矢量数据包处理加速的动态防护系统设计与实现

针对IP地址动态化防护技术引入额外开销而导致正常网络传输性能下降的问题,首次设计并实现了一种基于矢量数据包处理（Vector Packet Processing,VPP）加速的IP地址动态防护系统,在隐藏真实IP地址的同时增强了系统数据处理能力.首先,针对控制平面和数据平面处理逻辑不同,分别设计了快转发逻辑和慢转发逻辑,降低数据报文处理过程中的拷贝次数;其次,面向真实IP-虚假IP频繁映射,提出一种共享内存的高效的IP地址动态变换机制;再次,采用最优化和哈希链算法制定了IP跳变策略与虚假IP地址预分配机制,最小化系统性能损耗;最后,实验结果表明,系统能够有效抵御DoS攻击并将潜在的侦查攻击命中率控制在16%以下,在数据处理性能上也有明显的速度提升.     

基于端信息跳变的主动网络防护研究

从军事跳频通信中得到启发,提出端信息跳变的概念,即通过伪随机改变端到端的数据传输中通信端口、地址、时隙、加密算法甚至协议等端信息,破坏敌方攻击干扰,实现主动网络防护.建立了端信息跳变主动防护模型,采用移动代理技术实现了端信息跳变原型系统,解决了同步、数据切换等关键问题,理论分析并实验验证了模型系统的抗拒绝服务和截获攻击特性,证明了端信息跳变策略对于主动网络防护的可行性与有效性.     

基于SDN架构的地址跳变技术研究

网络嗅探作为网络攻击的前奏,对于网络安全存在较大威胁。为增强网络本身的抗嗅探窃听能力,在移动目标防御网络的地址跳变技术的研究基础上提出了一种基于传输过程的地址跳变方案,主要思想是在SDN网络架构下,控制器通过为传输路由上交换机下发不同流表来实现IP地址的跳变。仿真结果表明,可以以较小的网络开销实现跳变机制,并使网络对于网络嗅探达到较高的防御能力。     

软件定义的L2/L3地址协同拟态伪装策略研究

从网络内部探测目标终端的脆弱性是网络攻击发起的主要途径,当前网络的静态特性利于攻击者目标侦察的实施,网络内部的L2/L3地址是攻击者期望侦察的主要信息.为了改变目标侦察阶段网络攻防的易攻难守态势,基于拟态伪装的思想,提出了一种L2和L3地址协同动态化技术,在不影响正常业务条件下有策略地隐藏真实网络主机.首先,建立网络侦察的博弈模型（CRG）,基于NASH均衡解指导L2/L3地址的拟态伪装策略,并给出最优的跳变周期计算公式;其次,基于软件定义网络架构,设计并实现了协同动态化的内网防护系统（CMID）,由SDN控制器协同控制L2/L3地址的伪装变换;最后,理论分析与实验结果表明：上述方法能够有效切断L2/L3地址与真实网络身份、上层服务的关联性,最大化地隐藏网络内部主机,延缓侦察速度,阻断网络攻击的连续性.     

基于FPGA的内网安全防护系统关键技术研究

鉴于目前交换网络中安全防范的不足,提出了基于FPGA硬件的内网安全防护系统。该系统针对交换网络中流行的攻击手段及潜在的安全威胁,实时监听网络流量,发现并终止攻击,同时修复网络,以保障安全。测试结果表明：该系统对局域网内的主要攻击具有检测和防御功能,可以应用在通常的交换网络中实现安全防护。     

基于动态防御策略的石油石化工控网络安全防护方法

<正>石油石化产业是支撑国家经济发展与保障社会稳定的基石，是国家关键基础设施的重要组成部分。随着工业化与信息化的深度融合，由于其重要的经济和政治价值，它们已成为网络攻击的首选目标。现有静态防护策略（如防火墙、入侵检测系统）无法防御日益复杂的新型未知网络威胁，致使石油石化工控系统面临严峻的网络威胁挑战。本文提出一种基于动态防御策略的石油石化工控系统防护方法 ：首先，通过网络主动跳变、快速迁移构建一个动态“平行网络”，动态改变攻击面，使攻击者无法找到攻击目标；然后，设计一种全新的自适应蜜网系统，在网络中营造出大量以假乱真的业务节点及业务网络，引诱攻击者进入虚假业务网络以实现实时捕获与阻断；最后，提出一种基于异构图卷积网络的攻击行为分析方法，有效识别和定位包括APT攻击在内的网络攻击模式，有效识别并阻断新型未知网络威胁。     

分布式DNS反射DDoS攻击检测及控制技术

分布式DNS反射DDoS攻击已经成为拒绝服务攻击的主要形式之一,传统的基于网络流量统计分析和网络流量控制技术已经不能满足防护需求。提出了基于生存时间值（TTL）智能研判的DNS反射攻击检测技术,能够准确发现伪造源IP地址分组;基于多系统融合的伪造源地址溯源阻断技术,从源头上阻断攻击流量流入网络。     

内网信息安全策略与技术研究

信息安全对于国家安全具有重要的战略性意义。“十二五”规划纲要高度强调了网络与信息安全防护的重要性。文章分析内网信息安全的现状,针对军用内部网络和企业内部网络提出了相应的信息安全策略,从技术角度给出了内网信息安全的实现技术,以期对构建信息安全保密防护体系,确保国家网络与信息安全提供有益参考。     

网络边界安全的动态防护模型

文章提出了一个网络安全防护的动态模型,并基于该模型实现了系统原型。该系统实现了信息流的访问控制和攻击分析检测的有机整合,并根据攻击分析检测的结果进行闭环响应;同时利用TCP服务识别技术以及主动端口扫描技术及时地获得网络服务的变化,然后根据这些变化动态加载分析检测规则,提高了攻击分析检测的准确性和效率。实验结果表明,系统有效地实现了闭环动态防护机制。     

基于端信息自适应跳变的主动网络防御模型

端信息跳变是目前主动网络防御领域的研究热点之一。该文构建了固定策略下的定时隙端信息跳变模型,分析了固定跳变周期引起的防御收益下降和跳变边界数据包丢失造成的服务损失问题。提出了基于非广延熵和Sibson熵融合的实时网络异常度量算法,在此基础上设计了端信息跳变周期和跳变空间自调整策略,构建了主动网络防御模型,提高了防御收益。给出了基于网络时延预测的跳变周期拉伸策略,保证了跳变边界的服务质量。理论分析与仿真实验结果表明了所提模型在网络防御中的有效性和良好的服务性。     

用VPN与DMZ技术改造校园网络的研究

为了解决既能在异地访问内网资源,又能充分保证内网资源的高度安全,将VPN与DMZ技术应用于校园网络的升级改造。提出了针对DMZ专区的三类IP地址映射算法与合法外网用户通过VPN访问内网资源需要的虚拟IP地址转换函数,并在此基础上提出了VPN与DMZ技术在校园网上集成应用的解决方案。通过在校园网中合理构建DMZ专区与VPN网络,巧妙设置DMZ与VPN的访问规则,在充分保证校内资源安全的前提下,成功解决了异地用户共享内网资源的难题。     

端口反弹型木马通信技术研究及防范措施

端口反弹型木马(Port Recall Trojan Horse)是一种新型的特洛伊木马(Trojan Horse),它不仅能够穿透防火墙,而且还可通过HTTP、SOCKS4/5代理,甚至还能访问局域网内部的没有公共IP的电脑,如用NAT透明代理和HTTP的GET型代理等的局域网,还可能入侵像拨号上网、ISDN、ADSL等的主机,给现有的计算机网络会带来了更大的危害。论文介绍了传统型特洛伊木马的通信原理和端口反弹型木马的通信技术,最后提出了对于端口反弹型木马的防范措施。     

端口反弹型木马的通信技术研究

端口反弹型木马是一种新的特洛伊木马，它能够轻而易举地穿透局域网的防火墙，而且能入侵到局域网内部没有公网IP地址的主机．这类木马对计算机网络安全带来了严重的威胁。文章比较了端口反弹型木马与传统木马的通信方式．指出了端口反弹型木马通信技术的优点。研究了两种典型端口反弹型木马的通信过程，即半反弹连接方式和完全反弹连接方式．并对它们进行了比较。最后，为验证端口反弹通信连接，设计了一个原型木马。     

企业级IP电话网络

本介绍了企业级IP电话网络的系统组成，详细描述了IP电话网关IP电话网络中作用，并分析了IP电话网关应解决的关键技术。     

Secure remote access from office to home

When accessing IP-ready appliances at home from a remote site, security is a major concern. We address the seemingly common scenario of accessing IP-ready appliances behind a home firewall from a remote PC within a corporate intranet. The scenario reveals the complex nature of secure remote access. Various IP tunneling technologies can provide secure remote access without sacrificing the ubiquitous accessibility of the Internet; however, the problem of multiple authentication processes is evident in the framework. Digital certificate technology can simplify the authentication process required to establish multiple IP tunnels. However, IP tunneling technologies do not scale well, and become infeasible if the number of firewalls to traverse increases. Scalability and end-to-end security requirements call for the deployment of authenticated firewall traversal methods that use minimal or no IP tunnels. This article describes a meet-in-the-middle network model as a simple and practical method     

海宁广电交警专网优化改造

阐述了IP城域网优化改造的必要性,以海宁广电交警专网为例,采用主流的城域网技术,从网络扁平化改造,缩短网络二层、三层的收敛时间、路由保护、VLAN规划、IP地址规划来进行网络的优化改造。     

浅谈加密机在金融网络中的应用

金融机构目前大多采用同步数字序列（SDH）和异步转移模式（ATM）等数据网络提供固定（虚拟）线路来连接需要通信的部门和分支机构。从内部网络流出的数据不加防范地在网际线路中穿行,给使用搭线窃听、电磁泄露等入侵手段的不法黑客以可趁之机。因此,需要利用网络密码机提供访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全功能,弥补由于TCP/IP协议体系自身带来的安全漏洞。     

威胁诱捕感知系统设计与应用

随着Internet的快速发展,网络安全已变得越来越重要,现有的网络安全技术都是被动防御,具有其固有的弊端。如何在第一时间感知威胁,并及时响应是网络安全防护的关键。本文在研究企业网络安全现状及网络欺骗关键技术的基础上提出了威胁诱捕感知系统并将其应用到实际的企业环境当中,迷惑欺骗攻击者的同时记录攻击信息,开展网络安全应急响应。弥补传统安全防护系统对未知攻击检测的不足,有效地提高了企业网络主动防御的能力。     

Design protection for WDM optical networks

With wavelength division multiplexing (WDM) networks the failure of a single link or component may cause the simultaneous failure of several optical channels, potentially making impossible restoration by rerouting directly in higher layers directly using the optical network (SDH, ATM, internal protocol (IP)). To address this, we introduce the concept of design protection, which aims at making such failure propagations impossible. We present the disjoint alternate path (DAP) algorithm which places optical channels in order to maximize design protection. We show the result on various network examples