基于端信息跳变的主动网络防护研究

从军事跳频通信中得到启发,提出端信息跳变的概念,即通过伪随机改变端到端的数据传输中通信端口、地址、时隙、加密算法甚至协议等端信息,破坏敌方攻击干扰,实现主动网络防护.建立了端信息跳变主动防护模型,采用移动代理技术实现了端信息跳变原型系统,解决了同步、数据切换等关键问题,理论分析并实验验证了模型系统的抗拒绝服务和截获攻击特性,证明了端信息跳变策略对于主动网络防护的可行性与有效性.     

CDPD系统信道借用方法研究

CDPD网络利用现有的AMPS蜂窝网,传输无线分组数据业务。信道借用是CDPD系统的关键技术之一。为了不干扰AMPS的正常业务,CDPD网络通过信道借用充分利用AMPS的空闲信道进行数字传输。信道借用主要是通过频率跳变(channelhopping)实现的,频率跳变包括强迫跳变和定时跳变。文章论述了信道借用的原理、信道参数配置及实现。该思想也可用于其它网络,并延拓该网络功能。     

基于Unix系统的嗅探软件工作机制及实现

网络嗅探技术是一把双刃剑,对于网络攻击者和网络防御者都有着重要的意义。信息安全管理人员可以在网络安全运维中通过网络嗅探随时掌握网络的实际情况;对攻击者来说,其良好的隐蔽性是一种有效收集信息的手段,并且可以辅助进行IP欺骗。网络嗅探对信息安全的威胁来自其被动性和非干扰性,给Internet安全带来了极大的隐患。阐述网络嗅探和共享式网络的定义,目的是进一步分析共享式网络下的嗅探工作机制,通过采用共享式网络下基于Unix系统的嗅探程序结构的分析方法,提出使用开发库LibPcap下的函数设计嗅探软件的编程流程的结论,进而得到嗅探软件设计分析的结果。     

交换式网络嗅探与反嗅探研究

网络组网方式由共享型向交换型的转变,使得基于共享式网络的嗅探技术已不再适用.本文从交换式环境下实现网络嗅探的原理出发,分析了多种发起嗅探攻击的途径,并有针对性地提出了在交换环境中如何有效检测和防御嗅探攻击.     

网络嗅探技术在信息安全中的应用探究

在黑客攻防及信息安全领域中嗅探的地位均十分重要。文章在阐述本机嗅探、广播网嗅探及基于交换机的嗅探基本原理上,阐述了在抑制网络蠕虫病毒、网络取证、网络布控和跟踪、网络行为审计、监测网络入侵等信息安全防御领域中嗅探的作用,只要深入掌握了嗅探的分类与原理,并加强技术能力,并可实现熟练运用,希望有助于建设信息网络安全体系。     

一种基于多穴跳变的IPv6主动防御模型

该文利用IPv6多穴技术,借鉴跳频通信的跳变思想,提出多穴跳变的概念,将主机的地址在网络提供的多个地址域内动态变化,增大攻击者地址搜索范围,增大攻击者流量监听难度。在此基础上,建立了IPv6主动防御模型。给出了双重随机地址生成算法,保证了地址的随机性,给出了快速切换和过保留两个地址切换策略,保证了地址切换过程中通信持续有效。从地址和流量两方面对模型的安全性进行了理论分析,从功能和性能两方面对模型进行了实验测试。理论分析与实验测试结果表明所提出的模型可有效提高攻击者开销,保护网络安全。     

矢量数据包处理加速的动态防护系统设计与实现

针对IP地址动态化防护技术引入额外开销而导致正常网络传输性能下降的问题,首次设计并实现了一种基于矢量数据包处理（Vector Packet Processing,VPP）加速的IP地址动态防护系统,在隐藏真实IP地址的同时增强了系统数据处理能力.首先,针对控制平面和数据平面处理逻辑不同,分别设计了快转发逻辑和慢转发逻辑,降低数据报文处理过程中的拷贝次数;其次,面向真实IP-虚假IP频繁映射,提出一种共享内存的高效的IP地址动态变换机制;再次,采用最优化和哈希链算法制定了IP跳变策略与虚假IP地址预分配机制,最小化系统性能损耗;最后,实验结果表明,系统能够有效抵御DoS攻击并将潜在的侦查攻击命中率控制在16%以下,在数据处理性能上也有明显的速度提升.     

面向VMware的虚拟机远程检测技术

根据MAC地址的分配机制和构造原理,自动识别网络中的VMware虚拟机,同时,根据VMware虚拟机的工作模式及通信机理,对VMware进行分析和检测.对比本技术与网络扫描嗅探工具NMAP的检测结果,证明了该技术在识别和检测VMware虚拟机时有更高的准确率和完整性.     

软件定义的内网动态防御系统设计与实现

当前,自带设备（BYOD）的兴起对传统基于边界的内网防护观念提出了新的挑战——内部不设防导致堡垒易从内部攻破.从扰乱攻击链的角度,本文提出了"隔离+动态"的防护方法,设计并实现了一种基于软件定义的内网动态防御系统.通过为内网终端分配虚拟IP地址空间,以隐藏各自的真实信息;并且将IP跳变和路径跳变结合起来,实现了更全方面的防护.结果表明,在正常网络应用不受影响的情况下,该系统能大幅降低网络侦察扫描的可用性,阻断网络窃听,提高攻击者实时攻击难度.     

基于FPGA的数字视频多窗口内存地址生成器设计

通过变更地址计数器输出值到内存地址的映射关系,以最小的逻辑资源在单时钟周期内实现了数字视频处理中所需的内存地址偏移与跳变计算。阐述了该方法在数字视频并行处理中的基本应用、基本的设计与分析思路,以视频处理中常用到的逐行、逐列扫描方式为实例,介绍了行向窗口分布、列向窗口分布以及混合窗口分布的地址复换器的FPGA逻辑设计和仿真结果,并给出了地址映射变换关系的数学表达式。以基于FPGA的视频传输系统为实例,描述了多种地址生成器的设计方法与具体应用形式。     

对ASON承载IP网的研究(下)

随着业务的发展,IP网逐渐成为统一的多业务分组传送平台,应提供更为严格的可靠性保障机制,其目标不仅是要保障任何情况下的业务连通性,还要保证业务的QoS指标.ASON能快速地提供端到端连接,并能提供多种保护恢复机制,提高网络可靠性.如果采用ASON来承载IP网,则ASON可以为IP网提供保护恢复机制.本文主要探讨ASON承载IP网的需求,研究ASON为IP网提供保护恢复的可行性,从IP网和ASON的保护恢复现状、ASON为IP网提供保护恢复的技术和经济性方面进行详细的分析.     

在IP/MPLS over WDM网络中基于准入机制的区分服务

在IP over WDM网络中,光层可以通过建立新的光路来为IP层提供带宽.如何利用光层有限的资源使网络服务提供商的利润最大化是流量疏导的一个重要目标.文章基于迭加网络模型,研究IP/MPLS over WDM网络的准入机制,设计算法在不影响整体效率的前提下为网络提供区分服务.     

PriQoS:priority-differentiated flow control mechanism based on SDN

It was difficult to meet the increasing demand of quality of service (QoS) for the best-effort IP network,so it was urgent to develop a kind of QoS control mechanism that was compatible with the existing IP software and hardware resources.Therefore,a priority-differentiated control mechanism based on the software defined networking called PriQoS was proposed.When the network resource was scarce,a multi-queue bandwidth allocation algorithm based on the inte-grated priority of service flow was used to meet the bandwidth requirement with high priority flows.PriQoS was deployed on the network edge,which was no need to modify applications in the end systems and routers in the core network.The mechanism has advantages such as easy to deploy and being compatible with the IP applications and devices.Experimental results show that the PriQoS mechanism can guarantee the QoS of higher priority services.     

融合的IP/MPLS网络的OA&M

通过对IP／MPLS网络中的OA＆M的分析，指出了电信级运营商对于IP／MPLS融合的网络维护和纠错所面临的问题，提出了在融合的IP／MPLS的网络中如何利用OA＆M的功能进行故障的定位与分析。     

IP多媒体子系统的安全问题剖析

IP多媒体子系统(IMS)是一种非常重要的全新体系框架,同时也是全IP网络发展的终极目标。这种框架为移动应用融合语音、视频和数据服务。IMS采用SIP作为主要信令机制,并覆盖于IP网络之上。鉴于其所处的全IP环境以及以SIP为基础的设计架构,IMS在核心网层和应用层面都呈现出了多种安全挑战。本文对IMS的体系框架和由此产生的安全挑战做了深入探讨和研究。     

采用多层恢复机制的IP over WDM网络生存性研究

IP over WDM网络是下一代网络的核心,生存性则是保证服务质量(QoS)的关键要素.当网络中出现故障时,选择在IP层还是光层进行保护和恢复是非常重要的课题.文章在论述IP层和光层的保护和恢复机制的基础上,提出了多层联合恢复机制的思想,针对多层联合恢复机制中各层之间如何协调进行了仔细的分析,并提出了自己的见解.     

IP多播在无线接入系统的实现与分析

IP多播是一类重要的基于IP的应用,支持很多业务。无线接入系统使用灵活,作为IP网络的最后一跳,对组网寻址、服务质量构成影响;鉴于无线接入系统存在带宽有限、传输质量逊于有线方式等不足,所以在寻址方面通过合理的无线链路多播机制与IP多播寻址进行映射,在传输质量方面,通过对有线分组进行分片、ARQ、流控等机制,弥补UDP协议无流控、无确认等缺陷,以期提高服务质量。     

A lightweight stateful address autoconfiguration for 6LoWPAN

Sensor networks have become increasingly important in various areas, and most current applications require connectivity between sensor networks and the Internet. By being seamlessly integrated into IP network infrastructure, sensor network applications would benefit from standardized and established technology, as well as from the plethora of readily available applications. Preparing sensor networks for IP communication and integrating them into the IP network, however, present new challenges on the architecture and its functional blocks, e.g., the adaptation of the respective link technology for IP support, development of security mechanisms, and autoconfiguration to support ad hoc deployment. In this paper, we focus on the IPv6 address autoconfiguration issue and propose a proxy-based autoconfiguration protocol. The proposed protocol guarantees the assignment of a unique address to each node in the network. The protocol is simulated and implemented on off-the-shelf sensor network platforms. The experiment results show that our mechanism outperforms similar network address configuring mechanisms in terms of latency and overhead.     

针对SIP私网穿越的RSIP解决方案

公网地址短缺是网络通信中普遍存在的一个问题.结合SIP系统的特点,分析了采用特定域IP(RSIP)协议技术实现私网穿越的解决方案,并介绍了RSIP工作机制及对应用层SIP消息中路由地址和IP层报头地址翻译的原理.