数据包过滤规则的快速匹配算法和冲突检测 被引量：14

1

作者 田大新 刘衍珩 +1 位作者 李永丽 唐怡 《计算机研究与发展》 EI CSCD 北大核心 2005年第7期1128-1135,共8页

通过分析数据包过滤技术中的性能瓶颈,提出了过滤规则的快速匹配算法BSLT.该算法采用Trie数据结构存储规则表,并只在叶节点存储相应规则,节省了存储空间,其空间复杂度为O(NW),查找的时间复杂度为O(W);在匹配时采用二分法进行查找,提高... 通过分析数据包过滤技术中的性能瓶颈,提出了过滤规则的快速匹配算法BSLT.该算法采用Trie数据结构存储规则表,并只在叶节点存储相应规则,节省了存储空间,其空间复杂度为O(NW),查找的时间复杂度为O(W);在匹配时采用二分法进行查找,提高了匹配速度,匹配的时间复杂度为O(N).实验证明BSLT的吞吐率在100条规则内比顺序匹配算法提高了近20%,而且规则越多,BSLT的优势越明显.此外,分析了数据包过滤技术的另一个问题———规则冲突,给出了冲突的理论证明和查找算法.实验证明该算法能准确地检测出冲突规则. 展开更多

关键词 数据包过滤 TRIE结构 二分查找法 过滤规则 冲突检测

在线阅读 下载PDF 职称材料

嵌入式系统中基于数据包过滤的多机通信技术 被引量：1

2

作者 程森林 彭世强 +1 位作者 刘丰林 康静 《仪器仪表学报》 EI CAS CSCD 北大核心 2003年第z2期670-671,674,共3页

针对目前嵌入式系统中使用得较多的串行通讯技术,提出了一种基于数据包过滤技术的多机通讯原理,并给出了程序实现实例。

关键词 嵌入式系统 数据包过滤 多机通信

在线阅读 下载PDF 职称材料

基于数据包过滤和透明代理相结合的防网络攻击 被引量：4

3

作者 刘军 郑传波 张凯 《计算机工程与设计》 CSCD 北大核心 2005年第5期1290-1293,共4页

提出基于Linux平台用数据包过滤与透明代理相结合防网络攻击的解决方案,对其中的关键技术进行了探讨,提出了一种完整的技术路线。给出一个三级防御模型,在网络层通过数据包过滤模块对IP欺骗进行过滤,在电路网关一级内网主机与外网主机... 提出基于Linux平台用数据包过滤与透明代理相结合防网络攻击的解决方案,对其中的关键技术进行了探讨,提出了一种完整的技术路线。给出一个三级防御模型,在网络层通过数据包过滤模块对IP欺骗进行过滤,在电路网关一级内网主机与外网主机通过透明连接,在应用网关级一级控制和监测外网提供的服务。包过滤模块通过Linux内核的Netfilter模块实现,电路级网关模块通过透明代理实现,应用级网关模块通过面向对象、事件驱动和模块化的代理应用程序实现,通过脚本语言易于制定代理策略,全面分析复杂的协议。 展开更多

关键词 LINUX平台 数据包过滤 透明代理 网络攻击 防火墙 网络安全

在线阅读 下载PDF 职称材料

单机版防火墙系统中数据包过滤技术的研究 被引量：3

4

作者 王岩梅 顾训穰 《计算机工程》 CAS CSCD 北大核心 2001年第11期191-192,F003,共3页

随着Ｉｎｔｅｒｎｅｔ在人们日常生活中的普及，越来越多的单机上网用户开始关心系统的安全问题。文章以保护单台计算机为目的，介绍了一种应用于单机版防火墙系统中的新型的数据包过滤技术，并给出其部分实现。

关键词 网络安全 数据包过滤 单机版防火墙系统 计算机网络

在线阅读 下载PDF 职称材料

基于FPGA的3G数据包过滤算法设计及实现 被引量：2

5

作者 张晓晓 黄杰 《计算机工程与科学》 CSCD 北大核心 2010年第8期29-31,共3页

本文以FPGA为平台,设计了在TD-SCDMA分组域中实现数据包截获和过滤的系统框架以及基本功能模块,结合Bloom Filter等算法的特点提出了Hash算法实现数据包过滤,并用Verilog语言实现,程序下载至FPGA开发板进行了实测。结果表明,在大规模用... 本文以FPGA为平台,设计了在TD-SCDMA分组域中实现数据包截获和过滤的系统框架以及基本功能模块,结合Bloom Filter等算法的特点提出了Hash算法实现数据包过滤,并用Verilog语言实现,程序下载至FPGA开发板进行了实测。结果表明,在大规模用户群中均匀抽取部分用户进行监管时,过滤设备可以线速地处理GTP数据包并完成设定用户的过滤。 展开更多

关键词 TD-SCDMA 数据包过滤 FPGA HASH算法

在线阅读 下载PDF 职称材料

Linux内核Netfilter包过滤防火墙的设计与实现 被引量：4

6

作者 詹瑾 谢赞福 《科学技术与工程》 2010年第18期4525-4529,共5页

讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能。深入学习和研究Netfilter框架及其可扩展... 讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能。深入学习和研究Netfilter框架及其可扩展性,该研究也为构建特定用户安全需求的防火墙系统提供借鉴。 展开更多

关键词 防火墙 NETFILTER 数据包过滤 可扩展性

在线阅读 下载PDF 职称材料

基于FPGA的优化型复合TCAM设计与应用 被引量：1

7

作者 梅进 于哲 +3 位作者 陈方 王彬 周舜民 赵子龙 《现代电子技术》 北大核心 2025年第14期1-6,共6页

三态内容可寻址存储器(TCAM)是网络架构中的重要组件之一,用于高速搜索应用。目前基于FPGA实现的TCAM多基于单一类型存储资源,消耗的存储资源量较大,且在实际应用中TCAM的搜索字多样化,易造成存储资源冗余。针对此问题,提出一种综合利用... 三态内容可寻址存储器(TCAM)是网络架构中的重要组件之一,用于高速搜索应用。目前基于FPGA实现的TCAM多基于单一类型存储资源,消耗的存储资源量较大,且在实际应用中TCAM的搜索字多样化,易造成存储资源冗余。针对此问题,提出一种综合利用FPGA中Block RAM(BRAM)与查找表RAM(LUTRAM)来优化对搜索字划分的方法。通过灵活组合BRAM和LUTRAM,实现更加接近甚至贴合搜索字位数的优化型复合TCAM(OC-TCAM),从而降低存储资源用量,并将该设计应用于网络数据包的过滤与加密系统中。实验结果表明,所提方法相较于目前领先的基于BRAM的TCAM,存储资源用量减少了39.1%,相比于领先的基于FPGA的复合TCAM,单位面积的性能提升了20.28%。 展开更多

关键词 三态内容可寻址存储器 静态随机存取存储器 现场可编程门阵列 资源存储 网络数据包过滤 加密系统

在线阅读 下载PDF 职称材料

防御DDoS攻击的智能过滤模型 被引量：2

8

作者 李萱 叶琪 《计算机工程与应用》 CSCD 北大核心 2005年第29期156-158,166,共4页

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络最大的安全威胁之一,如何防御DDoS攻击已经引起了人们的广泛关注,然而关于在DDoS攻击发生时减轻攻击危害的这方面工作却很少。阐述了一种基于IP返回追踪的数据包智能过滤模型,... 拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)已经成为网络最大的安全威胁之一,如何防御DDoS攻击已经引起了人们的广泛关注,然而关于在DDoS攻击发生时减轻攻击危害的这方面工作却很少。阐述了一种基于IP返回追踪的数据包智能过滤模型,能够在DDoS攻击正在发生时尽可能响应合法用户的请求,提高合法通信的吞吐量。 展开更多

关键词 分布式拒绝服务攻击 IP返回跟踪 数据包标记 数据包过滤 智能

在线阅读 下载PDF 职称材料

基于JIT技术的BPF过滤器

9

作者 叶俊 文旭 《电子测量技术》 2012年第5期136-138,共3页

网络数据包过滤作为网路系统的一项重要功能,过滤器的性能很大部分影响着网络系统的性能,因而急需一个高性能的数据包过滤器。BPF(berkeley packet filter)位于linux的内核中,它独立于TCP/IP协议栈,为应用程序访问数据链路层提供了一个... 网络数据包过滤作为网路系统的一项重要功能,过滤器的性能很大部分影响着网络系统的性能,因而急需一个高性能的数据包过滤器。BPF(berkeley packet filter)位于linux的内核中,它独立于TCP/IP协议栈,为应用程序访问数据链路层提供了一个原始接口。但是由于执行方式的效率低下,不能被广泛应用。利用JIT技术改进BPF的执行方式,提高BPF过滤效率,对基于实时编译技术的BPF过滤器进行了性能测试。测试结果表明该模块能在实现动态配置功能的基础上同时保证模块运行的高性能。 展开更多

关键词 伯克利封包过滤 实时编译 TCPDUMP 数据包过滤

在线阅读 下载PDF 职称材料

Linux中Netfilter/IPtables的应用研究 被引量：12

10

作者 胡安磊 周大水 李大兴 《计算机应用与软件》 CSCD 北大核心 2004年第10期56-57,66,共3页

Netfilter是Linux2 4 x内核中实现数据包过滤、网络地址转换 (NAT)以及数据包处理的通用功能框架。本文阐述了Netfil ter的功能框架 ,并以如何用IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换 (NAT)为例介绍Netfil... Netfilter是Linux2 4 x内核中实现数据包过滤、网络地址转换 (NAT)以及数据包处理的通用功能框架。本文阐述了Netfil ter的功能框架 ,并以如何用IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换 (NAT)为例介绍Netfilter/IPtables的应用。 展开更多

关键词 NETFILTER/IPTABLES 网络地址转换 NAT 包过滤防火墙 数据包处理 数据包过滤 内核 功能框架

在线阅读 下载PDF 职称材料

访问控制列表的优化问题 被引量：11

11

作者 曾旷怡 杨家海 《软件学报》 EI CSCD 北大核心 2007年第4期978-986,共9页

访问控制列表(access control list,简称ACL)是解决和提高网络安全性的方法之一,但访问控制列表应用在网络设备的接口上将降低网络设备的性能.当ACL条目达到一定数量后,很难进行人工处理,根据一定算法进行ACL自动优化显得尤为重要.在深... 访问控制列表(access control list,简称ACL)是解决和提高网络安全性的方法之一,但访问控制列表应用在网络设备的接口上将降低网络设备的性能.当ACL条目达到一定数量后,很难进行人工处理,根据一定算法进行ACL自动优化显得尤为重要.在深入研究ACL优化问题的基础上,考虑到一条语句与多条语句之间或多条语句与多条语句之间的交叉覆盖或包含关系,对ACL的全局优化问题进行了形式化描述,得出了3个有用的推论,并提出了一种ACL的近似优化算法.通过模拟实验表明,性能优于同类商业产品.该算法可以作为ACL优化研究方面的参考,通过进一步研究,推出相关产品. 展开更多

关键词 网络管理 网络安全 访问控制列表 数据包过滤 优化

在线阅读 下载PDF 职称材料

SOA架构的分布式网络监管系统的设计与实现 被引量：2

12

作者 张水平 孙云星 +2 位作者 张凤琴 沈迪 朱瑞 《计算机工程与设计》 CSCD 北大核心 2011年第7期2352-2355,2360,共5页

为加强企业信息系统安全性所研发的基于广域网的大型分布式监控管理系统,采用SOA架构、WCF、NDIS-HOOK等技术及多线程机制,解决了分布式系统中各管理中心、终端之间多种数据同步、存储及共享等问题。实现了远程数据包的实时截获及过滤... 为加强企业信息系统安全性所研发的基于广域网的大型分布式监控管理系统,采用SOA架构、WCF、NDIS-HOOK等技术及多线程机制,解决了分布式系统中各管理中心、终端之间多种数据同步、存储及共享等问题。实现了远程数据包的实时截获及过滤控制、广域网络中任意网段的流量检测、在线主机的实时统计、任意主机的动态端口监控等功能。分析了系统运行的效率问题,构建系统的轻装运行环境,使其具有良好的可靠性、实用性、开放性和易维护性。 展开更多

关键词 数据包过滤 分布式 数据同步 端口监控 广域网

在线阅读 下载PDF 职称材料

DNS实时监控统计系统的设计方案

13

作者 王振宇 邓锦福 《华南理工大学学报（自然科学版）》 EI CAS CSCD 北大核心 2009年第5期101-105,共5页

当前域名服务系统(DNS)安全的监控统计中,存在查询日志操作影响DNS性能及异常处理滞后的问题.为此,文中提出一种多层次构架的实时监控统计系统(DRMSS)的设计方案.首先利用BSD包过滤器(BPF)过滤DNS服务报文数据,然后通过内存缓存机制存... 当前域名服务系统(DNS)安全的监控统计中,存在查询日志操作影响DNS性能及异常处理滞后的问题.为此,文中提出一种多层次构架的实时监控统计系统(DRMSS)的设计方案.首先利用BSD包过滤器(BPF)过滤DNS服务报文数据,然后通过内存缓存机制存储和实时处理监控统计信息.实验结果表明,DRMSS能对多种域名服务器应用软件进行实时监控处理及数据统计整合,显著提高了域名监控统计的服务性能,增强域名服务的安全性. 展开更多

关键词 域名服务系统 数据包过滤 实时监控 统计整合

在线阅读 下载PDF 职称材料

网络防火墙新技术及其适用性

14

作者 尹少平 《信息网络安全》 2003年第11期56-58,共3页

网络防火墙通过信息过滤、服务代理、应用监控等手段来保护内部子网用户的信息安全.但传统防火墙技术不论其安全性和适用性都有很多缺陷,影响了防火墙产品在网络系统安全中充分发挥应有的作用.针对传统防火墙的这些缺陷,国内外安全产品... 网络防火墙通过信息过滤、服务代理、应用监控等手段来保护内部子网用户的信息安全.但传统防火墙技术不论其安全性和适用性都有很多缺陷,影响了防火墙产品在网络系统安全中充分发挥应有的作用.针对传统防火墙的这些缺陷,国内外安全产品厂商近年纷纷推出新型网络防火墙技术,极大地提升了对网络的安全防护功能,在更多层面上实现网络的安全策略,同时又拓展了防火墙作为网关设备的适用场合,提高了数据吞吐能力,使其能够维持更高的并发有效连接数. 展开更多

关键词 计算机网络 网络安全 信息安全 网络防火墙 适用性 数据包过滤技术

在线阅读 下载PDF 职称材料

基于企业网的信息安全防护系统的设计与实现 被引量：5

15

作者 陈学斌 阎红灿 刘宝相 《计算机工程与应用》 CSCD 北大核心 2004年第5期163-165,共3页

该文针对来自网络内部的攻击,采用“禁止一切”的安全策略,基于包过滤技术及VxD手段提供了一套企业网内部的网络安全防护解决方案。系统描述了企业网信息安全防护系统的设计准则、技术原理和实施方案,并提出了系统的前景意义。

关键词 安全规则 虚拟设备驱动程序(VxD) 数据包过滤 特征信息

在线阅读 下载PDF 职称材料

基于NDIS中间层驱动的高速网络设备监测技术 被引量：3

16

作者 刘璐 王谷尹 王俊峰 《计算机应用研究》 CSCD 北大核心 2008年第10期3122-3124,共3页

传统的基于应用层的网卡监测方式已难以对高速网卡活动信息进行实时、准确监测。为此,分析基于NDIS(network driver interface specification)中间层驱动和Windows网络数据包过滤技术的特点,采用核心态NDIS中间层驱动程序实现了与底层... 传统的基于应用层的网卡监测方式已难以对高速网卡活动信息进行实时、准确监测。为此,分析基于NDIS(network driver interface specification)中间层驱动和Windows网络数据包过滤技术的特点,采用核心态NDIS中间层驱动程序实现了与底层网络接口设备具体细节无关的高速网络设备监测技术,设计并实现了Windows平台下基于NDIS的网卡监测器。它分为应用层和驱动层两个模块,能够在保证高性能的情况下在数据链路层同时对多个网卡进行精确监测,其主要特点是对所有数据包的分析处理都在核心态进行。 展开更多

关键词 网络驱动程序接口规范 中间层驱动 网卡监测 数据包过滤 核心态

在线阅读 下载PDF 职称材料

基于移动代理的分布式拒绝服务攻击防御模型 被引量：1

17

作者 叶茜 张基温 《计算机应用》 CSCD 北大核心 2006年第7期1646-1648,共3页

使用报文标记和移动代理技术,构建基于移动代理的分布式拒绝服务(DDoS)攻击防御模型,在很大程度上降低了来自ISP域外的分布式拒绝服务攻击对域内主机的影响。并利用移动代理的容错性,使模型中重要元件具有很好的抵抗分布式拒绝服务攻击... 使用报文标记和移动代理技术,构建基于移动代理的分布式拒绝服务(DDoS)攻击防御模型,在很大程度上降低了来自ISP域外的分布式拒绝服务攻击对域内主机的影响。并利用移动代理的容错性,使模型中重要元件具有很好的抵抗分布式拒绝服务攻击的性能,提高了防御模型自身的抗攻击性。最后讨论了模型的具体实现。 展开更多

关键词 分布式拒绝服务 移动代理 报文标记 数据包过滤 攻击签名

在线阅读 下载PDF 职称材料

网络攻击中的监听技术分析 被引量：1

18

作者 兰超 王静 《兵工自动化》 2007年第7期38-39,共2页

进行网络监听的程序包括内核程序和用户分析程序。内核程序负责从网络中捕获和过滤数据;用户分析程序负责界面、数据转化与处理、格式化和协议分析,如果在内核没有过滤数据包,还需对数据进行过滤。一个较完整的网络监听程序步骤含:数据... 进行网络监听的程序包括内核程序和用户分析程序。内核程序负责从网络中捕获和过滤数据;用户分析程序负责界面、数据转化与处理、格式化和协议分析,如果在内核没有过滤数据包,还需对数据进行过滤。一个较完整的网络监听程序步骤含:数据包捕获、数据包过滤与分解、数据分析。 展开更多

关键词 网络监听 网络攻击 数据包捕获 数据包过滤 数据分析

在线阅读 下载PDF 职称材料

局域网面对攻击的安全问题与防范策略 被引量：3

19

作者 李庆刚 《现代情报》 2003年第12期205-206,208,共3页

计算机网络的发展给社会信息化的发展带来了巨大的推动和冲击 ,同时也给网络系统的安全带来了许多挑战。资源共享是计算机网络的基本目的 ,信息安全则是资源共享的矛盾体 ,随着计算机网络的快速发展 ,网络的安全问题也日益突出。分析局... 计算机网络的发展给社会信息化的发展带来了巨大的推动和冲击 ,同时也给网络系统的安全带来了许多挑战。资源共享是计算机网络的基本目的 ,信息安全则是资源共享的矛盾体 ,随着计算机网络的快速发展 ,网络的安全问题也日益突出。分析局域网的安全威胁 。 展开更多

关键词 局域网 网络攻击 网络安全 信息安全 数据包过滤 防火墙

在线阅读 下载PDF 职称材料

可信虚拟网络组信息安全交流平台设计与实现

20

作者 毛天宇 李清宝 +1 位作者 白燕 瞿进 《计算机工程与设计》 CSCD 北大核心 2007年第18期4377-4379,4393,共4页

提出了可信虚拟网络组的设计思想,基于该思想设计并实现了一个运行于Windows系统下的端到端信息安全交流平台。该平台不仅实现了终端用户信息的有限共享,而且通过内核过滤驱动、加解密、数字签名等技术的综合运用保证了机密信息的本地... 提出了可信虚拟网络组的设计思想,基于该思想设计并实现了一个运行于Windows系统下的端到端信息安全交流平台。该平台不仅实现了终端用户信息的有限共享,而且通过内核过滤驱动、加解密、数字签名等技术的综合运用保证了机密信息的本地存储安全和传输安全,使信息交流更为灵活可信。 展开更多

关键词 数字签名 访问控制 入侵检测 数据包过滤 虚拟网络组

在线阅读 下载PDF 职称材料