一种防火墙规则冲突快速检测算法

目前,在防火墙规则冲突检测算法中,效率问题一直没有很好的解决,当防火墙规则数目较大时,检测规则冲突的速度很难满足客户的需要。为了能够快速地检测出防火墙中的规则冲突,在目前使用较多的ASBV算法上提出一种规则冲突检测算法(DBBV算法)。该算法采用的方法是使用位向量和分治技术,该设计在检测规则冲突的时候,设计的算法只是进行了一次位运算。同时该算法采用的是范围形式的规则集。经过对算法详细的分析,以及通过实验方法的验证,改进的DBBV算法的规则冲突检测效率明显高于ASBV算法。     

基于关系矩阵的关联规则增量式更新

关联规则是当前数据挖掘研究的主要模式之一.本文提出了一种高效的增量式关联规则的挖掘算法USLIG,以处理当最小支持度改变时相应的关联规则的更新问题.该算法通过构建向量之间的关系矩阵,将频繁项目集的产生过程转化为项目集的关系矩阵中向量的运算过程,能充分利用以前的挖掘结果,只需扫描比数据库小得多的向量,克服了IUA及相关算法需多次扫描数据库的缺点.     

一种基于规则分解映射的防火墙规则匹配算法

并行树搜索(PTS)算法是报文分类领域中较为优秀的算法之一,但它需要构建大量的external nodes,且只支持以前缀形式表示的规则,因此其匹配效率及适用范围都受到了很大的影响.针对这一问题,提出一种基于规则分解映射的规则匹配算法RMBRDM.RMBRDM算法首先按照启发式方法选取标准维;然后根据规则分解映射和标准维对相关规则进行分解;最后建立一棵二叉决策树.理论分析和仿真实验均表明,RMBRDM算法不仅支持以范围形式表示的规则,且时空性能优于PTS算法.     

一种基于向量的关联规则挖掘算法改进

通过对Apriori算法思想和传统的向量挖掘算法进行分析,提出一种基于向量运算的关联规则改进算法.该算法采用树形数据结构,克服了Apriori算法需多次扫描数据库这一缺点,并通过向量计算来避免生成候选项集,经过实验证明提高了关联规则挖掘的效率.     

电信资费优惠规则知识表示、冲突检测与实现研究

目前电信运营商资费优惠规则（俗称套餐）采用自然语言来描述,不仅容易产生歧义而且不能用计算机来进行重复套餐的自动冲突检测。针对重复套餐增多致使业务支撑系统（BSS）不堪重负而出现效率低下甚至宕机的现象,运用人工智能知识表示的方法将电信资费每条优惠规则表示为条件部分和结论部分,采用当前有代表性的冲突检测算法Rete算法和Rete改进算法的思想,提出了优惠规则冲突检测算法,与专家平台相结合,实现了优惠规则的自动化冲突检测。最后通过实例验证了优惠规则知识表示和冲突检测算法的合理性和有效性,在优惠规则的科学设置、减少客户投诉、压缩优惠规则数量、提高系统效率和增加经济效益与社会效益等方面都取得了较好的效果。     

生成频繁项集的逻辑"与"运算算法

关联规则挖掘中,往往需要生成频繁集,一般需要大量的系统资源,为降低这一开销,将位运算算法应用到频繁集的生成逻辑运算中。将连接、剪枝等转换成整形数组按位“与”运算进行,即高速的数字运算代替了低速的比较查找运算。算法从最大项集开始查找,与Apriori及一般传统的查找算法方向相反,在事务项集较多,频繁项集可能是大项集时,可以缩短查找时间。     

基于回归树的支持向量机规则提取及应用

支持向量机（SVM）因为核函数应用内积运算造成了模型较强的“黑箱性”。目前SVM的“黑箱性”研究主要采用规则提取方法解决分类问题,而回归问题鲜有提及。针对回归问题,尝试性提出基于回归树算法的SVM回归规则提取方法,算法充分利用支持向量的特殊性以及回归树的优势,建立支持向量的决策树模型,成功提取出决策能力高,包含变量少,计算量小且容易读取的规则。通过标准数据集Auto MPG和实际的煤制甲醇生产数据集进行了验证,与其他算法对比分析结果表明,所提取的回归规则在训练精度和预测精度等方面都有一定程度的提高。     

人脸确认的动态支持向量数据描述方法

人脸的确认实质上是一个一类分类问题或野点检测问题,即只需要精确地描述某一类样本的分布,而将该类样本之外大范围内的样本点视为野点.为了能精确地描述某一类样本的分布,在对国内外现有统计学习理论和核方法进行研究的基础上,针对＂人脸确认＂这一特定的应用对象,分析了已有的一类分类算法,即支持向量数据描述方法在处理动态样本中存在的不足,进而指出,随着训练样本数目的增加,该算法会因为过大的优化规模而无法实际操作,为此提出了用于人脸确认的动态支持向量数据描述算法.由于新算法在优化过程中,仅需要考虑待检测样本和原有支持向量集,从而可以大大降低优化过程中涉及的运算规模和内存需求,进而可保证人脸确认过程中的实时性与动态性要求.     

基于XACML的策略冲突检测与消解方法

基于XACML(extensible access control markup language)的访问控制策略在云计算服务中得到广泛使用,其存在的问题也日益凸显,策略集的冲突检测与冲突消解问题就是其中之一。然而,目前学术界在冲突消解方面研究较少,现有的研究也仅能对冲突进行逐对消解,没有针对大量冲突的一次性消解方法,这在大规模云计算环境中是很难适用的。针对这个问题,从算法的角度出发,改进了原有的策略冲突检测方法,并设计了一种新的策略冲突一次性消解算法。该算法将安全规则映射到N维空间中,每一个维度表示一个属性,将定义复杂的安全策略在每一个属性上统一表示为几种基本数据类型的属性值集合,通过对简单集合的交集运算来进行冲突和冗余检测。在冲突消解时,将所有的冲突汇集到一起,运用有向无环图的拓扑排序来计算规则优先级,按优先级的顺序为每个规则构建一棵空间区域选择树,选取其对应的消解后的N维空间区域,完成大量冲突的一次性消解。实验表明,冲突检测和一次性消解算法是正确、高效和可行的。     

基于AFSVM-MIL算法的图像标注*

通常情况下关键字只标注在图像上,而多示例(MIL)检索的需要将关键字下沉到区域.针对这个问题,在模糊支持向量机算法(FSVM)的基础上提出了一种改进的自适应模糊支持向量机多示例学习算法(AFSVM-MIL算法),在多示例学习的框架下把区域级的图像标注变成了一种有监督的学习.该方法利用AFSVMMIL对训练集进行分类,结...     

一种针对规则集不一致性的测试数据包选取算法

在防火墙规则集正确性测试中,现有的测试数据包选取算法大多随机选取数据包和从规则顶点选取数据包。然而,这种做法忽略了存在规则不一致性的区域,从而导致不能检测出所有因规则不一致性而产生的配置错误。针对这一情况,提出了一种针对规则集不一致性的测试数据包选取算法。该算法以两条规则为基本单位,计算其不一致性区域。算法不但从规则顶点选取数据包,而且从规则集不一致性区域选取数据包。测试表明,与常见测试数据包选取算法相比,该算法只需增加少量测试数据包,就能检测出所有因规则不一致性而带来的配置错误。     

防火墙规则配置错误快速检测算法

在防火墙的规则配置中潜伏着一些问题：安全管理员可能在最初配置规则表的时候，出现一些错误；随着规则表中规则数目的增长，不同的规则之间发生冲突的可能性也相应增加。该文对防火墙规则配置过程中可能出现的错误进行了分析，介绍了防火墙规则配置错误的几种常见类型，给出了发现错误的算法，并根据防火墙规则表的特点对算法进行了改进，提高了规则配置错误的检测效率。     

一种防火墙规则冲突检测算法

在入侵检测系统和状态检测防火墙等应用中,规则冲突检测及冲突解析算法是影响安全性及服务质量的关键。首先对防火墙过滤规则之间的关系进行了建模和分类。然后在过滤规则关系分类的基础上提出了一种冲突检测算法。该算法能够自动检测、发现规则冲突和潜在的问题,并且能够对防火墙过滤规则进行无冲突的插入、删除和修改。实现该算法的工具软件能够显著简化防火墙策略的管理和消除防火墙的规则冲突。     

一种快速的防火墙规则冲突检测算法*

针对目前常用的冲突检测算法效率低下这一实际情况,提出了一种高效的冲突检测算法FRCD.该算法为每一维规则分量构造两棵二叉树,使得检测速度大大加快.实验表明,其检测速度快于常见算法.     

Ant Colony Optimization based approach for efficient packet filtering in firewall

A firewall is a security guard placed at the point of entry between a private network and the outside network. The function of a firewall is to accept or discard the incoming packets passing through it based on the rules in a ruleset. Approaches employing Neural networks for packet filtering in firewall and packet classification using 2D filters have been proposed in the literature. These approaches suffer from the drawbacks of acceptance of packets from the IP address or ports not specified in the firewall rule set and a restricted search in the face of multiple occurrences of the same IP address or ports respectively. In this paper we propose an Ant Colony Optimization (ACO) based approach for packet filtering in the firewall rule set. Termed Ant Colony Optimization Packet Filtering algorithm (ACO-PF), the scheme unlike its predecessors, considers all multiple occurrences of the same IP address or ports in the firewall rule set during its search process. The other parameters of the rule matching with the compared IP address or ports in the firewall ruleset are retrieved and the firewall decides whether the packet has to be accepted or rejected. Also this scheme has a search space lesser than that of binary search in a worst case scenario. It also strictly filters the packets according to the filter rules in the firewall rule set. It is shown that ACO-PF performs well when compared to other existing packet filtering methods. Experimental results comparing the performance of the ACO-PF scheme with the binary search scheme, sequential search scheme and neural network based approaches are presented.     

一种基于MapReduce的防火墙策略冲突并行化检测及消解模型

防火墙在网络安全中起到很重要的作用,其中防火墙策略中的规则决定了网络数据包被“允许”或被“拒绝”进出网络。对于大型网络来说,由于规则太多,管理者很难保证其中不出现冲突,因此策略中规则冲突的检测及解决成为了保证网络安全的重要方面。提出了一种基于MapReduce模型的防火墙策略冲突检测解决算法,它对由基于规则的分段技术得到的片段进行自定义的排序,之后将其转化为规则的形式来代替原来的规则进行数据包的过滤。片段间两两不相交且匹配的包只执行一种动作,从而消除了冲突。     

Anticipatory distributed packet filter configurations for carrier-grade IP networks

Packet filters have traditionally been used to shield IP networks from known attack flows, usually within firewall systems connecting trusted and non-trusted network segments. As IP networks grow and tend to connect to more and more neighbor networks with unknown trust status, carrier-grade operators in particular are beginning to experience raising costs due to increasingly complex filter configurations that have to be applied to their networks, in order to maintain a desired security level. In this paper, we discuss the general properties of distributed packet filter configurations in large networks. Additionally, an algorithm for a simplified compilation of anticipatory static packet filter configurations in heterogeneous IP networks as well as simulation results that demonstrate possible filter cost reduction is presented.     

浅析基于嵌入式网络防火墙安全策略

为了将嵌入式网络系统与既有普通网络系统进行区分,对既有网络安全系统存在的主要构成与缺陷进行了分析,探讨了嵌入式网络系统承受的主要网络攻击类型和网络防火墙安全防范的主要特点。并针对嵌入式网络防火墙的特点、防火墙的数据包过滤机理与算法进行了分析,提出采用递归流分类算法形成网络防火墙的安全策略,以达到提高防火墙数据包的处理能力。     

Structured firewall design

A firewall is a security guard placed at the point of entry between a private network and the outside Internet such that all incoming and outgoing packets have to pass through it. The function of a firewall is to examine every incoming or outgoing packet and decide whether to accept or discard it. This function is conventionally specified by a sequence of rules, where rules often conflict. To resolve conflicts, the decision for each packet is the decision of the first rule that the packet matches. The current practice of designing a firewall directly as a sequence of rules suffers from three types of major problems: (1) the consistency problem, which means that it is difficult to order the rules correctly; (2) the completeness problem, which means that it is difficult to ensure thorough consideration for all types of traffic; (3) the compactness problem, which means that it is difficult to keep the number of rules small (because some rules may be redundant and some rules may be combined into one rule).To achieve consistency, completeness, and compactness, we propose a new method called structured firewall design, which consists of two steps. First, one designs a firewall using a firewall decision diagram instead of a sequence of often conflicting rules. Second, a program converts the firewall decision diagram into a compact, yet functionally equivalent, sequence of rules. This method addresses the consistency problem because a firewall decision diagram is conflict-free. It addresses the completeness problem because the syntactic requirements of a firewall decision diagram force the designer to consider all types of traffic. It also addresses the compactness problem because in the second step we use two algorithms (namely FDD reduction and FDD marking) to combine rules together, and one algorithm (namely firewall compaction) to remove redundant rules. Moreover, the techniques and algorithms presented in this paper are extensible to other rule-based systems such as IPsec rules.     

流量调节防火墙的设计与实现

论述了防火墙技术可以对进出网络的数据进行控制,有效地对内部网络实施保护,而流量调节技术通过按优先级发送不同类别的信息量,达到改善网络服务质量的目的,文中将两种技术相结合,构建了某企业ＣＡＤ网络的防火墙ＷＱ－Ｆｉｒｅｗａｌｌ的安全系统,以求在获得安全的同时提高网络性能,在Ｌｉｎｕｘ系统上实现了加权优先级队列的防火墙,在对ＩＰ包进行过滤的同时,根据其ＩＰ地址、ＴＣＰ端口协议类型等信息,为它们分配了不同