数据包过滤规则的快速匹配算法和冲突检测

通过分析数据包过滤技术中的性能瓶颈,提出了过滤规则的快速匹配算法BSLT.该算法采用Trie数据结构存储规则表,并只在叶节点存储相应规则,节省了存储空间,其空间复杂度为O(NW),查找的时间复杂度为O(W);在匹配时采用二分法进行查找,提高了匹配速度,匹配的时间复杂度为O(N).实验证明BSLT的吞吐率在100条规则内比顺序匹配算法提高了近20%,而且规则越多,BSLT的优势越明显.此外,分析了数据包过滤技术的另一个问题———规则冲突,给出了冲突的理论证明和查找算法.实验证明该算法能准确地检测出冲突规则.

嵌入式系统中基于数据包过滤的多机通信技术

针对目前嵌入式系统中使用得较多的串行通讯技术,提出了一种基于数据包过滤技术的多机通讯原理,并给出了程序实现实例。

利用VC^(++)编程实现防火墙数据包过滤

随着计算机网络深入社会、经济、国防、科技与文教等各个领域 ,计算机系统的安全问题正变得日益复杂和突出 .资源共享和网络分部更增加了网络收到威胁和攻击的可能性 ,于是基于包过滤加状态检测的防火墙系统成为保护网络安全的工具 .文中介绍一种集数据包过滤、日志、代理服务于一体的复合型防火墙系统 ,着重论述利用 VC+ +编程技术实现数据包过滤的软件方法 .

基于NDIS网络数据包过滤技术研究

介绍了Windows操作系统的设备驱动程序的结构,着重介绍网络NDIS中间层接口的原理,论述了如何通过NDIS实现TCP/IP网络数据包的截获技术,通过对截获的数据进行分析,可以非常方便地在此基础上做加密、过滤等附加操作.

数据包过滤技术与防火墙的设计

在分析数据包过滤原理的基础上，对如何制定过滤规则以建立有效的过滤型防火墙进行了探讨．

基于数据包过滤和透明代理相结合的防网络攻击

提出基于Linux平台用数据包过滤与透明代理相结合防网络攻击的解决方案,对其中的关键技术进行了探讨,提出了一种完整的技术路线。给出一个三级防御模型,在网络层通过数据包过滤模块对IP欺骗进行过滤,在电路网关一级内网主机与外网主机通过透明连接,在应用网关级一级控制和监测外网提供的服务。包过滤模块通过Linux内核的Netfilter模块实现,电路级网关模块通过透明代理实现,应用级网关模块通过面向对象、事件驱动和模块化的代理应用程序实现,通过脚本语言易于制定代理策略,全面分析复杂的协议。

单机版防火墙系统中数据包过滤技术的研究

随着Ｉｎｔｅｒｎｅｔ在人们日常生活中的普及，越来越多的单机上网用户开始关心系统的安全问题。文章以保护单台计算机为目的，介绍了一种应用于单机版防火墙系统中的新型的数据包过滤技术，并给出其部分实现。

用Cisco路由器实现校园网中基于数据包过滤的安全管理机制

介绍了因特网上防火墙技术中的数据包过滤技术的原理 ,讨论了校园网上基于包过滤的安全原则的设计 。

数据包过滤技术开发

防火墙可以保护用户不会受到网络上面来的一些攻击的侵害,并且能保证上网用户的资料的安全。在应用程序接受到数据报前,或者在应用程序把数据报发送到网络上前,对数据包按照不同的规则进行过滤,判断数据包是否可以发送到网络上面,或者是否让应用程序接受此数据包。通过对数据包的过滤,可以阻断蠕虫对计算机的攻击和黑客软件对计算机的控制。本文对NDIS中间层和SPI两种相关技术进行详尽说明。

基于FPGA的3G数据包过滤算法设计及实现

本文以FPGA为平台,设计了在TD-SCDMA分组域中实现数据包截获和过滤的系统框架以及基本功能模块,结合Bloom Filter等算法的特点提出了Hash算法实现数据包过滤,并用Verilog语言实现,程序下载至FPGA开发板进行了实测。结果表明,在大规模用户群中均匀抽取部分用户进行监管时,过滤设备可以线速地处理GTP数据包并完成设定用户的过滤。

基于SPI的数据包过滤转发的设计与实现

文中介绍了Windows环境下根据Winsock 2服务提供者接口(Service Provider Interface,SPI)开发数据包过滤程序的技术,并提出一种将此技术与Socks5协议相结合,在客户端实现TCP,UDP数据包代理转发的方案。重点阐述了SPI技术实现自定义基础服务提供者或分层服务提供者的原理,以及以分层服务提供者的方式对SPI截获的TCP,UDP数据包分别进行代理转发的实现。此技术可广泛适用于单机透明代理客户端、基于代理服务器的计费系统等方面。

数据包过滤技术的分析与讨论

在对数据包、数据包过滤器、数据包过滤的方法和装置进行详细分析的基础上．文章研究了怎样设立适应多种变化的数据包过滤器、阻断ping包的数据包过滤器、Web访问的数据包过滤器、FTP的数据包过滤器的规则．为网络通信中的数据安全打下了坚实的基础．

基于Windows的多种网络数据包过滤方案的比较分析

基于Windows的网络数据包过滤技术有多种,有必要对各种方案的性能进行比较。在介绍了Windows网络数据包拦截的多种方案的实现方法以后,比较了每一种实现方案的各自优点与不足。最后给出了网络数据包拦截技术在防火墙开发中应用的两个例子。得出数据包过滤要依据具体需求综合多种法案来实现。

高效数据包过滤器部署算法

整合在路由器上的数据包过滤功能是网络安全的第一道防线,对保护网络的安全有着至关重要的作用。当前的研究主要侧重于对数据包的检测和过滤,忽略了数据包过滤器的部署问题,如果对其部署得当,能极大改善网络的性能和效率。在大规模的网络中,数据包过滤器被部署在管理网络的边界上,即信任网络和非信任网络之间。一般情况下,数据包过滤器被部署在网络边界的每一个路由器上,由于需要遍历路径上的过滤器,大量的时间和空间被消耗,容易造成时延、拥塞、丢包等问题,降低网络的效率。本文依据最短路径优先的思想,提出了一种新的部署算法,通过对比边界上各种风险,移除有操作风险的边界,产生一条最短虚拟路径,更加有效地部署过滤器的位置,给内部节点之间的信任网络提供保护,并使用基于风险的方法对虚拟边界进行离线计算。实验结果表明,使用该算法后,过滤器的数量减少20%～50%,网络的延迟时间变小,网络的连通性也得到改善。

函数分析优化Snort数据包过滤

文章分析了数据包调用检测函数匹配规则结点的平均次数计算函数,并利用该函数对Snort系统规则树进行了优化,减少了数据包过滤匹配次数,极大地提高了入侵检测的效率。

一种IPv4/IPv6双协议栈下数据包的过滤方法

针对代表性的IPv4向IPv6过渡策略—IPv4/IPv6双协议栈系统结构,提出了一种基于访问控制列表的数据包的过滤方法。对于系统中各种类型的数据包,利用Linux下的Netfilter包过滤管理工具给出了完整的过滤过程。

基于netfilter数据过滤防火墙的应用研究

netfilter/iptables是Linux实现包过滤、数据包处理、NAT等的功能框架,利用netfilter框架可以实现很好的数据包过滤的功能。本文主要研究使用netfilter/iptables设置和应用基于地址(源和目标)、用户和时间的访问控制策略,以阻止外部非法、不可靠的数据连接,同时保护内部用户的合法访问不受影响。

Windows下基于SPI的网络数据包拦截的设计与实现

基于TCP、UDP协议的网络应用程序如果在内部对代码段进行检查或修复系统挂钩,通过HOOK API截包技术基本失效,在这种情况下,使用WINSOCK2SPI技术就完全胜任对特定网络应用程序数据包的拦截任务,而且实现简单效率高,可移植性强。

主机安全入侵防护数据检测中的关联置信度判断

针对主机在具有延迟响应特征的入侵数据时,对现有判断模式与延迟数据存在关联度失联的情况,导致主机安全防护存在节点间数据关联置信度判断失真,入侵检测失败的问题,提出一种入侵数据关联置信度判断方法。在主机安全防护框架下,采用主机防火墙数据包过滤技术对异常数据进行剔除;采用分布式部署的方式将安全节点放置于主机内,并利用数学模型技术进行入侵攻击检测;通过对正常数据间的关联进行分析,确定数据间的关联置信度,进而完成入侵判断。实验结果表明,通过对主机安全防护系统进行具有延迟特征的病毒、木马攻击成功次数测试、数据包监测所用时间测试和功能覆盖率测试,验证了该系统的安全性和有效性。

因特网防御DoS攻击技术评述Ⅰ——攻击分类与特征·包过滤·攻击检测与防御

概述了因特网上DoS攻击的相应分类及基本特征 ,评述了包过滤、攻击检测及防御技术的最新成果 .前一部分介绍了入口过滤、基于路由的过滤网和有效源地址强制协议 .后一方面主要讨论了适合于检测攻击包的技术 ,介绍了新近提出的频谱分析方法和泛滥检测系统 .简要评述了已有的防御SYN泛滥攻击的技术措施 ,介绍了Cisco的TCP拦截技术 。