刘艺 作品数:6 被引量:47 H指数:3 供职机构: 解放军信息工程大学 更多>> 发文基金: 国家高技术研究发展计划 郑州市科技领军人才培育计划 更多>> 相关领域: 自动化与计算机技术 更多>>
基于不完全信息动态博弈的动态目标防御最优策略选取研究 被引量:33 2018年 针对动态目标防御的最优策略选取问题,分析了动态目标防御环境下的攻防对抗特点,提出了动态目标防御策略的收益量化方法,基于不完全信息动态博弈构建了面向动态目标防御的单阶段和多阶段博弈模型,给出了精炼贝叶斯均衡求解算法和先验信念修正方法,获得了不同安全态势下的最优动态目标防御策略.最后,通过实例说明和验证了上述模型和方法的可行性和有效性,总结了利用动态目标防御策略进行网络防御的一般性规律. 刘江 张红旗 张红旗关键词:不完全信息动态博弈 精炼贝叶斯均衡 一种基于MapReduce的OpenFlow网络属性并行验证算法 被引量:1 2016年 针对OpenFlow网络中流表配置错误引起的转发回路、路由黑洞和访问控制规则失效等问题,提出一种并行的基于MapReduce的OpenFlow网络属性验证算法。通过在map阶段划分规则等价类,在reduce阶段为规则等价类构建基于交换机端口谓词的网络转发图并分析可达性,实现对网络属性的并行验证。同时,通过采用原子谓词将传统可达性分析中的规则匹配域多维集合运算转换为整数集合运算,以进一步提高可达性分析效率;此外,基于原子谓词的谓词表达方式可消除交换机端口谓词集合中的冗余项,降低存储开销。最后,通过理论分析和仿真实验验证了算法的正确性及在时间和存储开销方面的优越性。 刘艺 雷程 张红旗 杨英杰 代向东关键词:MAPREDUCE 面向OpenFlow网络的访问控制规则自动实施方案 被引量:3 2015年 针对OpenFlow网络数据平面频繁改变导致网络难以实时满足访问控制策略要求的问题,提出了面向OpenFlow网络的访问控制规则自动实施方案。首先,由实时构建的转发路径获得可达空间,并通过规则集动态合成算法消除访问控制规则间的冲突;之后,采用规则空间分割算法将合成后访问控制规则的拒绝空间与可达空间比较,以检测直接和间接违反访问控制规则的非法转发路径;在此基础上,结合网络更新事件与违反检测结果灵活采取自动的违反解决方法,包括规则更新拒绝、规则序列移除、基于线性规划(LP)的近源端规则部署和末端规则部署4种;最后转换访问控制规则形式。理论分析和仿真结果表明,方案可用于控制器上运行多个安全应用程序和交换机内存受限的情况,并且基于LP的近源端规则部署方法可以降低网络中的不期望流量。 刘艺 张红旗 代向东 雷程关键词:线性规划 一种区分等级的可生存服务功能链映射方法 被引量:4 2018年 针对在底层网络可能发生单点和单链路故障情况下的服务功能链(service function chain,SFC)映射问题,提出一种区分等级的可生存SFC映射方法,为提供重要服务的关键SFC预先分配备用资源,为提供普通服务的普通SFC快速重映射失效部分,从而兼顾提高SFC可生存能力和降低底层网络资源开销的需求.首先,在考虑最小化SFC服务时延的条件下,分别为关键SFC和普通SFC的可生存映射问题建立混合整数线性规划模型.其次,提出2种启发式的模型求解算法,其中,面向关键SFC的主备服务路径构建算法采用贪心思想交替进行节点和链路映射,以减小SFC服务时延,并在主备服务路径之间建立桥接路径,以提高路径切换速度和降低路径切换过程的丢包率;面向普通SFC的失效服务路径重建算法引入最大流问题求解失效节点的最佳重映射位置,以提高成功恢复的失效普通SFC数目,并利用改进的Dijkstra最短路径算法选择时延低的重映射路径.最后,在不同网络条件下实验验证了启发式算法的性能,并且在模拟网络环境中所提可生存SFC映射方法能保证SFC的成功运行率在59.2%以上. 刘艺 张红旗 张红旗 常德显关键词:最大流问题 基于启发式调度的OpenFlow网络规则一致更新方案 被引量:4 2017年 针对OpenFlow网络在状态转换过程中会暂时性出现转发回路、路由黑洞和违反访问控制策略等问题,提出了一种基于启发式调度的规则一致更新方案.首先,设计基于谓词的更新分解算法,利用并行网络属性验证技术得到子更新依赖图;其次,采用任务图生成算法对子更新依赖图进行分割,降低更新调度的复杂度;之后,设计启发式更新调度算法,采用规则增删操作交替执行策略,减少交换机的规则存储开销,并通过建立更新实施和监听并发执行机制,提升更新效率.仿真实验从更新时间开销和更新过程中交换机规则存储开销两方面验证了方案的有效性. 刘艺 张红旗 杨英杰关键词:启发式调度 基于MapReduce的OpenFlow网络属性验证技术 被引量:3 2016年 针对OpenFlow网络中由程序自动改变数据平面状态方式引起的流表配置错误问题,提出1种基于MapReduce的OpenFlow网络属性验证技术.首先,利用OpenFlow网络控制转发分离的特点,设计支持实时与非实时2种验证方式的技术架构.其次,提出基于MapReduce模型的非实时验证算法,在Map阶段划分规则等价类,在Reduce阶段构建基于交换机端口谓词的网络转发图并分析可达性,以实现对网络属性的并行验证.与此同时,利用原子谓词消除谓词集合冗余项和规则匹配域转换的方法,提高可达性分析效率.此外,在非实时验证算法的基础上,结合网络更新事件提出实时验证算法,实现网络状态改变时的增量式网络属性验证.最后,理论分析和仿真实验验证了该技术的运行效率和存储开销,并分析了其对TCP连接建立时间的影响. 刘艺 雷程 张红旗 杨英杰关键词:MAPREDUCE模型