通信学报

张晓军，崔建，马皓，张蓓

2014, 35(Z1): 1-4.

摘要 ( 202 )

可视化

为适应10 Gbit以太网传输速率，依照开放通用设计原则，重新设计和实现了第二代网络访问控制网关IPcG-10G。该系统根据认证用户的网络授权情况动态控制其访问网络资源，建立起网络实名访问机制，在加强网络安全的同时，保障网络带宽的合理使用。IPcG-10G采用多种优化技术提高10Gbit/s流量转发的性能，突破第一代吉比特IPcG系统的传输瓶颈，解决了速率不匹配带来的诸多问题，便于网络链路的管理和规划。

基于IPFIX的DNS异常行为检测方法

马云龙，姜彩萍，张千里，王继龙

2014, 35(Z1): 2-9.

摘要 ( 319 )

可视化

提出了一种基于IPFIX（IP数据流信息输出）网络流量数据准确检测可疑和异常DNS、识别DNS流量放大攻击行为的算法。该算法已在清华大学校园网实际部署运行，能够有效检测到校园网内部DNS的异常行为并发送告警信息，从而及时控制攻击行为，实现异常流量的及时监测和预警。

校园网服务器安全扫描告警系统的设计与实现

庞滨，李华，王友义，闫帅，杨智和

2014, 35(Z1): 3-13.

摘要 ( 256 )

可视化

提出了一种利用开源的安全检测工具构造校园网服务器扫描告警系统，对需要监控的服务器进行定时扫描，将发现的威胁进行自动分析，并报告管理员。通过对服务器进行从硬件到软件，从操作系统到服务进程以及动态页面脚本的多方面、可定制、灵活组合的定时安全扫描，构建对服务器全方位的检测并搜集扫描结果进行分析，将告警信息直接通过邮件等形式发送给管理员，并提出修补建议，以此达到对服务器安全漏洞的抢先发现，及时修补的目的。实验结果表明，通过建立安全漏洞扫描告警系统，将校园网服务器的安全提升到了一个比较可靠的程度。

基于SQL-on-Hadoop的网络日志分析

章思宇，姜开达，韦建文，罗萱，王海洋

2014, 35(Z1): 4-19.

摘要 ( 301 )

可视化

当今网络带宽、设备和应用数量急剧扩张，日志管理面临数据量爆炸式增长的挑战。基于SQL-on-Hadoop构建网络日志分析平台，实现千亿级日志存储和高效、灵活查询。利用真实TB级数据集对多种Hadoop列存储格式及压缩算法进行性能测试，并对比Hive和Impala引擎日志扫描及统计查询效率，选用Gzip压缩的Parquet格式可将日志体积压缩80%，且将Impala查询性能提升至5倍。基于该平台已开发6种安全事件响应、攻击检测和预警应用并发挥良好效果。

基于IPv6源地址验证的一种可信身份系统

周端奇，毕军，姚广

2014, 35(Z1): 5-26.

摘要 ( 307 )

可视化

当前互联网中，并不对分组发送者的身份进行验证，带来了大量的伪造身份的攻击。为了解决这一安全问题，提出了真实可信身份通信系统。基于源地址验证，通过将用户的身份映射为IPv6地址的后64位，实现了在分组中携带用户身份，从而确保了用户身份的隐私性、可验证性和真实性，并对其安全性能进行了实验。

基于IPFIX的DNS异常行为检测方法

马云龙,姜彩萍,张千里,王继龙

2014, 35(Z1): 5-9. doi:10.3969/j.issn.1000-436x.2014.z1.002

摘要 ( 291 )

在线阅读 ( 7 )

PDF下载 (271KB) ( 1020 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：提出了一种基于IPFIX（IP数据流信息输出）网络流量数据准确检测可疑和异常DNS、识别DNS流量放大攻击行为的算法。该算法已在清华大学校园网实际部署运行，能够有效检测到校园网内部 DNS 的异常行为并发送告警信息，从而及时控制攻击行为，实现异常流量的及时监测和预警。

基于带权值无向图的视频隐写分析

达婷，李芝棠

2014, 35(Z1): 6-30.

摘要 ( 210 )

可视化

针对视频帧的时域特性，提出一种以帧间相关性构建带权值无向图的视频隐写分析方法。首先，分别计算待检测视频每帧亮度的灰度共生矩阵，把得出的8维特征作为该帧的特征向量。再以视频帧为节点，用帧间特征向量的欧氏距离作为节点间的权值，构造出表示帧间相关性的带权值无向图。根据嵌入信息后帧间相关性发生改变的特性来判断视频中是否有秘密信息嵌入。实验结果表明，用带权值无向图的方法可以快速准确地区分载密视频和原始视频，并且有较高的正确率。

基于NTP反射放大攻击的DDoS追踪研究

姜开达，章思宇，孙强

2014, 35(Z1): 7-35.

摘要 ( 315 )

可视化

提出了一种利用NTP反射型放大攻击的特点，通过对中国大陆开放公共NTP服务的主机定期发起主动探测（执行monlist指令），利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。追踪从2014年2月开始，初始探测范围为大陆近1.4万台NTP服务主机，每隔2 h一个周期持续进行了164天，观测到了针对数十万个IP地址的疑似DDoS攻击行为。

基于振幅值修改的wav音频隐写算法

邹明光，李芝棠

2014, 35(Z1): 8-40.

摘要 ( 292 )

可视化

在对不同有效域的算法进行总结和分析的基础上，提出了一种基于振幅值修改的wav音频隐写算法。算法将秘密音频通过随机数生成器置乱，通过比较原始音频每个采样点分组中振幅值之间的关系，结合待嵌入的秘密信息位进行嵌入修改，嵌入强度依据密钥进行调节。实验结果表明，该算法具有较大的嵌入容量，不可感知性良好，具有一定的抗隐写分析能力，并可实现盲提取。

基于层次聚类的网络流识别算法研究

丁伟，徐杰，卓文辉

2014, 35(Z1): 9-45.

摘要 ( 255 )

可视化

利用核函数定理提出了一种改进的网络流识别算法。首先运用对称不确定性的概念选择出最相关的流测度，然后利用核函数定理对选择的网络流测度进行高维映射，以测度的高维空间距离作为度量各个类差别的标准，提高了聚类结果的准确性。采用光滑因子、轮廓系数和不确定熵来控制聚类过程。实验表明，该算法的聚类结果更均匀，没有出现某个类占过大比重的情况且根据高维空间的类距离能够检测出网络流里的大部分流量。

面向应急响应的高速网络流量采集设计与实现

马亚洲，龚俭，杨望

2014, 35(Z1): 10-51.

摘要 ( 255 )

可视化

网络安全应急响应在网络分析和追踪时需要应急采集，即捕获特定IP、端口、协议的原始分组。基于高速网络分组捕获工具PF_RING DNA，利用多核多线程并发采集与规则匹配的网络分组，并分配共享缓冲区提高分组的磁盘存储性能，同时通过对采集规则设置不同的状态，实现动态添加采集规则和人为干预采集过程。实验结果表明，在双万兆网卡的环境下，应急采集系统可以捕获并处理19.98 bit/s(3.5 Mpacket/s)的网络流量，最大应急采集速率为1 297 Mbit/s（204.9 kpacket/s）。

校园网服务器安全扫描告警系统的设计与实现

庞滨,李华,王友义,闫帅,杨智和

2014, 35(Z1): 10-13. doi:10.3969/j.issn.1000-436x.2014.z1.003

摘要 ( 228 )

在线阅读 ( 0 )

PDF下载 (255KB) ( 191 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：提出了一种利用开源的安全检测工具构造校园网服务器扫描告警系统，对需要监控的服务器进行定时扫描，将发现的威胁进行自动分析，并报告管理员。通过对服务器进行从硬件到软件，从操作系统到服务进程以及动态页面脚本的多方面、可定制、灵活组合的定时安全扫描，构建对服务器全方位的检测并搜集扫描结果进行分析，将告警信息直接通过邮件等形式发送给管理员，并提出修补建议，以此达到对服务器安全漏洞的抢先发现，及时修补的目的。实验结果表明，通过建立安全漏洞扫描告警系统，将校园网服务器的安全提升到了一个比较可靠的程度。

恶意代码自动分析系统的研究

赵毅，龚俭，杨望

2014, 35(Z1): 11-57.

摘要 ( 264 )

可视化

恶意代码的网络行为分析是网络安全领域的一个重要研究视角。针对现有系统普遍存在的网络行为分析不全面、不深入的问题，归纳了恶意代码的功能模块，提出了较为全面的网络行为分析内容。通过对比已有系统的网络行为分析功能，选取合适的系统CUCKOO作为基础平台。通过实例对其网络行为分析功能进行详细分析，并提出了优化、扩展方案。

基于统计的高效决策树分组分类算法

陈立南，刘阳，马严，黄小红，赵庆聪，魏伟

2014, 35(Z1): 12-64.

摘要 ( 345 )

可视化

基于决策树的分组分类算法因易于实现和高效性，在快速分组分类中广泛使用。决策树算法的基本目标是构造一棵存储高效且查找时间复杂度低的决策树。设计了一种基于规则集统计特性和评价指标的决策树算法——HyperEC 算法。HyperEC算法避免了在构建决策树过程中决策树高度过高和存储空间膨胀的问题。HyperEC算法对IP地址长度不敏感，同样适用于IPv6的多维分组分类。实验证明，HyperEC算法当规则数量较少时，与HyperCuts基本相同，但随着规则数量的增加，该算法在决策树高度、存储空间占用和查找性能方面都明显优于经典的决策树算法。

基于PSO算法的医疗大数据任务调度策略

胡超，彭军，于文涛

2014, 35(Z1): 13-71.

摘要 ( 298 )

可视化

在医疗信息共享平台下，选取一种合适的任务调度策略完成医疗数据查询任务在各医院内的调度分配，是医疗大数据处理所需解决的重要问题。为了保证任务调度时间最短和成本最低，提出一种改进的粒子群算法。该算法构造了时间最优和成本最优双适应度函数，自适应地调整粒子速度更新的惯性权重，加快搜寻最优粒子的速度，并求解出最合理的数据查询任务调度方案，最大限度地提高医疗信息共享平台中医疗数据查询的效率。实验结果验证了所提出算法的有效性。

基于CloudStack和OpenStack的KVM虚拟机跨平台迁移方法

郑楠，陈立南，郑礼雄，马严

2014, 35(Z1): 14-75.

摘要 ( 853 )

可视化

在CloudStack平台与OpenStack平台共存的环境中，为了使CloudStack平台中已创建的KVM虚拟机在迁移到OpenStack平台后可以被OpenStack平台的控制节点正确识别并接管，提出了一种将CloudStack平台中已经存在的虚拟机动态迁移到OpenStack平台的方法。通过将传统基于本地存储的KVM虚拟机迁移方法与CloudStack以及OpenStack云计算平台自身特点相结合，重新对虚拟机迁移相关文件进行组合，实现了虚拟机跨平台的动态迁移。实验结果表明，本方法不但可以完成将KVM虚拟机成功从CloudStack平台迁移到OpenStack平台的任务，而且在时间上与传统方法相比并未产生其他时间成本。

基于SQL-on-Hadoop的网络日志分析

章思宇,姜开达,韦建文,罗萱,王海洋

2014, 35(Z1): 14-19. doi:10.3969/j.issn.1000-436x.2014.z1.004

摘要 ( 186 )

在线阅读 ( 5 )

PDF下载 (358KB) ( 153 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：当今网络带宽、设备和应用数量急剧扩张，日志管理面临数据量爆炸式增长的挑战。基于SQL-on-Hadoop构建网络日志分析平台，实现千亿级日志存储和高效、灵活查询。利用真实TB 级数据集对多种 Hadoop 列存储格式及压缩算法进行性能测试，并对比Hive和Impala引擎日志扫描及统计查询效率，选用Gzip压缩的Parquet格式可将日志体积压缩80%，且将Impala查询性能提升至5倍。基于该平台已开发6种安全事件响应、攻击检测和预警应用并发挥良好效果。

自治系统内IP子网和SDN子网的互联机制

史衍伟，曹争

2014, 35(Z1): 15-81.

摘要 ( 401 )

可视化

SDN网络与传统IP网络的互联机制是当前学术界的研究热点，但现有解决方案并不能适用于所有应用场景。为此提出了一个基于OSPF协议的IMISA架构，在一个包含 SDN 子网（基于OpenFlow）和IP子网的自治系统范围内，通过给SDN控制器添加一个OSPF路由模块，利用OSPF协议交换各自的网络信息，最终实现了2种网络的互联。

大规模IPv4/IPv6演进环境下的地址管理关键技术与应用

李子木，傅怡琦，潘丽

2014, 35(Z1): 16-86.

摘要 ( 217 )

可视化

分析了校园有线网和无线网大规模IPv4/IPv6演进环境下的基本地址管理需求，对IPv6地址管理技术进行了阐述，并对适用于这种大规模演进环境的地址管理服务关键运行技术进行了探索性讨论。最后通过实际部署案例，给出了地址管理服务在大规模IPv4/IPv6双栈演进环境中的具体应用，为基于IPv6的下一代校园有线网和无线网统一地址管理和演进积累了经验。

使用集中式802.1x构建校园网认证系统

柳斌，贺聿志，章勇

2014, 35(Z1): 17-90.

摘要 ( 215 )

可视化

802.1x认证通常采用分布式方式部署，随着校园网规模的不断扩大，分布式部署给设备管理和认证系统管理带来了许多不便；另一方面，传统802.1x集中部署无法对用户终端进行定位。结合（NAS IP，Port，Vlan）三元组定位，Super Vlan和Port+Vlan的地址管理3种技术解决了802.1x集中部署模式下用户终端定位的问题，并在华中科技大学校园网中进行了部署实验，取得了良好的效果。

校园网络接入层一体化的规划与实践

付中南，尚群，公绪晓

2014, 35(Z1): 18-97.

摘要 ( 245 )

可视化

校园网接入层存在无线网络建设滞后、有线与无线资源配置不平衡和校园内私有局域网支持能力不足等问题。为了解决这些问题，使接入层能够适应新形势下用户对网络的需求，提出了建设接入层一体化网络的概念并在此基础上对北京大学校园网进行了改造。改造结果表明接入层一体化可以满足用户对网络的需求，同时提升了网络质量。

基于流记录的非对称路由检测

兰浩良，丁伟，夏震

2014, 35(Z1): 19-102.

摘要 ( 290 )

可视化

针对同时使用多个ISP接入服务的校园网，网络边界路由的错误配置导致非对称路由现象发生，提出了一种基于流记录的非对称路由检测(FARD, flow-based asymmetry routing detection)方法。该方法利用TCP面向连接的传输特性结合IP地址的归属，基于边界路由器提供的流记录数据定位网络中可能存在非对称路由的IP地址。算法基于CERNET 2个主节点的接入路由器流记录进行了验证。

利用netfilter NFQUEUE实现网关认证的HTTP重定向

张焕杰，夏玉良

2014, 35(Z1): 20-106.

摘要 ( 442 )

可视化

利用netfilter的NFQUEUE机制，将未认证用户的TCP 80端口流量发送至用户态进程redir_http，redir_http使用原始套接字发送应答数据分组，在用户态实现HTTP重定向功能。这种实现方法既保证了重定向的高性能，又能避免Linux内核中的繁琐程序开发，降低程序开发复杂度，提高系统运行的稳定性。

基于IPv6源地址验证的一种可信身份系统

周端奇,毕军,姚广

2014, 35(Z1): 20-26. doi:10.3969/j.issn.1000-436x.2014.z1.005

摘要 ( 249 )

在线阅读 ( 12 )

PDF下载 (383KB) ( 171 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：当前互联网中，并不对分组发送者的身份进行验证，带来了大量的伪造身份的攻击。为了解决这一安全问题，提出了真实可信身份通信系统。基于源地址验证，通过将用户的身份映射为IPv6地址的后64位，实现了在分组中携带用户身份，从而确保了用户身份的隐私性、可验证性和真实性，并对其安全性能进行了实验。

扁平化高校基础网络架构探索与研究

林初建，张四海

2014, 35(Z1): 21-112.

摘要 ( 237 )

可视化

在系统分析校园网现状的基础上，通过在校园网核心部署BRAS设备和高密度交换机，实现了网络核心的扁平化；通过旁路部署计费系统，采用IPOE技术，结合本地转发的无线组网方式，辅助联动式日志采集系统，实现了统一认证；综合全局安全策略、基于应用的互联网流量优化策略以及缓存系统的部署，实现了校园网边界的优化。实践表明，对基础网络进行系统性的扁平化改造，在提高网络性能，满足网络管理内在要求的同时，还可以提升网络用户的使用体验。扁平化的网络基础架构，在高校校园网中是切实可行的。

多粒度传送网绿色单播路由保护机制

石峻岭，王兴伟，黄敏

2014, 35(Z1): 22-117.

摘要 ( 263 )

可视化

综合业务请求的服务质量（QoS, quality of service）要求、节能要求，以及遭遇单链路或单个节点失效时的生存性要求，提出了一种多粒度传送网中的绿色单播路由保护机制。基于K最短路径算法，计算符合QoS需求的路径；根据最小波长转换次数，在多层辅助图上进行资源分配；根据业务请求的保护等级，提供了三级保护机制。仿真实验基于EON（Europe optical network）拓扑，通过与现有机制在阻塞率、保护/工作资源比和负载均衡度方面的性能对比，表明提出的机制是可行且有效的。

智慧校园中自服务终端的研究与实践

邢承杰，袁玲，杨旭，来天平，张治坤

2014, 35(Z1): 23-123.

摘要 ( 229 )

可视化

针对智慧校园建设要求，提出了一种使用自服务终端为校园用户提供智能化服务的解决方案。阐述了智慧校园的特征及自服务理念，分析了自服务终端在校园中的应用领域。设计了包括终端机硬件、终端机软件、配套监控与管理软件、对外服务接口等整套体系结构，以此为蓝图开发了北京大学校园自助服务终端系统。实践表明，系统解决了北京大学成绩单证书打印盖章、校园电子支付以及校园信息查询与展示等方面的智能化服务与管理问题。

IPv6 Wi-Fi环境下终端行为测试研究

张洁，赵钦，杨天乐

2014, 35(Z1): 24-128.

摘要 ( 229 )

可视化

各运营商因缺乏必要数据，无法预估升级移动网络到IPv6后对用户体验造成的影响，因此未敢轻易推进。测试了当前各主流移动终端在IPv6 Wi-Fi网络环境下的行为特性，汇总数据后分析了影响用户体验的关键点，研究了移动互联网IPv6大规模推广的可行性。同时亦说明了整个平台的搭建步骤要点。测试研究结果表明，推广移动互联网IPv6的主要障碍是高占比操作系统和浏览器对IPv6支持不完善，影响网络互通导致用户体验下降。

CoolView中的日志管理子系统的设计和实现

徐凯硕，袁华

2014, 35(Z1): 25-133.

摘要 ( 261 )

可视化

为了实现在视频会议系统中对审计、追踪、报警等任务的规范化管理，采用AOP思想搭建日志子系统结构，结合Syslog和Log4j等技术设计日志模块，利用SSH框架实现了系统。上述子系统已经在CoolView视频会议系统中实现，为视频会议系统的运维奠定了基础。

面向绿色互联网的低功耗多播路由算法

张金宏，王兴伟，黄敏

2014, 35(Z1): 26-140.

摘要 ( 261 )

可视化

基于路径节点驱动策略，提出了一种绿色互联网中的一对多组播路由算法，充分利用路径节点共享路径，生成低功耗最短路径树，提高用户QoS满意度。基于CERNET2拓扑仿真实现了该算法，通过与现有的能量感知启发式路由算法在网络功耗、路由成功率和运行时间等方面的性能对比，表明本文提出的算法具有更好的性能。

非对称的IPv6地址翻译技术的实现与分析

张宇烜，闫屾，徐希炜

2014, 35(Z1): 27-145.

摘要 ( 252 )

可视化

非对称的IPv6地址翻译方法可以对任意长度前缀的IPv6地址进行透明地翻译。通过使用Netfilter框架实现非对称IPv6地址翻译技术，对该翻译方法做了定性和定量的分析。在局域网，通过对比不同环境中地址翻译的效率和局域网中可容纳的主机数量规模，给出了在实际环境中运用此技术的相关建议。

基于带权值无向图的视频隐写分析

达婷,李芝棠

2014, 35(Z1): 27-30. doi:10.3969/j.issn.1000-436x.2014.z1.006

摘要 ( 190 )

在线阅读 ( 0 )

PDF下载 (213KB) ( 157 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：针对视频帧的时域特性，提出一种以帧间相关性构建带权值无向图的视频隐写分析方法。首先，分别计算待检测视频每帧亮度的灰度共生矩阵，把得出的8维特征作为该帧的特征向量。再以视频帧为节点，用帧间特征向量的欧氏距离作为节点间的权值，构造出表示帧间相关性的带权值无向图。根据嵌入信息后帧间相关性发生改变的特性来判断视频中是否有秘密信息嵌入。实验结果表明，用带权值无向图的方法可以快速准确地区分载密视频和原始视频，并且有较高的正确率。

基于用户过滤的校园无线网用户聚类方法

仇一泓，尧婷娟，秦丰林，葛连升

2014, 35(Z1): 28-149.

摘要 ( 210 )

可视化

随着智能终端地普及，在校园无线网用户聚类研究中采用MAC地址作为用户区分已不能真实反映用户的行为，为此，提出了一个基于用户过滤的校园无线网用户聚类方法，该方法基于用户活跃度对用户行为数据进行过滤，在此基础上对校园无线网用户行为做进一步地聚类分析。实验结果表明了该方法的有效性。

基于用户行为数据的3G网络覆盖空洞检测

龙腾，汪文勇，谢涛，王蒙

2014, 35(Z1): 29-155.

摘要 ( 269 )

可视化

针对传统覆盖空洞检测方法投入大量人力物力，效率低的问题。利用运营商信令系统海量的用户行为数据进行3G网络覆盖空洞建模，提出一种基于用户行为的EDBSCAN-最小圆覆盖模型进行覆盖空洞检测。测试结果表明，该模型既能检测到覆盖空洞，又能准确确定覆盖空洞位置。

Jersey的研究和在Web服务中的应用

陈一鸣，陈立南

2014, 35(Z1): 30-159.

摘要 ( 192 )

可视化

为了解决当前Web组件出现的可伸缩性差、接口通用性弱、交互延迟时间长的问题，提出了轻量级的REST架构，Jersey是REST架构中JAX-RS接口标准的实现，通过研究它的连通性、可寻址性、无状态性以及稳定性和易用性等特点，设计一套统一、高效、快速、方便访问服务器的Client API，实现为不同的智能移动终端提供统一的Web应用服务。

网络视频监控中运动目标跟踪方法改进

韩光星，李崇荣

2014, 35(Z1): 31-164.

摘要 ( 254 )

可视化

针对传统的基于Kalman滤波的MeanShift跟踪算法目标运动速度突然改变时跟踪丢失的问题，在Kalman滤波器中引入加速度项使跟踪保持稳定；为了提高Camshift跟踪算法的实时性，使用简化的Camshift算法自适应调整跟踪窗口尺寸。实验结果表明2种改进分别提高了速度突变时跟踪准确性和目标跟踪的实时性，适合网络视频监控场景。

基于NTP反射放大攻击的DDoS追踪研究

姜开达,章思宇,孙强

2014, 35(Z1): 31-35. doi:10.3969/j.issn.1000-436x.2014.z1.007

摘要 ( 298 )

在线阅读 ( 17 )

PDF下载 (254KB) ( 401 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：提出了一种利用NTP反射型放大攻击的特点，通过对中国大陆开放公共NTP服务的主机定期发起主动探测（执行monlist指令），利用返回信息对全球范围NTP反射类DRDoS攻击事件进行长期追踪观察和统计分析。追踪从2014年2月开始，初始探测范围为大陆近1.4万台NTP服务主机，每隔2 h一个周期持续进行了164天，观测到了针对数十万个IP地址的疑似DDoS攻击行为。

高校学生全信息查询通用信息模型的研究与实现

来天平，王素美，彭一明，沈苗，高志同

2014, 35(Z1): 32-169.

摘要 ( 216 )

可视化

高校学生综合数据查询中，建立信息查询通用的信息模型至关重要。提出了通用的全信息查询信息模型。基于对现实需求的分析，提出基础结构数据和卡片结构数据2种概念，并基于此归纳出模型的数据项、数据视图、用户角色、管理级别和源权限5种基本元素与角色层、数据层、过滤层3层结构。针对模型实现中的数据视图建立、数据源整合方式、数据项呈现等6项问题进行重点阐述。实践表明，模型具有高度适配性和实用性，可以基本解决高校综合查询中如数据项权限、人员角色分类、行政级别权限、多种数据源等问题。

高校网络沉迷与防沉迷系统的研究与实现

林海卓，王继龙，张颐哲，朱晶

2014, 35(Z1): 33-177.

摘要 ( 231 )

可视化

基于教育网流量分析，提出游戏服务商IP地址发现机制，包括Boilerpipe正文抽取算法以及Stanford Chinese NLP中文分词算法，通过流量分析技术发现与分析大学生网络沉迷现象的一般方法和计算框架。统计了学生在网络游戏、视频观看、社交网站访问这3个常见的网络沉迷行为，包括总时长、连续沉迷时间、频率、沉迷时间段选择等关键指标。提出网络沉迷指数的概念并通过层次分析法对沉迷现象进行定量化研究。进一步基于网络沉迷指数模型设计和实现了网络防沉迷系统。

数字校园中管理信息系统安全体系结构设计与应用研究

龙新征，邢承杰，欧阳荣彬，王倩宜，李丽，刘云峰

2014, 35(Z1): 34-184.

摘要 ( 246 )

可视化

针对高校管理信息系统面临的安全威胁和挑战，提出了1C4GS安全体系结构，阐述了1C4GS的5个重要组成部分：安全管理中心、安全通信网络、安全区域边界、安全计算环境及安全应用系统的内涵和作用。以数字校园典型案例——“个人基本事项申报系统”为例，构建了基于1C4GS的高校管理信息系统安全应用方案，对包括透明数据加密，用户身份鉴别，表单编辑缓存在内的多种安全技术和策略进行了有机整合，实现了管理信息系统的网络安全、边界安全、计算环境安全和应用系统安全。

基于振幅值修改的wav音频隐写算法

邹明光,李芝棠

2014, 35(Z1): 36-40. doi:10.3969/j.issn.1000-436x.2014.z1.001

摘要 ( 370 )

在线阅读 ( 14 )

PDF下载 (250KB) ( 1302 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：在对不同有效域的算法进行总结和分析的基础上，提出了一种基于振幅值修改的wav音频隐写算法。算法将秘密音频通过随机数生成器置乱，通过比较原始音频每个采样点分组中振幅值之间的关系，结合待嵌入的秘密信息位进行嵌入修改，嵌入强度依据密钥进行调节。实验结果表明，该算法具有较大的嵌入容量，不可感知性良好，具有一定的抗隐写分析能力，并可实现盲提取。

基于层次聚类的网络流识别算法研究

丁伟,徐杰,卓文辉

2014, 35(Z1): 41-45. doi:10.3969/j.issn.1000-436x.2014.z1.009

摘要 ( 274 )

在线阅读 ( 0 )

PDF下载 (262KB) ( 320 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：利用核函数定理提出了一种改进的网络流识别算法。首先运用对称不确定性的概念选择出最相关的流测度，然后利用核函数定理对选择的网络流测度进行高维映射，以测度的高维空间距离作为度量各个类差别的标准，提高了聚类结果的准确性。采用光滑因子、轮廓系数和不确定熵来控制聚类过程。实验表明，该算法的聚类结果更均匀，没有出现某个类占过大比重的情况且根据高维空间的类距离能够检测出网络流里的大部分流量。

面向应急响应的高速网络流量采集设计与实现

马亚洲,龚俭,杨望

2014, 35(Z1): 46-51. doi:10.3969/j.issn.1000-436x.2014.z1.010

摘要 ( 235 )

在线阅读 ( 4 )

PDF下载 (317KB) ( 402 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：网络安全应急响应在网络分析和追踪时需要应急采集，即捕获特定IP、端口、协议的原始分组。基于高速网络分组捕获工具PF_RING DNA，利用多核多线程并发采集与规则匹配的网络分组，并分配共享缓冲区提高分组的磁盘存储性能，同时通过对采集规则设置不同的状态，实现动态添加采集规则和人为干预采集过程。实验结果表明，在双万兆网卡的环境下，应急采集系统可以捕获并处理19.98 bit/s(3.5 Mpacket/s)的网络流量，最大应急采集速率为1 297 Mbit/s（204.9 kpacket/s）。

恶意代码自动分析系统的研究

赵毅,龚俭,杨望

2014, 35(Z1): 52-57. doi:10.3969/j.issn.1000-436x.2014.z1.011

摘要 ( 267 )

在线阅读 ( 2 )

PDF下载 (415KB) ( 1326 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：恶意代码的网络行为分析是网络安全领域的一个重要研究视角。针对现有系统普遍存在的网络行为分析不全面、不深入的问题，归纳了恶意代码的功能模块，提出了较为全面的网络行为分析内容。通过对比已有系统的网络行为分析功能，选取合适的系统CUCKOO 作为基础平台。通过实例对其网络行为分析功能进行详细分析，并提出了优化、扩展方案。

基于统计的高效决策树分组分类算法

陈立南,刘阳,马严,黄小红,赵庆聪,魏伟

2014, 35(Z1): 58-64. doi:10.3969/j.issn.1000-436x.2014.z1.012

摘要 ( 290 )

在线阅读 ( 8 )

PDF下载 (854KB) ( 621 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：基于决策树的分组分类算法因易于实现和高效性，在快速分组分类中广泛使用。决策树算法的基本目标是构造一棵存储高效且查找时间复杂度低的决策树。设计了一种基于规则集统计特性和评价指标的决策树算法——HyperEC 算法。HyperEC算法避免了在构建决策树过程中决策树高度过高和存储空间膨胀的问题。HyperEC算法对IP地址长度不敏感，同样适用于IPv6的多维分组分类。实验证明，HyperEC算法当规则数量较少时，与HyperCuts基本相同，但随着规则数量的增加，该算法在决策树高度、存储空间占用和查找性能方面都明显优于经典的决策树算法。

基于PSO算法的医疗大数据任务调度策略

胡超,彭军,于文涛

2014, 35(Z1): 65-71. doi:10.3969/j.issn.1000-436x.2014.z1.013

摘要 ( 308 )

在线阅读 ( 6 )

PDF下载 (517KB) ( 562 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：在医疗信息共享平台下，选取一种合适的任务调度策略完成医疗数据查询任务在各医院内的调度分配，是医疗大数据处理所需解决的重要问题。为了保证任务调度时间最短和成本最低，提出一种改进的粒子群算法。该算法构造了时间最优和成本最优双适应度函数，自适应地调整粒子速度更新的惯性权重，加快搜寻最优粒子的速度，并求解出最合理的数据查询任务调度方案，最大限度地提高医疗信息共享平台中医疗数据查询的效率。实验结果验证了所提出算法的有效性。

基于CloudStack和OpenStack的KVM虚拟机跨平台迁移方法

郑楠,陈立南,郑礼雄,马严

2014, 35(Z1): 72-75. doi:10.3969/j.issn.1000-436x.2014.z1.014

摘要 ( 469 )

在线阅读 ( 20 )

PDF下载 (451KB) ( 572 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：在CloudStack平台与OpenStack平台共存的环境中，为了使CloudStack平台中已创建的KVM虚拟机在迁移到OpenStack平台后可以被OpenStack平台的控制节点正确识别并接管，提出了一种将CloudStack平台中已经存在的虚拟机动态迁移到 OpenStack 平台的方法。通过将传统基于本地存储的 KVM 虚拟机迁移方法与CloudStack以及OpenStack云计算平台自身特点相结合，重新对虚拟机迁移相关文件进行组合，实现了虚拟机跨平台的动态迁移。实验结果表明，本方法不但可以完成将KVM虚拟机成功从CloudStack平台迁移到OpenStack平台的任务，而且在时间上与传统方法相比并未产生其他时间成本。

自治系统内IP子网和SDN子网的互联机制

史衍伟,曹争

2014, 35(Z1): 76-81. doi:10.3969/j.issn.1000-436x.2014.z1.015

摘要 ( 288 )

在线阅读 ( 0 )

PDF下载 (662KB) ( 383 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：SDN网络与传统IP网络的互联机制是当前学术界的研究热点，但现有解决方案并不能适用于所有应用场景。为此提出了一个基于OSPF协议的IMISA架构，在一个包含 SDN 子网（基于OpenFlow）和IP子网的自治系统范围内，通过给SDN控制器添加一个OSPF路由模块，利用OSPF协议交换各自的网络信息，最终实现了2种网络的互联。

大规模IPv4/IPv6演进环境下的地址管理关键技术与应用

李子木,傅怡琦,潘丽

2014, 35(Z1): 82-86. doi:10.3969/j.issn.1000-436x.2014.z1.016

摘要 ( 236 )

在线阅读 ( 4 )

PDF下载 (650KB) ( 1013 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：分析了校园有线网和无线网大规模IPv4/IPv6演进环境下的基本地址管理需求，对IPv6地址管理技术进行了阐述，并对适用于这种大规模演进环境的地址管理服务关键运行技术进行了探索性讨论。最后通过实际部署案例，给出了地址管理服务在大规模IPv4/IPv6双栈演进环境中的具体应用，为基于IPv6的下一代校园有线网和无线网统一地址管理和演进积累了经验。

使用集中式802.1x构建校园网认证系统

柳斌,贺聿志,章勇

2014, 35(Z1): 87-90. doi:10.3969/j.issn.1000-436x.2014.z1.017

摘要 ( 268 )

在线阅读 ( 1 )

PDF下载 (1727KB) ( 154 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：802.1x认证通常采用分布式方式部署，随着校园网规模的不断扩大，分布式部署给设备管理和认证系统管理带来了许多不便；另一方面，传统802.1x集中部署无法对用户终端进行定位。结合（NAS IP，Port，Vlan）三元组定位，Super Vlan和Port+Vlan的地址管理3种技术解决了802.1x集中部署模式下用户终端定位的问题，并在华中科技大学校园网中进行了部署实验，取得了良好的效果。

校园网络接入层一体化的规划与实践

付中南,尚群,公绪晓

2014, 35(Z1): 91-97. doi:10.3969/j.issn.1000-436x.2014.z1.018

摘要 ( 199 )

在线阅读 ( 8 )

PDF下载 (534KB) ( 160 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：校园网接入层存在无线网络建设滞后、有线与无线资源配置不平衡和校园内私有局域网支持能力不足等问题。为了解决这些问题，使接入层能够适应新形势下用户对网络的需求，提出了建设接入层一体化网络的概念并在此基础上对北京大学校园网进行了改造。改造结果表明接入层一体化可以满足用户对网络的需求，同时提升了网络质量。

基于流记录的非对称路由检测

兰浩良,丁伟,夏震

2014, 35(Z1): 98-102. doi:10.3969/j.issn.1000-436x.2014.z1.019

摘要 ( 301 )

在线阅读 ( 3 )

PDF下载 (336KB) ( 343 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：针对同时使用多个ISP接入服务的校园网，网络边界路由的错误配置导致非对称路由现象发生，提出了一种基于流记录的非对称路由检测(FARD,flow-based asymmetry routing detection)方法。该方法利用TCP面向连接的传输特性结合IP地址的归属，基于边界路由器提供的流记录数据定位网络中可能存在非对称路由的IP地址。算法基于CERNET 2个主节点的接入路由器流记录进行了验证。

利用netfilter NFQUEUE实现网关认证的HTTP重定向

张焕杰,夏玉良

2014, 35(Z1): 103-106. doi:10.3969/j.issn.1000-436x.2014.z1.020

摘要 ( 327 )

在线阅读 ( 6 )

PDF下载 (651KB) ( 746 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：利用netfilter的NFQUEUE机制，将未认证用户的TCP 80端口流量发送至用户态进程redir_http，redir_http使用原始套接字发送应答数据分组，在用户态实现HTTP重定向功能。这种实现方法既保证了重定向的高性能，又能避免Linux内核中的繁琐程序开发，降低程序开发复杂度，提高系统运行的稳定性。

扁平化高校基础网络架构探索与研究

林初建,张四海

2014, 35(Z1): 107-112. doi:10.3969/j.issn.1000-436x.2014.z1.021

摘要 ( 269 )

在线阅读 ( 6 )

PDF下载 (775KB) ( 306 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：在系统分析校园网现状的基础上，通过在校园网核心部署BRAS设备和高密度交换机，实现了网络核心的扁平化；通过旁路部署计费系统，采用IPOE技术，结合本地转发的无线组网方式，辅助联动式日志采集系统，实现了统一认证；综合全局安全策略、基于应用的互联网流量优化策略以及缓存系统的部署，实现了校园网边界的优化。实践表明，对基础网络进行系统性的扁平化改造，在提高网络性能，满足网络管理内在要求的同时，还可以提升网络用户的使用体验。扁平化的网络基础架构，在高校校园网中是切实可行的。

多粒度传送网绿色单播路由保护机制

石峻岭,王兴伟,黄敏

2014, 35(Z1): 113-117. doi:10.3969/j.issn.1000-436x.2014.z1.022

摘要 ( 170 )

在线阅读 ( 0 )

PDF下载 (1212KB) ( 158 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：综合业务请求的服务质量（QoS,quality of service）要求、节能要求，以及遭遇单链路或单个节点失效时的生存性要求，提出了一种多粒度传送网中的绿色单播路由保护机制。基于K 最短路径算法，计算符合 QoS 需求的路径；根据最小波长转换次数，在多层辅助图上进行资源分配；根据业务请求的保护等级，提供了三级保护机制。仿真实验基于EON（Europe optical network）拓扑，通过与现有机制在阻塞率、保护/工作资源比和负载均衡度方面的性能对比，表明提出的机制是可行且有效的。

智慧校园中自服务终端的研究与实践

邢承杰,袁玲,杨旭,来天平,张治坤

2014, 35(Z1): 118-123. doi:10.3969/j.issn.1000-436x.2014.z1.023

摘要 ( 180 )

在线阅读 ( 0 )

PDF下载 (764KB) ( 590 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：针对智慧校园建设要求，提出了一种使用自服务终端为校园用户提供智能化服务的解决方案。阐述了智慧校园的特征及自服务理念，分析了自服务终端在校园中的应用领域。设计了包括终端机硬件、终端机软件、配套监控与管理软件、对外服务接口等整套体系结构，以此为蓝图开发了北京大学校园自助服务终端系统。实践表明，系统解决了北京大学成绩单证书打印盖章、校园电子支付以及校园信息查询与展示等方面的智能化服务与管理问题。

IPv6 Wi-Fi环境下终端行为测试研究

张洁,赵钦,杨天乐

2014, 35(Z1): 124-128. doi:10.3969/j.issn.1000-436x.2014.z1.024

摘要 ( 253 )

在线阅读 ( 3 )

PDF下载 (582KB) ( 407 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：各运营商因缺乏必要数据，无法预估升级移动网络到 IPv6 后对用户体验造成的影响，因此未敢轻易推进。测试了当前各主流移动终端在IPv6 Wi-Fi网络环境下的行为特性，汇总数据后分析了影响用户体验的关键点，研究了移动互联网 IPv6 大规模推广的可行性。同时亦说明了整个平台的搭建步骤要点。测试研究结果表明，推广移动互联网IPv6的主要障碍是高占比操作系统和浏览器对IPv6支持不完善，影响网络互通导致用户体验下降。

CoolView中的日志管理子系统的设计和实现

徐凯硕,袁华

2014, 35(Z1): 129-133. doi:10.3969/j.issn.1000-436x.2014.z1.025

摘要 ( 255 )

在线阅读 ( 1 )

PDF下载 (345KB) ( 159 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：为了实现在视频会议系统中对审计、追踪、报警等任务的规范化管理，采用AOP思想搭建日志子系统结构，结合Syslog和Log4j等技术设计日志模块，利用SSH框架实现了系统。上述子系统已经在CoolView视频会议系统中实现，为视频会议系统的运维奠定了基础。

面向绿色互联网的低功耗多播路由算法

张金宏,王兴伟,黄敏

2014, 35(Z1): 134-140. doi:10.3969/j.issn.1000-436x.2014.z1.026

摘要 ( 204 )

在线阅读 ( 0 )

PDF下载 (720KB) ( 330 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：基于路径节点驱动策略，提出了一种绿色互联网中的一对多组播路由算法，充分利用路径节点共享路径，生成低功耗最短路径树，提高用户QoS满意度。基于CERNET2拓扑仿真实现了该算法，通过与现有的能量感知启发式路由算法在网络功耗、路由成功率和运行时间等方面的性能对比，表明本文提出的算法具有更好的性能。

非对称的IPv6地址翻译技术的实现与分析

张宇烜,闫屾,徐希炜

2014, 35(Z1): 141-145. doi:10.3969/j.issn.1000-436x.2014.z1.027

摘要 ( 249 )

在线阅读 ( 1 )

PDF下载 (954KB) ( 180 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：非对称的IPv6地址翻译方法可以对任意长度前缀的IPv6地址进行透明地翻译。通过使用Netfilter框架实现非对称 IPv6 地址翻译技术，对该翻译方法做了定性和定量的分析。在局域网，通过对比不同环境中地址翻译的效率和局域网中可容纳的主机数量规模，给出了在实际环境中运用此技术的相关建议。

基于用户过滤的校园无线网用户聚类方法

仇一泓,尧婷娟,秦丰林,葛连升

2014, 35(Z1): 146-149. doi:10.3969/j.issn.1000-436x.2014.z1.028

摘要 ( 229 )

在线阅读 ( 0 )

PDF下载 (503KB) ( 157 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：随着智能终端地普及，在校园无线网用户聚类研究中采用MAC地址作为用户区分已不能真实反映用户的行为，为此，提出了一个基于用户过滤的校园无线网用户聚类方法，该方法基于用户活跃度对用户行为数据进行过滤，在此基础上对校园无线网用户行为做进一步地聚类分析。实验结果表明了该方法的有效性。

Jersey的研究和在Web服务中的应用

陈一鸣,陈立南

2014, 35(Z1): 150-159. doi:10.3969/j.issn.1000-436x.2014.z1.030

摘要 ( 263 )

在线阅读 ( 4 )

PDF下载 (192KB) ( 377 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：为了解决当前 Web 组件出现的可伸缩性差、接口通用性弱、交互延迟时间长的问题，提出了轻量级的REST架构，Jersey是REST架构中JAX-RS接口标准的实现，通过研究它的连通性、可寻址性、无状态性以及稳定性和易用性等特点，设计一套统一、高效、快速、方便访问服务器的Client API，实现为不同的智能移动终端提供统一的Web应用服务。

网络视频监控中运动目标跟踪方法改进

韩光星,李崇荣

2014, 35(Z1): 160-164. doi:10.3969/j.issn.1000-436x.2014.z1.031

摘要 ( 253 )

在线阅读 ( 1 )

PDF下载 (1716KB) ( 182 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：针对传统的基于Kalman滤波的MeanShift跟踪算法目标运动速度突然改变时跟踪丢失的问题，在Kalman滤波器中引入加速度项使跟踪保持稳定；为了提高Camshift跟踪算法的实时性，使用简化的Camshift算法自适应调整跟踪窗口尺寸。实验结果表明2种改进分别提高了速度突变时跟踪准确性和目标跟踪的实时性，适合网络视频监控场景。

高校学生全信息查询通用信息模型的研究与实现

来天平,王素美,彭一明,沈苗,高志同

2014, 35(Z1): 165-169. doi:10.3969/j.issn.1000-436x.2014.z1.032

摘要 ( 227 )

在线阅读 ( 0 )

PDF下载 (416KB) ( 135 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：高校学生综合数据查询中，建立信息查询通用的信息模型至关重要。提出了通用的全信息查询信息模型。基于对现实需求的分析，提出基础结构数据和卡片结构数据2种概念，并基于此归纳出模型的数据项、数据视图、用户角色、管理级别和源权限5种基本元素与角色层、数据层、过滤层3层结构。针对模型实现中的数据视图建立、数据源整合方式、数据项呈现等6项问题进行重点阐述。实践表明，模型具有高度适配性和实用性，可以基本解决高校综合查询中如数据项权限、人员角色分类、行政级别权限、多种数据源等问题。

高校网络沉迷与防沉迷系统的研究与实现

林海卓,王继龙,张颐哲,朱晶

2014, 35(Z1): 170-177. doi:10.3969/j.issn.1000-436x.2014.z1.033

摘要 ( 375 )

在线阅读 ( 15 )

PDF下载 (633KB) ( 607 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：基于教育网流量分析，提出游戏服务商 IP 地址发现机制，包括 Boilerpipe 正文抽取算法以及 Stanford Chinese NLP中文分词算法，通过流量分析技术发现与分析大学生网络沉迷现象的一般方法和计算框架。统计了学生在网络游戏、视频观看、社交网站访问这3个常见的网络沉迷行为，包括总时长、连续沉迷时间、频率、沉迷时间段选择等关键指标。提出网络沉迷指数的概念并通过层次分析法对沉迷现象进行定量化研究。进一步基于网络沉迷指数模型设计和实现了网络防沉迷系统。

数字校园中管理信息系统安全体系结构设计与应用研究

龙新征,邢承杰,欧阳荣彬,王倩宜,李丽,刘云峰

2014, 35(Z1): 178-184. doi:10.3969/j.issn.1000-436x.2014.z1.034

摘要 ( 224 )

在线阅读 ( 0 )

PDF下载 (509KB) ( 68 )

可视化

数据和表 | 参考文献 | 相关文章

摘要：针对高校管理信息系统面临的安全威胁和挑战，提出了1C4GS安全体系结构，阐述了1C4GS的5个重要组成部分：安全管理中心、安全通信网络、安全区域边界、安全计算环境及安全应用系统的内涵和作用。以数字校园典型案例——“个人基本事项申报系统”为例，构建了基于 1C4GS 的高校管理信息系统安全应用方案，对包括透明数据加密，用户身份鉴别，表单编辑缓存在内的多种安全技术和策略进行了有机整合，实现了管理信息系统的网络安全、边界安全、计算环境安全和应用系统安全。

当期目录