IP Filter包过滤防火墙在校园网上的实现

介绍了利用IP Filter包过滤功能在网络出口组成防火墙实现网络安全,并通过一个校园网作为实例,说明包过滤规则的制定和在IP Filter上的配置。

IPSec和IP Filter在路由器中部署策略的研究

IPSec和IP Filter是IPv6路由器中的重要安全部件.IPSec的安全关联查找引擎具有类似于IPFilter的功能,也需要对IP包进行过滤和匹配,路由器中流动的IP包可能需要经过这两个部件的重复过滤,因此,这两个部件之间的部署策略将会直接影响到IP包的处理效率.从路由器整体安全的角度分析了两个安全部件之间的相互关系,提出了一个新的部署策略.与国际上著名的开放源码IPv6协议栈KAME相比较,该部署策略可以提高IPSec的处理效率,减轻IP Filter对IPSec的负面影响,同时,也减少了IP包在路由器中的重复过滤,提高了IP包的处理效率.

A Robust IP Packets Filtering Mechanism for Protecting Web Server from DDoS Attacks

Distributed denial of service （DDoS） attacks exploit the availability of Web servers, resulting in the severe loss of their connectivity. We present a robust IP packets filtering mechanism which combines the detection and filtering engine together to protect Web Servers from DDoS Attacks. The mechanism can detect DDoS attacks by inspecting inbound packets with an IP address database, and filter out lower priority IP addresses to preserve the connection for valid users by monitoring the queues status. We use the Netfilter＇s technique, a framework inside the Linux 2.4. X, to implement it on a Web server. Also, we evaluate this mechanism and analyze the influence of some important parameters on system performance. The experimental results show that this mechanism is effective against DDoS attacks.

Windows平台下Snort和IPSec联动实现

针对目前Windows平台上入侵防御系统对恶意数据在TCP/IP层上的过滤大都借助Windows内核或第三方防火墙的情况,提出利用Windows内嵌的IPSec筛选器和Snort入侵检测系统实现联动,在发现危险报警后,自动设置IPSec筛选器来对相应的数据进行过滤,并对改写后的Snort联动模块进行全面的测试,结果证明可以成功地实现对入侵数据包的阻塞.

用ISAPI Filter建立“防火墙”

介绍了用实现防火墙部分功能的方法,并用两个例子限制地址访问和过滤信息以改变返回给用户的数据说明了具体ISAPI Filter(IP)的实现方法。

一种新的IP包过滤实现方案

简述ＩＰ包过滤技术，重点分析了当前包过滤实现方案中的缺陷，在此基础上提出了一种新的安全可行的包过滤实现方案．

Linux内核Netfilter包过滤防火墙的设计与实现

讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能。深入学习和研究Netfilter框架及其可扩展性,该研究也为构建特定用户安全需求的防火墙系统提供借鉴。

一种生成因特网IP级拓扑局部视图的方法

为了展示规模庞大的因特网IP级拓扑,研究其拓扑特征,提出了一种利用Skitter测量数据生成因特网在特定区域IP级拓扑的方法GNTSD(generating network topology via skitter′s data),提出并分析了过滤特定区域IP路径、提取IP节点和链路的2种关键算法。该方法广泛使用散列技术来提高算法效率,以三维图形方式显示IP级拓扑,并能统计分析IP节点/链路的数量和节点度数等参数。基于GNTSD方法实现了一个分析工具IPTView。实验结果表明,此方法是可行的,能够从数千万条IP路径中快速、准确地生成特定国家或地区的因特网IP级拓扑视图,是一种能获得全球任意地区IP级网络拓扑的通用方法。

分层次的无状态单分组IP溯源技术

提出了一种分层次的无状态单分组IP溯源(HSSIT)技术。该技术实现了在域间和域内两级粒度上攻击路径的重构,且网络核心不存储分组的任何数据,其主要思路为:对分组头空闲字段重定义,以GBF数据结构记录各分组所经历的路径摘要信息(即路由器AS号和IP地址信息),重构路径时先利用GBFAS确定攻击源AS,然后由该AS内的边界路由器再利用GBFIP确定距离攻击源最近的路由器。分别从理论分析和模拟测试两方面,将HSSIT与PPM、SPIE、ASEM等技术进行性能比较,其结果表明,HSSIT在对抗节点摘要信息的篡改和伪造方面有更强的顽健性,在收敛性方面也有很大改善。最后,还对更一般情形下(即AS路径长度常在3～7之间)的DoS攻击路径进行了验证性重构,其域间和域内路径重合度分别为100%～98%和98%～90%,结果表明,HSSIT技术能准确重构攻击路径,实现对攻击源的溯源目的。

基于ip-iq方法的畸变电流检测及其实现

研究了基于ip-iq方法提取畸变电流的物理实现过程。设计并制作电网电压信号调理和整形电路、锁相频率合成电路,按照采样点数要求产生无相位差的同步采样信号,利用高精度的A/D转换电路完成负载电流信号的采集,保证了采样精度。ip-iq算法中数字低通滤波器的类型、动静指标等对检测精度的影响较大,给出了给定滤波指标后设计满足要求的数字低通滤波器的方法。在Matlab中对设计的ip-iq算法进行仿真分析,结果表明畸变电流的补偿效果明显,所述方法能够应用在有源电力滤波器的研制中。

移动IP环境下基于代理过滤器的应用自适应框架

自适应能力被普遍认为是移动应用成功的关键 .针对移动 IP环境提出一种应用自适应框架 .在该框架中 ,在移动主机和静态主机之间插入称为代理过滤器的中介 ,该中介能根据当前网络状态对到移动主机的数据进行动态自适应过滤 .对该框架的原理和设计进行了详细描述 .

基于IP核的滤波器复用模块的设计和实现

介绍了一种基于FIRIP核的抽取滤波器复用模块的设计和实现。FIRIP核可以进行灵活的参数设计,实现不同应用的滤波器设计。以FIRIP核为对象进行FIR滤波器算法的参数选择设计,并以128路的抽取滤波算法为例,在充分考虑到了滤波器特性、FPGA资源分配的诸多因素基础上,利用FIRIP核构建了合理的抽取滤波和复用模块,完成了128路信号的抽取滤波设计和实现。

基于Matlab/Simulink的数字滤波器IP核的设计与实现

提出了一种采用Matlab/Simulink技术实现数字滤波器的IP核设计方案.介绍了一种现代DSP设计工具DSP Builder.给出了基于FPGA的数字滤波器IP核的实现流程,并以一个16阶的低通FIR数字滤波器为例,采用DSP Builder建立了实现模型,利用Matlab进行了仿真,最后生成IP核.

基于IP包内容的Windows包过滤技术的实现

基于内容的 IP包过滤技术涉及到操作系统的内核。文章分析了 Windows内核态的网络编程接口 ,讨论了 Windows系统中包过滤的编程实现技术。

基于Linux的TCP/IP协议栈安全性研究

本文重点研究目前主要的网络安全威胁以及internet在基础协议-TCP/IP协议中存在的安全问题。提出在Linux内核上实现杜绝漏洞的思路和解决办法。并给出了linux操作系统netfilter的原理和实现方法。

基于概率TTL终值的IP欺骗DDoS防御策略

利用概率TTL(Time To Live)终值改进IP包过滤技术,结合流连接密度FCD为时间序列的非参数CUSUM算法,可以有效解决IP欺骗DDoS攻击.本文提出一种IP欺骗DDoS的防御策略,并给出了防御模型及模型中主要模块的实现算法.

基于内容的IP包过滤实现技术

基于内容的IP包过滤技术涉及到操作系统的内核。该文分析了Windows内核态的网络编程接口,介绍WDM的驱动程序模式及NDIS的架构,讨论了Windows系统中包过滤的编程实现技术。

基于Bloom滤波器的IP源地址假冒过滤

提出将Bloom滤波器结构应用到IP源地址假冒过滤技术中.利用Bloom滤波器存储的紧凑性,提高过滤效率,减少过滤成本.给出其伪代码,通过采集深圳大学城网络中心数据进行实验验证.实验结果表明,该方法简捷有效,且易于推广.

基于IPSec的路由器安全子系统的设计与实现

介绍了清华大学研制的高性能安全路由器中基于IPSec协议族的路由器安全子系统的设计与实现 .其主要特点是将分组过滤和IPSec相结合 ,并在分布式路由器平台上实现其分布式结构 .在实现完善而可靠的安全功能基础上 ,采用各种优化措施最大限度地提高其性能 。

基于netfilter数据过滤防火墙的应用研究

netfilter/iptables是Linux实现包过滤、数据包处理、NAT等的功能框架,利用netfilter框架可以实现很好的数据包过滤的功能。本文主要研究使用netfilter/iptables设置和应用基于地址(源和目标)、用户和时间的访问控制策略,以阻止外部非法、不可靠的数据连接,同时保护内部用户的合法访问不受影响。