基于分层动态地址的访问控制方案设计

提出了基于IPv6的分层动态地址访问控制系统Hardy的设计原型.Hardy在不影响IPv6地址前缀路由功能的前提下,将地址的后缀部分设置为可动态改变的身份地址.分层网络中的子节点将会从父节点继承部分身份地址加入到自己的地址中作为后缀.同时,父节点将获知子节点的身份地址并据其对通往子节点的流量进行过滤.主机或网络节点通过定期改变自己的身份地址并通知父节点修改过滤规则,来阻止曾经获取其合法地址的恶意用户对其进行进一步访问.身份地址可以通过终端主动访问的方式告知对端,或通过平台发布供授权得到验证的对端获取.     

基于流记录的HTTP 80端口服务检测和分析

为了定位Web服务器并对其流量行为进行分析,提出了一个以网络边界路由器提供的流记录为分析数据源,定位网内HTTP80端口服务主机的算法.算法实现在了CERNET南京主节点所覆盖的网络.对算法的检测结果用传统的扫描定位方式进行了检验,结果表明:本算法只须探测全网3%左右的IP地址空间,便可成功定位超过98%的HTTP80服务器.根据算法执行过程中获得的信息,还可以检测分析网络中的一些安全隐患,包括定位使用Web服务器缺省首页的主机和存在80端口滥用情况的主机等.该算法还具有较好的通用性,调整有关检测条件后可以用于包括DNS在内的其他服务器的角色定位.     

一种基于SNMP的以太网拓扑自动发现算法

提出一种新的基于SNMP的拓扑自动发现算法，该算法能够实现以太网内部的交换机、主机互联的拓扑自动发现。从而降低基于以太网变换技术的园区网的网络管理难度。以太网是当前园区网所使用的主要网络技术，利用以太网交换机划分网段并实现网内互联。以太网通信使用交换技术，数据交换双方依据MAC地址识别。在一个以太网内，每一台交换机都存储着网络内所有活动主机的MAC地址。利用SNMP协议能够获取交换机中MAC地址表数据，利用笔者所述算法处理这些数据能够实现以太网内部交换机、主机拓扑结构的自动发现。由于SNMP和MIB被各厂商所接受，因此笔者提出的算法具有通用性。     

获取本网段内主机MAC地址原理分析及实现

获取主机的MAC地址对于计算机网络管理具有重要意义。文章在分析了ARP的工作 原理的基础上提出了获取本网段内主机MAC地址的方法。阐述了如何利用IpHelperAPI中的 SendARP函数来完成MAC地址的获取,给出了该方法在VC++6.0环境下的源程序。最后又 论述了因为代理(Proxy)ARP技术的存在,利用ARP原理来获取MAC地址的局限性。     

面向事件属性的扫描意图分析

网络扫描是互联网上普遍存在的现象,是由各种不同意图的扫描行为造成的,通过检测和分析互联网上的扫描行为,有助于观测网络安全态势。为了更加系统地描述扫描过程,本文定义了扫描事件的概念,并提出了6个扫描属性：扫描事件容量、全网扫描、扫描事件协议数、扫描事件端口数、扫描事件归属、扫描事件压缩比来刻画扫描事件。出于对扫描行为中扫描意图的进一步关注,本文提出了一种基于扫描属性过滤和聚类的异常扫描事件检测方法,该方法基于扫描事件归属属性过滤分离出正常机构扫描事件,对于剩余的扫描事件根据扫描属性特征设计聚类算法得到潜在的异常扫描事件。本文的实验以在 CERNET 南京主节点网络边界获取的 IBR 流量为数据源,运行算法识别扫描流量,并从扫描意图的角度对其展开分析。实验表明,超过95%的扫描流量可以被归纳为扫描事件流量,其中非恶意的机构扫描事件超过50%。在此基础上,每日可从非机构扫描事件中检测出约60条潜在异常扫描事件,经验证,异常扫描事件的检测准确率超过60%。     

基于CBF流抽样的网络安全

现有网络中常存在DDOS、恶意端口及IP扫描、蠕虫等异常产生大量的只包含1个数据包的流量.针对高速网络流量特点及网络异常导致的流量突然上升,提出了一种改进的基于CBF的流抽样算法.该算法对定长时间内到达的数据包进行固定数量的抽样,使抽样率能适应于流量变化,并可控制资源的消耗,尤其当泛洪攻击、DDOS攻击等导致大规模异常网络流量出现时,能有效保护路由器的处理器和内存资源以及传输流记录所需的带宽资源,同时又不失简单性和准确性.     

DHCP中继代理在数字化校园中的应用研究

本文通过对数字化校园局域网客户机运行机制的分析,阐述了客户主机在服务器和路由器DHCP中继代理服务的作用下,校园网各部门子网主机跨网段自动获取IP地址的实现方法。     

基于事件序列的蠕虫网络行为分析算法

蠕虫以及其他一些恶意代码的更新速度越来越快,如何快速有效地分析大量恶意样本成为网络安全研究的一个问题. 因此提出了一种基于事件序列的蠕虫网络行为自动分析算法. 该算法依靠在实验环境中采集的纯净恶意流量,通过使用数据流的压缩归并等方法获取网络行为的基本轮廓以及网络特征码. 该算法的使用可以加快蠕虫等恶意代码的分析速度,提高防火墙以及网络入侵检测系统的配置效率.     

一种新型网络安全评估系统研究

通过对国内外现有的脆弱性评估系统的研究,综合了基于网络和基于主机的两种扫描系统的优点,提出一种改进架构的网络安全评估系统(Improved Network Security Assessm ent System,INSAS)。本系统旨在探测已知的安全漏洞,对网络主机的安全等进行有效的检查。通过实验室内网段上的扫描实验表明了INSAS在运行效率和对网络带宽的影响上,均优于现有的扫描系统。     

一种IPv4／v6网络拓扑发现新算法

在深入分析双栈和隧道技术特点的基础上,提出了IPv4／v6拓扑发现新算法．即在IPv4网段中根据ARP表活动主机的地址信息捕获网络拓扑,对于IPv6子网采用组播、分层等方法进行拓扑发现．IPv6分层拓扑发现方法的思想是根据测试层与目标层距离的远近寻找中间层．同层交换机端口采用顺序遍历．试验结果表明,该算法拓扑发现效率提高了10％,端口丢失率小于2％．减少了冗余．     

基于白名单的Web应用程序安全防护

Web攻击的成功完成需要访问第三方的网站,以下载恶意代码或发送盗取的信息.针对这个特点,文章提出基于白名单的防御方法,使浏览器在渲染页面时,先加载服务器端的白名单,并根据白名单阻止恶意内容被渲染,切断Web应用程序与第三方恶意服务器的通信.实验验证了这种方案的有效性.     

域名请求行为特征与构成特征相结合的域名变换检测

针对僵尸网络为避免域名黑名单封堵而广泛采用域名变换技术的问题,提出一种域名请求行为特征与域名构成特征相结合的僵尸网络检测方法.该方法通过支持向量机(SVM)分类器对网络中主机解析失败的域名进行分析,提取出可疑感染主机;通过新域名聚类分析,将请求同一组新域名的主机集合作为检测对象,分析请求主机集合是否由可疑感染主机构成,提取出僵尸网络当前使用的域名集合以及命令与控制(Command and Control,C&C)服务器使用的IP地址集合.实验结果表明:训练后SVM分类器可达98.5％以上的准确率;经对ISP域名服务器监测,系统可准确提取出感染主机和C&C服务器的IP地址.     

基于生成对抗网络的IPv6地址存活性预测

为了解决IPv6海量地址空间难以全谱探测的问题,基于IPv6地址命中列表机制和IPv6单播地址结构,通过公开来源获取了多种渠道的IPv6地址,然后进行采集、清洗和入库,构建了IPv6原始地址集,研究了地址集中稳定与不稳定段之间的依赖关系,提出了一种基于生成对抗网络的IPv6地址存活性预测模型.考虑到IPv6地址各位之间的离散性,设计了确定性二项神经元和随机二项神经元,并采用Sigmoid调整直通估计子来解决二项神经元反向传播计算复杂度过高的问题.在特定AS域中对IPv6地址集进行训练,得到的生成器作为IPv6地址存活性预测模型,生成了地址命中列表.实验分析结果和互联网探测结果表明,所提模型能有效生成新的IPv6地址,并在实际探测中得到ICMPv6响应的概率比顺序或随机全面扫描高;另外,不同网段的探测存活率相差很大,分布区间为0～61%.     

基于机器学习的网络流量分类算法分析研究

基于应用的流量分类在网络安全和管理中具有非常重要的作用.传统流量分类大部分是基于端口的预测方法和基于有效载荷的深度检测方法.由于当前网络环境中各种隐私问题以及基于动态端口和加密的应用,传统的网络流量分类策略的有效性已经逐步下降,目前主要集中在基于机器学习技术的流量分类模型进行研究.本文对各种基于机器学习算法的流量分类的比较,如贝叶斯网络(Bayes Net)、朴素贝叶斯(Naive Bayes)、基于RBF的SVM流量分类和基于遗传算法的SVM (GaSVM)流量分类等.这些算法分别使用了全特征选择和优化后的特征集合,实验结果表明基于遗传算法的SVM流量分类精度较高,并在使用主成分特征也可以达到很高的精度.     

一种新的端口扫描检测方法

针对现有端口扫描方法存在的缺陷,提出一种端口扫描检测的新方法.该方法充分利用受保护网段内各主机的特征,对可疑事件进行关联分析,不但可以检测现有工具都可以检测的扫描,而且对慢速扫描的检测也非常有效.     

基于综合评分的DDoS检测分析报告系统

针对分布式拒绝服务攻击所采用的攻击方式多变这一问题,设计了综合评分算法,可以综合使用多个异常检测算法,综合评估以识别攻击.因现有的分布式拒绝服务攻击检测方法难以给出异常流量的具体特征,设计了Apriori-Geo-AS算法和端口分布分类的Kolmogorov-Smirnov检验算法,通过改进Apriori算法,能够更有效地提取攻击源的主要来源地址、端口和地理位置信息;通过和理想端口分布进行Kolmogorov-Smirnov检验,能够进一步判断出攻击者的端口使用模式.实验结果表明,异常检测算法正常时段的误报率低于0.2%,通过对清华大学校园网的网络攻击进行分析验证了本系统攻击分析部分的有效性.     

一种基于NetFlow的网络蠕虫检测算法

为了论证网络传播蠕虫时将出现网络流量的异常特征的现象,分析了网络蠕虫的工作机制和扫描策略,提出了基于N etF low流信息检测网络蠕虫的检测方案,设计了一种检测网络蠕虫的逐步求精三级算法NDW(N etF low based detecting w orm)。算法通过依次检测主机总流量、特征端口和行为规律,快速有效地定位和判断异常主机。理论分析表明,该算法的时间复杂性不大于H(εM O)(1))。实验结果表明,算法能够有效、准确地发现被网络蠕虫感染的主机。     

基于NetBIOS名字服务获取MAC地址的原理及实现

为了在大型计算机实验室管理过程中快速获取远程计算机的MAC地址,基于对NetBIOS名字服务基本原理的研究,分析了相关的NODE STATUS REQUEST和NODE STATUS RESPONSE两个数据结构.在Windows环境下,使用套接字技术实现了快速获取远程主机MAC地址的服务程序.给出了NODE STATUS REQUEST和NODE STATUS RESPONSE两个数据包结构的C语言定义及获取MAC地址之程序的基本流程,并在Windows平台上用Visual C++2010实现了该获取信息的程序.结果表明:本获取MAC地址的方法简单快捷,可批量获取MAC地址,为位于局域网内计算机的自动化管理及基于MAC地址的应用等工作奠定基础.     

对称性的起因:非业务性网络流量新特性的挖掘与探索

针对当前非业务性网络前后向流量呈现对称性的问题,提出一种基于双向网络流模型的分析方法.与传统的单向网络流模型相比,双向网络流模型以主机为粒度实现流量双向聚合,利用网络流在协议、端口分布和流对称性方面的特征指标刻画主机间的交互行为,从而发现流量对称性产生的根源.基于西安交通大学校园网流量的实验结果表明,1％的主机承载了90％以上的前向UDP流量,是造成流量对称性的根本原因.相比于传统的网络流模型,文中提出的模型和分析方法能快速定位造成流量对称性的主机,更适用于非业务性网络流量的控制与管理.     

Idle扫描算法的改进

本文分析了Idle扫描算法的原理和不足,提出了一种改进的Idle扫描算法,该算法把第三方主机与扫描主机在同一局域网内的情况分离出来,且扫描过程设置为随机端口扫描.研究结果表明该算法可以大大提高扫描速度,而且在扫描过程中可以更为有效地避免目标主机发现被扫描而屏蔽数据包的情况.