自然着色聚类过程中的网络安全事件计算 被引量：2

1

作者 孙美凤 彭艳兵 +1 位作者 龚俭 杨望 《计算机学报》 EI CSCD 北大核心 2007年第10期1787-1797,共11页

自然着色过程利用有部分重叠的短比特串映射,使两个Hash函数间带有相同的颜色,为判定两个Hash串是否同源提供了重要依据.在商集映射的视角下分析了多个不同的聚类函数间的差异和着色关系,结果表明聚类函数间的内部平衡性结合自然着色过... 自然着色过程利用有部分重叠的短比特串映射,使两个Hash函数间带有相同的颜色,为判定两个Hash串是否同源提供了重要依据.在商集映射的视角下分析了多个不同的聚类函数间的差异和着色关系,结果表明聚类函数间的内部平衡性结合自然着色过程可以得到源串部分比特串的聚类特性,同时TCP宏观平衡性仍然保持不变.实验表明,利用这个特性可以从多个具有着色关系的短比特串映射的Hash存储空间得到如蠕虫爆发、DDoS之类的TCP宏观异常中发起者、受害者的聚类信息.因此自然着色过程大大扩展了TCP宏观平衡性的应用领域,为网络安全检测、监测和安全事件分布评估提供了有力的支持. 展开更多

关键词 Hash聚类 商集映射 自然着色 TCP宏观平衡性 安全事件分布计算

在线阅读 下载PDF 职称材料

网络流超时策略研究 被引量：10

2

作者 周明中 龚俭 丁伟 《通信学报》 EI CSCD 北大核心 2005年第4期88-93,共6页

通过对现有流超时策略进行比较和分析,指出适用范围和存在的问题。针对单包流占总体流量很大比例的特点,提出了两层自适应超时策略(TSAT)。通过对不同特性的流采用不同的超时方式,增加网络测量性能,提高了测量系统的资源利用率。最后通... 通过对现有流超时策略进行比较和分析,指出适用范围和存在的问题。针对单包流占总体流量很大比例的特点,提出了两层自适应超时策略(TSAT)。通过对不同特性的流采用不同的超时方式,增加网络测量性能,提高了测量系统的资源利用率。最后通过实验论证文章提出的超时策略在实际测量中的性能,并进一步分析适用范围。 展开更多

关键词 TSAT策略 网络数据流 超时策略 流特性

在线阅读 下载PDF 职称材料

网络入侵追踪研究综述 被引量：12

3

作者 张静 龚俭 《计算机科学》 CSCD 北大核心 2003年第10期155-159,共5页

1引言 在制定目前Internet上使用的网络协议标准时,设计者们更多的是考虑到网络协议的可靠性和可扩展性,而不是它们所提供的安全服务和审计功能.

关键词 计算机网络 网络安全 入侵检测系统 路由器 网络入侵追踪系统

在线阅读 下载PDF 职称材料

大规模网络中IP流长分布统计模型 被引量：1

4

作者 吴桦 周明中 龚俭 《计算机工程》 CAS CSCD 北大核心 2008年第6期112-114,117,共4页

对具有不同特征的大规模高速网络的TRACE进行分析,发现不同IP流的流长分布特征。在此基础上,提出大规模网络状况下IP流长分布经验模型,该模型在表达大规模网络IP流长分布上,其精度高于原有Pareto模型,复杂度低于原有双Pareto模型。对相... 对具有不同特征的大规模高速网络的TRACE进行分析,发现不同IP流的流长分布特征。在此基础上,提出大规模网络状况下IP流长分布经验模型,该模型在表达大规模网络IP流长分布上,其精度高于原有Pareto模型,复杂度低于原有双Pareto模型。对相关模型与实际TRACE流长分布的拟合程度进行了检验,并对模型的相关参数取值范围及该经验模型与现有模型存在的异同做了讨论,进而分析导致异同的原因,并指出IP流长分布的发展趋势。 展开更多

关键词 网络被动测量 网络行为 大规模网络 IP流长 分布统计模型

在线阅读 下载PDF 职称材料

基于残差全卷积网络的图像拼接定位算法 被引量：5

5

作者 吴韵清 吴鹏 +2 位作者 陈北京 鞠兴旺 高野 《应用科学学报》 CAS CSCD 北大核心 2019年第5期651-662,共12页

为解决现有篡改定位网络随着深度加深不易收敛的问题,提出一种基于残差全卷积网络的图像拼接定位算法.所提算法一方面迁移残差思想,在全卷积神经网络(fully convolutional network,FCN)的部分卷积层中引入shortcut连接,使其输出的不仅... 为解决现有篡改定位网络随着深度加深不易收敛的问题,提出一种基于残差全卷积网络的图像拼接定位算法.所提算法一方面迁移残差思想,在全卷积神经网络(fully convolutional network,FCN)的部分卷积层中引入shortcut连接,使其输出的不仅是输入的映射,还是输入映射与输入的叠加.另一方面结合条件随机场(conditional random field,CRF)对定位结果进行后处理,并将FCN与CRF整合在一个端到端的学习系统中,进一步提高定位精度.此外,所提算法还融合3种FCN(FCN8、FCN16、FCN32)的预测结果.在实验中,随机选取公开数据集CASIA v2.0的5/6篡改图像作为训练集,然后对剩余1/6进行测试.为了测试提出算法的泛化性能,采用训练好的模型在公开数据集CASIA v1.0和DVMM上进行交叉测试.在3个数据集上的测试结果表明,所提算法的性能优于现有一些方法. 展开更多

关键词 拼接定位 全卷积神经网络 条件随机场 残差网络

在线阅读 下载PDF 职称材料

UDP流量对TCP往返延迟的影响 被引量：12

6

作者 朱海婷 丁伟 +1 位作者 缪丽华 龚俭 《通信学报》 EI CSCD 北大核心 2013年第1期19-29,共11页

提出一个面向单条链路的TCP综合传输性能测度R,分析其与同一时间粒度内链路的占用带宽和UDP流量比例间的关系,使用中国和美国2条主干信道的实测数据进行了检验。结果表明R测度可表示为以占用带宽和UDP流量比例为参数的正态分布的随机过... 提出一个面向单条链路的TCP综合传输性能测度R,分析其与同一时间粒度内链路的占用带宽和UDP流量比例间的关系,使用中国和美国2条主干信道的实测数据进行了检验。结果表明R测度可表示为以占用带宽和UDP流量比例为参数的正态分布的随机过程。随后进行的CERNET链路R测度正态分布均值参数的拟合分析具有很高的可接受水平,拟合的结果给出的量化关系可用于流量的公平性评价。 展开更多

关键词 TCP性能 UDP流量模型 流量公平性 往返时延

在线阅读 下载PDF 职称材料

基于警报序列聚类的多步攻击模式发现研究 被引量：18

7

作者 梅海彬 龚俭 张明华 《通信学报》 EI CSCD 北大核心 2011年第5期63-69,共7页

研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。... 研究了从警报数据中发现多步攻击模式的方法。通过定义警报间的相似度函数来构建攻击活动序列集。采用序列比对技术,将具有相似攻击行为的序列进行聚类。基于动态规划的思想,通过抽取最长公共子序列的算法自动发现类中的多步攻击模式。该方法不需要依赖大量先验知识,设置参数少,易于实现。实验结果验证了该方法的有效性。 展开更多

关键词 入侵检测 警报关联 多步攻击 聚类

在线阅读 下载PDF 职称材料

基于特征串的应用层协议识别 被引量：43

8

作者 陈亮 龚俭 徐选 《计算机工程与应用》 CSCD 北大核心 2006年第24期16-19,86,共5页

随着各种P2P协议的广泛应用以及逃避防火墙检测的需要,传统的基于常用端口识别应用层协议的方法已经出现问题。文章通过分析可用的文档和实际报文TRACE,分别为七种应用层协议找出其实际交互过程中必须出现且出现频率最高的固定字段,并... 随着各种P2P协议的广泛应用以及逃避防火墙检测的需要,传统的基于常用端口识别应用层协议的方法已经出现问题。文章通过分析可用的文档和实际报文TRACE,分别为七种应用层协议找出其实际交互过程中必须出现且出现频率最高的固定字段,并将这些固定字段作为协议的特征串来识别这七种协议。实验结果表明,相较于端口方法,使用特征串方法识别这七种应用层协议具有更高的准确性,并且时间消耗的增长不会超过2%。 展开更多

关键词 网络流量 应用层协议识别 特征串

在线阅读 下载PDF 职称材料

多特征关联的入侵事件冗余消除 被引量：13

9

作者 龚俭 梅海彬 +1 位作者 丁勇 魏德昊 《东南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2005年第3期366-371,共6页

通过对事件的源地址、宿地址和宿端口3个空间属性进行分析,枚举出事件在空间属性上的所有可能的关联特征;通过对相邻事件的时间间隔进行统计分析,提出了事件的时间关联特征可以用一个相对均方差模型描述.在此基础上给出了一种基于事件... 通过对事件的源地址、宿地址和宿端口3个空间属性进行分析,枚举出事件在空间属性上的所有可能的关联特征;通过对相邻事件的时间间隔进行统计分析,提出了事件的时间关联特征可以用一个相对均方差模型描述.在此基础上给出了一种基于事件类型、空间和时间关联特征的冗余事件消除算法,它能根据冗余消除规则集实时处理入侵事件并进行冗余消除.实验结果表明,该冗余消除算法可以使冗余事件在总的事件中的比例低于1%,其冗余消除的准确性和消除程度均高于CITRA中提出的冗余消除方法. 展开更多

关键词 冗余消除 事件关联特征 入侵检测系统 网络安全

在线阅读 下载PDF 职称材料

自动入侵响应系统的研究 被引量：11

10

作者 丁勇 虞平 龚俭 《计算机科学》 CSCD 北大核心 2003年第10期160-162,166,共4页

1.引言 随着计算机网络的不断发展和普及,安全问题日益严重,已成为当今研究的重点.从CERT每年的安全事件报告可以看出,安全事件的数量从1989年的6例上升到1999年的8268例[1],计算机网络的安全问题引起了广泛的关注.

关键词 计算机网络 入侵检测系统 自动入侵响应系统 网络安全

在线阅读 下载PDF 职称材料

多IDS环境中基于可信度的警报关联方法研究 被引量：8

11

作者 梅海彬 龚俭 《通信学报》 EI CSCD 北大核心 2011年第4期138-146,共9页

针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组... 针对现有警报关联方法在关联来自多个IDS的警报时未考虑各IDS报告警报可信度的不足,利用证据理论提出了一种基于可信度对多个IDS的警报进行关联分析的方法。方法将各IDS报告警报的情况作为推测网络攻击是否发生的证据,并采用Dempster组合规则来融合这些证据,最后决策判断警报所对应的攻击是否发生,从而消除各IDS报告警报的模糊性和冲突性,达到提高警报质量的目的。在DARPA 2000测试数据集上的实验结果表明,该方法能有效降低误报率,减少警报数目60%以上。 展开更多

关键词 网络安全 入侵检测系统 警报关联 证据理论 可信度

在线阅读 下载PDF 职称材料

基于时空约束的IDS系统能力评估方法 被引量：1

12

作者 杨望 龚俭 《东南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2011年第2期274-279,共6页

为了提高入侵检测系统评估结果的准确性和合理性,提出了基于时空约束的评估方法.该方法把承载攻击的报文序列作为描述入侵检测系统检测能力的基础,通过时空约束及其对应的内容约束对入侵检测系统的检测能力空间进行等价划分,完善基于分... 为了提高入侵检测系统评估结果的准确性和合理性,提出了基于时空约束的评估方法.该方法把承载攻击的报文序列作为描述入侵检测系统检测能力的基础,通过时空约束及其对应的内容约束对入侵检测系统的检测能力空间进行等价划分,完善基于分辨率方法提出的系统能力测度体系.实验表明,基于时空约束的入侵检测系统能力评估方法相对于传统评估方法可以在更精确的维度上对入侵检测系统的能力进行评估,并根据不同阶的时间约束具体指出入侵检测系统能力的弱点.使用基于时空约束的入侵检测系统能力评估方法提高了入侵检测系统评估结果的公平性、合理性和准确性. 展开更多

关键词 网络入侵检测系统 评估 系统能力 等价划分

在线阅读 下载PDF 职称材料

一个检测超流的早期淘汰算法

13

作者 程光 强士卿 《厦门大学学报（自然科学版）》 CAS CSCD 北大核心 2007年第A02期202-204,共3页

超流是网络中具有大量不同宿IP/源IP链接的源IP/宿IP.实时检测出高速网络(OC48、OC192等)中的超流对网络安全具有非常重要的意义.近年来已经有论文提出了不同超流检测算法,但是这些算法都没有考虑控制测量过程中超流缓存空间的大小.论... 超流是网络中具有大量不同宿IP/源IP链接的源IP/宿IP.实时检测出高速网络(OC48、OC192等)中的超流对网络安全具有非常重要的意义.近年来已经有论文提出了不同超流检测算法,但是这些算法都没有考虑控制测量过程中超流缓存空间的大小.论文在超流检测过程中增加了早期淘汰功能,将超流缓存中链接数较少的记录提前淘汰,以便腾出空间用于存储新检测到的IP记录,实现对超流缓存资源的控制.论文最后还使用实际网络日志数据对算法进行验证,实验表明:早期淘汰算法可以使系统以更少的内存空间和测量资源检测超流信息. 展开更多

关键词 早期淘汰算法 超流 流量测量

在线阅读 下载PDF 职称材料

Bloom Filter哈希空间的元素还原 被引量：7

14

作者 彭艳兵 龚俭 +1 位作者 刘卫江 杨望 《电子学报》 EI CAS CSCD 北大核心 2006年第5期822-827,共6页

本文提出使用语义增强的Counting B loom FilterReconstruction(RSECBF)算法来快速还原源串或给出源串的聚类特征.它给每个哈希函数独立的哈希映射空间以消除哈希函数的内部冲突;扩展哈希函数使其不受均匀性限制,使得哈希函数可以带有语... 本文提出使用语义增强的Counting B loom FilterReconstruction(RSECBF)算法来快速还原源串或给出源串的聚类特征.它给每个哈希函数独立的哈希映射空间以消除哈希函数的内部冲突;扩展哈希函数使其不受均匀性限制,使得哈希函数可以带有语义;利用哈希串的重叠和数量一致性来解决同源哈希串拼接成源串的问题,为源串的还原创造了条件.本文针对Pareto分布的哈希函数,为主成分的还原提出了一个简洁的源串还原算法.对于直接选择部分比特的哈希映射而言,如果主成分分析中的RSECBF不能还原出源串,则还原出来的最长串就是源串的聚类特征.仿真及实际检验表明,B loom Filter可以扩展其哈希函数来实现语义增强,RSECBF还原的结果是可信的.本算法可以在异常行为发生的时候挖掘网络行为特征. 展开更多

关键词 COUNTING BLOOM FILTER 语义增强 参数还原 异常行为检测

在线阅读 下载PDF 职称材料

一种改进的组播密钥管理方案 被引量：2

15

作者 殷鹏鹏 曹争 陆正军 《计算机工程》 CAS CSCD 北大核心 2011年第5期140-142,共3页

针对现有组播密钥管理方案存在的前向加密、后向加密和同谋破解问题,提出一种改进的组播密钥管理方案。改进方案由组播认证、安全组播转发树的维护、组密钥的分发和更新组成,通过二层控制方式降低组成员离开时密钥更新操作的复杂度,从... 针对现有组播密钥管理方案存在的前向加密、后向加密和同谋破解问题,提出一种改进的组播密钥管理方案。改进方案由组播认证、安全组播转发树的维护、组密钥的分发和更新组成,通过二层控制方式降低组成员离开时密钥更新操作的复杂度,从而保障组密钥分发和更新过程的安全性和高效性。实验结果表明,改进方案具有较优越的计算开销、通信开销和可接受的存储开销。 展开更多

关键词 组播密钥管理 二层控制 简单网络管理协议

在线阅读 下载PDF 职称材料

IPv6主干环境下的校园网接入 被引量：1

16

作者 周渔 龚俭 《通信学报》 EI CSCD 北大核心 2005年第B01期247-250,共4页

以CERNET的双主干核心网、地区接入网以及校园网为背景，分析了在校园网接入IPv6时新的需求，针对这些需求给出了一个隧道接入平台，并将其与6to4方案进行了对比，结果表明其具有结构简单和通用性等优点。

关键词 IPv6主干 校园网接入 隧道技术

在线阅读 下载PDF 职称材料

高速IDS系统中读写缓冲区的互斥机制

17

作者 王晨 龚俭 廖闻剑 《计算机工程与应用》 CSCD 北大核心 2003年第31期149-151,158,共4页

在网络入侵检测系统中,通常需要在内存中开辟缓冲区对网络报文进行采集和分析,但是传统的读写缓冲区的互斥机制在高速网络环境中的效率都不甚理想,无法满足对高速IDS系统的性能需求。该文提出的一种基于并发锁机制的双缓冲区互斥机制可... 在网络入侵检测系统中,通常需要在内存中开辟缓冲区对网络报文进行采集和分析,但是传统的读写缓冲区的互斥机制在高速网络环境中的效率都不甚理想,无法满足对高速IDS系统的性能需求。该文提出的一种基于并发锁机制的双缓冲区互斥机制可以改善传统锁机制的资源利用率,很好地解决了报文到达流和报文处理能力之间的性能瓶颈问题,显著地提高了IDS系统的性能。 展开更多

关键词 互斥机制 入侵检测系统(IDS) 锁机制 缓冲区管理

在线阅读 下载PDF 职称材料