自然着色聚类过程中的网络安全事件计算

自然着色过程利用有部分重叠的短比特串映射,使两个Hash函数间带有相同的颜色,为判定两个Hash串是否同源提供了重要依据.在商集映射的视角下分析了多个不同的聚类函数间的差异和着色关系,结果表明聚类函数间的内部平衡性结合自然着色过程可以得到源串部分比特串的聚类特性,同时TCP宏观平衡性仍然保持不变.实验表明,利用这个特性可以从多个具有着色关系的短比特串映射的Hash存储空间得到如蠕虫爆发、DDoS之类的TCP宏观异常中发起者、受害者的聚类信息.因此自然着色过程大大扩展了TCP宏观平衡性的应用领域,为网络安全检测、监测和安全事件分布评估提供了有力的支持.     

一种基于多特征集成学习的恶意代码静态检测框架

伴随着互联网的普及和5G通信技术的快速发展,网络空间所面临的威胁日益增大,尤其是恶意软件的数量呈指数型上升,其所属家族的变种爆发式增加.传统的基于人工签名的恶意软件的检测方式速度太慢,难以处理每天数百万计新增的恶意软件,而普通的机器学习分类器的误报率和漏检率又明显过高.同时恶意软件的加壳、混淆等对抗技术对该情况造成了更大的困扰.基于此,提出一种基于多特征集成学习的恶意软件静态检测框架.通过提取恶意软件的非PE(Portable Executable)结构特征、可见字符串与汇编码序列特征、PE结构特征以及函数调用关系5部分特征,构建与各部分特征相匹配的模型,采用Bagging集成和Stacking集成算法,提升模型的稳定性,降低过拟合的风险.然后采取权重策略投票算法对5部分集成模型的输出结果做进一步聚合.经过测试,多特征多模型聚合的检测准确率可达96.99%,该结果表明:与其他静态检测方法相比,该方法具有更好的恶意软件鉴别能力,对加壳、混淆等恶意软件同样具备较高的识别率.     

首届全国电动自行车品牌经销商峰会成功召开

2011年3月31日下午,由中央电视台央视网、天津市自行车电动车行业协会主办,央视网电动车频道承办、电动车商情协办的"首届全国电动自行车品牌经销商峰会"在天津正式拉开帷幕.在首次全国电动自行车品牌经销商聚集的年度盛会上,天津市自行车电动车行业协会理事长龚孝燕、央视网电动车频道总监王东、中国商品学会副会长武高汉、中国知识产权研究会知识产权保护专业委员会秘书长李春雷、国家自行车检测中心工程师郑培东,以及众多协会领导、专家学者、全国优秀的经销商代表、企业代表逾600人莅临峰会现场.     

基于Bloom Filter的大规模异常TCP连接参数再现方法

提出由TCP连接的唯一性导出的TCP数量平衡性测度及其经验范围可用于检测TCP连接的大规模异常,如DDoS、扫描等.使用带哈希增强算法的Bloom Filter Reproduction(BFR)方法对TCP连接大规模异常的参数进行快速再现,如IP地址、端口的分布等,使得在检测过程中无须维护TCP五元组的信息.实验结果表明,该方法能够以较少的资源占用和较高的准确性来揭示网络流量中混杂的多种异常现象.     

TCP流的宏观平衡性

TCP流显式的连接建立和关闭过程决定了完整的TCP流的不同类型TCP报文之间在数量关系间保持一种宏观平衡性，这种数量间的约束所表现出的宏观平衡性可以用来揭示网络流量行为规律，识别网络流量行为异常的存在，从而可以成为网络安全监测和网络管理的有效手段之一．文章定义了TCP流宏观平衡性的相关测度，根据TCP流的到达模型和流长模型建立了测量误差的模型，并以此导出了实际测量模型和判断正常与异常的临界点．通过实验和仿真对这些测度进行了分析，证明了这些测度和临界点的可用性．     

一种基于双重Counter Bloom Filter 的长流识别算法

提出了一种基于双层Counter Bloom Filter 的长流识别算法(algorithm based on double counter bloom filter for long flows identification,简称CCBF).该算法使用两层Counter Bloom Filter 结构,将长流过滤和长流存在分开处 理.分析了该算法的误判率,通过模拟数据分析了算法错误率和内存资源限制的关系,并在相同内存资源限制的条件 下,将该算法与类似算法的准确性进行了比较.结果表明,在数据量较大的情况下,该算法具有比现有算法更小的平 均错误率;对算法的时间效率分析表明,该算法可以达到1 500kpps 的处理速度.各项指标反映出,该算法可以应用于 大规模主干网的长流监测.     

基于时空约束的IDS系统能力评估方法

为了提高入侵检测系统评估结果的准确性和合理性,提出了基于时空约束的评估方法.该方法把承载攻击的报文序列作为描述入侵检测系统检测能力的基础,通过时空约束及其对应的内容约束对入侵检测系统的检测能力空间进行等价划分,完善基于分辨率方法提出的系统能力测度体系.实验表明,基于时空约束的入侵检测系统能力评估方法相对于传统评估方法可以在更精确的维度上对入侵检测系统的能力进行评估,并根据不同阶的时间约束具体指出入侵检测系统能力的弱点.使用基于时空约束的入侵检测系统能力评估方法提高了入侵检测系统评估结果的公平性、合理性和准确性.     

面向应急响应的高速网络流量采集设计与实现

网络安全应急响应在网络分析和追踪时需要应急采集,即捕获特定IP、端口、协议的原始分组。基于高速网络分组捕获工具PF_RING DNA,利用多核多线程并发采集与规则匹配的网络分组,并分配共享缓冲区提高分组的磁盘存储性能,同时通过对采集规则设置不同的状态,实现动态添加采集规则和人为干预采集过程。实验结果表明,在双万兆网卡的环境下,应急采集系统可以捕获并处理19.98 bit/s(3.5 Mpacket/s)的网络流量,最大应急采集速率为1 297 Mbit/s（204.9 kpacket/s）。     

极地多点低温低功耗高精度柔性温度链的设计

为有效提高极地冰盖低温环境下温度测量的精度,设计了一款基于Pt1000的多点低温低功耗高精度铂电阻柔性温度链。温度链由主机和多个从机组成,主机用于读取整条温度链的数据并与外界进行数据交互,从机用于采集和上传温度数据,主机和从机之间采用RS485总线通讯方式。每个单点铂电阻温度测量单元都采用软件校正,单点测温误差不超过0.006 9℃。室内低温实验和现场试验表明,该温度链对低温环境下多点同时测温整体可靠性较高,适用于在极地环境下对冰川冰雪的温度场剖面检测。