一种支持单组播集成调度的并行分组交换结构*

针对已有基于单芯片交换结构的单组播集成调度算法在高速链路环境下无法在一个时隙内完成一次调度的问题,提出了一种支持单组播集成调度的并行分组交换结构UMSPPS（Uni-and multicast supported parallel packet switch）。通过动态地调整单播平面数和组播平面数,UMSPPS可以支持任意比例的单组播混合业务。仿真结果表明,在各种比例的单组播业务情况下,UMSPPS的时延总是低于FILM和f SCIA,并且具有最优的总体吞吐率。     

软件定义的内网动态防御系统设计与实现

当前,自带设备（BYOD）的兴起对传统基于边界的内网防护观念提出了新的挑战——内部不设防导致堡垒易从内部攻破.从扰乱攻击链的角度,本文提出了"隔离+动态"的防护方法,设计并实现了一种基于软件定义的内网动态防御系统.通过为内网终端分配虚拟IP地址空间,以隐藏各自的真实信息;并且将IP跳变和路径跳变结合起来,实现了更全方面的防护.结果表明,在正常网络应用不受影响的情况下,该系统能大幅降低网络侦察扫描的可用性,阻断网络窃听,提高攻击者实时攻击难度.     

LHFS-支持公平服务的CICQ混合调度策略

 针对现有联合输入交叉点排队交换结构(CICQ,Combined Input and Cross-point Queuing)调度策略无法提供基于"流"的服务质量保障,探讨了在CICQ交换结构实施基于流调度的可能性,提出一种能够为到达流提供公平服务的分层混合公平服务调度策略—LHFS(Layered and Hybrid Fair Scheduling).LHFS对每个输入、输出端口可独立地进行变长分组交换,其算法复杂度为O(1),具有良好可扩展特性.理论分析结果表明,LHFS能够为业务流提供时延上限和公平性保障.最后,基于SPES(Switching Performance Evaluation System)仿真系统对LHFS的性能进行了评估.     

云原生环境下基于移动目标防御的ReDoS防御方法

针对云原生环境中正则表达式拒绝服务(ReDoS)攻击的防御方式存在效率低、无法进行主动防御的问题,提出了基于移动目标防御(MTD)技术的ReDoS攻击防御方法。首先基于云原生环境下的微服务应用特点,对攻防双方的行为进行了分析;其次,基于Kuberneters设计了基于MTD的防御系统,并提出基于拓扑信息和请求到达速率的动态和静态的多维微服务权重指标、基于排队论的服务效率判断指标以及轮换时机选择方法来指导关键微服务的选择和关键微服务的轮换时机;最后,给出了基于异构度和服务效率的多维指标MTD异构轮换算法,并使用Python进行了仿真,结果表明：所提算法防御时延比动态伸缩缩短了50%左右;并且防御开销在第一次攻击之后趋于平稳,不会持续增长。     

一种基于多粒度特征的软件多样性评估方法

针对现有软件多样性评估方法普遍采用单一特征,无法准确表征软件特性进而导致评估准确度较低的问题,提出了一种基于多粒度特征的软件多样性评估方法。该方法从程序的指令、函数、基本块、二进制文件4个粒度进行分析,首先通过小素数乘积法、动态权重分配等算法获取不同粒度的差异度特征,然后根据差异度分析该粒度的多样性,进而探讨多样化技术的有效性。实验部分采用GNU核心程序集,对指令替换、控制流平坦、伪控制流、NOP插入等7种软件多样化方法进行了综合评估,分析了不同软件多样化方法对不同粒度的特征带来的差异程度和多样性,验证了评估算法的适用性。实验结果表明,该评估方法能够从纵向和横向两个方向对软件多样化方法的有效性进行准确评估,对后续多样化技术的研究具有参考价值。     

面向持久性连接的自适应拟态表决器设计与实现

针对当前拟态表决器以连接为单位“连接内数据传输结束后再表决、转发”的机制难以适应HTTP 1.1协议在持久性连接、分块传输编码的应用场景中开销过大的问题,设计实现了面向持久性连接的自适应拟态表决器,在数据持续传输过程中滑动窗口式表决、释放异构冗余执行体的分块传输编码报文,通过分析滑动窗口式表决的分块传输编码报文的数据特征,构建了表决算法选择策略集,给出了表决准确性维护方案;提出了基于存贮模型的自适应表决窗口控制策略,为待表决数据提供最佳的切分方案。基于原型系统的实验结果表明,自适应拟态表决器在具有可接受的表决准确度下,降低了内存开销并提升了拟态表决效率。     

基于符号执行的软件缓存侧信道脆弱性检测技术

缓存侧信道攻击的基础是程序针对不同敏感信息将访问不同的缓存地址.本文提出基于符号执行的缓存侧信道脆弱性检测技术,通过符号化敏感信息的数据传播过程定位潜在的脆弱点,并通过比较其可能的不同缓存访问地址,判断上述代码在缓存攻击中的可利用性.本文开发了原型系统CSCVulDiscover,并针对RSA等3种密码算法的12类实现代码进行测试,总共发现了125个脆弱点.     

高性能CICQ 仿真平台的设计与实现

交换结构与调度策略对于核心路由器的性能及网络业务流的QoS保证具有重要的意义。基于目前流行的带缓存交叉开关交换结构(CICQ),采用系统级设计方法和面向对象技术,设计并实现了用于研究基于带缓存交叉开关构建的交换结构与调度策略的仿真平台-SPES。设计上实现了业务流、交换结构和调度策略三者之间的分离,具有良好的可继承与可扩展性。最后给出了在该平台下,CICQ流行调度策略的仿真结果,展示了SPES的优良性能。     

一种基于CICQ支持组播公平服务的调度策略*

针对目前基于CICQ(combined input and crosspoint queuing)支持组播的调度策略在公平性和实时性能保障方面存在的不足,提出了一种简单、高效的支持组播公平服务的分层平滑轮询调度算法——mFGSR (multicast fair service and group smoothed round robin)。mFGSR依据组播业务流的权重进行分组和平滑调度,具有良好的可扩展性和公平性能,能够适应实时业务的性能需求。理论分析和仿真结果表明,该算法具有良好的时延、吞吐量和公平性能。     

一种支持组播的分层混合调度策略

分层组播是现实网络环境中流媒体分发的必要手段,在分层组播中应用网络编码可以进一步提高组播的吞吐量。但是,已有的基于网络编码的分层组播机制仅仅考虑了单个媒体源的情形,对于网络中同时存在多个媒体源的场景则缺乏研究。采用遗传算法解决网络编码条件下的多源分层组播的吞吐量优化问题,通过把握源间和层间编码机会,有效提高了网络带宽利用率。仿真实验表明,与传统的分层组播策略相比,文章所提出的优化算法可以有效提高多源分层组播的吞吐量。