策略进行比较和分析,指出这些超时策略的适用范围和存在的问题.在详细分析网络中流长分布和速度测度各项指标的基础上,针对短流占总体流量很大比例的特点,提出了一种动态超时策略(dynamical timeout strategy,简称DToS).该策略通过实时综合分析网络使用状况,针对不同特性的流采用不同的超时方式,从而增加网络测量性能,提高测量系统的资源利用率;并可以有效地感知可能存在的网络异常,启动应急措施,保证测量系统的安全;然后通过理论分析的方法验证该策略的可行性和鲁棒性;最后通过实验论证该超时策略在实际测量中的性能,并进一步分析其适用范围.     

流量控制设备在校园网的应用

随着信息技术的发展,网络应用的丰富,网络架构及流量变得异常复杂[1]。在高校校园网尤其如此,该文对加载流控设备前后,校园网络的使用情况做了详细对比,并针对高校特点,提出了如何在流控设备上设置相关策略,为进一步探索网络应用层流量控制奠定了基础。     

基于AAA服务器策略的企业网动态安全访问的实现

利用AAA服务器策略可以实现IEEE802.1X的授权、认证和统计功能,通过在企业网络中应用AAA服务器策略解决企业内部不同的服务器满足不同用户访问的需求,通过AAA服务器策略不但能够有效控制未经授权的用户访问企业内部服务器,对企业信息安全造成威胁,而且能够避免在网络设备上配置相当复杂的ACL访问规则造成设备负担过重而性能降低的现象,从而提高了企业网络的运行效率并实现网络用户对企业网络的动态安全访问。     

基于用户异常等级的虚拟机动态防御等级配置策略

云计算环境下,开放的运行环境使其面临重大的安全挑战,传统的入侵检测系统已经不能完全适合云计算等新型计算网络环境。鉴于终端用户的可信性对虚拟机可信性的影响,利用动态的行为可信性机制和社会信任的思想,提出一种基于用户异常等级的虚拟机防御等级动态配置策略。首先,利用滑动窗口行为评估机制评估用户行为,然后根据评估结果将用户所在的虚拟机划分为不同安全等级域,最后,通过分域规则链机制实现虚拟机安全等级的动态配置,有效提高入侵检测系统的效率。模拟实验表明,提出的多等级的防御机制具有良好的可靠性。     

基于事件流数据世系的恶意网络行为检测方法

目前网络攻击呈现高隐蔽性、长期持续性等特点,极大限制了恶意网络行为检测对网络攻击识别、分析与防御的支撑。针对该问题,提出了一种基于事件流数据世系的恶意网络行为检测方法,采用事件流刻画系统与用户及其他系统间的网络交互行为,构建数据驱动的事件流数据世系模型,建立面向事件流数据世系相关性的异常检测算法,从交互数据流角度分析和检测恶意网络行为事件,并基于事件流数据世系追溯恶意网络行为组合,为网络攻击分析提供聚焦的关联性威胁信息。最后通过模拟中间人和跨站脚本组合式网络渗透攻击实验验证了方法的有效性。     

基于Renyi熵的SDN自主防护系统

针对SDN架构下的常见网络异常行为，提出了一套基于Renyi熵的SDN自主防护系统，该系统可实现网络异常行为检测、诊断及防御。系统无须引入第三方测量设备，直接利用OpenFlow交换机流表信息。首先，通过计算和检测特征熵值，实现异常网络行为的检测。然后，进一步分析OpenFlow流表信息，实现异常行为的诊断。最后，实施防御控制措施，建立一套黑名单机制，将产生异常行为的主机加入黑名单，并阻塞相应的异常流量。为了验证系统的有效性，在Floodlight控制器上开发了原型。Mininet上的仿真实验表明，系统能够有效检测、诊断及防御网络中常见的异常行为，且具有较低的部署成本，增强了SDN的安全性。     

基于FSA和重排序的访问控制策略评估方案

针对访问控制策略评估效率问题,提出基于有限状态自动机(finite state automaton, FSA)和重排序的访问控制策略评估方案。以四元组的形式表示策略,构建FSA策略模型检测策略异常,消除策略中的冲突规则以及冗余规则,实现策略评估的前期优化;提出基于重排序的策略评估算法,重排序策略中的规则以及每个规则中的属性-值对(attribute-value pairs, AVP),减少评估访问请求过程中遍历的规则数和属性比较次数。实验结果表明,与传统策略评估引擎相比,该方案检测策略异常效率以及评估效率均有很大提升。     

计算机网络防御策略描述语言研究

定义了一种计算机网络防御策略描述语言CNDPSL(computer network defense policy specification language).该语言面向CNDPM模型,能够统一描述保护、检测和响应策略.在CNDPM模型中,给出了抽象策略细化为具体规则的推导原理,并以形式化的方法分析并验证了策略的完备性、一致性和有效性.CNDPSL是一种声明式语言,抽象了网络防御控制的行为,对网络防御需求具有较好的灵活性、可扩展性和适应性.最后给出了策略引擎的原型及其实现.在GTNetS仿真平台中的实验表明,该语言能够自动地转化为具体的技术规则并实现其表达的防御效能.     

基于多层次优化技术的XACML 策略评估引擎

给出一种采用多层次优化技术的XACML(extensible access control markup language)策略评估引擎实现方案MLOBEE(multi-level optimization based evaluation engine).策略判定评估前,对原始策略库实施规则精化,缩减策略规模并调整规则顺序;判定评估过程中,在引擎内部采用多种缓存机制,分别建立判定结果缓存、属性缓存和策略缓存,有效降低判定引擎和其他功能部件的通信损耗.通过两阶段索引实现的策略缓存,可显著降低匹配运算量并提高策略匹配准确率.仿真实验验证了MLOBEE所采用的多层次优化技术的有效性,其整体评估性能明显优于大多数同类系统.     

Wavelet against random forest for anomaly mitigation in software-defined networking

Security and availability of computer networks remain critical issues even with the constant evolution of communication technologies. In this core, traffic anomaly detection mechanisms need to be flexible to detect the growing spectrum of anomalies that may hinder proper network operation. In this paper, we argue that Software-defined Networking (SDN) provides a suitable environment for the design and implementation of more robust and comprehensive anomaly detection approaches. Aiming towards automated management to detect and prevent potential problems, we present an anomaly identification mechanism based on Discrete Wavelet Transform (DWT) and compare it with another detection model based on Random Forest. These methods generate a normal traffic profile, which is compared with actual real network traffic to recognize abnormal events. After a threat is detected, mitigation measures are activated so that the harmful effects of the malicious event are contained. We assess the effectiveness of the proposed anomaly detection methods and mitigation schemes using Distributed Denial of Service (DDoS) and port scan attacks. Our results confirm the effectiveness of both methods as well as the mitigation routines. In particular, the correspondence between the detection rates confirms that both methods enhance the detection of anomalous behavior by maintaining a satisfactory false-alarm rate.     

一种基于深度Encoder-Decoder神经网络的智能电网数据服务器流量异常检测算法

传统的网络流量异常检测通常基于单一原始特征变量进行阈值判断,或者对多个相关变量进行降维设计统计量后进行阈值判断,这类方法虽然简单,但无法应对变量间非线性关系随时间变化的情况。本文设计一种能够自适应动态逼近变量间非线性关系的深度神经网络,在普通的Encoder-Decoder神经网络的基础上引入2层注意力机制,提高了神经网络对长期历史信息的利用程度,实现了流量正常状态估计。基于估计得到的流量正常行为,分析其与实测值的残差分布情况,并最终给出置信区间作为判别异常行为的控制限。     

Real-time volume control for interactive network traffic replay

Interactive network traffic replay is a new traffic generation tool very useful for testing in-line networking devices. It provides both a realism of traffic contents and a realism of traffic behaviors. But the lack of effective mechanisms to control important features of the generated traffic severely limits its capability of performing accurate, systematic and in-depth testing. This paper aims to improve controllability in interactive network traffic replay by studying the problem of controlling volume of the generated traffic. Due to complex traffic generation mechanism, controlling traffic volume in interactive network traffic replay is an interesting and challenging new problem.In this paper, we formulate the volume control task as a dynamic target tracking problem and analyze the influencing factors and basic control properties of the system. We propose two approaches, from both model-based and model-free perspectives, for solving the problem. The model-based approach relies on a probabilistic model that explores packets processing mechanism and converts the problem to a state prediction problem, while the adaptive optimal control approach uses process input/output information to regulate the system and converts the problem to a parameter estimation problem. Both of the two methods are validated via extensive experimental studies with real-world traces. Results indicate that our methods can track target output traffic volume effectively under a wide range of network conditions.     

Diagnosing Traffic Anomalies Using a Two-Phase Model

Network traffic anomalies are unusual changes in a network,so diagnosing anomalies is important for network management.Feature-based anomaly detection models (ab)normal network traffic behavior by analyzing packet header features.PCA-subspace method (Principal Component Analysis) has been verified as an efficient feature-based way in network-wide anomaly detection.Despite the powerful ability of PCA-subspace method for network-wide traffic detection,it cannot be effectively used for detection on a single link.In this paper,different from most works focusing on detection on flow-level traffic,based on observations of six traffic features for packet-level traffic,we propose a new approach B6SVM to detect anomalies for packet-level traffic on a single link.The basic idea of B6-SVM is to diagnose anomalies in a multi-dimensional view of traffic features using Support Vector Machine (SVM).Through two-phase classification,B6-SVM can detect anomalies with high detection rate and low false alarm rate.The test results demonstrate the effectiveness and potential of our technique in diagnosing anomalies.Further,compared to previous feature-based anomaly detection approaches,B6-SVM provides a framework to automatically identify possible anomalous types.The framework of B6-SVM is generic and therefore,we expect the derived insights will be helpful for similar future research efforts.     

基于抽样测量的高速网络实时异常检测模型

实时异常检测是目前网络安全的研究热点.基于大规模网络流量的统计特征,寻找能够评价网络行为的稳定测度,并建立抽样测量模型.基于中心极限理论和假设检验理论,建立网络流量异常行为实时检测模型.最后定义ICMP请求报文和应答报文之间比率的网络行为测度,并实现对CERNET网络ICMP扫描攻击的实时检测.该方法和思路对其他网络安全检测研究具有一定的指导意义.     

Networking Issues for Small Unmanned Aircraft Systems

This paper explores networking issues that arise as a result of the operational requirements of future applications of small unmanned aircraft systems. Small unmanned aircraft systems have the potential to create new applications and markets in civil domains, enable many disruptive technologies, and put considerable stress on air traffic control systems. The operational requirements lead to networking requirements that are mapped to three different conceptual axes that include network connectivity, data delivery, and service discovery. The location of small UAS networking requirements and limitations along these axes has implications on the networking architectures that should be deployed. The delay-tolerant mobile ad-hoc network architecture offers the best option in terms of flexibility, reliability, robustness, and performance compared to other possibilities. This network architecture also provides the opportunity to exploit controlled mobility to improve performance when the network becomes stressed or fractured.     

物联网管理控制策略研究

当前,世界各国对于物联网均非常关注,基于物联网的各种应用也日益丰富。各国基于互联网安全监管经验,努力争取在物联网建设初期对物联网进行有效的管理和控制,更好地促进和保障物联网健康、安全、和谐的发展。文章论述了国外物联网的发展及政策情况,分析了物联网对国家及个人造成的潜在安全威胁,并针对不同类型的物联网,分类阐述和评析了国外物联网管控方法,并最终对我国物联网管控工作提出了几点建议。     

基于多尺度主成分分析的全网络异常检测方法

网络异常检测对于保证网络的可靠运行具有重要意义,而现有的异常检测方法仅仅单独利用流量的时间相关性或空间相关性.针对这一不足,同时考虑流量矩阵的时空相关性,提出了一种基于MSPCA的全网络异常检测方法.该方法综合利用小波变换具有的多尺度建模能力和PCA具有的降维能力对正常流量进行建模,然后采用Shewart控制图和EWMA控制图分析残余流量.此外,还利用滑动窗口机制对MSPCA异常检测方法进行在线扩展,提出了一种在线的MSPCA异常检测方法.因特网实测数据分析和模拟实验分析表明:MSPCA算法的检测性能优于PCA算法和近期提出的KLE算法;在线MSPCA算法的检测性能非常接近MSPCA算法,且单步执行时间很短,完全满足实时检测的需要.     

基于拟态防御的SDN控制层安全机制研究

软件定义网络（Software-Defined Networking,SDN）的集中式管控为网络带来了创新与便利,但主控制器被赋予了足够的管理权限,仅依赖其自身内部的防御技术,难以确保其不发生异常,以独裁的能力来危害整个网络。本文提出基于拟态防御的SDN控制层安全机制,以一种多样化民主监督的方式,使用多个异构的等价控制器同时处理数据层的请求,通过对比它们的流表项来检测主控制是否存在恶意行为。其中,重点研究了如何在语义层面对比多个异构控制器的流表项,以解决它们在语法上的差异化问题。该安全机制不依赖于对恶意行为的先验知识,实验结果验证了它检测恶意行为是有效的,同时具有较好的性能。     

Skype网络流量测量及特征发现

针对越来越多P2P语音、视频传输应用给底层网络造成巨大通信压力的问题,提出Skype网络拓扑测量方案,分析Skype协议、通信机制、流量及行为特征。通过分析大量主动获取的节点数据和被动获取的Skype通信流量,总结出Skype网络的通信机制,发现部分Skype网络的流量特征、协议行为特征,经测试,在局域网环境下,该项方案能有效识别、管理Skype流量。