基于Linux高校网络防火墙的设计

在众多网络安全技术中,防火墙技术是常用的一种.本文首先分析了网络安全和防火墙的基本概念,然后设计了一种以太网综合型主机防火墙.该防火墙使用了包过滤技术,但是在传统的包过滤技术上作了较大的改进,在包过滤的规则中加入了关键字过滤规则以及基于对TCP连接状态进行监测的动态过滤规则.在该防火墙中还集成了入侵检测模块,使得防火墙能够对网络中的异常情况作出响应,提高了系统的安全性.本文中还在Linux操作系统下将该防火墙进行了实现,并对其     

基于状态检测的TCP包过滤在Linux下的实现方法

该文主要介绍了在Linux2.4内核下基于状态转换和检测的TCP包过滤的实现方法。通过对传统全状态包过滤防火墙的改进,增加了状态转换和连接序号检查,增强了防火墙的安全性。通过日志记录异常状况,系统管理员可以采用相应的措施防止潜在的攻击。     

嵌入式Linux防火墙系统研究与实现

为了构建安全可靠的网络,同时降低使用防火墙的成本,对Linux2.4内核防火墙结构Netfilter的实现机制进行了深入的研究和分析,并利用该机制设计实现了一个嵌入式Linux防火墙系统,该防火墙实现完善了包过滤、URL过滤、NAT和日志等防火墙基本功能,同时集成了非军事区（DMZ）,为Internet和Intranet之间建立了缓冲地带,以保证Intranet的安全。此外,该防火墙系统还集成了状态检测技术,可在内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性,并提供友好的管理配置界面。     

Internet防火墙在LINUX下的实现

Linux操作系统下的软件防火墙 Linux操作系统下的软件防火墙都可以免费获得。除了标准的包过滤和代理服务功能,这些软件一般还具有其他一些附加功能。 Linux内核中内置了包过滤功能,包过滤软件一般只是通过命令行对内核中的包过滤功能进行操作。由于Linux的不同内核对包过滤的支持方式不完全相同,因此,每推出一个新的内核版本,相应的包过滤防火墙软件也要进行升级。 Linux下的包过滤软件有很多。平常     

实时透明的状态检测防火墙的设计

防火墙是保障网络安全的核心设备。随着防火墙技术的发展,以包过滤和代理方式工作的防火墙已经不能满足网络安全的需要。本文设计了一个工作在双网卡PC机上的实时透明的状态检测防火墙,该防火墙基于透明网桥模式,建立在Linux的Netfilter的框架上,通过对TCP和UDP的各个状态进行实时记录和分析,维护一个在内存中的连接状态表,以实现实时的状态检测功能。     

Linux连线跟踪机制及应用

连线跟踪机制实现了根据包的状态来检测数据包,这种方式给防火墙带来更高的效率、更有力的访问控制、更强的安全能力。该文针对防火墙的传统包过滤技术及应用代理网关的缺陷,系统地介绍了基于Linux2.6内核的Netfilter框架下的连线跟踪机制,并结合实例,实现了基于连线跟踪机制对FTP协议的防火墙过滤。     

实时透明的状态检测防火墙的设计

防火墙是保障网络安全的核心设备.随着防火墙技术的发展,以包过滤和代理方式工作的防火墙已经不能满足网络安全的需要.本文设计了一个工作在双网卡PC机上的实时透明的状态检测防火墙,该防火墙基于透明网桥模式,建立在Linux的Netfilter的框架上,通过对TCP和UDP的各个状态进行实时记录和分析,维护一个在内存中的连接状态表,以实现实时的状态检测功能.     

Linux嵌入式IPtables的防火墙设计与实现

防火墙作为网络安全技术的重要手段,已成为使用最多的网络安全解决方案。在对现有防火墙技术分析的基础上,构建了一种基于Linux嵌入式Iptables的防火墙。Iptables管理工具是一种基于包过滤防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。该文是在嵌入式Iptables Netfilter框架下的构建的Iptables策略,用户可以自己编制规则来构建防火墙的过滤策略,使得防火墙具有很好的稳定性与可扩展性。本防火墙包括最基本的包过滤和网络地址转换(NAT)功能,它可以满足小型局域网安全性与网络应用,该文通过玉溪市红塔区农经站防火墙实例介绍了基于Linux嵌入式Netfilter/Iptables的包过滤防火墙的配置过程。     

防火墙流过滤技术的分析与研究

流过滤技术是对包过滤、状态检测及应用代理的一种“融合”,实现了高性能、可扩展、透明的对应用层协议的保护。分析了流过滤技术的基本原理以及实现原理,并对流过滤技术和其他防火墙技术进行了比较;详细研究了流过滤的实现过程,针对流过滤技术实现过程中的大量TCP报文重组问题,提出了一种解决方案;最后指出流过滤防火墙并不是完全透明的以及进一步研究的方向。     

基于Linux系统包过滤防火墙的实现

对防火墙的定义、主要功能、体系结构,防火墙技术中的包过滤技术进行了具体研究,构造了一个基于Linux的包过滤型防火墙系统。该系统包括数据包捕获模块、数据包过滤模块、数据包转发模块和日志与记费模块。实践证明,该包过滤型防火墙系统在保护网络安全上有良好的效果。     

Symmetry between the intentionality of minds and machines? The biological plausibility of Dennett’s account

One of the most influential arguments against the claim that computers can think is that while our intentionality is intrinsic, that of computers is derived: it is parasitic on the intentionality of the programmer who designed the computer-program. Daniel Dennett chose a surprising strategy for arguing against this asymmetry: instead of denying that the intentionality of computers is derived, he endeavours to argue that human intentionality is derived too. I intend to examine that biological plausibility of Dennett’s suggestion and show that Dennett’s argument for the claim that human intentionality is derived because it was designed by natural selection is based on the misunderstanding of how natural selection works.     

多数据流上的联机方差分析研究

多数据流上的联机方差分析是一个有意义的研究问题。针对以元组为单位流入的具有相同属性集的多支单数据流组成的多数据流,提出了分别对每支单数据流进行蓄水池抽样,构造一一对应于各单数据流的若干个多快照窗口,即两者之间是双射关系,可以将多快照窗口串行置于主存中,将元组包含的属性与多快照窗口中的各个快照窗口一一对应,且使得同一快照窗口中的各基本窗口与取自其对应的单数据流的属性值样本一一对应,然后对这些相互独立的样本进行方差分析。按顺序串行处理各个多快照窗口中的数据,就可以用串行化的方法来实现并行的多数据流上的联机方差分析。理论分析与实验表明,该方法是合理的和有效的。     

大图中子图的可测性质

对于给定的距离参数。,性质测试算法A需以高概率正确地区分给定的对象具备预定性质II与二远离性质 II。若存在II的测试算法A满足其询问复杂性独立于规模参数n,则称II是可测的。设H是一个图,性质仔了)℃。为 不含井子图的图所构成的集合。在有界度模型中,Goldreich与Ron证明了对任意连通图H,性质仔力℃。是可测 的}s}。在邻接矩阵模型中,证明了对任意图H,不管其连通与否,性质件厂re。是可测的。     

Auxiliary signal design for rapid multi-model identification using optimization

Under the assumption that one of several given models is the real underlying model of the system, a proper auxiliary signal is defined as an input signal that allows one to select the correct model. It is assumed that there is no knowledge prior to the beginning of the application of the auxiliary signal and that detection is to be done within a specified detection horizon. Under the assumption that the noise energy is bounded, a method for the computation of the minimal energy auxiliary signal is given. The new algorithm extends previous work in that it can handle more than two models and certain types of nonlinearities.     

二维熵取小法和模糊熵相结合的图像分割方法

基于二维熵的分割方法是常用的阈值分割技术,其基本假设是对象区域和背景区域占据了二维直方图的绝大部分区域,即假设对象区域和背景区域的概率和近似为1.Brink提出了通过将对象区域的熵和背景区域的熵先取小然后再取大的方法来获得阈值,该方法存在的不足是忽略了边界区域的信息对分割结果的影响,鉴于此,提出了一种结合二维熵和模糊熵的图像分割方法,先采用Brink提出的二维熵法对图像进行初步分割,再采用模糊熵作后续处理以弥补忽略边界信息带来的问题.实验结果表明,对于含噪图像,该方法的分割效果是比较理想的.     

Blind maximum likelihood identification of Hammerstein systems

This paper is about the identification of discrete-time Hammerstein systems from output measurements only (blind identification). Assuming that the unobserved input is white Gaussian noise, that the static nonlinearity is invertible, and that the output is observed without errors, a Gaussian maximum likelihood estimator is constructed. Its asymptotic properties are analyzed and the Cramér–Rao lower bound is calculated. In practice, the latter can be computed accurately without using the strong law of large numbers. A two-step procedure is described that allows to find high quality initial estimates to start up the iterative Gauss–Newton based optimization scheme. The paper includes the illustration of the method on a simulation example. A theoretical analysis demonstrates that additive output measurement noise introduces a bias that is proportional to the variance of that additive, unmodeled noise source. The simulations support this result, and show that this bias is insignificant beyond a certain Signal-to-Noise Ratio (40 dB in the example).     

基于Web-Log Mining的Web文档聚类

速度和效果是聚类算法面临的两大问题.DBSCAN(density based spatial clustering of applications with noise)是典型的基于密度的一种聚类方法,对于大型数据库的聚类实验显示了它在速度上的优越性.提出了一种基于密度的递归聚类算法(recursive density based clustering algorithm,简称RDBC),此算法可以智能地、动态地修改其密度参数.RDBC是基于DBSCAN的一种改进算法,其运算复杂度和DBSCAN相同.通过在Web文档上的聚类实验,结果表明,RDBC不但保留了DBSCAN高速度的优点,而且聚类效果大大优于DBSCAN.     

BM模式匹配算法剖析

在对典型的BF、KMP模式匹配算法进行比较分析的基础上,详细分析了BM算法.为了进一步加快算法的速度,对BM算法中已经部分匹配的移动位置情况进行改进.在原有的移动距离函数基础上增加一个新的移动距离函数,从而尽量利用已有信息进行更大的尝试位置移动,使算法具有更高的效率.通过引用具体实例,比较分析了改进前后的BM算法,结果证明改进后的BM算法的速度更快,效率更高.     

Physical Hypercomputation and the Church–Turing Thesis

We describe a possible physical device that computes a function that cannot be computed by a Turing machine. The device is physical in the sense that it is compatible with General Relativity. We discuss some objections, focusing on those which deny that the device is either a computer or computes a function that is not Turing computable. Finally, we argue that the existence of the device does not refute the Church–Turing thesis, but nevertheless may be a counterexample to Gandy's thesis.     

Untwisting a Projective Reconstruction

A method for upgrading a projective reconstruction to metric is presented. The method compares favourably to state of the art algorithms and has been found extremely reliable for both large and small reconstructions in a large number of experiments on real data. The notion of a twisted pair is generalized to the uncalibrated case. The reconstruction is first transformed by considering cheirality so that it does not contain any twisted pairs. It is argued that this is essential, since the method then proceeds by local perturbation. As is preferrable, we utilize a cost function that reflects the prior likelihood of calibration matrices well. It is shown that with any such cost function, there is little hope of untwisting a twisted pair by local perturbation. The results show that in practice it is most often sufficient to start with a reconstruction that is free from twisted pairs, provided that the minimized objective function is a geometrically meaningful quantity. When subjected to the common degeneracy of little or no rotation between the views, the proposed method still yields a very reasonable member of the family of possible solutions. Furthermore, the method is very fast and therefore suitable for the purpose of viewing reconstructions.