一种基于文法压缩的日志异常检测算法

近年来日志挖掘是一种广泛使用的检测应用状态异常的方法.现有的异常检测算法需要大量计算,或者它们的有效性依赖于测试日志满足一些预先定义的日志事件概率分布.因此,它们无法用于在线检测并且在假设不成立时会失效.为了解决这些问题,该文提出了一种新的异常检测算法CADM.CADM使用正常日志和待检测日志之间的相对熵作为异常程度的标识.为了计算相对熵,CADM充分利用了相对熵和文法压缩编码大小之间的关系而不是预先定义日志事件概率分布的族.通过这种方式,CADM避免了对日志分布的预先假设.除此之外,CADM的计算复杂度为O(n),因此在日志较大的情况下有较好的扩展性.通过在仿真的日志和公开日志集上的评测结果可以看出,CADM不仅可以应用在更广泛的程序日志上,也有更高的检测精度,因此更适合在线日志挖掘异常检测的工作.     

一种基于污点追踪的系统审计日志压缩方法

近十年来,高级持续性威胁（APT,advanced persistent threat）越来越引起人们的关注。为了防御和检测APT攻击,学者提出了基于系统审计日志的入侵取证方案。系统审计日志可以详细记录主机上的系统调用过程,因此非常适用于入侵取证工作。然而,系统审计日志也有着致命的弊端:日志庞大冗余。再加上APT攻击往往长期潜伏、无孔不入,企业不得不为每台联网主机长期保存日志,因此导致巨大的存储计算成本。为了解决这一问题,本文提出一种模仿二进制动态污点分析的日志压缩方案T-Tracker。T-Tracker首先检测日志内部与外部数据发生交互的系统调用,生成初始污点集合,然后追踪污点在主机内的扩散过程,这个过程中只有污点扩散路径上的系统调用能被保留下来,其余均不保留,从而达到日志压缩的目的。本研究的测试表明,该方案可以达到80%的压缩效果,即企业将能够存储相当于原来数量五倍的日志数据。同时,T-Tracker完整保留了受到外部数据影响的日志记录,因此对于入侵取证而言,可以等价地替换原始日志,而不会丢失攻击痕迹。     

一种高效的分布式并行数据库日志机制

减少协议中的强制写次数一直是研究分布式原子提交协议的目标．利用超高速网络与磁盘的数据存取速度差距,可以提出一种高效的协同内存缓存日志机制(cooperating memory cached log mechanism,CMCL)．它通过在事务参与者的内存中相互备份日志而获得日志的可靠性,从而免除强制写．在给出CMCL的原理,并用它改进两阶段提交协议后,对其性能进行了分析和比较,结果表明CMCL机制在适当的环境下是高效的．     

ML-Parser:一种高效的在线日志解析方法

各种Web服务器和大数据框架每天都会生成大量日志,在服务管理中,会将原始日志转换为结构化格式,然后应用数据挖掘模型来分析服务状态,其中最为关键的步骤之一是日志解析.细粒度的解析和LCS可以提供更好的日志解析质量,而粗粒度的解析和简单的相似性度量可以达到更好的解析性能.对此,提出一个基于两层框架的在线日志解析方法(ML-...     

一种高效的自适应指纹图像压缩算法

提出了一种新的高效的指纹图像压缩算法,该算法根据识别特征对指纹图像的关键点对应的小波系数进行自适应量化,从而有效地改进了零树小波压缩算法,实验结果证明了本文算法的有效性。     

DNS的3种典型应用

DNS的全名是‘Domain Name System’，中文译名为‘域名系统’。DNS是当今Internet的基础架构，众多的网络服务(如Http，Ftp，Email等等)都是建立在DNS服务体系基础之上的。权威人士指出：“一旦你理解了DNS，你才真正懂得了Internet”。     

一种提升细粒度日志解析准确度的方法

目前大多数系统日志存在不同比例的细粒度日志,现有的日志解析器无法正确解析这些日志,导致整体解析准确度不高的问题.为了提升日志解析的整体准确度,加快日志解析过程,解决长度可变的及含有状态变量的细粒度日志错误分类的问题,本文提出了结合日志的常量令牌长度特征的决策树日志解析模型(CLDT).模型主要包括数据预处理、决策树搜索...     

一种基于域名错误的DNS重定向协议①

域名系统（DNS）重定向是为互联网服务提供商（ISP）和DNS应用服务提供商（ASP）的用户实现增值服务的有效功能。定义以不同于错误查询域名的按相关性排序的推荐域名列表作为错误描述。提出重定向服务器的两个转交过程,以利于正确及时地找到推荐域名。此外,提出使用延长资源记录的请求处理算法。定义重定向报文结构以在DNS协议内容纳重定向IP地址信息。     

一种改进的LZW压缩算法

在无损压缩算法中，字典压缩作为一种高压缩比，速度快的方法也得到人们的一致认可，但在局部和全局性能上，该类算法没有能够得到有效的处理，该文提出了一种动静结合，兼顾全局与局部的LZW改进算法、实验表明，该算法是一种可以满足不同用户需求的压缩比更高、算法稳定、安现简单的改进算法。     

一种FPGA配置文件压缩算法

基于现场可编程门阵列(FPGA)的可重构系统具有高性能和高灵活性,但随着FPGA规模的不断扩大,配置文件规模相应增加,导致可重构计算时间过长。该文提出一种FPGA配置文件压缩算法VLZW,降低了对片外存储器的容量要求,通过减少每次重构传送的配置数据缩短了系统重构时间。     

智能DNS系统的设计与实现

DNS(Domain Name System)域名解析系统是Internet上的一项基础服务,它为网络应用程序提供域名解析服务,作为网络一项中枢组件有许多功能需要提高和完善,通过优化DNS可以缩短查询时间,减少不必要的网络流量,提高网络的安全性能,对整个互联网的发展起到推动作用。文章主要介绍了一个符合工业标准并能应用于电信级需求的DNS系统的基本架构,系统由权威型DNS服务器、递归型DNS服务器和DNS管理系统组成,支持多种数据存储方式,通过模块化设计能做到各模块自由组合。系统具有领先于市场上同类产品的创新之处：主从数据库的热备份和用虚拟地址池实现绑定客户端IP的功能。这两个功能在不同方面改进了现存DNS系统,前者的数据备份分通用和专用两种,其中通用部分遵照RFC标准采用AXFR和NOTIFY的方式传输备份,而专用部分引进先进的数据库主从备份思想于DNS系统中并根据DNS数据库特点通过保存DML方式完成数据的持久化;后者引入虚拟地址池概念为客户端和域名的IP地址中间引入新的层次,从而可完成双方的配置,这样既可做到负载平衡也对DNS的安全问题提出了一种新的解决方案,因为用这种方法同样能达到硬件防火墙的功能,从而节约了成本并提升了性能。最后通过搭建模拟环境,用软件虚拟大流量访问数据测试系统性能,实验证明系统完全符合电信级需要。     

DNS重新绑定对Web浏览器的影响

域名系统(DNS)重新绑定破坏浏览器的区域源,并影响使用插件的浏览器与其插件之间的相互作用。根据DNS重新绑定攻击的机制,分析使用较短TTL响应DNS请求重新绑定主机到目标服务器的IP地址,使浏览器误认为2个服务器属于相同区域源,阐述浏览器访问相同区域源策略与多插件浏览器的易受攻击性。提出预防直接套接字访问客户端,阻止防火墙欺骗设法进入内部网络与滥用内部运行的服务,劫持IP地址进行点击欺骗、发送垃圾邮件与陷害客户端。     

一种新的基于DNS协议的IPSec隐蔽通信研究

针对IPSec网络适应性差的问题,并结合隐蔽通信的技术,提出了一种新的结合IPSec隧道和DNS隧道的IPSec over DNS协议的VPN思路,并给出了协议实现的结构和流程。实验数据表明,两种技术的综合,为用户提供了一种新的更加可靠的网络安全解决方案。     

DNS服务中的Internet访问行为测量研究

借助于中国互联网络信息中心负责管理的国家顶级域名系统资源,对当前CN顶级域名DNS服务请求进行了宏观测量和分析。研究发现,CN国家域名整体查询频度特征服从类Zipf’s分布,递归服务器域名查询量遵从广延指数分布,即CN国家域名的DNS服务请求具有整体集中分布的特征和域名查询模式的时间局部特征。这些关于国家域名服务的整体认识和全局性描述对于深入了解我国国家域名系统的整体运行状况,科学认识我国宏观网络发展特征具有重要意义。     

域名服务体系安全问题研究

域名服务是互联网的基础服务。域名服务体系不同于域名系统（DNS）,仅提高域名系统的安全并不能解决整个域名服务的安全问题。基于中国互联网络信息中心运行国家CN域名的经验,创新的提出域名服务体系的概念,并对域名服务体系的安全问题进行了论述分析。首先介绍了域名系统的基础知识及全球域名体系,然后研究分析了域名服务体系中的5个主要角色和7个主要数据流,结合数据流分析了其中主要的安全问题,并提出了安全防范措施。     

Kaminsky域名系统缓存投毒防御策略研究

当前缓存域名系统(DNS)服务器无法抵抗持续的Kaminsky DNS缓存投毒攻击。为此,提出一种基于应答报文检查的防御策略。应用概率学理论分析Kaminsky投毒成功概率与投毒持续时间的内在联系,通过报文检查策略抑制投毒成功概率随时间的积累效应,达到防御持续Kaminsky投毒的目的。利用概率模型检查工具PRISM进行仿真实验,结果证明该策略可以使攻击难度提高3 600倍以上。     

Proactive caching of DNS records: addressing a performance bottleneck

The resolution of a host name to an IP-address is a necessary predecessor to connection establishment and HTTP exchanges. Nonetheless, domain name system (DNS) resolutions often involve multiple remote name-servers and prolong Web response times. To alleviate this problem name-servers and Web browsers cache query results. Name-servers currently incorporate passive cache management where records are brought into the cache only as a result of clients’ requests and are used for the time to live (TTL) duration (a TTL value is provided with each record). We propose and evaluate different enhancements to passive caching that reduce the fraction of HTTP connection establishments that are delayed by slow DNS resolutions: (A) Renewal policies refresh selected expired cached entries by issuing unsolicited queries. Trace-based simulations using Web proxy logs demonstrated that a significant fraction of cache misses can be eliminated with a moderate increase in the number of DNS queries. (B) Simultaneous-validation transparently uses expired records. A DNS query is issued if the respective cached entry is no longer fresh, but concurrently, the expired entry is used to connect to the Web server and fetch the requested content. The content is served only if the expired records used turn out to be in agreement with the query response.     

DNS隐私问题现状的研究

域名系统（DNS）作为互联网运行必不可少的基础设施,它能将易记的域名转换成互联网资源的IP地址。DNS由于天然的开放性,导致其备受安全问题困扰。而隐私问题则是近些年DNS安全上的热点问题。通过回顾DNS的查询操作,分析了DNS查询每个环节可能存在的隐私隐患,发现DNS受到的隐私攻击主要有链路上窃听和服务器上的隐私收集。结合近些年DNS隐私的相关的研究,分析了DNS上可能泄漏的隐私数据、影响范围以及可能带来的危害。整理了目前已知的解决方案,分析对比了各种方案在可靠性、匿名化程度、可部署性上的表现。最后从技术、部署难度和法律层面为后续研究提供了一些建议。     

基于Packet Tracer的域名解析系统教学实验设计

域名解析系统（DNS）是互联网上最实用的功能之一。使用Packet Tracer软件构建一个贴近真实环境的分层域名解析系统,配置简单,效果直接。实验时,只有每一位学生参与其中,通力协作,才能达成实验效果。通过实验,学生对域名解析系统有一个直观的了解,体验到网络技术带来的乐趣。     

改进型AR(1)模型在域名系统中的应用

服务器选择算法是域名系统(DNS)服务器处理迭代查询时的核心算法。在DNS中的所有查询请求中,迭代查询所占的比例大于30%,因此服务器选择算法的性能对整个DNS服务器的整体性能有着非常大的影响。简要分析了现有的服务器选择算法,指出其优点和缺点。同时,基于已有的AR(1)模型,提出了一种改进型AR(1)自回归模型,该模型利用历次服务器响应时间构成的时间序列,采用动态预测的方法来预测服务器响应时间。该模型能够有效避免由于网络拥塞状况造成的性能波动和服务器短时故障造成的性能损失,大幅提高了服务器选择算法的性能。同时,经过改进的AR(1)模型的适用范围得到扩大,可以适用于所有DNS。