基于SDN技术的网络入侵阻断系统设计

针对当前防火墙或入侵阻断设备进行网络攻击防御存在适应性差和成本高的问题,设计了基于OpenFlow的入侵阻断规则,实现了对攻击流量的过滤及对入侵阻断过程的灵活控制;分析并测量了基于入侵阻断规则生成OpenFlow流表项的性能;引入OpenFlow交换机(H3CS6300),测量了在生产环境下OpenFlow流表项的数量和单位时间内OpenFlow报文数量(OpenFlow PPS)对OpenFlow Channel的性能的影响,发现OpenFlow PPS对OpenFlow Channel的性能具有决定性作用,随着OpenFlow PPS的增加,OpenFlow Channel的性能急剧下降,响应时间呈指数级增长.设计并实现了基于SDN技术的网络入侵阻断系统,实现了对攻击流量的阻断、对恶意流量的样本采集,证明了使用SDN技术构建入侵防御系统的可行性.     

基于静态非合作博弈的网络报文取样模型

为了提高网络入侵检测系统的性能,运用博弈论建立网络入侵报文取样模型.基于静态非合作博弈的分析思路,通过网络安全系统和网络攻击者调整自身的策略以取得最大化的效用,推导出混合策略Nash均衡的解析解,并根据该策略设计了网络报文动态取样算法(DDPSA)和集中式增量取样算法(CIPSA),以等概率攻击、随机攻击和博弈攻击等3种方式的攻击报文来检验2种算法的性能.仿真结果表明,CIPSA算法比DDPSA算法更为有效.CIPSA算法在3种攻击方式下均有相同的取样成功率,不仅表明CIPSA算法的稳定性,也验证了入侵报文取样模型混合策略的合理性.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于应用层的DDoS攻击模型与安全防御策略研究

为了针对目前具有较强隐蔽性的多向量应用层DDoS(Distributed denial of service)攻击方式,对应用层攻击的模型深入分析,提出了应用层发生的DoS(Denial of Service)攻击防御模型.通过构建并弹性获得吸收攻击所需的带宽容量和过滤攻击流量的网络架构以及基于云计算的虚拟防火墙安全策略,减少数据中心受到DDoS攻击的可能性.使用该攻击防御模型能够更好提高数据中心对应用层DDoS攻击的防御能力,改善网络环境.经过验证该模型能够显著提升网络系统的安全性能.     

基于CUSUM算法的LDoS攻击检测方法

低速率拒绝服务LDoS攻击具有流量发送速率低、隐蔽性强、具有突发性以及造成危害大的特点,融入正常流量中难以被传统的DoS攻击检测机制发现.针对该攻击方式突发性特点,分析路由器受到LDoS攻击时流量特征的统计异常,将路由器入口流量的均值与正常阈值相比较,提出了基于累积和CUSUM算法的检测方法.该方法基于突变假设检验,对到达流量分析变点前后流量的累积和特征,通过将分析得到的累积和与设定的门限值比较来实现LDoS攻击的检测.实验通过调整算法参数来优化检测性能,通过基于NS-2搭建的仿真实验平台表明,该方法具有较好的检测性能.     

基于聚集算法的DDoS数据流检测和处理

提出了一种应用于路由器的嵌入式DDoS(分布式拒绝服务攻击)防御算法。针对DDoS攻击的本质特征,对IP数据流进行轻量级协议分析,把IP数据流分为TCP、UDP和ICMP(网间控制报文协议)数据流,分别建立相应的聚集模式,根据该模式来检测DDoS聚集所占资源,采取相应的抑制措施过滤攻击数据包,从而保证合法数据流的正常转发。仿真试验证明该方法能准确地检测到DDoS攻击,处理效果很好。     

两参数Poisson过程的鞅刻画

本文给出了两参数Poisson过程的鞅刻画并讨论了这种过程的强Markov性。两参数随机过程(P_为Poisson过程的充要条件是(N_)=(P_-st)为鞅;设(P_)为Poisson过程,则(P_~T)=(P(]T,T z]))仍为Poisson过程且P_~T与F_T~*独立,其中,T为有限弱停点,z=(s,t)∈R_ ~2,F_~*=F_~*∨F_~2。     

一种利用源地址信息的DDoS防御系统的设计与实现

DDOS攻击是目前最严重的一种网络攻击行为.传统的DDOS防御方法复杂低效,提出一种利用源IP地址和跳数信息进行DDOS攻击过滤的方法.并利用布隆过滤器(BF)技术设计和实现了一种DDOS防御系统.该系统部署在目标端,在目标没有受到攻击时,学习并记录正常的访问源地址信息;而当攻击发生时,系统会保证正常的访问,而过滤大多数攻击报文,特别是不同类型的伪造IP的攻击报文.实验结果显示,该系统能过滤掉大多数对目标的DDOS攻击报文,且仅有很低的误报率.     

基于Poisson过程与分布的股票价格过程

根据概率论中的Poisson过程,Poisson分布和渗流理论,研究证卷市场中的股票价格波动过程,通过建立相应的金融收益模型,构造出股价的随机过程.再利用价格过程的特征函数,研究股价过程概率分布的收敛问题.同时还讨论了在不同时段内股价波动的性质和状态.     

一种基于分组漏斗的DDoS防御机制

提出一种新的基于分组漏斗算法以防御DDoS攻击.该算法引入基于历史IP过滤(History-based IP Filtering)算法思想,并采用活动IP(AIP)表和等待矩阵(Waiting Ma-trix)两级过滤机制保护服务器.实验结果显示,该防御方案以牺牲少量随机合法用户的正常访问为代价,过滤掉大部分攻击包,从而确保大多数合法用户的正常访问.     

移动sink传感网低时延数据收集方法

提出一种基于环形线路的低时延数据收集（LDCR）方法,使sink节点沿环形路线移动,减少部分数据分组等待传输的时间,并在sink节点到达停留点时立即发送HELLO消息,使其通信范围内的传感器节点及时发送数据分组.性能分析结果表明：与现有的sink节点使用往复路线的数据收集方法相比,提出的LDCR方法在数据分组平均端到端时延、吞吐量、分组传送成功率和存储空间占用等方面的性能得到整体提升.     

An efficient QoS enhancement mechanism of VoIP using erasure array codes

In order to solve the problem of losing voice packets in voice over internet protocol ( VoIP) , a kind of lost packets double recovery algorithm is proposed.The algorithm is based on erasure coding technique which comes from highly available data storage systems.An efficient coding scheme with higher tolerance based on STAR and Reed-Solomon ( RS) erasure code is described.An efficient method is also provided which could transform the voice data packets of one dimensional bit stream into two dimensional array according to given window size.If the lost rate has increased beyond the error correction capability, packet-loss concealment will be adopted.Under various conditions of packet-loss simulation during the experiments, the algorithm has proved its better performance on MOS rating and coding rate.     

基于防火墙的网络入侵检测系统

提出了一个基于防火墙的网络入侵检测系统模型,克服了传统入侵检测系统不能实现主动控制的缺陷,并对设计与实现中的关键技术做了详细的描述·该系统在数据链路层截取实时的数据包,对其进行基于安全策略的访问控制分析;同时利用事件发生器从截获的IP包中提取出概述性事件信息并传送给入侵检测模块进行安全分析·入侵检测模块采用基于统计的入侵检测技术,并采用了NaiveBayes算法·基于该模型设计实现的系统在实际测试中表明对于具有统计特性的网络入侵具有较好的检测与控制能力·     

基于泊松簇过程的三层异构蜂窝网络部署模型

5G标准下的蜂窝网络正在向异构化、超密集化的方向发展,传统的基于六边形网格模型的研究方法较为理想化且并不精确,越来越不适用于如今的异构网络.针对这个问题,目前常用的方法是使用基于随机几何的泊松点过程来研究异构网络的基站部署,这种方法假设基站的空域分布完全随机,因此得到了覆盖概率的理论下界.但是由于宏蜂窝边缘(盲区)以及热点地区(忙区)等特殊区域中,站点的分布可能形成簇,此时,基于泊松点过程的空域分布将不再准确.针对这个问题,本文使用泊松簇过程研究三层异构蜂窝网络的基站部署与规划.首先,提出基于泊松簇过程的基站部署系统模型,讨论了基于簇分布的基站形成过程;其次,在充分分析用户受到的聚集干扰基础上,采用基于瞬时信干噪比的小区选择机制,推导出了中断概率模型,并讨论了三种特殊条件下的中断概率;最后,通过仿真对比分析了基于泊松簇过程与泊松点过程的中断概率的差异以及信干噪比阈值变化时的中断概率的变化曲线,证明了基于簇的空域基站部署具有更低的中断概率.     

基于可靠性分析的太阳电池阵驱动弹簧设计

以太阳电池阵驱动弹簧为研究对象,建立动态可靠性模型,并提出太阳电池阵驱动弹簧的可靠性优化设计方法。在建立动态可靠性模型过程中,假设载荷历程为Poisson过程,并考虑驱动弹簧参数的变化对应力及强度分布的影响。通过灵敏度分析,提出基于动态可靠性模型的优化设计方法。算例研究表明:即使在强度不退化的情况下,驱动弹簧的可靠度仍然随着时间的增加而降低。同时,失效率曲线与偶然失效期浴盆曲线相一致。此外,基于传统应力-强度干涉模型的可靠性优化方法可能由于忽略了可靠性的动态特性而使设计结果具有较高危险性。     

基于投保过程的风险过程的精细大偏差

提出了一个基于投保过程的风险模型.在索赔额为重尾分布假设条件下研究了损失过程的精细大偏差.     

3G架构下SIP服务的QoS控制

3GPP/3GPP2(3rd Generation Partnership Project/3rd Generation Partnership Project 2)提出的基于会话发起协议SIP(Session Initiation Protocol)的多媒体子系统IMS(IP Multimedia Subsystem)为下一代无线网络的多媒体业务提供了可行性.但是,使用基于IP(Internet Protocol)的分组交换来传输数据不可避免地要面对抖动、分组到达失序和分组丢失等问题.首先介绍了一个UMTS(Universal Mobile Telecommunication System)网络和IMS共存的体系结构,分析了SIP,H.248,公共开放策略服务协议COPS(Common Open Policy Service)如何保证QoS(Quality of Service)的;接着讨论了如何保证3G网络架构下基于SIP协议的多媒体会话的QoS,解决网络阻塞的问题.     

基于邻居信息交换的机会网络低时延路由算法

提出一种以Epidemic Routing为基础、采用两跳邻居信息交换方式的机会网络低时延路由算法———LDREN,在分组索引的交换过程中交换两跳邻居信息从而增强对本地拓扑的掌握,并优先发送位于最后两跳的数据分组;同时在节点相遇感知过程中借助ECHO消息从节点缓存中删除已到达目的节点的分组.性能分析结果表明,与经典的Epidemic路由算法及其改进算法ARER相比,LDREN在分组端到端时延、分组传送成功率、存储空间占用等方面的性能得到整体提升.     

基于网边缘控制的QoS路由算法

为给不同的用户提供不同的服务质量(QoS),提出一种基于网边缘控制的因特网QoS路由算法。该算法中,路由选择的决断主要由网边缘做出,核心路由器的任务简化为通报网络信息和协调用户决断这两个较为简单的功能,利用用户级别的自组织路由来达到上述目标,从而形成一个扩展性强的自适应QoS路由算法。它使用路由探测分组与染色分组来增强网络的自适应能力;不需了解全局信息,只需局部网络状态即可;利用用户的自组织行为来协调路由行为。分析与仿真实验表明:该算法比传统算法有较强的动态性、可扩展性和较强的QoS提供能力。