数据包过滤规则的快速匹配算法和冲突检测

通过分析数据包过滤技术中的性能瓶颈,提出了过滤规则的快速匹配算法BSLT.该算法采用Trie数据结构存储规则表,并只在叶节点存储相应规则,节省了存储空间,其空间复杂度为O(NW),查找的时间复杂度为O(W);在匹配时采用二分法进行查找,提高了匹配速度,匹配的时间复杂度为O(N).实验证明BSLT的吞吐率在100条规则内比顺序匹配算法提高了近20%,而且规则越多,BSLT的优势越明显.此外,分析了数据包过滤技术的另一个问题———规则冲突,给出了冲突的理论证明和查找算法.实验证明该算法能准确地检测出冲突规则.

防火墙包过滤规则问题的研究

包过滤是防火墙的一项基本技术 ,通过对包过滤规则的合理制订可以有效地保护内部网络。文中结合一些典型的网络攻击 ,讨论了有关合理制订包过滤规则的问题。

防火墙过滤规则动态生成方案设计

基于主机的包过滤防火墙只能提供单一层面的、静态的网络安全防护。为此,设计一个可动态生成防火墙过滤规则的方案。利用专家知识检测网络层数据包的攻击行为和运行中应用程序的攻击行为,通过专家系统推理,实现防火墙过滤规则的动态生成。基于Windows系统的实验结果证明,该防火墙系统能检测出多种攻击行为,并及时生成防火墙的过滤规则。

防火墙过滤规则异常的研究

对防火墙过滤规则之间的联系和可能存在的异常作了深入的研究,给出了一种能自动发现防火墙规则异常的技术和标准,便于规则的管理和维护,也消除了因管理员错误配置规则而造成的安全隐患。

防火墙过滤规则的建模和全面优化

防火墙的管理在今天的企业网络环境中是一个复杂和易出错的任务,网络管理员不能仅仅依靠自己的经验和知识来配置防火墙,而必须使用有效的工具和技术,在系统的方法学的指导下来完成。论文采用几何技术对防火墙的配置进行建模,每个过滤规则被映射为多维空间中的一个几何体,从而使得防火墙的配置可视化和易于理解。该方法可以对防火墙的现有规则库进行彻底的重写,从而实现全面的优化。另外,该文还将通常定义在两个规则之间的规则冲突的概念和分类扩展到多个规则之间。

多维过滤规则无冲突的高速分组分类算法

为了有效地实现防火墙及QoS路由等功能 ,路由器等网络元素必须能高速地对分组分类 .对一维分组分类 ,已有很多成熟方案 ,而多维算法由于实现复杂 ,还没有有效的分类算法 .本文对无过滤规则无冲突的数据库进行了研究 ,提出了基于元组空间多维分组分类算法 :元组空间矢量位映射算法 .对多维和二维分类在最不利情况下分别进行了性能分析 ,指出与已有的方案相比 ,在存贮空间、查找时间等性能上 ,本文提出的算法是效率最佳的 .本文的算法不仅可以由软件实现 。

基于粗糙集的网关冗余过滤规则约简算法

过量过滤规则存在冗余性影响着网关设备处理性能。在分析过滤规则属性集的基础上,利用粗糙集区分矩阵的性质对过量过滤规则属性集进行约简处理。同时,通过属性权重方法产生过滤规则属性核集实现对过量过滤规则冗余的约简算法。测试证明基于粗糙集的约简算法在网关设备中具有较好的适用性。

基于统计分析的动态过滤规则优化的研究

如何提高防火墙系统的性能具有十分重要的意义,过滤规则是否合理直接影响到防火墙系统的性能,但是如何检查过滤规则之间的先后顺序对放火墙的安全性的影响是至关重要的,为此本文提出了具有安全性检查的基于统计分析的动态过滤规则优化的方法。该方法和其他方法相比,不但可以通过统计分析的方法来调整过滤规则,提高放火墙系统的性能,而且还可以检查出系统的无效过滤规则,以及检查放火墙过滤规则是否存在安全漏洞。

IPv6防火墙ip6tables过滤规则配置的图形界面设计

IPv6的逐渐流行,将带来头痛的IPv6网络安全问题。Linux2.4内核中自带了IPv6防火墙软件———ip6tables,它以命令行的规则配置方式提供了齐全的IPv6过滤功能。但ip6tables的命令行方式,对用户来说使用非常不便,同时使得过滤规则的扩充和修改也极为繁琐。为了更为有效地配置IPv6防火墙过滤规则,笔者针对ip6tables设计了一个用过滤规则配置的图形界面,从而可以方便快捷地应用功能强大的ip6tables。

平面线段相交问题的渐缩规整包围盒过滤规则

平面线段相交是计算几何的基本问题之一,通常采用基于包围盒过滤规则的平面扫描方法求解.但这些过滤规则没有利用算法执行过程中线段有效部分逐渐缩短的性质,导致候选集和冗余计算增加.通过量化包围盒的主对角线斜率,并使量化后的包围盒逐渐缩小,提出更加严格的渐缩规整包围盒过滤规则.实验数据表明,相比于包围盒过滤规则,文中提出过滤规则的候选集和计算量平均分别减少16%和14%.

基于内核监控及过滤规则的网站防护系统

针对Web站点安全问题,文章设计并实现了基于内核监控及过滤规则的Web防护系统。该系统功能主要分为Web防火墙和内核监控,可抵制各种常见的网络攻击行为,为基于HTTP协议的Web网站提供安全保障。

防火墙数据包过滤规则问题探讨

数据包过滤是防火墙的一项基本技术,通过对包过滤规则的合理制订,可以有效地保护内部网络。文中结合一些典型的网络攻击,讨论了有关合理制订包过滤规则的问题。

分布式防火墙过滤规则的分类与异常检测

在Internet高度发展的今天,作为网络安全第一道防线的防火墙的地位日益重要。经研究发现,过滤策略的异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。为了能够自动化地检测分布式防火墙过滤策略存在的异常,对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类,并提出了一种过滤策略异常检测的模型-策略树。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常,从而保证了分布式防火墙过滤策略的完整性和一致性。

巧用Tcpdump过滤规则重定向获取日记文件

网络日记文件可以根据实际需求,采用免费的网络分析程序TcpDump建立过滤规则,从连接因特网的镜像端口上采集数据,结合TcpShow等软件对网络故障和入侵做分析,从而保障网络的畅通。

语言过滤规则——乔姆斯基语言理论的应用

乔姆斯基(Chomsky N 1928—)的语言理论强调的是语言的生成性(generation),即通过数学演绎(mathematical deduction)来探求语言最基本的结构形式和逻辑规律,以便建立一个有限的语法规则系统采生成、描写和解释无限的语言现突。乔氏认为,一切句子都有显形于外的表层结构(surface structure)和寓意于内的深层结构(deep structure)。

广告过滤规则轻松转换

如今几乎每种安全类软件都有一套属于自己的过滤规则,当更换新的安全软件时,如果不想重新对广告过滤规则进行重新设置,就需要将旧软件的过滤规则导入到新的软件规则中。

Foxmail过滤规则技巧

备份过滤规则在Foxmail中只提供了对邮件和地址簿的备份,没有提供对邮件过滤规则的备份。但是在Foxmail的安装目录中有一个名为“Antispam”的文件夹,在该文件夹中一般都有如下的五个文件: black．lst——存储着邮件过滤规则中“黑名单”过滤数据; white．lst——存储着邮件过滤规则中“白名单”过滤数据; corpus．dat——存储着使用贝叶斯过滤学习后产生的数据库文件;

IMS的初始过滤规则及业务提供过程分析

IMS（IP Multimedia Subsystem）是第三代合作伙伴计划（3GPP）在Release 5版本提出的支持IP多媒体业务的子系统。它基于UMTS核心网分组域（PS域），利用PS域来传输呼叫控制信令和承载数据业务，独立于电路域（CS域），但保持与CS域的互通。

一种基于规则过滤的红外人脸活体检测方法

由于人脸图像和视频很容易得到,活体成为人脸识别大规模应用的障碍。提出一种基于规则过滤的红外人脸活体检测方法,基于红外成像的机理,可以高效地防止照片、视频重放和人脸动作编辑等攻击。