流量调节防火墙的设计与实现

论述了防火墙技术可以对进出网络的数据进行控制,有效地对内部网络实施保护,而流量调节技术通过按优先级发送不同类别的信息量,达到改善网络服务质量的目的,文中将两种技术相结合,构建了某企业ＣＡＤ网络的防火墙ＷＱ－Ｆｉｒｅｗａｌｌ的安全系统,以求在获得安全的同时提高网络性能,在Ｌｉｎｕｘ系统上实现了加权优先级队列的防火墙,在对ＩＰ包进行过滤的同时,根据其ＩＰ地址、ＴＣＰ端口协议类型等信息,为它们分配了不同     

在IP包过滤中状态TCP包的过滤研究与设计

IP包过滤防火墙是构造整体网络安全系统的必不可少的部分。传统的IP包过滤防火墙有许多的缺陷,解决方法之一是使防火墙具有状态过滤能力。以TCP为例,状态过滤机制不仅能根据ACK标志和源、目的地址及端口号进行过滤,还能根据TCP包里的序列号和窗口大小来决定对该包的操作。这样可以防止一些利用TCP滑动窗口机制的攻击。在IP包过滤里加入状态过滤机制不仅能阻止更多的恶意包通过,还能提高IP包过滤的过滤速率(这对防火墙来说是很重要的)。     

基于哈夫曼树的防火墙规则动态优化的研究

随着网络功能的不断增加,防火墙过滤规则集合日益庞大,已严重影响了网络整体性能。本文基于网络流量的特征,提出一种根据网络流量变化动态调整防火墙规则的防火墙规则优化方法,使得匹配网络数据包越多的规则越先与数据包相匹配,从而尽量减少数据包过滤时间。     

基于动态防火墙SecuRouter的网络安全框架

常见的网络防火墙系统因受其相对固定的规则集的限制而仅可以过滤掉已知类型的攻击数据包,因而只能为受保护局域网络提供静态的安全性。我们提出了一种网络安全框架,其核心是由一台联接外网与内部局域网的双穴主机所构成的动态防火墙SecuRouter。该动态防火墙在进行传统包过滤工作的同时可以依据局域网内的各入侵检测Agent所提供的信息动态地更新规则库,从而为整个局域网提供动态的保护。通过给出一个与入侵检测Agent通信的接口,该安全框架提供了对不依赖于具体算法的、可扩展的实时入侵检测能力的支持。同时,双穴主机上的网络数据包日志功能也为对网络数据流的进一步离线分析提供了可能。     

密集MANET下MPR的改进蚁群优化算法研究

针对传统多点中继（MPR）机制因使用贪心算法而导致求解集合冗余的问题,通过将蚁群优化算法与MPR机制相结合,提出一种基于状态信息的动态更新蚁群优化（DUACO）算法。与传统状态更新机制相比,该算法添加了信息素的动态更新机制和补偿-惩罚规则,考虑到节点移动性将会影响求解集合的精确度,重新定义蚁群算法中的路径选择函数,并将节点移动状态信息加入计算过程。实验结果表明,DUACO算法不仅能够有效降低MPR集合冗余以及提高网络性能,而且还可解决启发式蚁群算法易陷入局部最优解的问题。     

基于Winsock技术的数据包解析研究

数据包解析技术是数据包过滤的基础。对数据包进行解析，是基于数据包过滤的防火墙要解决的核心问题，构造数据包的协议有很多种，要根据构造数据包的协议对该包进行处理，要正确理解在网络中传榆的单元，进而才能很好地控制网络单元的传输，实现数据包的过滤。Winsock的服务提供者编程接口的编程技术，打破了底层网络服务提供者的透明性，提供了修改系统SPI接口服务的可能性，利用这项技术能比较容易地完成数据包过滤功能，具体地说就是能增加一些自定义的功能函数，来实现数据包通信的控制，比如截获、转发、丢弃数据包等功能，也就是所说的防火墙实现的功能。当然也可以在这个基础上延伸下去，从而可以完成诸如传输质量控制、扩展TCP／IP协议栈、URL过滤及网络安全控制等功能。     

基于防火墙规则匹配优化算法的研究

随着网络功能和应用程序的增加,过滤规则集日益庞大,这严重影响了网络的性能。该文提出了一种基于规则匹配的防火墙优化方法。该方法对通过防火墙匹配的数据包进行权重计算相关规则排序,从而减少规则匹配时间。仿真结果显示,该方法有效地改善了防火墙的性能。     

基于S3C2440的嵌入式IPv6防火墙设计

随着网络应用的不断发展,网络安全显得越来越重要。基于X86架构的边界防火墙成本较高,且难以遍布网络的每一个终端设备,无法构建全方位的安全防护网络。本文针对以上问题,设计了一种基于S3C2440嵌入式IPv6防火墙。并且提出了状态跟踪与智能包过滤相结合的动态包过滤方案。该方案通过智能访问控制技术优化包过滤规则集,从而提高了防火墙的吞吐量和安全性。     

一种基于DiffServ的IP电话QoS实现方案

如何为IP网络中的业务提供QoS保证正成为lP技术所要解决的关键问题。文中基于Diffserv提出了一种IP电话QoS方案，并对其基本思想及实现方法作了详细介绍。该方案将不同的分组数据包设置成不同的优先级，其中系统控制分组数据包优先级最高，语音分组数据包次之，普通数据分组数据包最低，使得系统控制分组和语音分组数据包的平均等待时间缩短。研究结果表明，对不同数据包进行优先级设置是改善IP电话QoS的一种可行方法。     

基于IXP2400千兆防火墙包分类算法的设计与实现*

针对千兆网下包过滤防火墙,提出了HSBIPG(Hash Search Based on IP Group)包分类算法,并分析了算法的优缺点,基于该算法用IXP2400实现了线速千兆包过滤防火墙,通过实验证明了此算法是可行和高效的。     

一种基于蚁群算法的非结构化P2P网络搜索算法

在类似Gnutella的分散的非结构化P2P网络中,如何降低消息开销,提高搜索效率,是解决其扩展性问题的关键。引入蚁群算法的思想,提出一个非结构化P2P网络搜索算法。此算法利用蚂蚁留下信息素的正反馈机制,有效地指导搜索的方向,将查询消息包尽量发往目标可能存在的区域,从而减少冗余消息包的产生,得到更好的搜索输出。     

一种IPV6环境下的高性能规则匹配算法研究

防火墙是确保网络安全的关键设施,而规则匹配又是防火墙的核心技术。随着网络技术的发展,互联网体系结构正逐渐从IPV4向IPV6结构发展,原有的IPV4防火墙规则匹配算法很难直接应用于IPV6网络环境,因为IPV6协议所能表示的地址范围远远超过IPV4协议对应的地址范围。因此提出了一种适用于IPV6环境的高性能规则匹配算法HiPRM(High Performance Rule Matching)。HiPRM算法的核心思想是依据规则的协议和目的端口分布特征,先把整个规则集划分成多个子规则集,再利用位选取算法对规则的源和目的IPV6地址组合的特定位进行选取,然后据此构建二叉查找规则树,最后利用规则树把多个规则子集划分成若干个更小的规则集合。而当报文匹配到某个更小的规则集合时,在小规则集中利用线性匹配法确定具体匹配的对应规则。分析和测试表明,HiPRM算法可以在时间复杂度和空间复杂度较低的情况下实现报文的高速匹配,且具有较好的规则集适应性。     

Swarm intelligence based approach for sinkhole attack detection in wireless sensor networks

Swarm intelligence, a nature inspired computing applies an algorithm situated within the context of agent based models that mimics the behavior of ants to detect sinkhole attacks in wireless sensor networks. An Ant Colony Optimization Attack Detection (ACO-AD) algorithm is proposed to identify the sinkhole attacks based on the nodeids defined in the ruleset. The nodes generating an alert on identifying a sinkhole attack are grouped together. A voting method is proposed to identify the intruder. An Ant Colony Optimization Boolean Expression Evolver Sign Generation (ABXES) algorithm is proposed to distribute the keys to the alerted nodes in the group for signing the suspect list to agree on the intruder. It is shown that the proposed method identifies the anomalous connections without generating false positives and minimizes the storage in the sensor nodes in comparison to LIDeA architecture for sinkhole attack detection. Experimental results demonstrating the Ant Colony Optimization approach of detecting a sinkhole attack are presented.     

基于IPv6的防火墙设计

IPv是下一代的IP协议,它的提出解决了现有协议的一些安全问题,它可在网络层支持对每个分组的认证和加密,它的应用将对现有的防火墙机制产生影响。文中介绍了基于IPv6协议的防火墙的设计,并对常见的三类防火墙系统进行了改进。改进后的系统除了具有目前防火墙系统的分组过滤和应用代理等功能外,还能够实现对IP数据报的源地址的认证,分组内容的完整性检验,以及对分组的加解密。     

一种基于入口地址标记的DoS攻击防御模型

对因特网上的DoS攻击进行了分类，分析讨论了已有的各种防范技术，提出了新的在AS的入口路由器端进行地址标记的IAM模型，使受害主机能通过分析攻击数据报中的地址标记信息，直接获取攻击入口路由器地址。随后可通知该路由器采取拦截或过滤等防范措施。     

Linux下包过滤防火墙的设计与实现

以Suse 9.2为平台,利用Linux内核的Netfilter机制,使用C语言、XML语言、python语言和调试工具GCC等,设计并实现了一个基于IP地址和端口号的包过滤防火墙。与其它的防火墙不同,由于将被限制的IP和端口号设置在XML配置文件中,用户可以根据需要灵活、方便地修改要限制的IP和端口号。经过一系列针对不同IP地址、不同端口号以及不同类型的数据包的测试,该防火墙运行稳定和可靠。     

改进的智能蚁群算法在TSP问题中的应用

研究旅行商领域优化路径问题,解决目前蚁群算法易陷入局部最优、搜索时间长等问题.为加快算法的速度优化结果,提出了一种改进的求解TSP问题的智能蚁群优化算法.算法前期采用了一种最近节点选择策略对路径进行优化,提高了搜索效率,使之适应大规模问题求解;后期改进了基本蚁群算法中信息素、挥发因子的更新规则,通过改进使得每轮搜索后信息素的增量能更好地反映求解的质量,有效地避免陷入局部最优,加快了收敛.通过改进后的蚁群算法,对TSPLIB中部分问题的仿真结果表明,在避免陷入局部最优和缩短搜索时间方面都取得了很好的效果.证明采取的优化蚁群算法,是可行有效的.     

防火墙过滤规则动态生成方案设计

基于主机的包过滤防火墙只能提供单一层面的、静态的网络安全防护。为此,设计一个可动态生成防火墙过滤规则的方案。利用专家知识检测网络层数据包的攻击行为和运行中应用程序的攻击行为,通过专家系统推理,实现防火墙过滤规则的动态生成。基于 Windows系统的实验结果证明,该防火墙系统能检测出多种攻击行为,并及时生成防火墙的过滤规则。     

Netfilter/iptables防火墙性能优化方案与实现

随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高。文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实现。测试结果表明这种方法能够有效提高防火墙的性能。     

Windows平台通用个人防火墙的分析与设计

定义个人防火墙系统应具备的主要功能,其核心技术是网络数据包的过滤。给出Windows系统网络协议分层体系结构,在对OSI参考模型和Windows网络体系结构对比分析的基础上给出实现包过滤的不同技术路线。对各技术路线进行评估,选择SPI作为实现方案,给出使用SPI进行包过滤的技术要点,个人防火墙系统的运行表明其具有较快的包过滤处理性能。