BPF的实现机制分析与性能优化研究

BSD包过滤器(BSD Packet Filter,BPF)是BSD Unix操作系统提供的网络数据包捕获及过滤机制的内核组件。该文描述了BPF的组成及工作过程,分析了BPF采用的无环控制流图过滤模式,介绍了此模式基于虚拟机的实现。为了提高过滤器性能,必须解决BPF虚拟机指令生成器处理多个过滤条件组合时存在的指令冗余问题,通过引入静态单赋值(SSA),结合冗余谓词消除和窥孔优化等技术,可以有效缩短CFG图的平均路径长度,从而实现对过滤器性能的优化。     

基于BPF模型的包捕获与过滤机制的研究及应用

通过对网络监听原理、BPF工作过程以及BPF过滤模式的分析,阐述运用BPF在实时操作系统vxWorks环境下实现网络监听与包过滤技术的具体方法,同时对其过滤性能给出了评测.     

BSD包过滤器(BPF)的研究与改进

BSD包过滤器(BSDPacketFilter,简称BPF)位于BSDUnix的内核中,它独立于TCP/IP协议栈,为应用程序访问数据链路层提供了一个原始接口,被广泛地运用在网络监控及其它软件中,如tcpdump。论文对BPF进行了研究,并对其在以太网卡被设置成混杂模式时存在的问题,在FreeBSD4.7上进行了改进,从而也使BPF为应用程序提供了一个更友好的接口。     

基于URL的网页内容过滤器的设计与实现

讨论了基于URL的网页内容过滤器的设计与实现。通过对Linux系统内核模块的分析,设计通过网络包截获、网络包过滤两个步骤进行过滤器的实现。在设计过程中,探讨并实现了URL阻挡树模型、七下层通信的技术（上下层大规模数据传输和内核主动发信号给进程的技术）和包的截获技术。     

网络嗅探器Sniffer软件源代码浅析3:采用Libpcap库的通用设计

在BSD数据包过滤器（BPF）的基础上,对Libpcap库函数接口作了简单的介绍,并给出了采用ibpcap库的通用Sniffer设计实例,通过这一系列的文章介绍,希望能够阐明网络Sniffer软件的整体设计思路,对应用程序设计人员有所帮助。     

基于专业过滤器的网络管理与安全系统

本文介绍了基于专业过滤器的网络管理与安全系统的设计和实现过程,该系统结合了包过滤、用户认证、计费和数据加密等多种技术。由屏蔽路由器、屏蔽主机等实现的包过滤器出于本身的安全、性能和复杂性等考虑,其过滤策略很难改变,用户不能参与管理帐户权限。本系统借鉴了代理服务器中的用户认证功能,使用户可参与管理自己的帐户权限,可有效地防止合法ＩＰ地址的非法盗用。同时,由于采和了硬件加速和包过滤技术,可得到较高的吞吐     

基于Libpcap和Libnids的网络入侵检测系统(NIDS)设计与实现

本中设计并实现了一种在RedhatLinux操怍系统下基于Libpcap、Libnids和Boyer—Moore算法的网络入侵检测系统,重点阐述了该系统的体系结构,入侵规则库的建立,基于BPF过滤机制的Libpcap数据包捕获技术,利用Libnlds实现IP分片重组和TCP流重组技术,以及网络入侵检测系统中字符匹配Boyer—Moore算法等关键技术。     

SPI网络封包的过滤研究

针对防火墙缺少对内网数据监控的缺陷,本方在对SPI的研究基础之上,设计了一种网络封包过滤和监测系统.通过LSP程序实现网络封包的拦截和过滤,并利用Windows消息实现底层与界面应用程序的数据共享,最终实现对内网数据的监控及过滤.     

基于Linux和改进BM算法的入侵检测系统的研究与实现

网络入侵检测系统是近年来发展较快的一种网络安全技术。提出并实现了一种在Linux下的网络入侵检测系统,分析研究了该系统的架构,数据包过滤器BPF模型,网络数据截获模块的设计方案,以及改进的Boyer—Moore字符匹配算法的具体实现等关键技术。     

一种网络不良图像过滤软件框架

网络信息监控技术针对网络中不良信息传播的问题,运用网络数据捕获、流量处理和内容过滤等技术实现对网络信息传播的有效监管.而不良图像过滤软件的架构是互联网信息监控中的一个关键问题.文中针对以BHO技术实现的图像过滤器插件存在的对非IE内核的浏览器无效等缺陷,设计并实现了一种基于Winsock SPI技术的图像过滤软件开发框架.实验表明,该图像过滤软件框架具有良好的普适性和兼容性,并对其它网络信息过滤软件的开发具有一定的借鉴作用.     

基于BPF包过滤机制的数据采集系统的设计与实现

为了捕获校园网中访问各个数据库检索系统的数据包，利用BPF包过滤机制、以太网的广播传输特性等技术设计和实现数据采集系统。同时为了提高了系统的效率，还引人多线程技术，使得数据采集系统在同一时刻既能采集数据包又能实时处理数据包并写入后台数据库中。     

入侵检测系统中数据包截获技术的研究和设计

介绍了两种重要的网络数据包截获机制,SOCKET-PACKET套接口和BPF过滤机制,然后介绍了Unix下的支持BPF的一种常用的数据包截获技术：Libpcap库,给出其常用的函数,并总结设计出了一个通用的数据包截获程序框架。基于开源入侵检测系统Snort的源代码,详细分析了Snort如何调用Libpcap以实现网络数据包的截获,对该框架进行了进一步的证实和阐述。网络数据包截获机制在其它领域也有广泛的应用,该研究提出的设计思路对于相关开发人员具有重要的参考价值。     

源端网络检测与抑制DDoS方法设计与实现

提出了一种源端网络DDoS攻击检测的方法。本方法基于BPF包过滤在源端网络的网关上监控数据包,通过计算网络报文的目的IP地址的信息熵进行可疑流量的检测,最终进一步使用连接跟踪的技术对可疑流量进行判别。本方法可以有效的鉴别出SYN Flood的流量,并在源端网络中直接拦截,节省计算资源。     

基于FPGA的3G数据包过滤算法设计及实现

本文以FPGA为平台,设计了在TD-SCDMA分组域中实现数据包截获和过滤的系统框架以及基本功能模块,结合Bloom Filter等算法的特点提出了Hash算法实现数据包过滤,并用Verilog语言实现,程序下载至FPGA开发板进行了实测。结果表明,在大规模用户群中均匀抽取部分用户进行监管时,过滤设备可以线速地处理GTP数据包并完成设定用户的过滤。     

Deep packet inspection using parallel bloom filters

There is a class of packet processing applications that inspect packets deeper than the protocol headers to analyze content. For instance, network security applications must drop packets containing certain malicious Internet worms or computer viruses carried in a packet payload. Content forwarding applications look at the hypertext transport protocol headers and distribute the requests among the servers for load balancing. Packet inspection applications, when deployed at router ports, must operate at wire speeds. With networking speeds doubling every year, it is becoming increasingly difficult for software-based packet monitors to keep up with the line rates. We describe a hardware-based technique using Bloom filters, which can detect strings in streaming data without degrading network throughput. A Bloom filter is a data structure that stores a set of signatures compactly by computing multiple hash functions on each member of the set. This technique queries a database of strings to check for the membership of a particular string. The answer to this query can be false positive but never a false negative. An important property of this data structure is that the computation time involved in performing the query is independent of the number of strings in the database provided the memory used by the data structure scales linearly with the number of strings stored in it. Furthermore, the amount of storage required by the Bloom filter for each string is independent of its length.     

基于FPGA实现的报文分类智能网卡

一般的网络安全应用软件,只对网络中的某类报文进行处理,基于通用的网卡采集网络数据,会收到大量的无用报文,降低系统效率。本文基于FPGA和零拷贝技术,设计并实现了一种智能网卡,将报文分类过滤工作下移到网卡硬件中实现,智能网卡完成了网络数据包报文捕获、报文分析、规则匹配等工作,可以过滤掉无用报文,只把应用关心的报文提交给到主机系统。与普通网卡相比,智能网卡可以有效提升网络数据采集的效率。     

无线传感网络2色BMP图像监测系统的设计

该系统应用在环境监控的无线传感网络终端,是一种获取无线传感网络传输中的2色BMP图像的实时网络监测系统.以Visual C#.NET为开发环境,采用C#基于原始套接字(Raw Socket)的网络监测,将网卡设为混杂模式来接收通过本地网卡的所有数据包,然后通过过滤原始数据包得到UDP协议包,再通过过滤传输层数据得到BM...     

访问控制列表的优化问题

访问控制列表(access control list,简称ACL)是解决和提高网络安全性的方法之一,但访问控制列表应用在网络设备的接口上将降低网络设备的性能.当ACL条目达到一定数量后,很难进行人工处理,根据一定算法进行ACL自动优化显得尤为重要.在深入研究ACL优化问题的基础上,考虑到一条语句与多条语句之间或多条语句与多条语句之间的交叉覆盖或包含关系,对ACL的全局优化问题进行了形式化描述,得出了3个有用的推论,并提出了一种ACL的近似优化算法.通过模拟实验表明,性能优于同类商业产品.该算法可以作为AC