基于有状态Bloom filter引擎的高速分组检测

越来越多的网络安全技术通过分析网络分组中的内容来检测报文中是否含有恶意攻击代码.为了能够在线检测攻击,部署在路由器中的分组检测模块对于分组检测的速度也提出了越来越高的要求.虽然在这个领域已有很多研究工作,然而在性能、可扩展性和适用性方面还有很多可研究的空间.提出了一种基于有状态Bloomfilter引擎的高速分组检测方法State-BasedBloomfilterengine(SABFE).通过并行查找Bloomfilter和前缀寄存器堆,以及利用多个并行的Bloomfilter引擎进行流并行检测,达到了较高的吞吐性能.同时,利用快速查找表和前缀寄存器堆保存当前子串的匹配状态来检测长的规则.分析和模拟实验表明:该方法在规则长度增加时依然保持了较高的吞吐性能,可以实现线速的分组检测,同时,极大地减少了硬件资源开销,提高了可扩展性.

Linux中基于Netfilter/Iptables的防火墙研究

在研究了Linux下Netfilter/Iptables防火墙的实现机制的基础之上,利用Iptables实现了一个具有包过虑网络地址转换等功能的防火墙系统,并进行相关测试。测试结果表明,该防火墙系统可以对内网提供无缝的Internet访问,限制对外开放的端口,能有效防范外部攻击。

网络安全框架Netfilter在Linux中的实现

Netfilter是Linux最新版本中的网络防火墙实现,是对以前Linux防火墙版本的完全替换。Netfilter完成了包括包过滤、地址翻译、状态检测、数据包操作等重要功能,是一个结构合理、功能强大、扩展性强的网络安全框架,在研究防火墙的原理、实现上具有重要的借鉴意义。分析和讨论了Linux操作系统的网络安全框架Netfilter的原理和实现。

基于节点共享计数型Bloom filter高效动态数据包过滤方案

入侵防御系统（intrusion prevention system，IPS）中常用的包过滤方案大量消耗时间和空间，丢包率高，不能实现多过滤器并行处理。针对此问题，设计了一种新的过滤器方案，该方案在网络设备驱动层采用节点共享计数型bloom filter技术，通过改进哈希函数的集合，减少了位数组元素的碰撞率，实现了过滤规则的动态添加和删除。由元组空间法把过滤规则划分多个集合，在每个集合中创建不同的节点共享计数型Bloom filter位数组，并且优化搜索算法，进一步降低了位数组元素的碰撞率。通过在多核处理器中建立多个并行处理线程，实现了过滤的并行处理。实验结果表明，新的方案能够减少28％～31％的碰撞率和12％～19％的hash表的访问次数。

基于SDN网络的防火墙系统设计与实现

软件定义网络(SDN)作为新的网络技术,能很好地满足现在对网络规模和性能的要求。为了进一步提升SDN网络的安全性,文章对SDN网络的防火墙系统进行了研究,利用控制平面与数据平面分离的特点,采用控制平面对网络集中进行实时监控与网络管理,在SDN控制器中实现数据包过滤与入侵监测,通过自定义数据转发和安全策略,实现集中式安全控制,最终实现网络安全性能提升。

电力信息网络安全隔离设备的研究

政府机关或企业上网后,必须对关键的网络进行有效的信息隔离。作者介绍了专为电力实时控制网络研制的安全隔离设备,它采用双嵌入式计算机结构实现物理层的隔离。采用MAC/IP地址、协议类型及端口等的综合过滤与认证鉴别的访问控制技术,并实现了电力行业标准通信协议的应用代理,从链路层、网络层、传输层、应用层实现有效的隔离。测试证明:在提供透明的网络服务的同时,隔离设备的安全性能有极大的提高,其传输延迟和吞吐量能满足电力系统实时控制的要求。

路由器访问控制列表及其实现技术研究

访问控制列表是网络防御外来安全威胁的第一关,它是通过允许或拒绝信息流通过路由器的接口来实现的一种机制。探讨了访问控制列表的基本概念及工作原理,分析了目前企业中普遍存在的访问控制管理与内部职能管理脱节的问题,并设计了一个应用程序,来解决目前ACL配置存在的一些功能缺陷,降低ACL管理难度,从而达到安全管理与企业职能管理相结合的目的。

基于Winsock SPI技术的包过滤研究

本文介绍的SPFire Wall防火墙实现了控管规则的制定、控管规则的修改与删除、底层分析与拦截程序、界面监视控制程序。通过进程间共享变量以及WINDOWS消息响应机制完成底层与界面的数据交流。运用Winsock SPI技术,编写服务处理函数替换WINDOWS的默认网络服务处理函数。本技术实现方便,在很大程度上也提高了效率。

基于包过滤技术的网络安全的研究

分析了包过滤技术的各种实现方案,并在对比各个方案和剖析操作系统内核的基础上,研究并实现了基于中间层驱动的包过滤技术。通过编写内核级网络驱动实现了包过滤技术的具体应用。

一种安全高效的透明代理

简要阐述了透明代理的思想和原理 ,以此为基础给出了一个安全透明代理的原型 ,重点讨论了基于透明代理的网络安全应用 ,并根据一些形式化原则 ,分析了提高透明代理性能的方法。

包过滤防火墙的安全研究

一、引言包过滤和代理系统是目前互联网络防火墙中较为普遍使用的二种技术。其中包过滤防火墙由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,十分灵活方便,所以应用最为广泛。但如果产品选择和使用不当,出现的问题也是最多的。包过滤技术的主要依据是包含在IP包头中的各种信息,一般不涉及包体中的数据(当然根据包体中的关键词也可以过滤,本文不作讨论)。所以。

访问控制列表的优化问题

访问控制列表(access control list,简称ACL)是解决和提高网络安全性的方法之一,但访问控制列表应用在网络设备的接口上将降低网络设备的性能.当ACL条目达到一定数量后,很难进行人工处理,根据一定算法进行ACL自动优化显得尤为重要.在深入研究ACL优化问题的基础上,考虑到一条语句与多条语句之间或多条语句与多条语句之间的交叉覆盖或包含关系,对ACL的全局优化问题进行了形式化描述,得出了3个有用的推论,并提出了一种ACL的近似优化算法.通过模拟实验表明,性能优于同类商业产品.该算法可以作为ACL优化研究方面的参考,通过进一步研究,推出相关产品.

基于专业过滤器的网络管理与安全系统

本文介绍了基于专业过滤器的网络管理与安全系统的设计和实现过程，该系统结合了包过滤、用户认证、计费和数据加密等多种技术．由屏蔽路由器、屏蔽主机等实现的包过滤器出于本身的安全、性能和复杂性等考虑，其过滤策略很难改变，用户不能参与管理帐户权限．本系统借鉴了代理服务器中的用户认证功能，使用户可参与管理自己的帐户权限，可有效地防止合法ＩＰ地址的非法盗用．同时，由于采用了硬件加速和包过滤技术，可得到较高的吞吐量，可服务的用户数较多．目前。

包过滤防火墙相关规则的排序及向无关规则的转化

提出了防火墙规则排序的算法 .防火墙进行包过滤时 ,规则集中的规则是顺序匹配的 ,这样防火墙过滤效率不高 .为了应用快速的非顺序的规则匹配算法 ,则必须将相关的防火墙规则转化为无关的规则 ,本文为此提出了防火墙相关规则向无关规则的转化算法 .

一种改进的防火墙技术

网络安全技术是当前谈论的热门话题，防火墙技术就是其中一种。在总结防火墙中已经普遍采用的包过滤技术和代理服务技术的优缺点的基础上，综合其优点，提出了一种改进的防火墙技术。

网络数据包捕获机制研究

网络数据包捕获技术,是实现入侵检测、网络安全审计的关键技术。本文改进了国外传统的数据包捕获函数库Libpcap捕获数据包的方案。原方案在网卡捕获到数据包后,数据包从内核到用户层需要进行多次拷贝,造成大量数据包的丢失,致使无法正确还原网络用户的会话过程。改进的方案改变了原有的数据包存取模式,使用一个循环缓冲器直接完成捕获数据到用户层的传递。根据实验的结果显示,改进后的方案捕获数据包的性能比传统的方法有显著提高。

基于协议分析的状态检测防火墙

提出基于协议分析的状态检测防火墙技术,它能够根据各种应用程序的RFC和标准实现检测已知的和未知的网络攻击,大大提高了网络安全,同时它保持了状态检测防火墙的高处理速度的特性,因此它是速度和安全的高度统一体。

一种基于报文过滤防御ARP欺骗的系统架构

本研究分析了ARP欺骗的基本原理及其常见的攻击方式;讨论了现有防御方法存在的局限性。在此基础上,提出了一种防御ARP欺骗的构想,并设计和开发了一套基于C/S模式的ARP防御系统软件。该系统以局域网内每台主机都有唯一的IP地址与MAC地址相对应为基础,通过在客户端对接收到的ARP报文进行ARP报文头信息检验和服务器端IP-MAC检验,过滤掉存在安全隐患的报文,来实现局域网内主机对ARP欺骗的防御,从而提高网络安全性。该系统适用于安全性较高的中小型局域网络。

基于KDC的网络安全模型设计

对现有安全技术普遍存在的若干隐患与不足进行了深入的探讨，并提出了一种用于构筑安全内部网的新型体系结构一嵌入式防火墙系统（EFS），该模型以Kerberos认证协议为核心，并集授权、安全数据传输和审计等机制于一体。此外，由于EFS在网络层上设计并实现，这就避免了在各个应用程序中分别考虑安全问题；从而形成了一套透明的网络安全基础设施。

基于包过滤技术的Internet安全性研究

通过分析Internet中常见的网络安全问题 ,对包过滤技术作了简单阐述 ,并介绍了一个基于包过滤技术的网络安全模型 .