面向IP流测量的哈希算法研究

为了解决计算资源和高速网络流量之间的矛盾,需要对IP流进行抽样或负载均衡等处理,而哈希算法是资源代价的核心.首先提出评价哈希算法性能的随机测度;其次从理论上证明比特之间异或运算和位移运算能够提高哈希值的随机特性,提出比特流之间哈希算法的原则;然后分析IP报文的4个字段:源IP、宿IP、源端口和宿端口的特性,由此提出相关的哈希算法;最后使用CERNET主干流量和PMA的数据验证算法的性能,并与IPSX和CRC32算法进行比较.研究表明,基于异或、位移原则的比特流哈希算法的执行效率和哈希值的均匀性两方面具有较好的性质,能够满足高速网络流量测量需求.     

基于XOR Hash的快速IP数据包分类算法研究

文章在哈希算法的基础上,提出了一种基于异或哈希的IP分类算法,该算法的核心有三点:一是将目的/源IP、目的/源端口和协议五域连成比特串,然后分为五块后进行异或,获得分类关键值;二是为了降低冲突率,将异或后的关键值再与一个随机数进行异或,获得最终分类索引值;三是为了保证查找到的规则的正确性,对每一个索引值的源/目的IP地址均匹配一次。通过以上三点改进一般会降低算法的时间复杂度和空间复杂度,通过仿真,当对1万条分类规则进行包分类时,该算法的包分类速度可以达到2Mpps,所消耗的最大内存为6MB。     

一种双哈希IP数据包分类算法研究

本文在无冲突哈希算法和异或哈希算法的基础上,提出了一种双哈希的IP分类算法,该算法的核心有三点：一是基于目的／源端口和协议域构造无冲突哈希,由于该三域的组合数目非常少,避免了空间爆炸;二是在异或哈希算法的基础上,将目的／源IP连成比特串后分为四块后进行异或,为了降低冲突率,将异或后的关键值再与一个随机数进行异或,获得分类索引值,并用此值生成多比特Trie树,一般情况下减小了空间和时间复杂度;三是在Trie树终点存放最终分类规则的索引值,为了保证查找到的规则的正确性,对每一个索引值的源／目的IP地址均匹配一次。通过以上三点改进一般要降低算法的时间复杂度和空问复杂度,通过仿真,当对1万条分类规则进行包分类时,该算法的包分类速度可以达到2MPps,所消耗的最大内存为4MB。     

IP流检测中基于信息熵的哈希算法改进

介绍流检测中常见的哈希算法,从信息熵的角度分析异或移位(XOR-SHIFT)算法。将异或运算扩展到字节,利用区域网络检测中数据包IP地址低字节比高字节变化频繁的特点,通过对称交叉异或运算,将五元组中的信息量尽可能更大化地表现在哈希值中,从而优化哈希算法的散列性能,使后续以流标识为约束进行的IP流处理更高效。     

匹配位置对比特流随机性的影响研究

本文阐述了IP报文标识字段比特流随机性的评价标准,通过对大量实测报文进行统计分析证明了比特流的匹配位置对随机测度值有一定影响。结果表明,标识字段比特流随机测度值随着比特流长度的增加整体上呈递减趋势。对相同长度的比特流而言,右优先比特流随机测度值普遍最高,左优先比特流随机测度值普遍最低,其它位置比特流随机测度值普遍介于两者之间。     

基于遍历异或运算的RFID移动认证协议

针对基于PUF设计的移动认证协议进行安全性分析,指出协议存在的不足,并在该协议基础之上,提出一个改进的移动认证协议.所提协议摒弃用PUF加密算法,采用一种创新型的遍历异或运算对信息加密,遍历异或运算基于位运算实现,能够在极大程度上降低系统的整体计算量;遍历异或运算根据加密参数的汉明重量值进行不同方式的按位异或运算,攻击...     

一种基于哈希和跳转表的IP分类算法

文章介绍了IP分类技术研究的最新成果,以及IP分类的典型算法。提出了一种基于哈希(Hash)和跳转表Trie树JTTT(JumpingTableTrie-Tree)的IP分类算法,该算法和核心有两点:一是将源/目的端口和协议三域构造成一个哈希函数,因为该三域的交叉组合较少;二是将源/目的IP地址分割为两块构成跳转表和Trie树。通过分析比较,文章提出的算法无论是时间性能还是空间性能均优于GridofTries算法,文中通过仿真给出了最终的分类效果。最后该文对提出的算法在虚拟环境下做了评判。     

开放式网络中一种新的远程用户认证机制

用户认证服务是确保开放式网络安全的重要组件之一。该文利用安全单向哈希函数和异或运算,提出了一种新的远程用户和服务器双向认证机制。与近年来提出的其它认证机制相比,该机制在安全性和实现效率上均有明显优势。     

一种可证安全的两方口令认证密钥交换协议

口令认证的两方密钥交换协议无法抵御口令字典攻击和服务器泄漏伪装攻击。为此,提出一种改进的PAKA-X协议,用户保存自己的口令明文,服务器存储用户口令明文的验证值,由此弥补原协议的安全漏洞。理论分析结果表明,改进协议具有完美前向安全性,能抵抗Denning-Sacco攻击、服务器泄漏攻击、在线和离线字典攻击以及中间人攻击,并且仅需9次指数运算、6次哈希运算和6次异或运算,运行效率较高。     

基于SM3并行实现的SM2-KDF快速实现算法

本文提出了一种基于SIMD寄存器SM3并行算法的快速SM2-KDF实现方法.首先预计算KDF所需的计数器ct值,再根据消息长度分组执行串行/并行的SM3哈希运算,在SM3消息扩展与迭代压缩部分使用PSHUFB与VPGATHERDD指令并行处理,之后对数据重新装配以使用256位YMM寄存器进行轮函数的运算,最后将输出哈希值与消息异或得到密文.在AMD Ryzen 5 3600 6-Core@3.6GHz和Intel I5-7200U@2.4 GHz两种测试环境下, SM2的KDF算法在消息长度大于1 KB时速度可提升至标准实现的3倍.在应用并行KDF算法后SM2公钥加密算法加密速度最快可提升47%,解密速度最快可提升53%,本方法同样适用于其他杂凑算法和公钥加解密算法的软件加速.     

面向物联网的高速数据交换节点设计方法

针对当前高速数据交换节点设计方法存在功耗高、整体性能低下的问题,提出一种新的面向物联网的高速数据交换节点设计方法.设计了节点所处物联网的拓扑结构,并分析设计了调制模块、码字相加模块和解调模块.令每个和高速数据交换节点的IP模块经输入端口与输出端口和交换节点相连,在各输入端口处设置一个缓冲队列,通过调制模块读取数据,传输至码字加法器模块进行加法运算,将计算结果发送至各个解调模块进行处理后,把数据传输至目的IP模块.通过码分多址技术实现高速数据交换节点的软件设计.实验结果表明,所提方法带宽使用率高、传输速度快、响应能力强.     

基于无冲突哈希Trie树的IP分类算法的研究

随着计算机网络的快速发展,IP分类算法被广泛地应用于路由器、防火墙和流量计费等软件中。本文在基于无冲突哈希Trie树的快速IP分类算法的基础上给出了一组哈希函数,进一步增强了算法的灵活性。     

A router-based technique to mitigate reduction of quality (RoQ) attacks

We propose a router-based technique to mitigate the stealthy reduction of quality (RoQ) attacks at the routers in the Internet. The RoQ attacks have been shown to impair the QoS sensitive VoIP and the TCP traffic in the Internet. It is difficult to detect these attacks because of their low average rates. We also show that our generalized approach can detect these attacks even if they employ the source IP address spoofing, the destination IP address spoofing, and undefined periodicity to evade several router-based detection systems. The detection system operates in two phases: in phase 1, the presence of the RoQ attack is detected from the readily available per flow information at the routers, and in phase 2, the attack filtering algorithm drops the RoQ attack packets. Assuming that the attacker uses the source IP address and the destination IP address spoofing, we propose to detect the sudden increase in the traffic load of all the expired flows within a short period. In a network without RoQ attacks, we show that the traffic load of all the expired flows is less than certain thresholds, which are derived from real Internet traffic analysis. We further propose a simple filtering solution to drop the attack packets. The filtering scheme treats the long-lived flows in the Internet preferentially, and drops the attack traffic by monitoring the queue length if the queue length exceeds a threshold percent of the queue limit. Our results show that we can successfully detect and mitigate RoQ attacks even with the source and destination IP addresses spoofed. The detection system is implemented in the ns2 simulator. In the simulations, we use the flowid field available in ns2 to implement per-flow logic, which is a combination of the source IP address, the destination IP address, the source port, and the destination port. We also discuss the real implementation of the proposed detection system.     

基于Hash_tree的多维IP包分类算法

随着各种网络应用的发展,路由器必须能够快速完成对IP数据包的分类,以支持如防火墙、QoS等服务。文章分析了多维IP包分类中Hash算法的应用,在此基础上提出了一种基于Hash_tree的多维IP包分类算法。该算法充分发挥了Hash函数查找快速的特点,对IP数据包的分类能够以T位的线速进行处理,同时算法还具有支持较大的匹配规则集、支持增量更新等特点。     

融合规则的条件随机场DDoS攻击检测方法

基于流量突发性、源IP地址的分散性、流非对称性等单一手段进行DDoS攻击检测,存在准确率低,虚警率高等问题。利用条件随机场不要求严格独立性假设与综合多特征能力的优点,提出了基于CRF模型融合特征规则集实现对DDoS攻击的检测方法,采用单边连接密度OWCD、IP包五元组熵IPE组成多维特征向量,仿真结果表明,在DARPA2000数据集下,检测准确率达99.82%、虚警率低于0.6%,且在强背景噪声干扰下无明显恶化。     

高速链路中的蠕虫传播及其可视化研究

在高速链路中蠕虫会以一种无法预料的高速率传播,因此设计一个高效的自动防御系统是十分必要的.这种防御系统的设计需要以高度可信的检测准确度和实时的流量分析为基础.针对这些问题,提出了利用蠕虫的信息流量可视化进行监测.介绍了一个简单巧妙的信息可视化方法,那就是在包的源IP、目标IP和目标端口的三维空间里描绘一个包.用这种可视化方法可以清晰地辨别出蠕虫.基于此性质设计了一个高效的蠕虫检测和分类的规则.     

基于特征属性信息熵的网络异常流量检测方法

针对网络异常流量检测问题,文章提出一种基于网络流量特征属性信息熵的异常流量检测方法.该方法首先计算描述网络流量特征变化的源端口号、目的端口号、源IP地址和目的IP地址这4种特征属性信息熵,并进行归一化处理,降低异常样本数据对分类性能的影响;然后利用自适应遗传算法对支持向量机分类器的惩罚参数和核函数参数进行优化,提高分类...     

自然着色聚类过程中的网络安全事件计算

自然着色过程利用有部分重叠的短比特串映射,使两个Hash函数间带有相同的颜色,为判定两个Hash串是否同源提供了重要依据.在商集映射的视角下分析了多个不同的聚类函数间的差异和着色关系,结果表明聚类函数间的内部平衡性结合自然着色过程可以得到源串部分比特串的聚类特性,同时TCP宏观平衡性仍然保持不变.实验表明,利用这个特性可以从多个具有着色关系的短比特串映射的Hash存储空间得到如蠕虫爆发、DDoS之类的TCP宏观异常中发起者、受害者的聚类信息.因此自然着色过程大大扩展了TCP宏观平衡性的应用领域,为网络安全检测、监测和安全事件分布评估提供了有力的支持.