一种基于NDISIMD的入侵检测模型

基于对传统入侵检测模型和NDIS中间层驱动技术研究的基础之上,提出了一种基于NDIS中间层驱动的入侵检测模型IDMBN.IDMBN深入到Windows内核,可以较好地满足在网络底层检测和拦截入侵,解决了传统入侵检测在用户态或应用程序层不能够检测或漏检的问题,并在实际应用中取得了较好的性能,证明了该模型的可行性.

基于IMD的Web代理过滤技术研究

针对网络资源的使用问题，分析了当前普遍使用的Web代理过滤技术，通过实验给出了Windows下基于IMD的Web代理过滤驱动程序的设计方法．该驱动程序可以在底层通信过程中检测出是否有Web代理请求，可以阻止Web代理服务的使用，加强了网络安全监管的力度，实现了对网络资源的保护．

Windows下基于IMD的NAT型防火墙的设计

在防火墙技术中,单独使用一种技术总会出现性能瓶颈或安全隐患的问题,综合利用多种技术制作的防火墙能够满足需要高标准网络安全的环境.通过模块化的设计方法,在Windows网络体系结构的IMD层下把NAT技术、过滤技术、状态检测技术,以及不同的认证方法结合起来实现防火墙,以达到高效抵御各种网络攻击,极大提高网络安全性的目的,并且这种方法实现容易,更新方便.

基于包过滤技术的网络安全的研究

分析了包过滤技术的各种实现方案,并在对比各个方案和剖析操作系统内核的基础上,研究并实现了基于中间层驱动的包过滤技术。通过编写内核级网络驱动实现了包过滤技术的具体应用。

基于NDIS中间层驱动程序的网络监测器

研究了W indows网络数据包过滤技术和ND IS,设计并实现了W indows 2000平台下基于ND IS中间层驱动程序的网络监测器,它由ND IS IMD包过滤程序和应用层包处理程序2个模块构成,分别负责网络数据包过滤、过滤条件设置与数据包分析处理。该网络监测器适用于W indows 2000平台下IP层及其上层网络协议数据包的过滤和处理。

基于NDIS构造Windows下入侵检测系统技术分析

文中介绍了 Windows 平台下基于 NDIS 中间层技术实现入侵检测的方法。并与一般的使用 WinPcap 技术实现入侵检测系统进行了比较,NDIS 中间层技术在功能和性能方面具有比较突出的优势。我们采用该技术实现了一个模型系统,试验证明它具有较高的性能。

基于NDIS的IP安全协议的研究与实现

提出了一种基于网络驱动程序接口规范中间层驱动程序的NDIS-IMD IPSec模型,用于解决Windows 2000操作系统自带的IPSec缺乏源代码支持和灵活性有限的问题。NDIS-IMD IPSec由IPSec中间层驱动模块和应用层模块构成,它们之间通过Windows驱动程序模型机制完成信息交互,为Windows2000操作系统用户的端到端通信提供灵活、个性化的IP安全服务。

分布式网络行为监控系统设计与实现

针对现有网络行为监控系统在监控力度和范围上的不足,文章提出了一种分布式网络行为监控系统(DNBM),本系统由监管中心和若干个主机监控端组成。监管中心集中制定分发策略,日志审计查看;主机监控端则实现主机网络行为监控。主机监控端采用三层过滤,从内容,到应用,再到底层数据包,实现了对网络行为更为全面的监控;同时,采用对远程线程插入和注册表写操作的实时监控,更好限制了恶意代码的激活与执行,大大提升了系统的安全性与可靠性。

基于NDIS-HOOK与SPI的个人防火墙研究与设计

介绍了NDIS系统结构以及在Windows2000/NT下NDIS HOOK的原理,并给出了一个基于NDIS HOOK技术的个人防火墙驱动程序———Packet.sys。利用该驱动程序与SPI技术相结合,可方便地实现基于Windows的个人防火墙。

基于NDIS中间层驱动程序的隐蔽通道

通过一个基于网络驱动程序接口规范中间层的驱动,在Windows网络协议栈下建立一个隐蔽通道,使应用程序可利用其直接与外界通信。该通道的作用位置相比防火墙对于协议栈的控制更为底层,可直接从网卡读写数据进行网络通信。分析防火墙由于未对网络进行完整防护而被穿透的原因,探讨抵御该类攻击的方法。

一种基于NDIS网络数据包过滤器的设计

网络数据包的过滤广泛应用于信息安全产品的研发中,如防火墙、入侵检测系统、病毒防范等。分析网络驱动程序接口规范NDIS(Network Driver Interface Specification)的体系结构和相关驱动,设计并实现了一种基于NDIS Intermediate Driver的网络数据包过滤器。实验结果表明,该网络数据包过滤器具有很高的实用价值。

一种高效的局域网内共享文件操作监控审计方法

局域网内通过共享方式分发文件通常是最普遍、最简单和最高效的一种方式,但是目前针对共享文件操作缺乏有效的追踪审计手段,给内网中的信息保护带来了严重的安全隐患,诸如员工私自共享机密文件造成泄密、恶意篡改共享文件造成信息丢失、通过共享方式恶意传病毒木马等问题防不胜防。通过对文件共享操作原理深入研究,设计并实现了基于文件过滤驱动和中间层网络驱动的共享文件操作监控审计方法,可实时高效地监控用户共享文件操作并记录所有操作信息,为管理员提供了强有力的监管手段,有效地保护了局域网内的信息安全。

网络数据包截获机制的研究

数据包截获机制是网络性能分析工具和网络安全工具的实现基础。UNIX系统下可利用基于网卡的混杂方式BPF、DLPI机制实现。Windows系统下有三种实现方法:在网卡驱动程序和TCP/IP协议栈间利用NDIS机制开发中间驱动程序;利用分层结构模式在Tcpip.sys上挂接截获驱动程序;通过编写服务提供者接口程序(SPI)截获。并以NDIS驱动程序为例,详述了其实现过程和主要函数的实现流程。

基于网络驱动接口规范的网络时延测量位置误差消除方法

在网络性能测量中,位置误差是影响网络时延测量精度的主要因素之一。针对位置误差问题,提出一种基于Windows网络驱动接口规范(NDIS)的时延测量改进方法。通过在微端口驱动(MD)和协议驱动(PD)间插入一个NDIS中间层驱动(ID)程序,将测量时间戳记录位置从应用程序下移到该中间层驱动,测量程序依据其记录的时间戳计算网络时延值。实验结果表明,与传统方法比较,在不同主机负载和包长度下,所提方法基本消除了位置误差,测量值标准差小于10μs,并且不需要额外软硬件支持,测量成本低,适合普遍采用。

利用NDIS中间驱动技术实现局域网的并行容错

在Windows2000系统平台上采用NDIS中间驱动技术进行并行容错局域网的研究,并就一些关键技术如失效检测、并行传输的NDIS驱动程序实现给出了较为详细的描述。

基于NDIS中间层的包过滤的研究与设计

在分析介绍Windows2000/xp平台的NDIS驱动程序的基础上,提出了一种使用NDIS中间层驱动程序实现包过滤的方法。应用该方法能拦截所有进出计算机的网络数据包、根据应用策略处理数据、转发数据包。实际的测试证明,该方法可有效提高处理网络数据的效率。

动态源路由协议DSR在NDIS架构中的设计与实现

研究分析了基于Windows NDIS框架构建无线移动Ad hoc网络路由协议测试平台的一般方法,提出了以NDIS中间层驱动形式创建动态源路由协议(dynamic source routing,DSR)的设计方案,有效地解决了嵌入NDIS的DSR协议栈与Windows操作系统既有TCP/IP协议栈以及厂商网卡驱动之间的衔接与交互等关键问题,并最终完成了该DSR协议栈的实现。实验结果表明,该DSR协议栈的设计切实可行,通过在真实环境中的运行测试,为进一步分析研究DSR的安全、优化和应用提供了实体测试平台。

一种双层控制的个人防火墙设计与实现

传统个人防火墙单独采用用户态或者核心态方式对数据包过滤均存在缺陷,本文在分析比较了Windows系统网络数据包过滤控制机制的基础上,设计了一个基于中间层驱动技术与SPI技术相结合的双层控制的个人防火墙模型,并对其关键技术进行了实现。

基于NDIS中间层驱动的对等网络流量监管机制

由于对等网络P2P对网络带宽的贪婪性,对P2P数据流的监管是当前研究的热点问题.本文在分析比较几种相关技术的基础上,提出了一个基于网络驱动接口规范(Network Driver Interface Specification,NDIS)中间层驱动的对等网络监管系统架构,对各功能实体特性进行了详细描述.以设备驱动程序开发包(Device Driver Kit,DDK)提供的Passthru例程为骨架对该系统进行了实现,对共享内存通信机制、数据拦截机制和主要数据结构进行了讨论.最后,通过测试数据拦截完备性和效率,以及对P2P软件的识别和阻断能力,验证了本系统的有效性和可用性.

NDIS技术在网络管理中的应用研究

介绍了在Windows XP的核心驱动层上采用NDIS中间层驱动技术对数据包进行拦截和分析的技术,在此基础上对DDK中附带的Pass Thru中间层驱动框架进行扩展,实现了对以太网Ipv4网络封包的过滤,同时设计并实现了网络监控系统。运行结果表明,采用NDIS中间层网络封包过滤技术在对网络进行有效管理的同时保证了网络的安全性。