基于Winsock 2 SPI包过滤防火墙的实现

介绍基于Winsock2SPI包过滤防火墙的实现方法。包过滤防火墙采用了工作在应用层的Winsock2SPI作为其核心技术,利用其进行编写动态链接库(DLL),用户通过调用DLL实现数据包的过滤。此方法具有编程、调试方便、容易实现内容过滤等优点,在防火墙方面得到广泛的应用。     

Linux平台下网络入侵防御系统的研究与实现

针对防火墙和入侵检测系统在网络安全防御上存在的缺陷,本文提出了一个在Linux平台下,基于两层防御机制的网络入侵防御系统．该系统扩展了网关防火墙的入侵检测功能．实现了网关防火墙对攻击的最初防御,增加了入侵检测系统Snort的联动响应功能,Snort对逃避了网关防火墙检测的复杂攻击进行再次防御．实验结果证明,两层防御机制对大规模的蠕虫攻击起到了实时抵制作用．     

网络防火墙分析与实现

防火墙作为一种网络安全工具已得到广泛的应用,文章结合当今的防火墙技术,给出了一个网络防火墙的设计方法,利用Winsock2 SPI编程接口,编写自己的基础服务者,实现一种安全的防火墙结构.     

防火墙安全性攻击测试的设计及实现

防火墙作为网络安全领域最主要的防御手段,它的安全性至关重要。本文通过研究网络安全评估理论、防火墙系统以及其测试方法方面的理论,结合现有的一些著名安全攻击测试方案,提出了一种针对防火墙系统的安全测试模型,扩充并丰富了防火墙系统的安全测试方法。从攻击方式上准确地测试了防火墙系统的安全。     

公钥基础设施与企业网络应用安全方案

企业既需要发展自己的网络,又常常连接到Internet网上,络网络安全带来外忧(外部攻击)和内患(内部攻击),而且网络上开发运行的应用程序还存在身份识别和信息保护的问题.因此传统上采用的防火墙和IDS等安全防御措施对各种安全需要而言是不够的.针对企业网络应用的需要,提出了一种采用PKI机制的比较实用的企业网络应用安全方案.     

一种状态检测防火墙的攻击防御机制

讨论了一种在Linux操作系统内核防火墙的攻击防御机制,提出了检测网络攻击的机制和总体架构。在Linux操作系统防火墙的基础上构建了攻击防御框架,针对不同的攻击模式,该框架提供相应的状态检测方法判定攻击的发生并使攻击不能成功。提出的攻击防御体系具有通用、可扩展的特点,可以有效克服传统包过滤防火墙在抗攻击和入侵检测方面的局限性。结果表明:该攻击防御机制可以显著改善防火墙系统的IP安全性。     

TOChain:一种高性能虚拟网络安全服务功能链

为了优化基于网络功能虚拟化（NFV）的安全服务功能链（NS-SFC）的性能,提出了基于TCP Offloading的虚拟网络安全服务功能链（SFC）--TOChain,解决了重复收发网络包的问题;提出了面向吞吐率保证的强同步周期性CPU调度算法,在虚拟网络功能（VNF）与用户虚拟机混合部署的场景下实现网络吞吐率性能保证与调度公平性.基于KVM虚拟化平台实现了原型系统,并对由防火墙、入侵防御系统和应用层防火墙3种VNF构成的NS-SFC进行了不同负载下的性能测试.结果显示,与传统SFC相比,TOChain能够以较低的CPU资源占用率达到更高、更稳定的网络性能;在轻度和中度网络流量负载下,采用强同步周期性调度算法都能够达到与所设定的吞吐率极为接近的网络性能,即便是在重度负载下,也能实现用户虚拟机间的调度公平性.     

基于Linux Netfilter的DDoS防火墙设计

分布式拒绝服务攻击(DDoS)作为网络攻击中的一种重要手段,对网络安全的威胁日益严重。文章在分析当前常用的防火墙技术以及Linux Netfilter防火墙框架基础上,应用状态检测技术,设计了一款基于Netfilter框架的DDoS防火墙。验证结果表明,该防火墙能够较好的防御DDoS攻击。     

基于“写”操作的Web安全防护系统的研究

在当前的网络环境下,“Web体系”成为网络上最常见和实用的网络应用系统.针对“Web服务系统”的攻击也层出不穷,传统的网络安全系统(防火墙+入侵防御系统)难以应对.文章从网络安全的角度,分析了现有“Web系统”的安全问题,以及现有“Web系统”在应对网络攻击行为时的不足.针对“Web系统”受攻击时会在服务器上进行“写”操作的特点,在网络上对Web服务器上的“写”行为的数据流进行安全监测和管理,来保证Web应用系统的安全.探讨了一种新的网络安全防护的思路.     

基于测量的网络安全平台

网络安全保障需要为用户提供一种公共的基础设施,以支持面向公众的网络安全服务。提出了基于测量的网络安全平台MbNSP（measurement—based network security platform）,即以网络测量为基本手段,收集和分析计算网络实体的安全特性,为应对网络中各类已有或潜在的安全威胁提供检测、追踪和响应等基本服务支持的网络基础设施。讨论了MbNSP与网络安全产品的对比以及MbNSP的组成,阐述了MbNSP的3层体系结构,即通用安全测量层、网络安全接口层和安全服务与应用层。该平台可以为用户提供安全检测、安全追踪和安全扫描等服务。     

网络安全防御技术及发展

近几年随着网络的发展,网络的安全问题越来越引起人们的关注。国人在网络安全、安全技术、安全管理等方面有了大幅度的提高。就防火墙技术做一些探讨,希望借此使国产防火墙有所提高和发展。另外也将介绍一种网络安全的整体防御体系,作为一种网络安全防御体系的发展方向与大家共同探讨。     

基于Android手机智能防火墙的研究与设计

针对Android手机平台遇到的相关安全问题进行解析,提出并设计了Android智能防御策略,实现了通讯防骚扰、应用权限管理和程序联网监控等智能防御方法。即利用Android系统广播机制的公开性和全局有效性,提出相关的通讯监听器对来电和关键字及其语义的短信进行智能过滤;利用系统Framework层日志加载的实时性和准确性,设计出软件启动日志信息的扫描器对第三方应用启动进行监控;利用Android系统是基于Linux 2.6.x内核开发并自带IP包过滤系统的特性,设计了应用联网限制的易用脚本的前台系统。通过全面的功能性测试,验证了该智能防火墙能为Android智能手机用户提供安全和隐私的实时保护。     

GTP隧道管理消息状态分析

为解决3G网络本身的安全问题，在了解GTP协议结构的基础上，设计出GTP隧道管理消息的状态机。通过对隧道管理消息的状态进行跟踪分析，阐明防火墙对GTP包状态的监测原理，为针对GTP协议攻击的防御研究提供了新的研究视角和分析途径。     

基于被屏蔽子网混合型智能防火墙设计与实现

分析了传统防火墙存在的缺点,探讨了网络IP层、应用层信息在防火墙安全策略制定过程中综合运用的方法,研究了防火墙过滤规则自动产生、自动配置的途径,提出了一种基于被屏蔽子网的混合型智能防火墙模型,它可以克服包过滤防火墙效率高但规则难制定,应用代理防火墙规则针对性强,但工作效率低的矛盾,同时也可克服传统防火墙对未列出的黑客攻击不予理会的弊病。     

基于三层攻击图的入侵意图自动识别模型

针对预测入侵意图、发现网络漏洞困难等问题,提出了基于三层攻击图的入侵意图自动识别方法。该方法通过对底层报警数据的分析,建立了网络的三层攻击图,并通过对入侵意图的概率分析来定量攻击图。最后,通过最小关键点集生成算法来发现网络中的关键主机,从而为管理人员提供正确的网络安全策略。经验证,这种入侵意图自动识别的方法可行、有效,且具有简单易行等特点。     

一种ARP攻击及其相关的安全策略

在以交换机为基础的以太网环境下,通过研究子网络第二层中的ARP攻击方法,我们发现了ARP静态防御的漏洞,提出了一种能够有效防御ARP攻击的新的安全策略,并用实验验证了该安全策略的有效性,此策略对网络安全具有一定的参考意义.     

Web服务器应用层慢速DDoS攻击防御研究

DDoS攻击会导致Web服务器无法向用户提供正常的服务.应用层DDoS攻击不同于网络层DDoS攻击,所有应用层DDoS请求都是合法的.慢速DDoS攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程.攻击者和Web服务器建立正常的HTTP连接以后,通过各种方法保持这个连接,从而占用服务器大量的资源.对应用层慢速DDoS的原理进行分析,并提出了相应的防御方法,能提高服务器抗DDoS攻击的能力,从而有效地提升服务器的安全性能.     

利用iptables工具构建网络防火墙

在VMware虚拟机软件中构建网络防火墙的环境,并在Linux系统中利用iptables工具构建一个包过滤型网络防火墙,可以满足中小企业网络安全的需要。     

一种应用层分布式拒绝服务攻击快速检测方法

提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击行为的差异,构建了检测自动机模型。该方法将应用层协议用户行为抽象成一系列协议关键字的交互,主要根据应用层协议关键字的统计特征生成用户行为统计特征向量,构造基于逼近理想点排序算法的模型分类器,同时对模型进行训练得到最优分类距离阈值,从而对DDoS攻击行为作出判定。高速网络环境下的测试结果表明了此方法的有效性。     

基于USB2．0的数字卫星接收器的设计

本文介绍基于USB接口的数字卫星接收器的设计，就USB控制芯片接口电路的设计和工作方式作了详细的探讨，并对系统设计和软件的实现作了阐述。在USB通用驱动程序上作底层驱动设计，系统能很好的管理该设备和节目数据的存储，对应用层的播放功能提供了很好的支持。