基于验证机制的应用层DDoS攻击防御方法
摘要:针对应用层分布式拒绝服务攻击的原理和特点,提出一种基于轻量级验证机制的防御算法,在客户端与服务器的通信过程中嵌入验证码,利用客户端计算,正确识别合法请求,过滤恶意攻击。验证机制在TCP/IP协议栈中呈非对称性,服务端的过滤在IP层进行,客户端的计算在应用层进行,使算法具有低的资源消耗和对通信双方的透明。该方法在抗分布式拒绝服务攻击网关平台上实现,测试结果表明,该方法具有良好的防御效果和优异的性能表现。动态的网络实时连接控制机制
摘要:动态网络连接控制(DNCC)试图根据系统的动态安全状态特征对计算机接入网络的行为进行控制,从而保证接入计算机在网络连接过程中的持续安全性,防止一次性安全认证后接入计算机发生安全状态变化给系统带来的可能破坏。DNCC采取系统安全策略作为计算平台安全状态评价指标,准确地反映了计算平台状态的动态变化特征,克服了目前网络接入控制主流技术中的安全状态保证瞬时性缺点。统计和分析结果表明,DNCC具有良好的性能和实现可行性。扩展的可信网络平台接入与认证
摘要:为了对终端接入可信网络的全生命周期的完整性进行实时监控与调节,通过分析现有可信网络认证模型的不足,基于可信网络认证与接入的三方模型,加入了元数据存储模块和流量控制器以及传感器模块,提出了一种扩展的可信网络平台接入与认证模型,并描述了一个基本的验证过程。通过在可信网络服务器端引入一个用于判定资源属性的模块,大大提高了服务器性能。然后描述了全生命周期监控的定义和实例。最后指出了扩展的可信网络认证与接入模型需要考虑的安全性和机密性问题。TNC可信网络架构与元数据存取点研究
摘要:为了弥补以网络接入控制为基础的可信网络技术存在着灵活性差、事后控制力弱的缺陷,研究了新一代的TNC可信网络架构。通过在原有的TNC架构上加入元数据存取点(metadata access point,MAP)实体,建立了复合结构的元数据存储模型,定义了以XML为数据类型,SOAP为底层的元数据通信协议,更新了原有体系结构中的终端准入策略,优化了元数据搜索算法,实现了可信网络安全体系与传统安全机制的结合,进一步保障了网络安全。面向渗透测试的攻击代码生成方法
摘要:为了解决渗透测试中大量攻击代码编写的问题,提高渗透测试效率,提出一种面向渗透测试的攻击代码生成方法。从拒绝服务(DOs)攻击入手,通过对攻击代码的多样性和相似性分析,提取攻击实现过程中的共性部分和可变要素。利用攻击模板表示攻击的通用结构,攻击原子表示攻击的通用组成,攻击元数据表示攻击的可变要素,然后通过对攻击元数据进行配置的方法实现人工定制的攻击代码生成。分析结果表明了该方法在攻击代码生成上的优点。高机密性数据安全存储与访问系统设计
摘要:研究并设计了一套安全模型的原型,主要用于为高机密性的数据提供安全保护。数据保护与访问方案可以分为静态保护与动态保护两种,本原型系统在加强静态保护的同时更加注重数据访问时的动态安全性。基于此提出了密码保险箱结构,用于保护运行时的机密数据,并且设计了一系列安全措施用以保障程序本身与用户数据的安全性与完整性,防御重放攻击,替换攻击等诸多攻击手段。对该原型系统的安全性进行了理论分析,并通过实际测试分析表明了系统的安全性与有效性。基于GPU的AES快速实现
摘要:为了充分利用图形处理器(GPU)的闲置资源,同时达到提高密码算法加密速度的目的,提出了一种在图形处理器上实现AES加密算法的方法,分别阐述了基于传统OpenGL的AES实现以及基于最新技术CUDA的AES实现,并对这两种方法的实现性能进行了分析,同时与传统CPU方法的实现性能进行了比较,基于CUDA的AES的实现速度达到了传统CPU上AES实现速度的19.6倍。AES密码芯片的相关性功耗分析仿真
摘要:介绍了CMOS逻辑电路功耗泄露原理,建立了AES密码芯片运算时的功耗泄露模型,设计了相关性功耗分析(CPA)仿真方法。该方法根据部分猜测密钥的模拟功耗与整个正确密钥功耗之间的相关系数大小来确定猜测密钥的正确性,由此逐步推测整个密钥。仿真结果表明了未加防御措施的AES硬件面临CPA攻击时的脆弱性。产品防伪中伪随机数的应用技术研究
摘要:通过研究几种常用伪随机数生成算法的实现原理,在对其实验数据概率分布和周期性等进行深入分析的基础上,针对现有伪随机数算法冗余度较高和复杂度不够且被预测可能性较大的问题,提出一种基于二次种子的新改良算法。该算法结合伪随机教产生方法与二次性思想,生产出的伪随机数简单且有效的克服先前算法在冗余度和复杂度上的不足,并且充分满足了产品防伪的要求。通过一个产生服装防伪吊牌的比较性实验,表明了利用二次种子伪随机教算法在防伪领域的可行性与优越性。多目标机电子证据的在线收集与分析模型
摘要:针对多台目标机和一台取证服务器,可同时在线收集多台计算机的关键证据,并提供案件管理、智能分析等功能,实现证据获取。服务器端主要通过网络通信来获取多台目标机内的证据,并采取知识推理和数据挖掘技术,从大量的电子证据中分析、推理出有效的鉴定结论,改变了目前只能人工对计算机活证据进行分析的现状,提高了工作效率和准确度,具有很大的价值。网络自适应公平分组抽样算法研究
摘要:针对SGS(sketch guided sampling)的缺陷,提出了一种网络自适应公平抽样算法。根据抽样分组估计出值流量大小,并依据该值调整抽样比,使之适应于流量变化,从而达到对各种流的公平抽样的效果。对算法的相关性质进行了证明与分析,基于实际互联网数据进行了实验比较,实验结果表明,该算法具有准确性、自适应性、易于工程实现等优点。主动自适应的MANET路径稳定方法
摘要:为了提高移动自组织网络(MANET)传输路径的稳定性,减少网络路径中断次数、降低丢包率,提出了一种不需要特殊硬件支持、独立于底层协议、基于节点稳定参数(NSP)的主动式、自适应的MANET网络路径稳定方法。通过监测每个节点NSP的变化情况,及时对路径中的弱稳定性节点进行路由备份替换,保证路径的稳定性。通过分析和评估,路径中断次数明显减少,网络丢包率显著降低,网络性能得到改善,表明了该方法的有效性。基于机器自学习的互联网加密业务流早期识别
摘要:为精确高效地识别加密类业务流,给出了一种基于机器自学习的互联网加密业务流早期识别方法。该方法利用加密前后变化不明显的流量统计特征结合机器自学习方法进行识别。首先基于特征与业务类型的互熵来遴选出最优特征用于分类;然后利用所选特征给出了加密业务流总体识别模型,并对模型中的自学习阶段及识别阶段进行了创新,仅选取最能反映协议特点的每条业务流的前几个数据包进行早期识别,达到了对加密业务流高效识别的效果;最后对识别方法进行了性能分析和实验,实验结果表明,基于所选取的最优特征,仅利用每条流前5个数据包即可得到90%以上的流识别精确度。基于遗传算法的非精确信息组播约束路由研究
摘要:为求解基于非精确网络状态信息和弹性QoS需求约束的组播约束路由问题,提出了一种自适应的组播遗传算法。通过分析具有非精确度量参数的组播路径满足弹性QoS需求的概率,建立了基于概率法的组播约束路由模型。以种群多样性作为种群进化的度量指标,对进化过程中最大交叉率和最大变异率进行宏观调整;采用优势交叉变异法,在每次进化时,微调各个体的交叉率和变异率。仿真实验结果表明,该算法简单易操作,具有较高的收敛速度,能在一定程度上提高路由请求成功率。基于多层k路划分的三维网格并行任务分配策略
摘要:为解决传统任务划分方法在三维网格并行计算任务分配阶段产生的通信开销大的问题,提出了一种基于多层k路划分算法的并行任务分配策略。首先利用多层k路划分算法划分三维网格,将任务划分问题转化为图划分问题,然后基于图划分结果给出一个任务映射并行算法将计算任务分配到各计算结点。在深腾1800上求解三维网格模型最短路径问题的实验结果表明,相比于传统的行列划分任务分配策略,该策略在保证负载平衡的同时有效地降低了通信开销,算法的运行时间减少,加速比得到提高。基于RSSI的无线传感器网络节点定位算法
摘要:节点定位技术是无线传感器网络关键技术之一,介绍了节点定位技术的基本原理,提出了一种新的基于接收信号强度(RSSI)的无线传感器网络定位算法。该算法在第一阶段对节点初始位置进行初步估计,第二阶段对节点初始位置进行求精。仿真结果表明,在锚节点比例较低的情况下,该算法仍然可以实现较高的定位精度,并且与dv-distance定位算法比较,表明该算法在相同条件下精度更高。DWDM光网络中RWA问题的遗传求解方法
摘要:针对密集波分复用(dense wavelength—division multiplexing,DWDM)光网络通信中的动态路由与波长分配(routing and wavelength assignment,RWA)问题,提出了一种基于遗传算法的动态RWA方法。将遗传算法与分层图模型相结合,实现了RWA的方便计算。通过扩展适应值函数,能够有效地处理带时延约束的通信量请求。实验结果表明,与已有最短路径算法(Dijkstra)相比,该算法能够提供多条候选路由方案,更适应较差环境下的网络通信。网格环境下文件远程访问的设计与研究
摘要:现有的一些文件远程访问技术已不符合最新的网格体系结构,并存在各种弊端,为了解决这些问题,给出了基于Web服务的文件远程浏览服务的架构和实现,并且为了提高远程文件访问效率,使用了改进的简单对象访问协议(SOAP)传输机制,对提高其性能做了相关研究,并在实验基础上进行了优化。应用结果表明,该远程访问服务为用户提供了友好的人机交互界面,并且有效地解决了网格环境下各种数据量数据的传输问题,用户可以方便、高效的使用该文件远程访问服务。
