System Architecture and Key Technologies of Network Security Situation Awareness System YHSAS

Network Security Situation Awareness System YHSAS acquires,understands and displays the security factors which cause changes of network situation,and predicts the future development trend of these security factors.YHSAS is developed for national backbone network,large network operators,large enterprises and other large-scale network.This paper describes its architecture and key technologies:Network Security Oriented Total Factor Information Collection and High-Dimensional Vector Space Analysis,Knowledge Representation and Management of Super Large-Scale Network Security,Multi-Level,Multi-Granularity and Multi-Dimensional Network Security Index Construction Method,Multi-Mode and Multi-Granularity Network Security Situation Prediction Technology,and so on.The performance tests show that YHSAS has high real-time performance and accuracy in security situation analysis and trend prediction.The system meets the demands of analysis and prediction for large-scale network security situation.

基于IP Sec协议的IPv6安全机制

IPv6内置了IP Sec协议用来保护数据安全,主要是通过安全关联SA、IP认证头AH、IP封装安全载荷ESP和密钥管理4种形式的报文封装与加密来实现.

IP Sec下安全关联协商的实现环境

IPSec是IP协议层的安全体系结构,是构筑虚拟专网(VirtualPrivateNetworks,VPNs)的基本规范;它是通过安全关联(SecurityAssociation,SA)的约定和协商来实现对通信实体间通信过程的保护.目前,在该领域中尚有诸如IPSec下安全关联的协商机制等问题有待进一步探讨.首先分析IPSec安全关联及其协商的实现条件和相应的保护环境,即ISAKMPSA,然后讨论在IKE协议中协商ISAKMPSA过程存在的安全关联载荷认证缺陷,并以主模式下预共享密钥方式交换过程为例,针对该缺陷对IKE协议交换过程中验证参数的计算提出了改进方案.

浅议IP SEC的核心技术——安全关联

介绍新一代互联网安全协议 IP SEC以及其核心技术——安全关联。并对 IP SEC的发展及其应用进行了展望。

IP承载网络技术演进方向研究

互联网业务的快速发展对IP承载网络提出了确定性、高可靠性、大带宽、弹性连接等新要求,而运营商业务本身的发展对IP承载网络提出了降本增效、差异化承载、安全可信的需求。基于业务演进对网络的需求、IP新技术的发展,对IP承载网络演进方向开展讨论,旨在打造高质量、差异化承载底座,满足多样化业务需求,提升网络价值,降低网络运营成本,筑牢网络安全底座,保障网络安全。

TCP/IPsec Compatibility in Wireless Networks

Transmission Control Protocol (TCP) was originally designed for wired networks. Many compatibility problems exist when it is applied to wireless environments, and hence it needs to undergo modifications. Currently, there are several TCP performance enhancement techniques for application of TCP in wireless environments, but all of them conflict with IPsec. This paper not only analyzes these conflicts, but also proposes 4 solutions: replacing IPsec with Transport Layer Security/Secure Socket Layer (TLS/SSL) protocol, adopting the extended Encapsulating Security Payload (ESP) protocol, segmenting the TCP route, and modifying the end-to-end protection mode of IPsec. It also presents their strengths and weaknesses.

基于网络攻击告警的IP地址自动化封禁应用

随着国内外网络信息技术的发展和普及,网络安全问题逐步增多。外部恶意IP地址在未授权情况下进行各种恶意行为,如DDoS、安全漏洞、数据窃取、勒索病毒、木马后门攻击等,导致数据泄露、服务不可用等安全问题频发。基于此,自动化封禁IP地址技术应运而生,可以快速封禁外部发起的恶意攻击IP地址,及时阻止攻击者的进一步网络攻击行为,有效提升网络安全性能。文章通过介绍基于网络攻击告警的IP地址自动化封禁技术的实现原理和实际运营场景,验证了该技术的可行性和在网络安全防御方面的实用价值。

深度学习在恶意IP识别中的应用

为了加强网络安全防御能力,可以应用深度学习技术来提高对恶意IP的识别准确率。本文介绍了如何应用深度学习中的前馈神经网络来构建恶意IP识别模型。实证分析的结果显示,基于深度学习技术的恶意IP识别模型表现出了更高的准确率和实时性,为网络安全领域提供了一种有效的恶意IP识别解决方案。

F5 Network与Secure Computing联合发布了用于BIG—IP、基于资信的消息安全模块

F5 Networks与Secure Computing公司联合发布了基于资信的网络边缘安全模块。这款全新的BIG—IP消息安全模块（MSM）充分利用了Secure Computing公司的TrustedSource产品的多身份资信引擎资信数据。将企业消息应用保护功能扩展到了企业网络的边缘，并为企业处理不断增加的垃圾邮件提供了一款功能更加强大、高效的工具。

IPSEC研究及实现

介绍了IP网络层安全相关协议和原理 ,并对IPSEC理论关键技术作出分析阐述。结合完成的课题 ,具体给出一套在Linux上开发的IPSEC内核的模块结构和流程。

基于移动IPv6的IPSec安全体系

对IPSec协议族进行研究,分析了安全联盟、身份认证报头、封装安全负载和因特网密钥交换等协议的结构及其关键技术,并在此基础上提出了一种IPSec 的实现方案,可以有效地保障移动IPv6中数据传输的安全。在具体的实施过程中,可选用传输模式和隧道模式两种实现模式。传输模式只能用于发送方和接收方的系统都应用了IPSec的情况。在大多数情况下,采用隧道模式不需要对所用的系统进行任何修改。

基于PEP-IPSec实现卫星IP网的网络安全

进一步发展Internet业务需要增大带宽并且要有移动性,因此IP网与卫星网结合成了热门话题。卫星通信中,其天然的广播特性以及全球无所不在的覆盖能力和IP网本身固有的很多安全隐患,使其安全问题尤显突出,在卫星IP网的性能增强型网关PEP中应用IPSec,从而构成PEP-IPSec,这样一方面提高了TCP/IP在卫星IP网上的性能;另一方面也极大地增强了卫星IP网的网络安全。

基于IPSec的无线局域网安全解决方案的研究

论文对无线局域网WEP协议的算法及安全性进行了深入的研究和分析,在对移动IP计算原理深入讨论的基础上提出了基于IPSec的无线局域网安全问题的解决方案,并应用IPSec嵌套通道建立了VPN安全隧道构造机制。这种机制从很大程度上解决了无线局域网的安全隐患问题。

IPSec密钥交换的分析

在对IKE进行分析的基础上，讨论了怎样在安全密钥协商过程中对发起者身份进行保护，并给出了具体实施步骤。针对IKE中在标准公钥加密认证中发起方也可能有多个公钥，而响应方并没有具体指出使用哪个公钥的问题，提出修改建议，使发起方通知对方使用自己哪个公钥进行解密。

基于IPSec和GRE的VPN实验仿真

IPSec是用于构建虚拟专用网(Virtual Private Network,VPN)的一类广泛应用的网络层安全协议,其有自身的局限性,不支持IP多播或者广播流量。为了满足企业总部与分部或者合作伙伴之间的多播通信需求,根据IP安全(IP Security,IPSec)和通用路由封装(Generic Routing Encapsulating,GRE)各自的特点,提出结合IPSec的安全性和GRE对多播的支持来建立逻辑隧道,从而跨越不安全的公共网络基础设施搭建VPN。分析了结合使用IPSec和GRE技术建立隧道的优势,给出了具有较高可行性和灵活性的VPN实验方案,并基于GNS3模拟器实现仿真。实验运行了OSPF路由协议交换内网信息,并验证了该方案实现单点到多点的仿真通信。

基于Linux系统的IPSec-VPN在IPv6中的研究

介绍了虚拟专用网技术(VPN),并以安全性较强的IP安全(IPSec)协议集来实现。在简述IPSec协议集主要组件的基础上,借鉴IPv4网络中实施VPN的成功经验,提出了在IPv6网络中以IPSec与源码开放的操作系统相集成的方式构建VPN。深入探讨了在Linux平台上如何利用FreeS/WAN实施支持IPv6网络的IPSec虚拟专用网,并依据实验提出了一些建议。

IPSec穿越NAT的设计与实现

概要介绍了协议和网络地址转换()协议的基本原理。着重介绍了协议与协议所存在的矛盾,并阐述了解决矛IPSecNATIPSecNAT盾所采用的方法。最后介绍了采用封装方式实现报文处穿越的完整方案。

基于VPN/IPSec的移动IP安全网络模型

在综合考虑移动网络的各种特性和特殊安全需求的基础上，提出了一种基于VPN / IPSec的移动IP安全网络模型。模型具有很强的移动性、灵活性和扩展性，同时结合VPN、IPSec、防火墙等技术，利用认证和加密隧道，实现了高度的安全性和可靠性。

IPSec-VPN与几种典型网络协议的互操作问题

分析了IPSecVPN在一些特殊网络应用场景中与几种典型网络协议的互操作问题,并讨论了一些可行的解决方案。研究内容包括:在IPv4网络中与NAT网关互操作问题;在无线网络场景中与性能提升代理互操作问题;在动态拓扑VPN网络环境中与动态路由协议互操作问题;在移动网络环境中与移动IP协议互操作问题。