SDN中一种基于拓扑变换的功能组合方法

现有软件定义网络(SDN)中的功能组合方法大多都在单节点内进行,均未考虑单节点交换机的功能承载力.为此,首先提出一种基于拓扑变换的功能组合方法,通过拓扑变换将功能组合分散到多个节点中进行处理.其次,将拓扑变换建模成0-1线性规划问题并提出了综合搜索算法进行求解.最后,基于NetFPGA-10G和Ryu控制器完成了所提功能组合方法的原型系统实现.实验结果表明,与现有方法相比,所提出的功能组合方法在降低流处理时延和存储开销的同时提高了组合效率.     

拟态路由器TCP代理设计实现与形式化验证研究

拟态路由器基于拟态防御的动态异构冗余架构进行设计,对于未知漏洞后门具有良好的防御能力。协议代理在拟态路由器中处于内外联络的枢纽位置,协议代理的安全性和功能正确性对于拟态路由器有着重要意义。本文设计实现了拟态路由器的TCP协议代理,并采用形式化方法,对其安全性和功能正确性进行了验证。TCP协议代理嗅探邻居和主执行体之间的TCP报文,模拟邻居和从执行体建立TCP连接,并向上层应用层协议代理提供程序接口。基于分离逻辑与组合思想,采用Verifast定理证明器,对TCP协议代理的低级属性,包括指针安全使用、无内存泄露、无死代码等,进行了验证;同时,还对TCP协议代理的各主要功能模块的部分高级属性进行了形式化验证。搭建了包含3个执行体的拟态路由器实验环境,对实现结果进行了实际测试,结果表明所实现的TCP代理实现了预期功能。TCP协议代理实现总计1611行C代码,其中形式化验证所需人工引导定理检查器书写的证明共计588行。实际开发过程中,书写代码实现与书写人工证明所需的时间约为1:1。本文对TCP协议代理的实现与形式化验证工作证明了将形式化验证引入拟态路由器的关键组件开发中是确实可行的,且证明代价可以接受。     

软件定义网络控制平面可扩展性研究进展

软件定义网络（software-defined networking,简称SDN）遵循控制转发分离的设计原则,其控制平面采用集中的控制逻辑,在提供灵活高效的网络控制的同时,也面临着严重的可扩展性问题.对SDN控制平面可扩展性相关工作进行综述.首先分析控制平面可扩展性的影响因素并给出改善思路;在此基础上,从数据平面缓存优化、高性能控制器、分布式控制平面和控制资源优化分配4种技术路线出发,论述了主要的解决方案和研究进展.最后,给出总结并展望了未来的研究工作.     

内容中心网络中基于节点相似度的协作缓存算法

针对内容中心网络中ALWAYS缓存策略节点存储空间利用率低、内容访问时延大、整体网络缓存性能低下的问题,提出了一种依据节点相似度的协作缓存算法。该算法优先将兴趣包转发至最相似节点,增大相关请求的就近响应概率;同时保证在缓存决策中的同一副本在协作节点间不重复存储,在降低冗余的同时增加了缓存多样性。实验结果表明,与现有算法相比,该算法在减少路由跳数和请求时延的同时提高了缓存命中率。     

一种基于干扰估计的虚拟功能服务链创建及部署方法

针对网络功能虚拟化中服务链性能受到负载干扰的问题,提出一种考虑虚拟功能间干扰的虚拟功能服务链部署方法。首先,基于CPU利用率和I/O带宽对虚拟功能干扰度进行估计;然后,构建虚拟功能部署和链路创建模型,从链路速率、节点数量、延迟等角度提出了服务链部署优化目标;最后,以干扰度估计结果为依据,根据模拟退火思想提出一种服务链功能组合和选择方法,并利用部署模型将链路实例化。实验结果表明,和现有方法相比,本文方法能够有效提高服务链的执行性能并满足部署优化目标。     

Windows 7安全启动技术分析

分析Windows 7中的安全启动技术,研究基于可信计算的BitLocker驱动器加密的启动流程。针对实现过程中存在的BitLocker、Bootmgr安全隐患,设计BitLocker、Bootmgr绕过方案以及地址空间格局随机化的应对方案,验证了Windows 7的安全启动保护措施仍可能被Bootkit等恶意软件攻破。     

一种拟态蜜罐系统的设计与研究

互联网一直以来受到各种各样的网络安全威胁,网络攻击方式层出不穷、手段多变且攻击目标各异,特别是高级持续性攻击隐蔽性很强。在攻防过程中,即使一个微小的设计疏忽都可能产生严重的漏洞,攻击者利用这些漏洞攻击系统可能产生严重的危害。而防御者则需要将系统或者节点的防御做到万无一失,才能保证系统的安全。同时防御者对于可以来自网络中的攻击者一无所知,而系统或者节点则通过网络完全暴露在攻击者面前。在这样的攻防博弈环境中,攻击者占据着绝对优势的主动地位,而防御者只能处于被动地位。为打破攻防之间的不平衡态势,本文主要设计了一种将主动防御中的蜜罐与拟态防御技术相融合,实现攻击目标可诱捕,攻击路径可追溯,攻击数据可分析的新型拟态蜜罐威胁感知平台。     

一种面向可重构网络的业务聚类方法

 可重构网络是在传统网络体系结构僵化、功能单一、可控性差的背景下提出的一种新型网络体系架构,业务聚类是可重构网络的关键机制之一。该文通过对业务聚类需求和聚类算法特性的详细分析,选择了基于平衡迭代规约的层次聚类(Balanced Iterative Reducing and Clustering using Hierarchies, BIRCH)算法来实现业务的聚类;并针对BIRCH对任意形状的簇识别能力差的缺点,设计了一种分裂改进型BIRCH(Advanced Split BIRCH, AS-BIRCH)算法;实验证明该算法在业务聚类方面取得了较好的效果。     

分布式环境中基于协商的虚拟网映射算法

网络虚拟化技术可以在共享的底层物理网络上为用户同时提供多种可定制的服务网络。目前的虚拟网映射算法比较依赖于集中式的管理节点,使其在可靠性和适用范围等方面存在诸多问题。为此,提出了一种分布式环境下的虚拟网映射算法,该算法通过多个节点之间的相互协商来完成虚拟网的映射,并且在降低通信开销和缩短虚拟链路的路径长度方面进行了相应改进。实验结果表明,该算法与同类型算法相比,在资源利用率和通信开销方面具有一定的优越性。     

SDN中基于分布式决策的控制器负载均衡机制

针对SDN多控制器负载均衡过程中,控制器选取僵化和交换机迁移冲突问题,提出了一种基于分布式决策的控制器负载均衡机制,分为三个阶段进行实施：首先通过周期性收集网络信息,结合控制器负载状况构建分布式迁移决策域;然后在域中依据选取概率确定迁移交换机,综合权衡数据收集、交换机迁移和状态同步三种代价选择目标控制器;最后建立迁移时钟模型,完成交换机迁移和控制器角色转换.仿真结果表明,与现有的负载均衡机制相比,降低了网络的通信开销,流建立时间平均缩短0.14s,控制器资源利用率提高了21.7%.