虚拟化与数字仿真融合的多尺度网络复现技术

网络复现技术是面向网络安全实验的效果评估平台与网络仿真系统的基石。针对网络复现的逼真性与可伸缩性需求,提出一种基于云平台的轻量级虚拟化、全虚拟化与数字仿真三种尺度融合的多尺度网络复现技术。首先介绍了面向三种尺度无缝融合的网络复现体系架构,然后重点研究了基于该体系架构的网络构建技术。仿真实验结果表明,三种尺度无缝融合的网络构建技术所复现的仿真网络具有灵活、透明、并发的特点;此外,通过该技术所复现的仿真网络还具有高度可扩展性;最后,在所复现的大规模仿真网络上进行多种协议通信测试与简单网络安全实验,验证了该大规模仿真网络的实用性。实验验证结果表明,虚拟化与数字仿真融合的多尺度网络复现技术可作为创建大规模仿真网络的技术支撑。     

基于OpenStack的高吞吐量路由仿真技术研究

融合了轻量级虚拟化、全虚拟化以及SDN技术的OpenStack云平台具有逼真度高、可扩展性强等优势,可有效满足网络仿真的大规模、高逼真、灵活构建的需求。在网络仿真层面,OpenStack的neutron机制支持三层网络高逼真仿真,可为各虚拟设备的无缝通信提供便利,但其虚拟路由器qrouter只能够转发直连网络的数据,难以构建复杂的仿真网络。为此,基于OpenStack平台,提出了一种基于集中式路由引擎与分布式路由部署的路由仿真技术。实验表明,该方法不仅可以基于qrouter构建复杂的仿真网络,而且具有高吞吐量的优势。     

基于多尺度虚拟化的卫星终端用户行为仿真

针对天地一体化网络中用户数量多、并发通信高和时变性的特点,基于多尺度虚拟化技术,提出一种模型驱动的分布式卫星终端用户行为仿真方法。采用多尺度虚拟化技术解决仿真逼真性和计算开销间的矛盾,实现卫星终端的大规模仿真。利用模型驱动的设计方法,将理论模拟模型与网络仿真相结合,实现用户行为特征的高逼真仿真。实验结果表明,该方法可以实现100万用户在线、10万并发通话的大规模仿真,且能准确体现用户行为的时变规律。     

基于虚拟化的OSPF协议安全性仿真评估方法

OSPF(Open Shortest Path First)协议是重要域内路由协议，但存在诸多安全隐患.为提升OSPF协议的安全性，有必要构建可靠、高效的安全评估体系.鉴于基于实物网络的评估方法存在成本高、灵活性差的不足，以及基于网络仿真软件(如GNS3)的评估方法存在可扩展性差的不足，设计了一种基于虚拟化的OSPF协议安全性仿真评估体系.借助于云计算、虚拟化技术，该体系可为OSPF协议安全性评估提供可扩展、可灵活构建的基础环境.进一步，面向OSPF协议安全性评估的需求，重点研究了基于虚拟化的路由协议仿真技术、OSPF协议安全评估场景的自动化灵活加载技术、面向OSPF协议安全评估的数据采集与效果评估方法.实验验证表明：该体系可对多种典型的OSPF协议攻击场景的进行逼真、灵活且自动化的仿真评估，且在仿真规模上具有可扩展的优势；通过与其他仿真技术的对比表明，该方法在部署时间、仿真性能方面具有优势.     

大规模网络实验中虚拟化技术浅析

虚拟化是构建大规模网络实验平台的关键技术,虚拟化管理方式将从单一管理模式向集成化、高效可管方向发展。基于PlanetLab网络大规模实验平台,分析了系统虚拟化和网络虚拟化的功能和架构以及国内外虚拟化技术的研究现状。最后结合实际应用,总结了虚拟化代表产品的架构和技术。     

天地一体化信息网络宽带用户行为仿真技术

天地一体化信息网络结构复杂、协议多样,必须构建相应的仿真平台对各种新技术、新方案进行实验、验证。为克服仿真规模、逼真性与计算开销的矛盾,采用虚拟化、云计算相结合的分布式仿真方法,搭建了涵盖天基骨干网节点、Ka/Ku通信卫星以及地面用户在内的天地一体化宽带用户仿真场景;针对网络中宽带用户数量大、行为多样、并发通信高等特点,研发了基于模型驱动、参数可配置的高并发用户行为仿真方法。实验证明,该仿真方法可实现宽带用户接入卫星网络的仿真场景,以及基于模型驱动的典型宽带用户行为的多样化仿真,且仿真规模可达10万级用户并发,可有效满足天地一体化信息网络仿真评测的需求。     

基于轻量级虚拟化的多尺度网络复现研究仿真

由于网络验证测试构建真实环境的代价较大、性价比低、全虚拟化环境所得结果不够真实,存在一定的局限性,为此提出基于轻量级虚拟化的多尺度网络复现研究方法.利用轻量级虚拟化技术构建开放源代码虚拟机监视器体系,将物理硬件和操作系统分离,统一物理资源,令资源不受物理限制约束,在一个物理机器上同时运转多个不一样的操作系统,并且各个操作系统能够执行多个应用程序,使硬件与操作系统虚拟化.再通过聚类系数、度的分布、平均路径长度、网络时效以及网络质量等网络复现指标,实现多尺度网络复现.实验通过连通性、透明性、并发性指标验证构建的网络,得出所提方法的仿真规模较大,性价比较高、适用性较强,充分验证了上述方法的有效性.     

基于交互式流量回放的用户行为仿真技术

流量回放可为网络靶场提供逼真的流量数据并支持网络新技术验证与安全评测。面向复杂虚拟网络的交互式用户行为仿真需求,设计一种交互式流量链路的用户行为仿真架构。采用基于云平台的分布式流量仿真策略,以实现面向复杂虚拟网络用户的行为仿真多样化和可扩展加载。对交互式流量回放过程中延时修复与补偿策略进行研究,提升交互式用户行为仿真的时序逼真性。仿真实验结果表明,该仿真架构能够在保证流量时序准确性的前提下,实现交互式的大规模用户行为仿真,与传统的ITRM、Tcpreplay等方法相比,在仿真行为的多样性、规模性、逼真性上具有一定优势,可为安全评测提供有效支撑。     

基于战略博弈的DDoS攻防绩效评估方法

提出一种基于战略博弈的DDoS攻防策略绩效评估方法,针对当前DDoS攻击防范策略中基于速率限制的防范机制,利用博弈论方法对DDoS攻防双方进行建模,对LACC和Pushback防范策略的绩效进行定量评估,分析不同策略在不同攻击场景下的性能和防范效果。针对典型的DDoS攻击场景,利用网络仿真工具进行模拟实验,通过计算攻防双方的混合战略纳什均衡评估防范策略的绩效验证该方法的适用性和有效性。     

仿真环境下DHCP攻防实验的设计与实现

DHCP攻击与安全防护是网络安全人员需要掌握的专业技能。然而,由于网络攻防技术本身所具有的特殊性和破坏性,许多高校受实验条件限制难以完成该实验内容。本文构建了将VMware版Kali Linux桥接到eNSP仿真网络的攻防实验仿真环境,设计了DHCP耗尽攻击、欺骗攻击和DHCP安全防护的实验内容,在仿真环境中实现了DHCP攻防实验,验证了实验的可行性,为培养网络安全专业人才提供了一种安全攻防的实验仿真环境。     

天地一体化卫星网络拓扑场景仿真技术

网络仿真可为天地一体化卫星网络的新技术评测提供有力支撑。面向天地一体化卫星网络拓扑场景固有的异构性、动态性特点,提出一种天地一体化卫星网络拓扑场景仿真技术。设计了面向异构、动态卫星网络拓扑的统一描述模型,以及研究了基于统一描述模型的拓扑自动解析与仿真场景生成方法,提升了仿真场景生成的易用性;从是否时变性的角度出发,设计了面向各类星间链路与星地链路的分类方法,将链路分为时变性和非时变性两种,针对非时变性链路,通过引入链路模型预加载机制,提升了卫星链路的仿真效能以及响应速度;针对链路仿真过程中延时仿真精确度低的问题,设计了链路仿真校正策略,实现了卫星链路高逼真、实时、动态的仿真。构建了多种天地一体化卫星网络场景,实验结果表明：所提出的技术具备高效的卫星网络仿真拓扑的自动生成能力;与现有技术相比,该技术在卫星链路仿真效能与仿真逼真性方面具有明显优势。     

基于免疫算法的网络功能异构冗余部署方法

针对现有安全防御手段无法抵御网络功能虚拟化平台中众多未知的漏洞与后门的问题。运用拟态防御思想,提出一种网络功能虚拟化的拟态防御架构,并针对其中的异构体池构建问题设计了一种基于免疫算法的网络功能异构冗余部署方法。首先,结合熵值法对异构体之间的异构度进行量化评估;然后,以实现异构体之间异构度最大为优化目标将网络功能异构冗余部署问题构建成极大极小问题;最后,基于免疫算法快速求解最优部署方案。仿真结果表明,该方法可以迅速收敛到最优部署方案,并保证异构体之间的异构度值整体分布在较高的水平,有效增加了异构体池的多样性,提升了攻击者的攻击难度。     

一种基于BiLSTM的低速率DDoS攻击检测方法

低速率分布式拒绝服务（Low-rate Distributed Denial of Service, LDDoS）攻击是一种新型的DDoS攻击方式,因其具有低速率、周期性和隐蔽性等特点,可躲避传统的DDoS攻击检测技术,更加难于检测和防御。本文提出一种基于特征选择和双向长短期记忆（Bidirectional Long Short Term Memory, BiLSTM）神经网络结合的LDDoS攻击检测方法。该方法使用分层交叉验证的递归特征消除（Recursive Feature Elimination CV, REFCV）特征选择算法挖掘双向流中最优的11个特征集合作为神经网络的输入,建立基于BiLSTM神经网络模型的LDDoS攻击检测分类器进行分类,达到LDDoS攻击检测的目的。实验结果表明该方法比卡尔曼滤波和NCAS算法有较高的检测率,误报率和漏报率都很低。     

基于NFV的新的协作式DDoS防御技术

在采取网络功能虚拟化技术构建的协作式网络抵御分布式拒绝服务攻击的过程中,由于协作网络中的资源有限,协作网络中的参与者存在为了自身安全而采取自私行为的问题,进而减弱协作网络缓解 DDoS攻击能力。针对上述问题,提出了一种新的缓解DDoS攻击策略。该策略在协作网络中构建重复囚徒困境博弈模型,引入奖罚分明激励机制加强协作网络的合作性,并采取基于社会信誉值评估的动态资源分配机制。仿真实验表明,新的协作式DDoS攻击防御技术在分组丢失率、合作性和资源分配率方面优于现有方案,提高了DDoS攻击防御的有效性。     

基于安全威胁预测的5G网络切片功能迁移策略

随着虚拟化技术的发展，同驻攻击成为窃取用户敏感信息的重要攻击手段。针对现有虚拟机动态迁移方法对同驻攻击反应的滞后性，在5G网络切片背景下，提出了一种基于安全威胁预测的虚拟网络功能迁移策略。首先，通过隐马尔可夫模型（HMM）对网络切片运行安全进行建模，利用多源异构数据信息对网络安全威胁进行威胁预测；然后，根据安全预测结果，采用相应的虚拟网络功能迁移策略迁移以使迁移开销最小。仿真实验结果表明:利用HMM能对安全威胁进行有效的预测，同时该迁移策略能够有效减少迁移开销与信息泄漏时间，具有较好的同驻攻击防御效果。     

基于单点多步博弈的网络防御策略选取方法

当前复杂环境下网络安全问题频发,而现有攻防博弈网络防御模型未考虑网络攻击单点多步的特性,无法有效进行网络防御.针对网络攻防实际需求,通过模拟攻防环境和过程,提出一种基于单点多步网络攻防博弈模型的防御策略选取方法.建立单点多步攻防博弈模型,将全局博弈缩小为漏洞上的局部博弈以适应各种防御体系的攻防分析,采用漏洞评分系统量化...