基于OpenFlow的虚拟机流量检测系统的设计与实现

云平台下的虚拟机在物理机内部交互流量,而不通过防火墙等安全组件。针对这类流量无法在网络边界被获取并检测的问题,分析了OpenFlow技术的原理,提出了一种基于OpenFlow技术将虚拟机流量重定向到入侵检测系统进行检测的方案。方案使用OpenFlow虚拟交换机和控制器替代传统交换机,然后基于OpenFlow技术控制流量转发过程,将其导向外部的安全组件进行处理,并构建了由虚拟交换机、控制单元、入侵检测和系统配置管理4个模块组成的流量检测系统。实验结果表明,系统能够在满足虚拟机网络正常使用的前提下,将待监管流量导向入侵检测系统进行处理,而且能够同时提供交换机级及虚拟机级两种粒度的流量重定向控制。通过对虚拟机引流的方式实现在传统场景中解决云计算环境下流量检测问题,同时能够基于OpenFlow轻松实现流量处理的扩展操作。     

基于数据挖掘的未知帧结构识别

为了解决当传输的数据在链路层上的帧结构是未知的情况时,IP层及以上将无法进行数据抽取和分析的问题,本文利用数据挖掘的相关技术,对链路层上没有进行帧切分的原始比特流的未知帧结构识别进行了相关研究。首先,理论上论证了对原始比特流数据进行长频繁序列模式挖掘的必要性,这些频繁序列可能就是帧结构中的特征字段,并且揭示了比特流数据序列挖掘具有的“向下闭包”的性质,提出了高效的长频繁序列挖掘算法和序列模式关联算法。算法在以太网下进行仿真实验,能够挖掘出以太网帧结构中的全部已知字段间的关联性。实验表明,算法能够一定程度上揭示未知帧结构的相关结构特征。     

一种基于虚拟化的文件杀毒实现方法

针对云计算环境下因虚拟机杀毒和病毒库更新等引发的性能开销及资源占用问题,提出了一种基于虚拟化的云杀毒实现框架--HyperAV,HyperAV能够在较低性能开销的情况下对虚拟机文件进行杀毒,并提供扇区级别的访问控制和隔离机制.通过获取虚拟机运行过程中的扇区更改信息,HyperAV优化了文件病毒的扫描方式,对虚拟机杀毒过程起到了显著加速效果.HyperAV实现了控制-杀毒相互分离的前后端框架,杀毒所需数据可以导入专用杀毒服务集群,从而避免了病毒库的重复更新,解决了因杀毒而使虚拟机运行缓慢的问题.在基于内核的虚拟机虚拟化平台下实现了原型系统.实验结果表明,HyperAV能够在虚拟机较低负载开销的情况下为虚拟机文件提供病毒扫描防护能力.     

基于特征加权朴素贝叶斯算法的网络用户识别

基于网络用户的访问记录,提出了采用特征加权的朴素贝叶斯分类算法对用户进行识别。首先利用基于WinPcap框架的数据采集系统对用户访问记录进行采集,通过分析记录从5个方面对用户特征进行统计,并经过筛选后对特征进行选取,最后采用特征加权的朴素贝叶斯分类算法对3300个测试样本进行识别,识别率达到了85.73%。实验结果表明该算法能够有效实现对网络用户身份的识别。     

基于流量结构稳定性的服务器网络行为描述:建模与系统

针对现有基于异常特征库匹配的流量检测方法难以适应日趋复杂的网络环境需要的问题,对服务器网络流量进行了大量观测和研究,综合正常流量在某些属性上的固有稳定性及特定服务在流量层面表现出的稳定性,提取相应的流量特征,同时提出了流量结构稳定性的概念,并基于此对服务器的正常网络行为轮廓进行刻画,依据当前流量结构偏离正常轮廓的程度对服务器网络异常行为进行检测。针对流量结构差异性的定量刻画问题,提出了一种基于Spie Chart的可视化度量方法,并基于一台邮件服务器流量实现了系统,通过实验验证了系统对常见网络攻击及未知网络异常的检测效果。     

基于PCC时间序列的DDoS检测算法

现有的DDoS检测方法大多局限于数据包检测这一层面,不能完整描述DDoS攻击过程,从而影响检测效果。针对这一问题,本文提出一种基于PCC(Packet and Conversation considering with Context)时间序列检测算法,从数据包级和会话流级进行分析,能更加全面地描述DDoS攻击过程;同时考虑前后数据的关联性,融合上下文信息,采用支持向量机（SVM）分类器建立DDoS攻击检测模型;最后提出一种可信报警策略进一步消除噪声和误分类带来的影响。实验结果显示,该方法能够有效检测DDoS攻击,减小网络流量噪声对检测结果的影响。     

一种Web使用挖掘数据清理方法

针对传统的Web使用挖掘数据清理方法不再适用于现有的网络环境的现状,提出了一种新的Web使用挖掘数据清理方法。该方法首次提出以网络流量作为Web使用挖掘的数据来源;将数据清理的问题转变为对用户显式操作产生的HTTP会话的识别问题;使用二进制粒子群算法（BPSO）选出最能精确识别用户显式HTTP会话的特征子集;利用选择出的特征子集,生成决策树用以对用户显式HTTP会话进行识别。实验结果表明：该方法能够准确有效地识别出用户显式HTTP会话,对日志记录数的压缩率达到98.7%,能够完成数据清理的任务,为之后的数据挖掘提供有力的支持。     

为祖国裁剪新装

我们时时东搬西迁,我们常常南来北往,我们长年栉风沐雨,我们住在简陋工房。我们走向废墟、荒漠,我们留下学校、工厂……我们为祖国裁剪新装,我们的心热腾腾、喜洋洋。 (原载《建筑工人》1983年第12期) L/为祖国裁剪新装@尹学渊!云南~~     

基于多维时间序列分析的网络异常检测

针对实际网络异常检测要求高检测率、低误报率的问题,提出了一种基于多维时间序列的检测方法。首先,通过对实际网络流量进行长期观测,提取多维特征对网络流量进行描述;然后,利用时间序列分析方法对多维特征进行预测,计算预测值与真实值的时间序列偏离度,并且实时更新偏离度,适应多变的网络环境;最后,利用支持向量机（SVM）算法对偏离度向量进行分类判别,判断是否发生异常。目前该方法已应用于校园网关键服务器的实时监测与防护工作中,实际服务器流量的预测、告警结果表明,该方法可以有效检测网络中的异常流量。     

SVM在网络信息内容审计中的研究与应用

对网络信息内容审计关键技术进行了研究,给出了网络信息内容审计系统的模型,并从特征选择、权重调整等方面详细阐述了将SVM算法应用于网络信息内容识别的过程,在此基础上实现了基于SVM的网络信息内容审计系统。测试结果表明,该系统能对敏感内容进行正确识别,查全率和查准率分别达到95.06%和85.47%,解决了人工选择关键词的困难,并且满足监控需求。