基于CERNET主干信道的IP流数据Trace

主干互联网的IP流数据对研究互联网具有重大价值,但实际公布的这类数据量很少,尤其是没有经过抽样处理的原始数据,原因主要在于主干信道采集难度大和IP地址隐私等方面.以CERNET一个省网边界(1G×3)采集的1个小时的连续的IP报头为原始数据,依据相应的省网IP地址构成的特点与实际需求,对IP地址前缀保留匿名化算法Crypto-PAn进行了改进,在提高实现效率的基础上保留了地址类型,用改进后的算法将上述原始数据进行了相应的处理,并将结果在互联网上公布,供有关研究下载.     

基于改进神经网络算法的木马控制域名检测方法

首先对木马利用域名进行回连控制的特点进行了分析,对采用DNS进行网络木马检测的方法进行了概述,接着基于对木马域名的静态、动态特征的分析,提取了域名使用时间、访问域名周期性、IP地址变化速度、IP地址所属国变更、IP地址为私有地址、同域名多IP地址分属不同国家、TTL值、域名搜索量8个指标作为BP神经网络算法的输入,并提出了一种改进BP神经网络算法来解决大量DNS域名训练效率、平均误差值大的问题;最后用改进的神经网络算法对样本进行了实验评估测试,结果显示改进算法和传统算法的检出率相当,但检测效率大为提高。     

基于流记录的非对称路由检测

针对同时使用多个ISP接入服务的校园网,网络边界路由的错误配置导致非对称路由现象发生,提出了一种基于流记录的非对称路由检测(FARD, flow-based asymmetry routing detection)方法。该方法利用TCP面向连接的传输特性结合IP地址的归属,基于边界路由器提供的流记录数据定位网络中可能存在非对称路由的IP地址。算法基于CERNET 2个主节点的接入路由器流记录进行了验证。     

I2P匿名通信流量特征分析与识别

由于匿名通信网络具有非常强的匿名性,因此越来越多的人使用匿名通信网络发布违法信息,给监管带来了很大挑战。识别匿名通信网络的流量对监管匿名通信网络具有重要意义,但目前很少有针对I2P的流量识别研究。因此,通过对I2P数据流进行深入分析,得到I2P数据流的特征,并在此基础上设计实现了I2P流量识别算法。实验结果表明,该算法具有较高的精确度和召回率,可以有效识别I2P流量。     

基于Tor路由算法改进的安全性提高方法

当今社会,互联网的大规模应用使得匿名通信越来越受到关注。对于目前比较流行的匿名通信网络Tor,文章介绍了其基本原理和构架,分析了存在的匿名漏洞与风险,并针对通信链路建立过程中的弱点提出了改进型的路由算法。最后通过构建小型模拟实验网络,对该算法进行了实验模拟,实验的数据结果有效地验证了理论分析。该改进路由算法对Tor网络及其他匿名网络的改进与发展具有现实意义。     

移动软交换核心网IP化实现

IP技术的发展给移动软交换网的改进提供了契机,运营商为提高竞争实力,均进行了移动软交换的IP化改革。文中通过规划IP地址、组建话路网络以及革新网络架构3种方法,探究了对新兴软交换核心网进行IP化的可行性及改造方法。     

基于抽样和哈希技术的长流测量算法研究

在互联网中理解网络行为最高效的途径即是对网络数据流量进行检测与分析,它是对已有互联网的组建、规范化和改造的依据,同时也是对Internet进行检测的重要环节.为了解决网络中的资源和高速IP流量之间的冲突问题,需要对网络流进行多种方式的处理与算法研究.本文首先提出了改进的数据抽样技术并综合论述了现阶段基于抽样技术的数据测量算法的研究.同时通过对重要数据参数的重新设置和分析,并结合使用多种数据取样的方法,探讨改进的数据空间映射技术与现阶段的各种取样方式在测量网络长流算法中的综合应用.     

一种面向流量异常检测的概率流抽样方法

针对基于概率抽样的网络流量异常检测数据集构造过程中无法同时兼顾大、小流抽样需求及未区分flash crowd与流量攻击等问题,该文提出一种面向流量异常检测的概率流抽样方法。在对数据流按目的、源IP地址进行分类的基础上,将每类数据流抽样率定义为其目的、源IP地址抽样率的最大值,并在抽样过程中对数据流抽样数目向上取整,保证每类数据流至少被抽样一次,使抽样得到的数据集可有效反映原始流量在大、小流和源、目的IP地址方面的分布性。采用源IP地址熵刻画异常流源IP地址分散度,并基于源IP地址熵阈值设计攻击流抽样算法,降低由flash crowd引起的非攻击异常流抽样概率。仿真结果表明,该方法能同时满足大、小流抽样需求,具有较强的异常流抽样能力,可抽样到所有与异常流相关的可疑源、目的IP地址,并能在抽样过程中过滤非攻击异常流。     

面向数字图书馆用户隐私保护的匿名发布方法

针对数字图书馆用户隐私保护问题,提出了一种基于图聚类匿名发布的敏感数据保护方法。该方法将数字图书馆用户数据建模为属性图,利用结构相似性和属性相似性对属性图中节点进行聚类,并将类簇中的节点信息进行匿名化处理,实现了用户数据的匿名化保护。实验结果表明,该方法在实现用户数据匿名保护的同时,有效减少了信息损失,提高了计算效率。     

舰船网络别名解析算法研究

针对当前IP别名解析算法效率低和准确度不高的问题,在单调别名解析(MIDAR)算法基础上,提出策略优化的改进算法。该算法通过IP地址分类和IP别名解析对的"噪音"过滤解决舰船跨域行驶的IP解析问题,极大地降低了别名解析规模,通过IP响应时间消除潜在的别名对,实现了文中的改进算法。实验结果表明,在R&E和Tier-1两个数据集上验证了所提算法的有效性,并且模拟舰船跨域行驶时大规模别名解析环境,相比传统MIDAR算法,所提算法准确率提高了17%。     

基于量子计算的用户识别算法

本文提出了基于量子算法的快速用户识别算法.当代社会进入互联网时代后,大量的信息充斥在网络上,许多有价值的信息被隐藏在Weblog中,大数据分析的一项任务就是通过对Weblog的分析得到用户行为模式等重要的信息,在这之前必须要做的是对用户进行识别.以往对用户识别算法的研究较为侧重在准确度方面,识别的速度尚不能令人满意.本文基于Grover搜索算法提出了扩展记录模式和非扩展记录模式的两种快速IP地址搜索算法,将搜索的查询复杂度进行了二次加速.     

矢量数据包处理加速的动态防护系统设计与实现

针对IP地址动态化防护技术引入额外开销而导致正常网络传输性能下降的问题,首次设计并实现了一种基于矢量数据包处理（Vector Packet Processing,VPP）加速的IP地址动态防护系统,在隐藏真实IP地址的同时增强了系统数据处理能力.首先,针对控制平面和数据平面处理逻辑不同,分别设计了快转发逻辑和慢转发逻辑,降低数据报文处理过程中的拷贝次数;其次,面向真实IP-虚假IP频繁映射,提出一种共享内存的高效的IP地址动态变换机制;再次,采用最优化和哈希链算法制定了IP跳变策略与虚假IP地址预分配机制,最小化系统性能损耗;最后,实验结果表明,系统能够有效抵御DoS攻击并将潜在的侦查攻击命中率控制在16%以下,在数据处理性能上也有明显的速度提升.     

Design of key technologies for intranet dynamic gateway based on DPDK

Aiming at the problems of high packet processing delay and high overhead caused by IP hopping,active defense gateway system with multi-layer network deployment structure was designed and implemented based on the data plane development kit (DPDK).Firstly,based on the DPDK fast forwarding framework,forwarding and processing performance of the system were optimized.Secondly,for the dynamic random mapping gateway with three different types of IP addresses,an efficient IP address allocation algorithm and an unpredictable IP address conversion algorithm were designed.The experimental results show that the designed system can effectively reduce the rate of information acquisition of sniffing attack,while greatly improving the processing delay caused by dynamic hopping.     

Scalable, Memory Efficient, High-Speed IP Lookup Algorithms

One of the central issues in router performance is IP address lookup based on longest prefix matching. IP address lookup algorithms can be evaluated on a number of metrics—lookup time, update time, memory usage, and to a less important extent, the time to construct the data structure used to support lookups and updates. Many of the existing methods are geared toward optimizing a specific metric, and do not scale well with the ever expanding routing tables and the forthcoming IPv6 where the IP addresses are 128 bits long. In contrast, our effort is directed at simultaneously optimizing multiple metrics and provide solutions that scale to IPv6, with its longer addresses and much larger routing tables. In this paper, we present two IP address lookup schemes—Elevator-Stairs algorithm and logW-Elevators algorithm. For a routing table with$N$prefixes, The Elevator-Stairs algorithm uses optimal$cal O(N)$memory, and achieves better lookup and update times than other methods with similar memory requirements. The logW-Elevators algorithm gives$cal O(log W)$lookup time, where$W$is the length of an IP address, while improving upon update time and memory usage. Experimental results using the MAE-West router with 29 487 prefixes show that the Elevator-Stairs algorithm gives an average throughput of 15.7 Million lookups per second (Mlps) using 459KB of memory, and the logW-Elevators algorithm gives an average throughput of 21.41Mlps with a memory usage of 1259KB.     

基于mSCTP的移动流媒体传输方案研究

多网络覆盖的无线网络环境下由于存在路径选择和切换等机制,对于移动流媒体的传输方案有更高的要求,mSCTP协议是在流媒体控制传输协议SCTP的基础上增加了动态地址配置特性,可在用户移动的同时进行IP地址的动态增加和删减,从而选择最佳的传输路径,现结合mSCTP的动态地址配置特性和SCTP本身具有的多宿特性,提出一种在用户慢移动状态下,针对点播模式的移动流媒体业务的优化传输方案,制定传输路径选择策略,在主路径满足业务要求前提下不进行不必要的路径性能测试与切换,并通过NS2仿真验证.     

基于贝叶斯定理的垃圾邮件分类技术研究

邮件过滤技术是反垃圾邮件的重要手段,目前对垃圾邮件的过滤主要有基于内容、基于IP地址和基于信头、信封等方法,这些方法对垃圾邮件的过滤起到了一定作用.但是由于信体是垃圾邮件的最终载体,而仅依据IP地址、信头、信封中的特征容易造成错误判断.在贝叶斯分类器的工作原理的基础上,提出了基于贝叶斯分类器的反垃圾邮件模型的原理与实现方法,将反映垃圾邮件的特征综合在一起统称为"属性",避免了单纯基于IP、信头、信封过滤的规则性太强的缺点,降低将正常邮件判断为垃圾邮件的风险.     

基于统计的高效决策树分组分类算法

基于决策树的分组分类算法因易于实现和高效性,在快速分组分类中广泛使用。决策树算法的基本目标是构造一棵存储高效且查找时间复杂度低的决策树。设计了一种基于规则集统计特性和评价指标的决策树算法——HyperEC 算法。HyperEC算法避免了在构建决策树过程中决策树高度过高和存储空间膨胀的问题。HyperEC算法对IP地址长度不敏感,同样适用于IPv6的多维分组分类。实验证明,HyperEC算法当规则数量较少时,与HyperCuts基本相同,但随着规则数量的增加,该算法在决策树高度、存储空间占用和查找性能方面都明显优于经典的决策树算法。     

IP电话系统中地址映射表的创建与查询

基于十叉树的存储结构及其查询方法,提出了一种适用于VOIP系统的地址映射表创建方法及其相应的查询算法,并且以提高表的查询效率为目的,设计了地址映射表的数据类型与存储结构。实验表明,采用树形存 储结构构成的地址映射表,其相应的查询算法可以获得较短的耗费时间。     

Cluster-Based and Distributed IPv6 Address Configuration Scheme for a MANET

In a Mobile Ad hoc Network (MANET), after a mobile node is configured with a unique IP address it can perform the unicast communications. In order to reduce the address configuration cost and shorten the latency, this paper proposes an IPv6 address configuration scheme for a MANET. In the scheme, the cluster-based architecture is proposed. In the architecture, the clustering mechanism is combined with the address configuration process in order to achieve the low-cost and low-latency address configuration for all nodes in a MANET. Based on the architecture, the distributed address configuration algorithm is proposed. In the algorithm, a cluster member acquires an address from a cluster head within one-hop scope, so the address configuration task is distributed around cluster heads. In this way, the address configuration in different clusters can be performed in parallel, so the address configuration delay is shortened and the network scalability is improved. The address reclamation/maintenance algorithm is also proposed so that the address resources released by failed nodes can be rapidly recovered for reuse. Finally, the merging/splitting algorithm is proposed in order to ensure that no address collision happens in a MANET. This paper analyzes the performance parameters of the proposed scheme, and the data results show that the proposed scheme effectively reduces the address configuration cost and shortens the delay.