基于包过滤技术的网络安全的研究

分析了包过滤技术的各种实现方案，并在对比各个方案和剖析操作系统内核的基础上，研究并实现了基于中间层驱动的包过滤技术。通过编写内核级网络驱动实现了包过滤技术的具体应用。     

基于Netfilter内核态网络流量分析研究

网络流量采集与分析是网络流量测量的核心技术.本文基于Linux平台内核空间下的Netfilter框架,提出并实现了内核级的流量采集和分析的方法,能对流经局域网内的所有数据包进行监控,并且能对TCF连接进行了状态检测.实验证明,该方法高效可行.     

基于IP包内容的Windows包过滤技术的实现

基于内容的IP包过滤技术涉及到操作系统的内核。文章分析了Windows内核态的网络编程接口,讨论了Windows系统中包过滤的编程实现技术。     

基于内容的IP包过滤实现技术

基于内容的IP包过滤技术涉及到操作系统的内核。该文分析了Windows内核态的网络编程接口,介绍WDM的驱动程序模式及NDIS的架构,讨论了Windows系统中包过滤的编程实现技术。     

基于Linux的高速网络流量采集与分析模型研究

网络流量测量是网络行为研究、网络规划和网络管理的基础,网络流量采集与分析是网络流量测量的核心技术。文章提出并实现了利用Linux的netfilter框架,在Linux内核空间实现网络流量的实时采集与分析,通过Linux的netlink协议与用户空间进程交换分析结果的思想。通过理论分析和实验证明,该方法不仅可行而且高效。     

基于LIBPCAP的网络流量实时采集与信息萃取*

论述了网络流量实时采集与信息萃取的基本原理与实现方法。重点阐述在Linux环境下基于LIBPCAP包捕获机制,并在QT33平台上成功实现了基于GUI界面的网络流量实时采集与信息萃取及C++类的封装。     

高速网络流采集系统的设计与实现

针对基于软件的网络流采集系统不能高效处理高速网络流量,以及为了提高采集效率需要同时对多种网络流进行采集的问题,提出一种基于软硬件结合的高速网络流采集框架,探讨在NetFPGA-10G平台实现高速网络流采集系统,称之为HSNTCS。该系统在硬件上通过精确串匹配引擎或正则表达式匹配引擎过滤、分类出所需的多种网络流后,将其传至内核驱动层对应的数据缓冲区,然后直接拷贝至用户空间并存储至对应的数据库。经实验测试,在精确串匹配情况下,用硬件方式实现的高速网络流采集系统的用户数据报协议(UDP)、传输控制协议(TCP)吞吐率都达到1.2Gb/s,约是用软件方式实现的3倍;在正则表达式匹配情况下,用硬件方式实现的高速网络流采集系统的UDP、TCP吞吐率都达到640Mb/s,约是用软件方式实现的3倍。结果表明,相对于软件实现方式,硬件实现具有更高的采集性能。     

NDIS中间驱动程序的防火墙

NDIS中间驱动程序处于小型端口驱动程序和传输协议驱动程序之间，它能够截获所有的网络数据包。本文首先分析了NDIS的内部结构和中间驱动程序的工作机制，介绍了包过滤防火墙和数据包拦截技术。在此基础上，设计并实现了一个基于NDlS中间驱动程序的包过滤型防火墙系统，包括内核态包过滤驱动程序和用户态应用程序。最后，对NDIS中间驱动程序在今后的技术应用作了探讨和展望。     

基于Windows200x的WDM体系的IP过滤实现技术

基于内容的IP包过滤技术涉及到操作系统的内核态技术.通过对比用户态及内核态的特征,分析了Windows内核态的网络编程接口,采用了WDM的驱动程序模式体系及NDIS的层次架构.遵循IRP(I/O request packet)规范,实现了具有Miniport和Protocol层的中间驱动程序,并透明钩挂,截取、分析IP包.具体给出了Windows 200X系统中实现IP包过滤的鳊程技术方案.     

基于操作系统内核的包过滤防火墙与VPN系统的研究与实现

分析了目前网络安全状况,针对TCP/IP协议的安全问题,在剖析操作系统内核的基础上,研究并设计实现了基于操作系统内核的包过滤防火墙与虚拟专用网(VPN)系统。     

基于Linux系统包过滤防火墙的实现

对防火墙的定义、主要功能、体系结构,防火墙技术中的包过滤技术进行了具体研究,构造了一个基于Linux的包过滤型防火墙系统。该系统包括数据包捕获模块、数据包过滤模块、数据包转发模块和日志与记费模块。实践证明,该包过滤型防火墙系统在保护网络安全上有良好的效果。     

Linux下内核空间以太网包的捕获设计

在Linux下通常的网络数据包捕获通过Libpcab函数框架实现,该体系下实现的包捕获存在着一些缺陷。探讨了netfilter框架在Linux内核中的实现,并利用netfilter框架进行以太网数据包的捕捉接收,经处理后实现数据包的重组发送。在内核空间处理网络数据包不仅提高了效率,减少了数据从内核空间传递到用户空间消耗的资源,而且可以截获网络上所有的以太网报文,对网络数据进行过滤和处理     

基于GPU的并行报文分类方法

 报文分类是网络设备的基本处理模式,通常采用报文过滤系统对每个报文进行分类。传统报文分类难以适应当今越来越高的网络流量,分类处理速度低于报文到达网络接口的速度,无法实现实时分析。因此,本文提出使用GPU对大规模报文集进行并行分类的方法,利用GPU的线程级并行处理能力加速报文分类吞吐率,并对其性能及优化方法进行详细分析。实验结果表明,GPU加速的Linear Search和RFC报文分类算法与纯CPU系统执行相比可达到4.4~132.5倍的加速比。     

网络数据流转发优化与流量控制研究

通过探讨网络数据流的常见捕获和过滤方法,提出了对获得的网络数据流进行检测和分类的技巧;并在此基础上实现了一种优化传递网络数据流的方法。最后指出了在网络数据流量比较大的情况下,合理分配网络资源的研究趋势。     

Linux环境下路由器中的网络带宽管理

Linux是目前广泛用于路由设备中的操作系统,而流量管理是这种网络操作系统的一个重要功能.研究了Linux系统的流量管理机制,发现当前Linux系统所采用的在网络接口的出口实现的基于网络包调度的流量管理机制缺乏对于网络带宽在系统范围的全局性的管理,也缺乏对于输入流的网络处理的有效管理和调度,从而造成不必要的CPU资源的浪费.为解决这一问题,提出了一种新颖的网络带宽管理机制,它通过调度网络协议处理所占用的CPU时间来实现带宽管理.这种新的机制将网络带宽的管理和调度从网络接口的出口点转移到处理接收到的网络包的系统软件中断处理程序中,从而克服了原来的流量管理机制的缺点.通过系统实现和对比实验,发现该机制本身给系统带来的负载小于Linux原来的流量管理机制,同时可以提供更好的流量隔离,并且能够有效地节省用于网络处理的CPU资源.     

IDC网站运营支撑系统设计与实现

针对万兆网络流量采集容易丢包和海量数据难以存储的问题,设计一种特定的网络测量方法及数据存储方式,其中包括在Linux内核TCP/IP协议栈中添加快速匹配算法以实现IP快速过滤、分布式多点采集机制对不同地点服务器进行检测、多粒度聚合对海量数据进行存储。在运营商实地环境下进行测试,结果表明,该系统能够达到预期的功能设计目标。     

High-Speed Dynamic Packet Filtering

One problem encountered while monitoring gigabit networks, is the need to filter only those packets that are interesting for a given task while ignoring the others. Popular packet filtering technologies enable users to specify complex filters but do not usually allow multiple filters to be specified. This paper describes the design and implementation of a new dynamic packet filtering solution that allows users to specify several IP filters simultaneously with almost no packet loss even on highly-loaded gigabit links. The advantage is that modern traffic monitoring applications such as P2P, IPTV, and VoIP, monitoring and lawful interception can dynamically set packet filters to efficiently discard packets into the operating system kernel according to traffic, calls, and users being monitored.

防火墙及其Linux实现

主要讨论防火墙和它的基本实现技术以及在 Linux系统下建立防火墙的原理和实现方法。介绍了L inux防火墙的内核支持数据包过滤功能、支持透明代理服务及支持 IP包伪装 (IP Masquerade)功能等特点     

数据包拦截技术研究

该文剖析了Windows 2000网络体系结构,深入探讨了Windows系统下数据包拦截技术和实现方法,并对各自的优缺点进行了分析评价。最后通过编写内核级网络驱动实现了包过滤防火墙。     

基于自相似排队模型的星上交换输入缓存分配算法

针对空间信息网络的自相似分组业务流、星上交换节点的有限缓存资源,提出一种基于自相似排队模型的星上交换输入缓存分配算法。构建了基于VOQ的空间信息网络星上Crossbar交换节点模型,依据空间信息网络业务流的自相似性,通过建立虚通道自相似排队模型,估算出各个虚通道的缓存溢出概率,再根据其溢出概率采用贪婪算法来实现缓存资源的优化分配。仿真分析了在自相似分组业务流下优化分配算法和均匀分配算法的性能。结果表明,在相同缓存开销下,优化分配算法可以有效降低分组的平均时延;在同等分组平均时延下,分组业务流自相似程度为0.8和0.6时,可分别节省缓存开销约25%和17.4%。