基于警报序列聚类的多步攻击模式发现研究

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。     

基于流特性和真值程度的VoIP语音质量单端客观评价

提出了一种仅利用IP流特性预测VoIP感知服务质量(PQoS)的非侵入单端客观评价方法--FSPAV,其关键是定义了3个与用户感知相关的流特性测度.不需要同步时钟或解析应用协议,仅需要监测用户主机接收到的包含对端用户语音数据的IP分组计算测度.使用个体真值程度度量,将通话片段的3个测度测量值映射成一个通话质量客观评价值,计算过程中还能得出每个特性的优劣程度.在互联网上利用VoIP软件QQ和Skype进行多次语音通话实验,实验结果显示主、客观评价值之间具有相当高的相关性,表明了本方法的有效性.     

网络流量宏观行为分析的一种时序分解模型

大规模网络中的流量行为体现为一个相当复杂的非线性系统,目前国内外对它的研究还没有成熟的方法.文章考虑网络流量非线性的特点,通过不同的数学模型将流量时间序列分解成趋势成分、周期成分、突变成分和随机成分.根据分解,利用相应的数学工具分别建模四个相对简单的子成分以仿真复杂流量.使用分解模型分析CERNET主干网络和NSFNET主干网络的长期流量行为,并将分析结果同传统的ARIMA季节模型比较.通过比较仿真自相关函数和预报误差,发现分解模型在描述流量宏观行为时具有简单和高精度的优点.     

Bloom Filter哈希空间的元素还原

本文提出使用语义增强的Counting Bloom Filter Reconstruction(RSECBF)算法来快速还原源串或给出源串的聚类特征.它给每个哈希函数独立的哈希映射空间以消除哈希函数的内部冲突;扩展哈希函数使其不受均匀性限制,使得哈希函数可以带有语义;利用哈希串的重叠和数量一致性来解决同源哈希串拼接成源串的问题,为源串的还原创造了条件.本文针对Pareto分布的哈希函数,为主成分的还原提出了一个简洁的源串还原算法.对于直接选择部分比特的哈希映射而言,如果主成分分析中的RSECBF不能还原出源串,则还原出来的最长串就是源串的聚类特征.仿真及实际检验表明,Bloom Filter可以扩展其哈希函数来实现语义增强,RSECBF还原的结果是可信的.本算法可以在异常行为发生的时候挖掘网络行为特征.     

恶意代码自动分析系统的研究

恶意代码的网络行为分析是网络安全领域的一个重要研究视角。针对现有系统普遍存在的网络行为分析不全面、不深入的问题,归纳了恶意代码的功能模块,提出了较为全面的网络行为分析内容。通过对比已有系统的网络行为分析功能,选取合适的系统CUCKOO作为基础平台。通过实例对其网络行为分析功能进行详细分析,并提出了优化、扩展方案。     

信息中心网络中网络缓存的角色探索

作为信息中心网络(information-centric networking,ICN)的特色之一,网络缓存在彰显ICN的优势方面扮演着重要的角色,但当前对网络缓存所扮演的具体角色没有一致的看法。指出网络缓存应具有三级缓存,解释这三级网络缓存可以在错误恢复、突发访问缓解、DDoS攻击防治、热点内容缓存及托管服务方面起一定的作用,并说明了实现这些角色需要解决的问题。     

基于NetFlow流记录的高速应用流量分类方法

针对目前应用流量分类算法效率不高的现状,提出一种以NetFlow统计的IP流记录信息作为输入的高速应用流量分类(FATC,fast application-level traffic classification)算法。该算法采用基于简单相关系数的测度选择算法衡量测度变量间的相关关系,删除对分类无用或相互冗余的测度,而后使用基于Bayes判别法的分类算法将网络流量分至误判损失最小的应用类别中。理论分析及实验表明,FATC算法在具有超过95%的分类准确率基础上,极大降低了当前应用流量分类方法在训练和分类过程的时空复杂度,满足实时准确分类当前10Gbit/s主干信道网络流量的需求。     

利用流量特征的GIDS报文分类优化算法

 本文结合流量的动态特征和入侵检测系统规则库的静态特征生成高性能报文分类树,提出了一个新的面向骨干网高速入侵检测的报文分类算法FlowCopySearch(FCS).改进在于:①从流量的新角度提出了最优分类树定义并引入分类域熵衡量每个分类域对于流量的分类能力;②将传统分类算法中每个报文都必须频繁执行的内存拷贝操作简化为每个流只执行一次内存拷贝操作,克服了报文分类算法的瓶颈.实验结果表明FCS更适用于骨干网大流量trace的报文分类,较之两种经典分类算法,分类速度提高了10.1%~45.1%,同时存储消耗降低了11.1%~36.6%.     

高速网络中入侵检测的抽样方法

提出了一个面向主干网入侵检测,以内存瓶颈消耗量为测度的动态自适应抽样方法IDSampling.通过分析攻击流量的流长和熵聚类信息特征指导抽样,过滤掉攻击可疑性低的报文,采取"节流"方法解决万兆网络入侵检测存在的性能和精度不平衡问题.在大规模异常发生时采用基于单报文属性熵的单一抽样策略,其他情况下采用带反馈指导的混合抽样策略,试图用尽可能小的检测代价来取得同样的检测效果.实验结果表明①IDSampling可以大幅减低IDS处理输入,同时保证对主干网人规模攻击趋势性信息的检测精度;②相较于随机报文抽样和随机流抽样方法,IDSampling凭借流长、熵聚类信息和后期检测结果等启发式信息的指导,其抽取攻击报文的准确性高于前2种方法,尤其是在大规模、高强度攻击情况下IDSampling抽中攻击报文的数目甚至高于其他2种方法一个数量级.     

基于分组标识的网络流量抽样测量模型

PSAMP建议流量抽样测量模型应该简单且能够满足各种测量应用要求,为此,文章提出基于报文标识的流量抽样测量模型.对CERNET主干网络流量IP报头各字段的进行随机性分析,结果表明标识字段16比特统计上满足抽样掩码匹配字段的随机性要求.并提出基于标识字段的多掩码抽样测量算法及其修正算法,实验验证其抽样样本既能满足流量统计行为研究,又能进行网络行为研究.