本文针对I2P匿名网络可能被恶意攻击者用于从企业网络窃取敏感数据的问题，提出了一种两阶段机器学习检测方法。I2P通过大蒜路由和分布式网络架构提供强匿名性，但同样可能被用于隐蔽的数据外泄。现有网络安全措施难以检测I2P流量，且已有研究仅聚焦于协议级流量识别，未涉及行为威胁评估。作者基于SafeSurf Darknet 2025数据集（包含184,548条网络流），在第一阶段使用随机森林（Random Forest）分类器区分I2P流量与正常流量，实现了99.96%的准确率，在32,318条正常流中仅产生2个假阳性。第二阶段对识别为I2P的流量进行行为分析，使用XGBoost分类器将其分类为外泄或合法活动，准确率达91.11%。实验表明，基于树的集成方法显著优于深度神经网络和支持向量机。特征重要性分析显示，最具区分力的特征是数据包时序和流持续时间。该研究证明了在运营网络环境中准确检测I2P流量并进行威胁优先级排序的可行性，使安全团队能够聚焦高风险事件而非监控所有加密流量。

该论文提出了一种基于潜在几何的结构监测方法，用于匿名网络中的异常检测。传统异常检测依赖于预定义阈值的信号突变，但无法捕捉突变前的结构性压力。作者将大规模行为群体视为几何能量景观，通过测量其变形来检测异常，核心理念是结构先于几何：群体的结构组织是信号，而几何度量是测量工具。方法应用于Tor匿名网络，跨越67个连续日观测窗口。首先，通过双观察者管道（dual-observer pipeline）识别出一个稳定的九维承载子空间，该子空间在整个观测期内保持不变，并通过蒙特卡洛模拟在16.8倍标准差（16.8 sigma）置信水平上验证了其稳定性。主要检测门在24个已确认的稳定窗口上实现了0.0%的假阳性率。其次，对2026年2月20日一次确认的基础设施事件进行取证分析，正式驳斥了中继离开假说，识别出无拓扑变化的连接退化作为可检测的网络故障模式。该工作贡献了一个候选的结构监测框架，适用于具有足够遥测数据的行为群体，为匿名网络运维和安全监控提供了新视角。

本文提出了V-Range，这是首个完全兼容5G标准的安全测距系统。研究背景在于，5G网络为资产跟踪、智能生态系统、自动驾驶等安全关键应用提供了位置信息，但现有3GPP和研究提案均未解决5G安全位置估计的挑战，且已有多种针对定位和测距系统的攻击（如距离篡改攻击）。V-Range的设计目标是在5G新空口（5G-NR）收发器上直接实现安全测距，抵御距离放大和缩小攻击。该方法通过引入物理层和协议层的安全机制，确保测距结果的高精度和低延迟。实验验证在sub-6GHz和毫米波频段上均有效，结果表明攻击者无法在不被高概率检测的情况下将距离误差控制在系统不精确度之外。论文的贡献在于填补了5G安全测距的空白，并提供了可实际部署的方案。

论文提出了一种名为 DRIFT（Drift-Resilient Invariant-Feature Transformer）的框架，用于解决基于深度学习的域名生成算法（DGA）检测器在面对时间漂移时性能严重下降的问题。作者通过一项为期9年（2017-2025）的纵向研究发现，最先进的基于字符和基于单词的DGA分类器在新变种出现时迅速失效。DRIFT 采用混合分词策略（字符级编码捕获随机形态模式，子词级编码处理基于单词的DGA）和多任务自监督预训练来学习不变表示。三个预训练任务使模型在监督微调前学习鲁棒的结构和上下文特征。综合评估表明，该方法显著减轻了时间退化，在前向链实验中持续优于当前最先进的基线。该工作为不断演变的威胁环境中的长期DGA防御提供了可靠基础。代码已开源。

本文提出Chimera，一个针对P4可编程网络基础设施的模糊测试工具，旨在检测跨控制平面和数据平面的多平面漏洞。传统P4安全研究主要关注数据平面，忽略了与控制平面的交互。作者通过分析开源P4实现中的历史漏洞报告，发现许多漏洞源于两个平面之间的相互影响。Chimera采用混合执行（concolic execution）来捕获控制-数据平面的交互，并提出了两种新的输入变异策略：解析器感知数据包变异（PAPM）和头部引导规则生成（HGRG），以利用跨平面和P4程序的依赖关系。在ONOS、Stratum和BMv2三个平台上的评估中，Chimera发现了7个新bug，包括3个安全关键漏洞，其中2个由多平面输入触发，2个为跨平面漏洞。与现有单平面模糊测试器相比，Chimera实现了更高的覆盖率和3.5倍的漏洞检测率。该研究适合网络协议安全研究人员、P4开发者和模糊测试工具开发者阅读。

该论文提出了一种基于图的网络入侵检测系统（GNIDS）与联邦学习（FL）相结合的方法 Entente，旨在解决传统 GNIDS 在分布式数据收集场景下因隐私法规和运营限制而难以实现集中式数据的问题。现有 GNIDS 主要假设数据集中存储，但现实中不同组织的数据可能因隐私保护无法共享。作者利用联邦学习使得多个客户端（如不同组织的网络）在不共享原始数据的情况下协同训练检测模型。然而，直接将 FL 应用于 GNIDS 面临挑战：不同客户端之间的图数据存在异构性（例如网络拓扑结构差异），且不同 GNIDS 的设计选择不同。为此，Entente 引入了一套针对图数据集的新技术：参考图合成（Reference Graph Synthesis）用于生成统一的参考图以缓解异构性；图草图（Graph Sketching）用于高效地压缩图数据并保留关键结构信息；自适应贡献缩放（Adaptive Contribution Scaling）用于平衡各客户端对全局模型的贡献，防止某些客户端主导训练。实验使用三个大规模数据集（LANL、OpTC 和 Pivoting）进行评估，结果显示 Entente 在检测准确率和鲁棒性上优于现有的 FL 基线方法。此外，论文还针对 GNIDS 场景设计了特定的联邦学习投毒攻击，并证明 Entente 能够将攻击成功率限制在较低水平，展现了其鲁棒性。总体而言，该研究为构建跨组织边界的分布式 GNIDS 提供了有前景的方向。

该论文研究在公共互联网上观察到私有或保留IP地址（如RFC 1918地址）的现象。作者通过大规模网络扫描和被动监测，发现大量私有IP地址在公网中可见并被路由，这可能是由于设备配置错误、NAT穿透技术或恶意活动导致。论文提出了一个分类框架，将观察到的私有IP地址分为不同类别（如由于配置错误、隧道协议或BGP劫持）。通过分析多个数据源（包括Darknet、BGP路由表、DNS数据等），他们量化了该现象的普遍性和影响，并讨论了潜在的安全风险，例如内部网络暴露、绕过防火墙、IP欺骗攻击等。主要贡献包括：首次系统性地测量公网私有IP的可见性；揭示了数千个被路由的私有IP前缀；提供了对网络运营商和安全社区的建议以缓解此类问题。该研究适合网络运维、安全监测和研究人员阅读。

BGP路由泄露（Route Leak）是互联网路由中常见且严重的安全问题，通常源于AS（自治系统）之间的错误路由通告，可能导致流量劫持、数据泄露或网络中断。现有检测方法多依赖固定规则或启发式策略，难以应对复杂多变的网络拓扑与业务关系。本文提出PathProb，一种基于概率推理的BGP路由泄露检测方法。核心创新在于：首先，从全球BGP路由数据集中提取AS路径，并利用这些路径推断每条AS链接上的概率性商业关系（如客户-提供商、对等互联等），而非传统二元分类。其次，基于这些概率关系为每条路径计算一个合法性分数（Legitimacy Score），分数越低表明路径越可能涉及路由泄露。该框架具有灵活性，可适应不同AS关系模型和检测阈值。实验利用真实BGP数据验证，结果表明PathProb在漏报率和误报率上均优于现有方法。论文提供了完整的工具链和脚本，可复现关键结果。本文适合网络运维、BGP安全研究人员及ISP安全工程师阅读。

该论文提出了一种名为OSAVRoute的新型非协作测量方法，用于检测网络中的出站源地址验证（Outbound Source Address Validation, OSAV）部署情况。OSAV是一种重要的网络安全机制，旨在防止源地址伪造攻击，但其实际部署比例一直缺乏有效的测量手段。现有方法多依赖协作式测量或仅针对入站方向，难以全面评估OSAV部署。OSAVRoute通过向目标网络发送精心构造的探测包，并分析返回流量特征，无需网络运营方协作即可推断OSAV策略。论文详细设计了探测方案和推断算法，并在全球多个网络中进行实验验证。结果表明，OSAVRoute能够准确识别OSAV部署状态，成功发现部分网络存在部署但未启用的情况。该工作为互联网源地址验证的测绘提供了新工具，有助于推动反伪造技术的普及。

该论文提出了一种名为 NetRadar 的新型检测系统，专门针对地毯式轰炸 DDoS 攻击（Carpet Bombing DDoS）。地毯式轰炸 DDoS 是一种分布式拒绝服务攻击，攻击者通过大量 IP 地址和端口同时向目标发送低流量请求，使得传统基于流量阈值的检测方法难以有效识别。现有检测方法通常依赖于单个网络节点的观测，但地毯式轰炸攻击的流量分散且隐蔽，容易绕过防御。NetRadar 的核心思想是利用多节点网络感知和时域-空域关联分析，通过在网络中的多个监测点收集流量数据，并基于时序和空间相关性来聚合异常信号。该方法能够从海量背景流量中提取出分散的攻击流量片段，从而准确识别攻击。实验基于真实网络流量和模拟攻击场景，结果表明 NetRadar 在低误报率下实现了高检测率，尤其能够应对攻击者将流量均匀分散到大量源 IP 和源端口的策略。该工作为应对日益复杂的大规模 DDoS 攻击提供了新的思路，对 ISP 和大型企业网络的防御具有实际参考价值。

本文研究了网络时间协议（NTP）池对垄断攻击的鲁棒性。NTP池是一个由志愿者提供的时间服务器集群，供全球设备同步时间。垄断攻击指某些恶意节点通过控制大量池成员来操纵时间响应，可能导致时间同步偏差，进而影响依赖精确时间的应用（如TLS证书验证、日志审计等）。作者通过大规模测量分析，评估了当前NTP池的拓扑结构、成员分布及治理机制，发现其在面临协同垄断攻击时存在脆弱性。具体而言，攻击者无需获取绝对多数节点，只需控制关键路径或地理区域内的足够节点即可造成影响。研究还提出了一些缓解措施，包括改进成员验证机制、增强监控和异常检测。该工作为NTP池的安全性提供了定量理解，对运维人员和协议设计师具有参考价值。

本文提出NetCap，一种基于数据平面能力的防御机制，旨在应对网络接入中的令牌盗窃攻击。令牌盗窃攻击通常利用网络协议或认证机制的缺陷，窃取用户的访问令牌，从而绕过身份验证并获取未授权访问。现有防御方法多集中于应用层或控制平面，存在效率低、部署复杂等问题。NetCap创新性地在数据平面实现防御，利用可编程交换机的能力，通过维护令牌状态和实时验证，在数据包转发路径上直接检测和阻止令牌滥用。具体而言，NetCap在交换机中部署轻量级状态表，记录每个令牌的合法来源IP、时间戳等属性，并对每个数据包进行令牌有效性检查。如果匹配失败或超出允许范围，则立即丢弃数据包并触发告警。实验基于P4可编程交换机原型实现，在真实网络流量和攻击模拟下测试。结果显示，NetCap能够以微秒级延迟检测并阻断多种令牌盗窃攻击（如重放、中间人、侧通道窃取），误报率低于0.1%，且对正常流量的吞吐影响小于5%。主要贡献包括：首次在数据平面实现令牌级访问控制、提出高效状态维护算法、以及公开可复现的原型系统。适合网络管理员、安全运营商以及网络设备开发者阅读。

该论文针对住宅代理检测问题，提出了一种超越传统RTT（往返时间）特征的对抗鲁棒两层级检测架构。住宅代理常被用于隐匿恶意流量，传统基于RTT的检测方法易受对抗性攻击。本文设计了两层级检测系统：第一层基于轻量级特征快速筛选可疑流量，第二层采用更鲁棒的深度模型进行精确分类，并引入对抗训练增强对逃避攻击的抵抗力。实验表明，该方法在保持高检测率的同时，显著提升了对抗样本下的鲁棒性。研究为代理检测领域提供了新的思路，适合安全运维人员及入侵检测研究者参考。

该论文提出了一种轻量级的互联网带宽分配与隔离方法，名为分数公平份额（Fractional Fair Shares）。该方法旨在解决传统带宽分配机制在公平性、隔离性和计算复杂度之间的权衡问题。核心思想是通过将带宽资源划分为细粒度的分数份额，并动态调整分配，以实现不同流量之间的公平共享和严格隔离，同时保持低开销。论文设计了相应的算法和协议，包括基于令牌桶的速率限制和加权公平队列的轻量级实现。实验表明，该方法能够在高动态网络环境中（如多租户数据中心、边缘计算节点）有效防止流量干扰，保证服务的带宽隔离，且计算和存储开销远低于现有方案（如加权公平队列（WFQ）或分层令牌桶（HTB））。主要贡献包括：定义了分数公平份额的数学框架；提出了轻量级实现架构；通过仿真验证了其在带宽利用率和隔离性方面的优势。该研究适用于需要高效带宽资源管理的网络场景，尤其是对安全隔离有要求的云服务提供商和企业网络。

该论文研究了如何利用TCP时间戳来改进远程时序攻击。远程时序攻击是一种侧信道攻击，通过测量数据包往返时间或响应延迟来推断受保护的机密信息，如加密密钥、秘密数据或系统状态。传统时序攻击受到网络噪声和目标系统时间粒度限制，精度有限。TCP时间戳选项（RFC 1323）原本用于改善高带宽网络的性能，但其精确的时间信息可能被攻击者利用。该论文提出了一种新方法，通过分析TCP时间戳字段中的细粒度时钟信息，可以更准确地测量远程系统的响应时间，从而显著提高攻击成功率。作者可能设计了新的信号处理技术来分离网络噪声和系统延迟，或者利用了时间戳的单调性来同步测量。实验表明，该方法在多种网络条件下均能提升攻击精度。该研究揭示了网络协议设计中的副作用，提醒防御者注意侧信道攻击的新变种。

本文针对网络入侵检测系统（NIDS）可解释性不足的问题，提出了一种基于量子优化的子群发现（Subgroup Discovery, SD）方法。传统NIDS虽然准确率高，但难以解释检测结果，而SD通过构建可解释规则来刻画攻击流量中的特征交互。然而，面对大规模数据集时，经典启发式束搜索（Beam Search）面临指数级搜索空间和关键多特征交互被剪枝的问题。本文首次将SD形式化为量子优化问题，采用二次无约束二元优化（QUBO）编码特征选择，并使用量子近似优化算法（QAOA）在IBM量子硬件（ibm_pittsburgh）上求解，以识别区分正常与攻击流量的网络特征子群。具体地，利用最小二乘回归QUBO公式来拟合特征子集上的加权相对准确性（WRAcc）景观，并通过代理采样处理更大型的QUBO。实验基于NSL-KDD数据集，以穷举枚举和束搜索为基准，对比哈密顿量质量和WRAcc比值。在10-30量子比特的硬件扩展实验中，深度p=1的QAOA在10量子比特时WRAcc比为0.983，15量子比特为0.971，20量子比特为0.855，25量子比特为0.624，而30量子比特时因电路噪声主导降至0.039，确立了NISQ设备的经验扩展边界。结果表明，QAOA发现的子群与经典启发式方法性能相当，并能找到贪婪束搜索剪枝的多特征交互模式；QAOA独有的子群在测试集上达到了最高99.6%的精确率。本文为网络安全领域中的量子组合优化建立了框架，并刻画了NISQ设备的硬件扩展特性。