基于抽样测量的高速网络实时异常检测模型

实时异常检测是目前网络安全的研究热点.基于大规模网络流量的统计特征,寻找能够评价网络行为的稳定测度,并建立抽样测量模型.基于中心极限理论和假设检验理论,建立网络流量异常行为实时检测模型.最后定义ICMP请求报文和应答报文之间比率的网络行为测度,并实现对CERNET网络ICMP扫描攻击的实时检测.该方法和思路对其他网络安全检测研究具有一定的指导意义.     

基于Bloom Filter的大规模异常TCP连接参数再现方法

提出由TCP连接的唯一性导出的TCP数量平衡性测度及其经验范围可用于检测TCP连接的大规模异常,如DDoS、扫描等.使用带哈希增强算法的Bloom Filter Reproduction(BFR)方法对TCP连接大规模异常的参数进行快速再现,如IP地址、端口的分布等,使得在检测过程中无须维护TCP五元组的信息.实验结果表明,该方法能够以较少的资源占用和较高的准确性来揭示网络流量中混杂的多种异常现象.     

自然着色聚类过程中的网络安全事件计算

自然着色过程利用有部分重叠的短比特串映射,使两个Hash函数间带有相同的颜色,为判定两个Hash串是否同源提供了重要依据.在商集映射的视角下分析了多个不同的聚类函数间的差异和着色关系,结果表明聚类函数间的内部平衡性结合自然着色过程可以得到源串部分比特串的聚类特性,同时TCP宏观平衡性仍然保持不变.实验表明,利用这个特性可以从多个具有着色关系的短比特串映射的Hash存储空间得到如蠕虫爆发、DDoS之类的TCP宏观异常中发起者、受害者的聚类信息.因此自然着色过程大大扩展了TCP宏观平衡性的应用领域,为网络安全检测、监测和安全事件分布评估提供了有力的支持.     

TCP数据流的非对称性分析

提出了一个面向TCP流属性的非对称性测度，包括该测度的定义和计算方法。并基于这个测度对CERNET的一个千兆省网边界的实际数据进行了分析。分析工作从流长度(报文数)和流字节数2个属性角度展开，利用一组函数对这些流属性的非对称测度进行了统计和分析，获得了一组有关的结论，可以用于与网络行为学有关的研究。     

混合二次网络流量异常状态模型研究

提出了一种网络流量异常状态统计模型——混合二次网络状态模型MQNSM-G（DKS，DKKS，DAKS）。该模型从动态性原则以及降低误检率和漏检率思想出发．改进原有统计模型，建立了可以动态设定描述网络流量状态参数的加权统计模型。基于混合二次网络状态模型MQNSM～G（DKS，DKKS，DAKS）的入侵检测系统进一步证明了该模型可以更大程度上提高异常检测性能，降低其误检率和漏检率。     

基于TCP友好性的网络流量均衡模型

随着多媒体流技术的快速发展,网络中的流量呈爆炸式的增长,UDP流所占的比例越来越大,具有TCP友好性的网络流量均衡是保证网络高效和稳定的重要措施。引入排队理论,采用分析的方法,提出一种考虑了网络带宽和节点缓冲区两个因素,确保UDP流的TCP友好性的前提下,使网络流量均衡的优化模型,用遗传算法进行了求解。通过仿真实验,验证了该模型的正确性。     

高速网络测量系统时钟同步的研究与分析

在监测网络流量行为中，时钟同步是提供准确的网络测度测量值的前提保证．单向延迟等网络性能测度至少需要毫秒级的同步精度。然而，在高速、大规模、分布式的网络环境下，高速的网络流量影响了系统的时钟响应信号，使得原本是线性模型的相对时钟偏移模型受到影响，这一影响使得即便使用NTP或者GPS，都无法很好地解决时钟同步问题．本文以一个分布式的抽样测量监刚乐境PERME和CERNET地区网主干为依托，详细分析和讨论了高速IP网络中的时钟偏移问题．通过大量真实的实验数据时高速网络中的时钟同步问题进行了研究和分析．同时，对如何解决实验中出现的模型的非线性问题指出了自己的见解．     

基于HMM的DDoS攻击流量检测方法研究

DDo S网络流量在当前网络攻击中扮演着重要的角色,本文提出了一种基于隐马尔科夫模型的DDo S异常网络流量检测系统,并与其它方法进行了比较和结果分析。所提出的方法选取了网络流量的实时特性为研究对象,对流入目标网络的数据源IP地址数量及单位IP平均数据包数量建立了隐马尔科夫模型,实现对网络中的DDo S异常流量进行检测。该方法具有较高的移植性和操作性。     

基于多维数据模型的网络流量分析系统

基于新的网络流定义，将多维数据模型技术应用于网络流量分析，提出了网络流多维数据模型（NF-MDM）。详细定义了NF-MDM的事实和维表，建立了网络流的星型数据模型和多维立方体，实现了一个基于NF—MDM的多维网络流量分析系统。该模型用于分析网络流量时，角度更清晰，方式更灵活，已经应用在某高端商用网络流量分析设备中。     

基于指数平滑技术的网络异常监测方法研究

网络流量异常指的是网络的流量行为偏离其正常行为的情形,异常流量的特点是发作突然,先兆特征未知,以在短时间内给网络或网络上的计算机带来极大的危害.因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一.探索网络流量异常的一种方法--基于指数平滑技术的网络异常检测方法.基于时间序列的流量模型是网络异常监测的一种方式,指数平滑技术正是建立在时间序列模型基础之上的网络异常监测方法,对该监测技术进行了研究,分析了这一方法的特点及其存在的不足.     

一种面向网络管理的接入网测度模型

网络测度是网络测量的基础,对于网络行为学的研究具有重要的意义.TCP层的测度和IP层的测度各有优劣,将这两者的优点结合起来是一项很有意义的课题.本文以IP报文传递方向为背景,分别提出了面向TCP连接和面向IP接入网的报文平衡测度.通过对TCP协议机制的分析,给出了前者取值范围的计算公式并讨论了将其映射到后者的方法,从而将这两种测度的优点结合起来.借鉴医学测度研究的方法,我们给出了后者"健康"范围的参考取值区间,并进一步讨论了测度计算的时间粒度的选取问题,使其成为一个可以实时衡量网络运行健康状况的实用指标,从而建立起一个完整的模型,可以直接应用于实际的接入网络管理.     

Estimation of the variances of TCP/RED using stochastic differential equation

By using the stochastic differential equation (SDE), a model is built to describe the system behavior, especially the queue length behavior, of TCP/RED (transmission control protocol with random early detection) on a single bottleneck network. Then, not only the static equilibrium point of the system is calculated, but also its variance is estimated. After calculating the variance of the queue length in the router, the authors show how such random oscillation affects the maximum connection number that the link admits while keeping low dropping probability, and how this relation is influenced by other network parameters. This model can be applied to the case where only homogeneous TCP flows exist, as well as where TCP and UDP (user data protocol) flows coexist. The simulations by NS‐2 show that our deductive method is effective. Copyright © 2011 John Wiley and Sons Asia Pte Ltd and Chinese Automatic Control Society     

典型AQM算法的性能评价模型

利用GI/M/1/N排队系统和Internet业务流量自相似性的特点建立了一个评价AQM算法在非响应业务流量下性能的分析模型,提出了利用模型的分析计算结果而不是模拟或实验手段评价AQM算法性能的新方法.同模拟或实验手段相比,该方法能更深刻地刻画AQM算法在实际网络环境中的性能.用该模型分析比较3个经典的AQM算法——TD、RED和GRED的性能,所得的结果同其他研究者利用模拟或实验方法所得的结果一致.     

Towards More Complete Models of TCP Latency and Throughput

Recently, several researchers have developed equations for modeling TCP behaviors, such as the expected throughput or latency, based on Markov chains derived from TCP with additional simplifying assumptions. In this paper, we suggest new directions for Markov chain analyses of TCP. Our first contribution is to closely examine not just the expectation but the entire cumulative distribution function of transfer times under various models. Particularly for short or medium transfers, the distribution is likely to be more useful than the expectation in terms of measuring end-user satisfaction. We find that the shapes of TCP cumulative distribution functions are remarkably robust to small changes in the model. Our results suggest that simplifying Markov analyses can be extended to yield approximations for the entire distribution as well as for the expectation.Our second contribution is to consider correction procedures to enhance these models. A correction procedure is a rule of thumb that allows equations from one model to be used in other situations. As an example, several analyses use a Drop-Tail loss model. We determine correction procedures for the deviation between this model and other natural loss models based on simulations. The existence of a simple correction procedure in this instance suggests that the high-level behavior of TCP is robust against changes in the loss model.     

一种改进的TCP拥塞控制算法

目前,TCP拥塞控制算法作为一种可靠的数据传输被广泛应用在因特网中．在保证网络数据传输可靠性的基础上,数据流之间的公平性是算法设计的重要的性能指标之一．在单瓶颈网络环境下对TCP数据流之间的研究算法已经被提出,但对多瓶颈网络环境下TCP数据流之间的公平性研究至今不多见．因此,根据网络层的显示拥塞指示Marking Relay ECN（explicit congestion notification,ECN）技术,研究了在多瓶颈网络环境下TCP数据流的公平性,提出了一种改进的TCP拥塞控制算法,并使该算法在IP网络中得以实现．仿真结果证明,此算法在多瓶颈网络环境下能使TCP流达到较好的数据流之间的公平性;而且所提出的算法与传统的TCP算法相比,有更高的吞吐量和更快的响应．总之,所提算法性能表现良好．     

An accurate closed-form formula for the throughput of long-lived TCP connections in IEEE 802.11 WLANs

There is a vast literature on the performance modeling of the 802.11 MAC protocol, but the interplay between the TCP dynamics and the self-regulating behavior of the 802.11 CSMA/CA access method has not been sufficiently investigated. In addition, it has been observed that TCP stations in a WLAN are sporadically active due to the TCP flow control mechanisms. This makes traditional saturated models of the network capacity of 802.11 WLANs not very accurate. We presented a rigorous analytical model to calculate the distribution of the number of active TCP stations in a WLAN with multiple long-lived TCP flows [R. Bruno, M. Conti, E. Gregori, Performance modelling and measurements of TCP transfer throughput in 802.11-based WLAN, in: Proceedings of the IEEE MsWiM 2006, Torremolinos, Malaga, Spain, 2006, pp. 4–11, [1]]. Starting from this analysis, in this paper we derive a simple but accurate closed-form expression of the per-connection TCP throughout as a function of the average duration of collisions, the average backoff period and the TCP packet size. We validate this formula through performance tests carried out on a real WLAN. Then, we use our model to mathematically study the optimal minimum contention window size to maximize the TCP throughput. Our analytical results indicate that the initial window size specified in the 802.11b standard is about two times larger than the optimal one. However, we also show that the TCP throughput performance is not very sensitive to changes of the minimum contention window size, and that the TCP flows significantly underutilize the channel bandwidth also in the optimal MAC operating state.     

An optical burst reordering model for time-based and random selection assembly strategies

Contention resolution schemes in optical burst switched networks (OBS) as well as contention avoidance schemes delay burst delivery and change the burst arrival sequence. The burst arrival sequence usually changes the packet arrival sequence and degrades the upper layer protocols performance, e.g., the throughput of the transmission control protocol (TCP).In this paper, we present and analyze a detailed burst reordering model for two widely applied burst assembly strategies: time-based and random selection. We apply the IETF reordering metrics and calculate explicitly three reordering metrics: the reordering ratio, the reordering extent metric and the TCP relevant metric. These metrics allow estimating the degree of reordering in a certain network scenario. They estimate the buffer space at the destination to resolve reordering and quantify the number of duplicate acknowledgements relevant for investigations on the transmission control protocol.We show that our model reflects the burst/packet reordering pattern of simulated OBS networks very well. Applying our model in a network emulation scenario, enables investigations on real protocol implementations in network emulation environments. It therefore serves as a substitute for extensive TCP over OBS network simulations with a focus on burst reordering.     

大规模网络中IP流流速分析

作为Internet流量模型研究的重要组成部分，IP流流速反映了各种不同应用类型的流量在网络中对实际负载的贡献情况。通过分析和寻找对IP流平均流速产生主要影响的若干关键因子，可以为基于IP流的流量模型提供必要的条件。本文首先分别对IP流的三种主要构成部分：TCP流、UDP流和ICMP流的平均流速从协议分析的角度进行建模，从平均流速模型参数分析中，获得在不同阶段对决定IP流平均流速的若干主要影响因子；然后，使用采集自各种不同时间、不同应用背景和不同负载的大规模高速网络的TRACE作为研究对象，通过试验分析的方法，对所选取的TRACE中不同协议类型的IP流平均流速进行统计分析，检验这些因素在实际网络中在不同流长的情况下对IP流平均流速的贡献，从而验证了本文所提出的IP流平均流速影响因子的可靠性。