TopoObfu:一种对抗网络侦察的网络拓扑混淆机制

链路洪泛等典型网络攻击需要在拓扑侦察的基础上针对网络中的关键链路开展攻击行为,具有较强的破坏性和隐蔽性.为了有效抵御这类攻击,提出了一种对抗网络侦察的拓扑混淆机制TopoObfu.TopoObfu能够根据网络拓扑混淆的需求,在真实网络中添加虚拟链路,并通过修改探测分组的转发规则使攻击者获得虚假的拓扑探测结果,隐藏网络中的关键链路.为了便于实现,TopoObfu将虚假拓扑映射为SDN交换机的分组处理流表项,并支持在仅部分节点为SDN交换机的混合网络中部署.基于几种典型真实网络拓扑的仿真分析结果表明,TopoObfu能够从链路重要性、网络结构熵、路径相似度等方面有效提升攻击者进行关键链路分析的难度,并在SDN交换机流表数量、混淆拓扑生成时间等方面具有较高的实现效率,可以减小关键链路被攻击的概率.     

高级计算机网络课程教学改革探析

阐述如何建立一套完善的研究生高级计算机网络课程的理论和实践教学体系,如何设计包括网络高级技术专题、网络基本设计原则、网络实践教学和论文阅读研讨写作的课程教学内容,同时构建教学全过程管理的考核评价机制,以实现基础理论和前沿研究并重、理论教学和实践训练并行,使研究生真正理解和掌握理论知识、提高动手能力,为后续的科研创新奠定坚实基础。     

基于OpenFlow的SDN技术研究

软件定义网络(software-defined networking,简称SDN)技术分离了网络的控制平面和数据平面,为研发网络新应用和未来互联网技术提供了一种新的解决方案.综述了基于OpenFlow 的SDN 技术发展现状,首先总结了逻辑控制和数据转发分离架构的研究背景,并介绍了其关键组件和研究进展,包括OpenFlow交换机、控制器和SDN技术,然后从4 个方面分析了基于OpenFlow 的SDN 技术目前所面临的问题和解决思路.结合近年来的发展现状,归纳了在校园网、数据中心以及面向网络管理和网络安全方面的应用,最后探讨了未来的研究趋势.     

HIPSCS：基于HIP的安全IP通信系统

针对主机标识协议(HIP, host identity protocol)实际部署应用的相关问题,设计实现了一种基于HIP的安全IP通信系统(HIPSCS, HIP based secure communication system)。该系统通过将主机标识(HI, host identifier)和用户身份证书唯一关联,实现了主机身份的实名化,以保障网络报文的源地址真实可信,并通过IPsec技术加密所有通信数据以达到安全通信目的。实现并在实验室环境中部署了HIPSCS原型系统。实验表明此通信系统可用性强,并能很好地支持移动通信。     

P2P环境下基于兴趣的分布式信任模型

为解决P2P网络中节点的不合作行为和恶意攻击等问题,提出了一种分布式兴趣信任模型DITM.模型通过划分兴趣域聚集兴趣相似的节点来解决节点间因兴趣不对称难以建立直接信任关系的问题.利用兴趣相似度刻画节点在其偏好领域上的服务行为相似性,并通过兴趣相似度加权域推荐信任度计算域服务信誉.节点在不同域内的服务信誉组成一个服务信誉向量,该向量维护了节点在各个兴趣域的服务行为细节,从而能有效抵御恶意节点针对特定兴趣域的攻击,并能激励好节点在多个域内贡献资源.仿真实验表明,DITM较已有的信任模型在迭代的收敛速度、下载成功率和模型的安全性等问题上有较大提高.     

面向网络欺骗防御的攻击诱捕技术研究

作为一种主动对抗攻击者的手段,网络欺骗防御技术得到了学术界和产业界的广泛关注,其中攻击诱捕技术是网络欺骗防御的核心所在.其基本理念是通过建立虚假的网络和业务系统环境,引诱攻击者对诱捕系统发起攻击而达到监控分析攻击行为的目的.着眼于面向攻击诱捕的网络欺骗防御技术研究,讨论了攻击诱捕技术的基本概念及典型架构,并从决策控制和...     

GAN-TM:一种基于生成对抗网络的流量矩阵推断机制

随着当前互联网技术的快速发展,网络规模和复杂度不断提高,由于流量矩阵对于网络管理、流量工程、异常检测等都具有重要意义,因此准确测量流量矩阵对于计算机网络而言极其重要.当前针对流量矩阵的测量机制主要可以分为直接测量法和估计推断法,其中估计方法又包括简单统计反演法、附加链路测量信息法以及测量反演结合法.现有测量机制在准确性...     

一种防御DDoS攻击的软件定义安全网络机制

软件定义网络的出现为防御DDoS攻击提供了新的思路.首先,从网络体系结构角度建模分析了DDoS攻击所需的3个必要条件：连通性、隐蔽性与攻击性;然后,从破坏或限制这些必要条件的角度出发,提出了一种能够对抗DDoS攻击的软件定义安全网络机制SDSNM（software defined security networking mechanism）.该机制主要在边缘SDN网络实现,同时继承了核心IP网络体系架构,具有增量部署特性.利用云计算与Chord技术设计实现了原型系统,基于原型系统的测量结果表明,SDSNM具有很好的扩展性和可用性.     

T-aware:一种基于AS拓扑的可用带宽预测算法

为提高端到端可用带宽的预测精度,提出了一种基于自治域（AS）拓扑的可用带宽预测算法T aware. 该算法结合网络的AS拓扑信息,为符合超度量空间的节点和不符合超度量空间的节点分别选择测量点,对2类节点分别进行预测. 在 HP scalable sensing service数据集上的实验结果表明,T aware的预测精度与PathGuru算法相比可提高10%以上.     

基于多阶段博弈的虚拟化蜜罐动态部署机制

作为一种重要的欺骗防御手段,蜜罐对于增强网络主动防御能力具有重要意义,但现有蜜罐大多采用静态部署方法,难以高效应对攻击者的策略性探测攻击等行为.为此,将完全信息静态博弈与马尔可夫决策过程相结合,提出了一种基于多阶段随机博弈的虚拟化蜜罐动态部署机制HoneyVDep.HoneyVDep结合攻防双方多阶段持续对抗的特点,以资源约束下防御方的综合收益最大化为目标,建立了基于多阶段随机博弈对抗的蜜罐部署优化模型,并实现了基于Q_Learning的求解算法,以快速应对攻击者的策略性探测攻击行为.最后,基于软件定义网络和虚拟化容器实现了一个可扩展的原型系统对HoneyVDep进行验证,实验结果表明,HoneyVDep能够根据攻击者的攻击行为特征,有效生成蜜罐部署策略,提升对攻击者的诱捕率,减少部署成本.