基于TDRI的多视图关联DNS流量可视分析

针对现有DNS流量分析方法受大规模网络中大数据量限制的问题,及可视分析方法还未应用到DNS流量分析中的现状,提出了一种TDRI(trend to domain and request information)DNS流量分析模型,并采用DNS流量分析模型和网络安全及大数据可视分析方法相结合的方式,设计并实现了基于TDRI DNS流量分析模型的多视图关联DNS流量可视分析系统。首先,对复杂大规模真实网络中长期、大量DNS流量数据进行观测和描述性分析。然后,从DNS服务中域名请求者、域名及域名访问3个基本要素的角度抽象并提出一种包含DNS流量特征值时序变化趋势、请求域名及域名访问情况的DNS流量分析模型。最后,以提出的DNS流量分析模型为指导,设计了包括数据选择和关联交互视图的DNS流量可视分析系统,支撑问题分析为驱动的DNS流量数据分析过程。将基于TDRI的多视图关联DNS流量可视分析系统应用于校园网真实环境,帮助分析者从DNS流量中发现了网络中的恶意访问行为以及针对DNS的恶意行为。实验结果表明,本文提出的分析方法可提高大规模网络环境下DNS流量分析效率,分析出DNS流量中表现出的恶意行为,为DNS安全稳定运行提供了保障。     

基于通信行为分析的DNS隧道木马检测方法

传统基于载荷分析和流量监测的DNS隧道检测手段误报率高且不能有效应对新型DNS隧道木马,为此提出一种基于通信行为分析的DNS隧道木马检测方法.从DNS会话的视角对比分析DNS隧道木马通信行为与正常DNS解析行为的差异性,提取7个DNS隧道木马属性,组成DNS会话评估向量,采用随机森林分类算法构建DNS会话评估向量检测分类器,建立基于通信行为分析的DNS隧道木马检测模型.实例测试结果表明:该方法误报率小,漏报率低,对未知的DNS隧道木马同样具有很高的检测能力.     

基于日志统计特征的DNS隧道检测

以DNS服务器的日志为数据源,提取出二级域名的熵、子域名个数、缓存命中率等多维日志统计特征, 将日志量化为特征向量集;以特征向量集为数据源,使用随机森林算法进行模型训练,并使用十折交叉验证的方法对模型参数进行调整,对模型进行优化,提高整体检测精度;在不同分类算法下进行对比实验,并将实验结果与已有研究方法进行比较. 实验结果表明,提出的检测方法在召回率达到98.5%的情况下,有不低于90%的准确率,检测精度有所提高,即提出的算法能有效检测DNS隧道.     

基于多层自适应聚类模型的密集人群分群检测算法

针对存在更复杂运动模式的无序运动人群密集场景,提出了一种基于多层自适应聚类模型的分群检测算法.以基于高斯混合模型的背景去除算法和自适应初始化聚类算法为核心,通过建立多层自适应聚类模型实现密集人群的分群检测.实验数据库选用了大量真实室内外密集人群运动场景视频,并通过大量对比实验验证了算法的有效性、可靠性和优越性.     

提高多出口网络对外服务速度的应用研究

分析了目前校园网存在的不足,提出了采用单网卡多IP方案提高多出口条件下校园网对外服务的方法:服务器部署于内网中,配置多个IP地址,通过策略路由、防火墙静态地址映射、DNS策略域名解析,实现根据客户机不同的IP地址获取不同的解析结果,以便客户机快速访问相应的服务。应用结果显示,极大地提高了其他网络用户访问校园网网络资源的速度。     

基于日志信息的DNS查询异常检测算法

针对域名系统（DNS）中存在异常查询的问题,提出了一种基于日志信息的DNS查询异常检测算法,以检测异常的互联网协议地址（IP）.通过分析DNS正常与异常请求行为的区别,提取了DNS日志中多个维度的信息来表征源IP;其次,利用降维处理将数据映射到三维空间,以便直观地可视化呈现和快速地进行数据分析;最后,利用聚类分析和计算各源IP的可信度,检测出异常的源IP.实验结果表明,所提算法不但能直观观察到多维数据集中的关联特性,而且能从全局和局部2个层面识别网络中异常的源IP.     

智能域名系统的实现与域名体系安全研究

随着校园网络的快速发展,许多学校都接入了多个互联网运营商,在多出口的校园网环境下,通过对域名解析系统DNS与地址转换技术NAT的研究,探讨和设计了采用现有服务软件来实现智能域名系统的方案,实现校园网在多出口环境下高速访问互联网,显著提高了域名解析系统的可靠性和安全性。同时对域名体系结构的安全性进行了探讨和研究,并提出解决思路。     

基于数字校园网络智能DNS的应用与研究

在分析普通DNS域名系统与智能DNS域名系统区别的基础上,对智能DNS域名系统的设计思路进行探讨,并从实际运用中总结出解决问题的方法.     

一种多变量制造过程中的关键变量检测算法

提出了一种基于机器学习的多变量制造过程中的关键变量检测算法.该算法利用机器学习分类器对多变量制造过程进行数学建模,以随机打乱过程变量后分类器的性能变化作为评价指标,检测导致产品质量相对异常的关键变量.设计并生成了多变量制造过程的仿真数据集,在仿真数据集和基于中国某工厂的2个实际生产案例数据集上对算法的检测性能进行了性能验证,2次验证结果均表明算法检测性能良好.     

基于合同网的多agent任务分配分布式优化算法

针对合同网下的多agent系统,基于集合覆盖理论提出了一种解决子任务分配的严格启发式搜索算法;并分析了该算法的收敛性及渐进时间复杂度;证明了其搜索结果的上确界．该算法具有分布性,搜索空间缩减快,适合于中小型的多agent系统的子任务分配．     

MR-CLOPE: A Map Reduce based transactional clustering algorithm for DNS query log analysis

DNS(domain name system) query log analysis has been a popular research topic in recent years. CLOPE, the represented transactional clustering algorithm, could be readily used for DNS query log mining. However, the algorithm is inefficient when processing large scale data. The MR-CLOPE algorithm is proposed, which is an extension and improvement on CLOPE based on Map Reduce. Different from the previous parallel clustering method, a two-stage Map Reduce implementation framework is proposed. Each of the stage is implemented by one kind Map Reduce task. In the first stage, the DNS query logs are divided into multiple splits and the CLOPE algorithm is executed on each split. The second stage usually tends to iterate many times to merge the small clusters into bigger satisfactory ones. In these two stages, a novel partition process is designed to randomly spread out original sub clusters, which will be moved and merged in the map phrase of the second phase according to the defined merge criteria. In such way, the advantage of the original CLOPE algorithm is kept and its disadvantages are dealt with in the proposed framework to achieve more excellent clustering performance. The experiment results show that MR-CLOPE is not only faster but also has better clustering quality on DNS query logs compared with CLOPE.     

智能移动代理在域名系统中的应用

针对当前域名系统，通过分析其域名解析的原理，指出其性能优化的方向。介绍了代理的有关概念和原理，并将代理技术应用于域名系统，提出智能移动代理在域名系统中的实现模型。对模型进行分析证明，应用代理技术的域名系统可以有效缩短域名解析时间，从而明显地提高域名系统的工作效率。     

基于特征选择和时间卷积网络的工业控制系统入侵检测

针对工业控制系统流量数据存在特征冗余及深度学习模型对较小规模数据集检测能力较差的问题,提出了一种基于特征选择和时间卷积网络的工业控制系统入侵检测模型。首先,对源域数据集的异常特征和样本不平衡数据进行处理,提高源域数据集质量。其次,针对流量数据的特征冗余,利用信息增益率和主成分分析法构建IGR-PCA特征选择算法,筛选出最优特征子集实现数据降维。然后,根据工业控制系统流量数据的时间序列特性,在较大规模的源域数据集上,利用时间卷积网络（temporal convolution network,TCN）对时间序列数据优异的处理能力,构建源域时间卷积网络预训练模型。最后,在较小规模的目标域数据集上,结合迁移学习（transfer learning,TL）微调策略,获取源域样本数据的流量特征,构建目标域TCN-TL模型。利用公开的工业控制系统数据集进行实验测试,实验结果表明：流量数据经本文特征算法处理后,相较于其他方法,在降低数据维度减少计算量的同时仍具有良好的检测效果;在较大规模的源域数据集和较小规模的目标域数据集上,本文模型均取得了良好的检测效果,在目标域中利用迁移学习微调策略能够学习到源域中的知识,模型检测准确率为99.06%,在训练时间对比中,本文模型训练时间消耗更少,具有更好的泛化能力,能够更好地保护工业控制系统安全。     

Improved algorithm for detection of the malicious domain name based on the convolutional neural network

Aiming at the problem that the existing detection methods are not efficient in detecting the malicious domain name generated by the algorithm, especially the detection rate of several types of malicious domain names that are difficult to detect is low, an improved algorithm for detection of the malicious domain name based on the convolutional neural network is proposed. Based on the existing convolutional neural network model, this algorithm adds convolutional branches to extract deeper character-level features, so that both shallow and deep character-level features of malicious domain names could be extracted and fused simultaneously. A focal loss function is introduced as a loss function to solve the problem of sample imbalance caused by difficulty and quantity, which is used to improve the detection accuracy of hard-to-detect samples. The average detection accuracy of the improved algorithm for 20 types of malicious domain names is 97.62%, that is, 0.94% higher than that of the original algorithm, and the detection accuracy of four hard-to-detect domain names is increased by 3.71%, 4.6%, 11.18% and 17.8%, respectively. Experimental results show that the improved algorithm can effectively improve the detection accuracy of malicious domain names, especially for some hard-to-detect domain names.     

云技术在域名解析系统中的应用研究

将云技术手段应用于优化DNS工作当中,提出一种更具性能表现的DNS优化模型.将各节点的服务器结合在一起,旨在节约数据处理的时间与传输时延,以及有效提高DNS查询解析速度;通过云技术手段还可以快速整理及输送DNS信息,有效提高域名解析系统工作效率,同时效降低各类型企事业单位的服务系统替换的成本.     

区域发现及自适应优化的分级移动性管理算法

针对蜂窝小区用户移动特征、切换强度和业务流量不断变化可能造成分级管理结构失效的问题,提出基于切换强度和业务强度的区域发现及自适应优化算法. 该算法通过实时测量蜂窝小区之间的切换强度或业务强度,发现两者相对集中的几个小区;通过区域自适应优化的算法,把这些小区聚合到同一管理区域下,从而使原来发生在不同管理区域的切换或者流量转化为同一管理区域内部的切换或者流量. 在分级结构信令开销模型基础上,对算法进行了理论分析和仿真实验. 结果表明,其能有效减少系统信令开销,提高切换速度和节点流量.     

DNS对CDN流媒体服务质量的影响

为了提供高质量的流媒体服务, 内容发布网络(CDN)利用域名解析系统(DNS), 将用户重定向到附近的内容服务器. 域名解析系统的发展, 尤其是基于IP Anycast的域名解析系统的兴起(如Google Public DNS, Open DNS), 将对CDN网络的内容发布机制造成影响. 与Web、Email等其他的Internet服务相比, 流媒体服务对网络资源有较高的要求, DNS对其影响更明显. 该文阐明基于IP Anycast的域名解析系统对CDN网络内容发布模型的冲击, 分析了其影响流媒体服务质量的各种因素, 通过实验比较当使用不同域名解析服务时, CDN网络承载的流媒体的服务质量.