基于有状态Bloom filter引擎的高速分组检测

越来越多的网络安全技术通过分析网络分组中的内容来检测报文中是否含有恶意攻击代码.为了能够在线检测攻击,部署在路由器中的分组检测模块对于分组检测的速度也提出了越来越高的要求.虽然在这个领域已有很多研究工作,然而在性能、可扩展性和适用性方面还有很多可研究的空间.提出了一种基于有状态Bloomfilter引擎的高速分组检测方法State-BasedBloomfilterengine(SABFE).通过并行查找Bloomfilter和前缀寄存器堆,以及利用多个并行的Bloomfilter引擎进行流并行检测,达到了较高的吞吐性能.同时,利用快速查找表和前缀寄存器堆保存当前子串的匹配状态来检测长的规则.分析和模拟实验表明:该方法在规则长度增加时依然保持了较高的吞吐性能,可以实现线速的分组检测,同时,极大地减少了硬件资源开销,提高了可扩展性.

Linux中基于Netfilter/Iptables的防火墙研究

在研究了Linux下Netfilter/Iptables防火墙的实现机制的基础之上,利用Iptables实现了一个具有包过虑网络地址转换等功能的防火墙系统,并进行相关测试。测试结果表明,该防火墙系统可以对内网提供无缝的Internet访问,限制对外开放的端口,能有效防范外部攻击。

网络安全框架Netfilter在Linux中的实现

Netfilter是Linux最新版本中的网络防火墙实现,是对以前Linux防火墙版本的完全替换。Netfilter完成了包括包过滤、地址翻译、状态检测、数据包操作等重要功能,是一个结构合理、功能强大、扩展性强的网络安全框架,在研究防火墙的原理、实现上具有重要的借鉴意义。分析和讨论了Linux操作系统的网络安全框架Netfilter的原理和实现。

基于节点共享计数型Bloom filter高效动态数据包过滤方案

入侵防御系统（intrusion prevention system，IPS）中常用的包过滤方案大量消耗时间和空间，丢包率高，不能实现多过滤器并行处理。针对此问题，设计了一种新的过滤器方案，该方案在网络设备驱动层采用节点共享计数型bloom filter技术，通过改进哈希函数的集合，减少了位数组元素的碰撞率，实现了过滤规则的动态添加和删除。由元组空间法把过滤规则划分多个集合，在每个集合中创建不同的节点共享计数型Bloom filter位数组，并且优化搜索算法，进一步降低了位数组元素的碰撞率。通过在多核处理器中建立多个并行处理线程，实现了过滤的并行处理。实验结果表明，新的方案能够减少28％～31％的碰撞率和12％～19％的hash表的访问次数。

基于SDN网络的防火墙系统设计与实现

软件定义网络(SDN)作为新的网络技术,能很好地满足现在对网络规模和性能的要求。为了进一步提升SDN网络的安全性,文章对SDN网络的防火墙系统进行了研究,利用控制平面与数据平面分离的特点,采用控制平面对网络集中进行实时监控与网络管理,在SDN控制器中实现数据包过滤与入侵监测,通过自定义数据转发和安全策略,实现集中式安全控制,最终实现网络安全性能提升。

基于Netfilter的数据包转发研究

随着网络带宽的不断增加,对数据包捕获系统的包转发率有更高的要求。Netfilter框架是从Linux内核2.4开始提出的,可以利用这一框架对数据包进行控制。本文从减少拷贝方面分析了几种实现数据包转发的方法,决定采用Netfilter实现转发。通过测试比较表明,采用Netfilter框架实现数据包转发的速率比采用libpcap库实现数据包转发的速率要快,并且CPU资源占用率降低。但同时也发现Netfilter存在效率上的缺陷,需要在以后的研究中改进,以进一步降低CPU资源占用率,提高内核性能。

电力信息网络安全隔离设备的研究

政府机关或企业上网后,必须对关键的网络进行有效的信息隔离。作者介绍了专为电力实时控制网络研制的安全隔离设备,它采用双嵌入式计算机结构实现物理层的隔离。采用MAC/IP地址、协议类型及端口等的综合过滤与认证鉴别的访问控制技术,并实现了电力行业标准通信协议的应用代理,从链路层、网络层、传输层、应用层实现有效的隔离。测试证明:在提供透明的网络服务的同时,隔离设备的安全性能有极大的提高,其传输延迟和吞吐量能满足电力系统实时控制的要求。

网络流量测量与监控系统的设计与实现

在基于TCP/IP网络的SNMP管理协议的基础上,设计完成了B/S模式的动态网络监控系统,实现了网络流量数据获取,网络报文数据获取,流量分析与实时监控的功能。通过重组、分析所获得的数据,将其还原成完整的HTTP、FTP、TELNET应用的内容,并建立保存相应记录的数据库。

路由器访问控制列表及其实现技术研究

访问控制列表是网络防御外来安全威胁的第一关,它是通过允许或拒绝信息流通过路由器的接口来实现的一种机制。探讨了访问控制列表的基本概念及工作原理,分析了目前企业中普遍存在的访问控制管理与内部职能管理脱节的问题,并设计了一个应用程序,来解决目前ACL配置存在的一些功能缺陷,降低ACL管理难度,从而达到安全管理与企业职能管理相结合的目的。

专用捕包网络适配器的设计与实现

随着网络带宽的不断增长,网络安全系统对网络数据包捕获的能力提出了更高的要求。为了提高网络数据包的捕获能力,降低主机系统的资源消耗,设计实现了基于TOE思想的专用捕包网络适配器,基于高性能的嵌入式硬件平台,采用了零拷贝,自适应半轮询,自适应轮询定时器的关键技术实现系统。测试表明,专用捕包网络适配器显著的提高了系统的捕包性能,大大降低了主机CPU的使用率。

基于Winsock SPI技术的包过滤研究

本文介绍的SPFire Wall防火墙实现了控管规则的制定、控管规则的修改与删除、底层分析与拦截程序、界面监视控制程序。通过进程间共享变量以及WINDOWS消息响应机制完成底层与界面的数据交流。运用Winsock SPI技术,编写服务处理函数替换WINDOWS的默认网络服务处理函数。本技术实现方便,在很大程度上也提高了效率。

基于包过滤技术的网络安全的研究

分析了包过滤技术的各种实现方案,并在对比各个方案和剖析操作系统内核的基础上,研究并实现了基于中间层驱动的包过滤技术。通过编写内核级网络驱动实现了包过滤技术的具体应用。

一种安全高效的透明代理

简要阐述了透明代理的思想和原理 ,以此为基础给出了一个安全透明代理的原型 ,重点讨论了基于透明代理的网络安全应用 ,并根据一些形式化原则 ,分析了提高透明代理性能的方法。

基于专业过滤器的网络管理与安全系统

本文介绍了基于专业过滤器的网络管理与安全系统的设计和实现过程，该系统结合了包过滤、用户认证、计费和数据加密等多种技术．由屏蔽路由器、屏蔽主机等实现的包过滤器出于本身的安全、性能和复杂性等考虑，其过滤策略很难改变，用户不能参与管理帐户权限．本系统借鉴了代理服务器中的用户认证功能，使用户可参与管理自己的帐户权限，可有效地防止合法ＩＰ地址的非法盗用．同时，由于采用了硬件加速和包过滤技术，可得到较高的吞吐量，可服务的用户数较多．目前。

访问控制列表的优化问题

访问控制列表(access control list,简称ACL)是解决和提高网络安全性的方法之一,但访问控制列表应用在网络设备的接口上将降低网络设备的性能.当ACL条目达到一定数量后,很难进行人工处理,根据一定算法进行ACL自动优化显得尤为重要.在深入研究ACL优化问题的基础上,考虑到一条语句与多条语句之间或多条语句与多条语句之间的交叉覆盖或包含关系,对ACL的全局优化问题进行了形式化描述,得出了3个有用的推论,并提出了一种ACL的近似优化算法.通过模拟实验表明,性能优于同类商业产品.该算法可以作为ACL优化研究方面的参考,通过进一步研究,推出相关产品.

基于dpdk的高效数据包捕获技术分析与应用

对Intel dpdk数据包捕获技术进行了深入研究,对其优缺点进行了详细的分析。在此基础上,利用dpdk设计并实现了一套基于Linux的数据包捕获系统,成功地将其应用于千兆网络安全防护系统中。使用BPS软件对基于dpdk的网络安全防护系统与基于pf_ring的网络安全防护系统进行仿真分析,结果表明dpdk对整体系统性能的提高成效显著,取得了良好的效果,验证了该方法的可行性。

包过滤防火墙的安全研究

一、引言包过滤和代理系统是目前互联网络防火墙中较为普遍使用的二种技术。其中包过滤防火墙由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,十分灵活方便,所以应用最为广泛。但如果产品选择和使用不当,出现的问题也是最多的。包过滤技术的主要依据是包含在IP包头中的各种信息,一般不涉及包体中的数据(当然根据包体中的关键词也可以过滤,本文不作讨论)。所以。

网络数据包捕获机制研究

网络数据包捕获技术,是实现入侵检测、网络安全审计的关键技术。本文改进了国外传统的数据包捕获函数库Libpcap捕获数据包的方案。原方案在网卡捕获到数据包后,数据包从内核到用户层需要进行多次拷贝,造成大量数据包的丢失,致使无法正确还原网络用户的会话过程。改进的方案改变了原有的数据包存取模式,使用一个循环缓冲器直接完成捕获数据到用户层的传递。根据实验的结果显示,改进后的方案捕获数据包的性能比传统的方法有显著提高。

包过滤防火墙相关规则的排序及向无关规则的转化

提出了防火墙规则排序的算法 .防火墙进行包过滤时 ,规则集中的规则是顺序匹配的 ,这样防火墙过滤效率不高 .为了应用快速的非顺序的规则匹配算法 ,则必须将相关的防火墙规则转化为无关的规则 ,本文为此提出了防火墙相关规则向无关规则的转化算法 .

一种改进的防火墙技术

网络安全技术是当前谈论的热门话题，防火墙技术就是其中一种。在总结防火墙中已经普遍采用的包过滤技术和代理服务技术的优缺点的基础上，综合其优点，提出了一种改进的防火墙技术。