AntiMNT：一种对抗多源网络层析成像的拓扑混淆机制

作为一种典型的网络拓扑推断方法,网络层析成像技术可以被攻击者用来准确推断目标网络的拓扑结构,进而向关键节点或链路发起有针对性的攻击行为。为了有效隐藏真实的网络拓扑结构等信息,提出了一种基于主动欺骗方式对抗多源网络层析成像探测的拓扑混淆机制AntiMNT。AntiMNT针对多源网络层析成像的探测过程,策略性地构建虚假拓扑结构,并据此混淆攻击者对目标网络的端到端测量数据,使其形成错误的拓扑推断结果。为了高效生成具有高欺骗特征的混淆网络拓扑,AntiMNT随机生成候选混淆拓扑集,并在此基础上用多目标优化算法搜索具有高安全性和可信度的最优混淆拓扑。基于几种真实网络拓扑的实验分析表明,AntiMNT可以生成高欺骗性和安全性的混淆网络拓扑,从而能够有效防御基于网络层析成像的网络侦察。     

计算机网络课程教学模式改革与实践

计算机网络课程的教学模式改革,可以从实际教学经验出发,实施启发式教学和激励机制,对本科生网络课程教学实施全过程管理,实践以学生为主体的教学理念,采用资源共享模式,实现优秀教学资源在高校之间的快速传播。     

面向创新人才培养的计算机网络教学改革

针对计算机网络课程涵盖面广、知识点散等特点,改革教学模式,在教学过程的组织上,可以按照"课前猜想、课堂研讨、实验验证、课后思考"四个步骤进行,在课前预习中,实施问题驱动;在课堂教学中,加强师生互动;在实验验证时,倡导知行合一,并在课堂上创设学生主体、教师主导的教学氛围,充分调动学生的学习积极性,有利于培养学生的创新能力和综合素质。     

基于启发式奖赏塑形方法的智能化攻击路径发现

渗透测试作为一种评估网络系统安全性能的重要手段, 是以攻击者的角度模拟真实的网络攻击, 找出网络系统中的脆弱点。而自动化渗透测试则是利用各种智能化方法实现渗透测试过程的自动化, 从而大幅降低渗透测试的成本。攻击路径发现作为自动化渗透测试中的关键技术, 如何快速有效地在网络系统中实现智能化攻击路径发现, 一直受到学术界的广泛关注。现有的自动化渗透测试方法主要基于强化学习框架实现智能化攻击路径发现, 但还存在奖赏稀疏、学习效率低等问题, 导致算法收敛速度慢, 攻击路径发现难以满足渗透测试的高时效性需求。为此, 提出一种基于势能的启发式奖赏塑形函数的分层强化学习算法(HRL-HRSF), 该算法首先利用渗透测试的特性, 根据网络攻击的先验知识提出了一种基于深度横向渗透的启发式方法, 并利用该启发式方法设计出基于势能的启发式奖赏塑形函数, 以此为智能体前期探索提供正向反馈, 有效缓解了奖赏稀疏的问题;然后将该塑形函数与分层强化学习算法相结合, 不仅能够有效减少环境状态空间与动作空间大小, 还能大幅度提高智能体在攻击路径发现过程中的奖赏反馈, 加快智能体的学习效率。实验结果表明, HRL-HRSF 相较于没有奖赏塑形的分层强化学习算法、DQN 及其改进算法更加快速有效, 并且随着网络规模和主机漏洞数目的增大, HRL-HRSF 均能保持更好地学习效率, 拥有良好的鲁棒性和泛化性。     

网络蠕虫传播建模分析

概述了当前几种常用的蠕虫病毒传播模型,具体分析了随着因特网体系结构的演化,网络中NAT等设施的出现对蠕虫病毒传播带来的影响。针对传统模型在描述病毒传播过程中的一些不足,对一种解析主动蠕虫病毒传播模型进行了改进,提出了蠕虫病毒的两阶段传播模型。仿真结果与CAIDA实际测量的Red Code v2传播数据相比较表明,改进后的模型能更好地描述病毒的传播规律。     

IP定位技术的研究

IP定位技术就是确定Internet中IP设备的地理位置,它可以帮助网络应用改善性能、提高安全性以及提供新的服务.首先概述了IP定位技术的基本概念和应用情况;然后,将现有定位算法分为独立于客户端和基于客户端两类定位算法,并对每一类算法中的典型算法进行了具体分析,讨论了隐私保护技术和新技术的影响;最后,对现有的IP定位算法进行了综合对比,指出了IP定位技术的研究方向.     

OpenFlow交换机流表溢出缓解技术研究综述

软件定义网络的转发控制分离、集中控制、开放接口等特性使网络变得灵活可控,其架构得到了充分的发展.由于与各种云化业务的良好结合,软件定义网络(software defined networking,SDN)在近些年来得到了大量的商业部署.在基于OpenFlow的SDN架构中,为了实现流表项的快速查找、掩码匹配等目标,商业部署的硬件交换机大多使用三态内容寻址存储器(ternary content addressable memory,TCAM)来存储控制器下发的流表项.但受限于TCAM的容量和价格,目前商用OpenFlow交换机至多能支持存储数万条流表项,导致其存在因突发流和流表攻击等原因而产生流表溢出问题,严重影响了网络性能.因此,如何建立高效的流表溢出缓解机制引起了研究人员的广泛关注.首先对OpenFlow交换机流表溢出问题产生的原因及其影响进行了分析,在此基础上按照流量突发和攻击行为2种情况归纳对比了流表溢出缓解技术的研究现状,总结分析了现有研究存在的问题与不足,并展望了未来的发展方向和面临的挑战.     

故障场景下的边缘计算DAG任务重调度方法

边缘计算将计算和存储资源部署在靠近数据源的网络边缘,并高效调度用户卸载的任务,从而极大地提升了用户的服务体验(Quality of Experience,QoE).但是,边缘计算缺乏可靠的基础设施保护,服务器节点或通信链路的突发故障可能会导致服务失败.为此,建立了边缘计算中的计算节点和通信链路故障模型,并针对依赖型用户任务的调度,提出了资源故障场景下的任务重调度算法DaGTR(Dependency-aware Greedy Task Rescheduling).DaGTR包括两种子算法,即DaGTR-N和DaGTR-L,分别用于处理节点和链路故障事件.DaGTR能够感知任务的数据依赖关系,并基于贪心方法对所有受故障影响的用户任务进行重调度,以保证每个任务的成功执行.仿真结果显示,所提算法能够有效避免节点或链路故障导致的任务失败,提高了资源故障情况下任务的成功率.     

因特网时延空间中TIV与接入时延的研究

大量网络测量研究证实了违反三角不等式(TIV)是因特网时延空间存在的一种普遍现象,是影响网络坐标系统准确性的重要原因之一.通过将因特网分为接入网和核心网两部分,引入了时延空间模型来分析接入时延对于TIV的影响.理论分析表明TIV产生于网络的核心,接入时延可以使得在端到端路径中观察到的TIV数目会减少,并减轻TIV的严重程度.然后,在PlanetLab测试平台设计了一组网络测量实验,来测量端到端的时延矩阵和相应的拓扑信息.之后,设计了ScoutTIV算法来统计时延数据集中的TIV比例.在实验中,根据主机的IP属性将其分为3个子集,并生成了1个随机数据集来进行分析.在所有子集上的实验结果与理论分析结论一致,为网络坐标系统进一步提高预测精度提供了重要依据.     

面向SDN拓扑发现的LDoS攻击防御技术研究

准确获取网络拓扑是软件定义网络（Software?Defined?Network,SDN）中控制器进行有效决策的前提,而现有拓扑发现机制难以有效应对低速率拒绝服务（Low rate Denial of Service,LDoS）攻击等行为。通过理论和实验分析LDoS攻击对SDN拓扑发现造成的影响,提出了一种面向SDN拓扑发现的LDoS攻击防御机制TopoGuard。TopoGuard根据LDoS攻击的周期性特征,通过连续突发检测快速发现存在的疑似攻击场景,并基于主动链路识别策略避免攻击行为造成网络拓扑中断。最后,在OpenDaylight控制器上实现了TopoGuard。实验结果显示,TopoGuard能够有效检测和防御LDoS攻击行为,保证控制器获取全局拓扑信息的正确性。