一种动态的单组播集成调度算法

在单组播比例发生变化的情况下,现有单组播集成调度算法无法保持较高吞吐率。针对该问题,提出一种动态的单组播集成调度算法。基于输入排队(IQ)的交换结构,通过在输入端口处监测最近若干个时隙的单组播业务输入情况,动态决定当前的单组播集成调度策略。仿真结果表明,该算法的单播吞吐率、组播吞吐率和总体吞吐率均高于FILM算法和fSCIA算法,并具有较好的时延性能。     

基于拟态架构的内生安全云数据中心关键技术和实现方法

云数据中心是新一代信息基础设施的代表,其安全问题也成为近年来备受关注的焦点,具有重要的意义。首先,在对现有云安全形势分析的基础上,通过新兴的内生安全概念探索云数据中心的安全架构、关键技术和实现方法,期望利用拟态构造设计解决现有防护手段难以处理的漏洞、后门等内生安全问题。其次,提出了一种云数据中心内生安全架构与相关关键技术实现构想,同时给出了现有云平台系统拟态化改造的模式与技术趋势。未来,基于拟态架构的内生安全云数据中心或将为新一代信息基础设施建设提供有效的安全解决方案,进而加速云化服务模式的应用与推广。     

多变体系统风险评估与动态防御方法

多变体系统被提出以从架构层面实现信息系统的高安全和高可靠，但其安全性受到严重挑战。针对此问题，本文基于通用漏洞评分系统(CVSS)提出系统漏洞风险评估模型，对基于K多数裁决的多变体系统进行攻击建模，基于漏洞风险以及攻击行为提出执行体动态切换算法。最后构建了一个典型的多变体系统来评估漏洞风险与系统安全的相关性，以及算法带来的安全增益。评估结果表明，漏洞风险与多变体系统安全呈负相关，且算法约提高了10%～67%的抗攻击能力，该算法能够有效提高系统的安全性。     

动态均衡的LB-BvN分组保序调度机制

针对LB-BvN交换结构的分组乱序问题,探讨了LB-BvN交换结构分组保序的约束条件.从网络流量的传输特性出发提出了解决LB-BvN交换结构分组乱序的DFA(dynamic flow assignment)算法和DFS(dynamicflowlet switching)算法.DFA算法以流为单元分派交换路径,能够严格确保流分组的保序交换;DFS算法是对DFA算法的优化,以流簇(fiowlet)为单元进行交换以保证流簇的保序,进而确保属于同一条流的分组保序.DFA和DFS算法只需在线路接口卡上维护少量的流状态信息即可实现保序交换,仿真结果表明DFA算法和DFS算法具有良好的时延、时延抖动和吞吐量性能.     

可行的基于CIOQ的并行分组交换结构

针对传统并行分组交换结构存在的平面可扩展性问题,提出一种可行的分布式并行分组交换PDPPS(practical distributed parallel packet switch)。在端口数为N和中间层平面数为K的情况下,PDPPS的复用器中只需要维护大小为NK的高速缓存,就能保证每条流按序输出。理论分析和仿真结果表明,PDPPS的性能优于使用OQ(output queuing)结构作为中间层平面的分布式并行分组交换结构VIQ PPS(virtual input queuing parallel packet switch),略微低于集中式PPS和IOQ PPS(in-order queuing parallel packet switch)。但相对于集中式PPS,PDPPS使用了更为通用且易于实现的CIOQ(combined input and output queuing)作为中间层平面;相对于IOQ PPS,PDPPS使用了分布式调度算法,从而消除了系统的通信开销,并且PDPPS极大地降低了所需的高速缓存数量。     

基于多字符DFA的高速正则表达式匹配算法

基于确定性有限自动机(DFA)的传统正则表达式匹配方法存在单周期处理单字符的速度瓶颈。为提升处理速率,提出一种单周期处理多字符的匹配算法MC-DFA,该算法基于DFA实现,支持匹配位置的精确定位。MC-DFA将传统DFA中的单字符跳转合并为多字符跳转,实现了单周期处理多个输入字符。通过状态转移矩阵二阶压缩算法,MC-DFA分别对矩阵行内以及行间冗余进行消除,减少了内存使用。300条规则下,单周期处理8字符时,MC-DFA吞吐率能够达到7.88Gb/s,内存占用小于6MB,预处理时间为19.24s。实验结果表明,MC-DFA能够有效提升系统吞吐率,并且保证内存占用在可接受范围之内,性能优于现有正则表达式匹配算法。     

高性能并行分组交换结构的研究

随着高速宽带通信网络的发展,网络设备的交换能力正成为制约现代网络发展的主要瓶颈之一。并行交换结构能够极大提升网络设备的交换能力,使网络设备拥有更高的交换容量和交换速率,以支持更多的网络业务。本文从交换结构模型的角度较深入的研究了高速路由器调度算法,并在基于参考交换结构和库存论原理对并行分组交换(PPS)结构稳定工作进行定义的基础上,分别分析了无输入缓存PPS和带输入缓存PPS稳定工作的充要条件。     

面向多变体系统的执行体多样性度量方法

近年来,以内生安全为主要技术机制的多变体系统在防御零日漏洞攻击中表现出了巨大的潜力.但是现有研究很少涉及多样性和安全性之间的量化评估.对此,提出面向多变体系统的执行体多样性度量方法,该方法通过执行体属性和属性类型构建执行体属性矩阵,结合属性多样性和局部多样性综合评估执行体集的空间多样性,并针对矩阵参数及其多样性权重进行分析以达到系统最大多样化.构建了一个典型的多变体系统及零日攻击模型来评估该指标的有效性,评估结果表明,该多样性度量方法能有效衡量多变体系统中执行体间的异构性,并根据执行体异构性和系统攻击成功率的关系,间接评估出多变体系统的整体安全性.根据结论,该方法为构建更加多样化和安全的系统方面提供了一些指导.     

T比特路由器中并行交换结构的实现方案

文章结合国家863项目T比特高性能路由器的研发,提出了用PS(并行交换)结构,利用多个G比特级交换结构来构架一个T比特级的交换网络。这样可以充分利用已掌握的成熟的G比特交换技术,同时也使该交换网络具备良好的可扩展性。     

一种面向N变体系统的时延隐蔽信道攻击及其对策研究

N变体系统具有高可靠性和高安全性的特点,能够有效防御多种安全风险,现已广泛应用于金融、医疗、军事和网络空间等多个具有高安全性需求的领域。但是N变体系统特有的裁决机制为实施时延隐蔽信道攻击提供了潜在的实现途径。针对这种潜在的安全威胁,本文首先分析了一种面向N变体系统的时延隐蔽信道攻击方法,该攻击方法以信息论为基础,利用N变体系统响应时延的差异特征来泄露系统信息。进而,推导出了攻击者使用响应时延样本均值和样本方差作为特征统计量时的检出率公式。然后针对该时延隐蔽信道攻击方法,从减少攻击者利用响应时延差异特征的角度上提出随机加扰策略、自适应加扰策略和先到先裁决策略三种防御策略,随机加扰策略通过引入延迟使响应时延具有相同的统计特征,自适应加扰策略通过动态调整裁决策略以平衡系统运行效率,先到先裁决策略通过优化裁决算法以减少攻击者利用时延差异特征来泄露系统信息,同时提升一定的系统性能。最后,开发了基于Nginx的原型系统并进行了广泛的实验,实验部分证明了该时延隐蔽信道攻击对N变体系统的安全威胁,同时验证了三种防御策略的可行性与有效性,性能对比测试结果表明先到先裁决策略相较于原裁决策略降低了10%的系...