软件定义网络控制器安全策略部署

针对SDN(软件定义网络)环境下的安全问题,文章提出一种在SDN控制器上部署安全策略的方案,主要实现SDN防火墙的网站过滤设计。首先设计用户访问的网站的检测过滤模块,其次通过软件设计API(应用程序编程接口)方式实现网络的安全访问控制,最后设计数据库存储拦截过滤规则和拦截日志。通过系统测试表明该安全架构具有良好的可靠性应用。     

包过滤防火墙系统的设计与研究

为了实现保护信息不被窃取或破坏,设计了一款个人防火墙。该防火墙集成了个人防火墙中普遍采用的两种包过滤方法,即通过内核态下的网络封包拦截获得网络数据包的进程、端口、协议等详细信息,根据协议和端口规则对网络数据封包进行处理;同时,通过用户态下对应用程序数据包的拦截来设置自己的应用程序规则来进行过滤。采用推理机实现过滤规则的动态生成;提高了包过滤防火墙的性能,能更好地保证网络信息的安全。     

基于SDN网络的防火墙系统设计与实现

软件定义网络（SDN）作为新的网络技术,能很好地满足现在对网络规模和性能的要求。为了进一步提升SDN网络的安全性,文章对SDN网络的防火墙系统进行了研究,利用控制平面与数据平面分离的特点,采用控制平面对网络集中进行实时监控与网络管理,在SDN控制器中实现数据包过滤与入侵监测,通过自定义数据转发和安全策略,实现集中式安全控制,最终实现网络安全性能提升。     

基于Windows内核态个人防火墙的设计与实现

为了提高防火墙对非法数据包的拦截能力,增强Windows主机上网的安全性,设计并实现了一个基于Windows内核态的个人防火墙。它由应用程序和驱动程序2部分组成,其中应用程序负责对数据包进行实时监控以及安全规则实现,并向用户报告防火墙的运行状态或安全事件;基于NDIS中间层驱动程序对数据包进行拦截,采用设备输入和输出控制（IOCTL）方法实现内核态进程与用户态进程间的通信。测试结果表明,该防火墙能在Windows平台下稳定运行,能够有效拦截非法数据包。     

基于操作系统内核的包过滤防火墙系统的设计与实现

主要研究如何通过基于Windows操作系统内核的包过滤防火墙系统来实现网络安全防护.基于操作系统内核的包过滤防火墙系统是基于网络层实现的包过滤防火墙系统,该系统要求能够对所有进出计算机的IP数据包进行灵活控制,实现包过滤的核心问题是如何截获所有的IP数据包.首先介绍了包过滤防火墙的基本结构和原理,然后在剖析操作系统内核的基础上,研究并设计了基于Windows操作系统内核的包过滤防火墙系统.     

IPv4／IPv6过渡阶段防火墙设计与实现

针对IPv4向IPv6过渡阶段网络的特殊性,分析了IPv6-in-IPv4隧道技术给网络带来的安全威胁。通过需求分析及防火墙框架设计,实现了基于Netfilter框架的Trans防火墙,Trans防火墙功能较为完善,不仅能够过滤普通的IPv4数据包,而且能够检查和过滤IPv6-in-IPv4封装数据包,并实现了过滤规则的动态配置以及日志记录等。最后,对Trans防火墙进行测试,结果表明Trans防火墙能够很好地对不同协议类型的数据包进行检查及过滤,从而为有效地防止隧道攻击提供了安全保证。     

可添加规则的创新防火墙设计与实现

个人防火墙一般都是采用包过滤的方式实现的,且大多数的包过滤防火墙只在应用层过滤数据包,不能捕获所有的数据包,安全性较低;而采用内核层的IP过滤钩子驱动则能对所有IP数据包进行过滤,安全性较高。在制定包过滤防火墙的过滤规则前,用户往往需要捕获流经当前主机的数据包进行分析,尽可能地判断出哪些数据包是病毒、木马等非法数据,然后有针对性地制定防火墙规则,才能更有效地阻断恶意数据,保证合法数据的安全。文章正是针对以上两个方面,开发了一个融合抓包和包过滤于一体的防火墙。该防火墙利用内核模式下的IP过滤驱动,来实现防火墙的包过滤功能,提升防火墙的安全性和健壮性。同时调用Winpcap库中的函数,在程序上添加一个抓包模块,为分析数据、制定防火墙规则提供方便。     

DNS服务器也需智能化

上海西默智能DNS服务器是一款专用的DNS解析服务器，整个系统由DNS服务器（硬件）＋嵌入式DNS软件系统组成。可以提供域名管理、域名查询统计、监控及报警、无限ISP区域设置．多用户管理、操作日志等功能；采用硬件防火墙的硬件体系，系统软件采用嵌入式操作系统．自带完备的防火墙功能；用户操作界面采用中文Web管理界面，简单易用。     

一种包过滤防火墙的设计与优化

在网络技术飞速发展的今天,黑客和病毒每年给互联网用户带来了巨大的损失,个人防火墙应运而生.个人防火墙一般都是采用包过滤的方式来实现的.包过滤型防火墙如果在应用层过滤数据包,因不能捕获所有的数据包,安全性较低;而工作在NDIS层的包过滤型防火墙,则能对所有数据包进行过滤,安全性较好.文章设计并实现了一个包过滤型防火墙系统,在windows 内核中截获数据包,并通过采用多线程等技术进一步优化了包过滤的性能.     

包过滤防火墙策略的应用

在TCP/IP网络中,包过滤防火墙的策略制定是至关重要的。策略就是让包过滤防火墙在转发数据包之前打开TCP/IP封装,检查进出网络的数据包的各种属性,决定是否允许该数据包通过防火墙。文中对TCP、IP数据包进行了描述,给出了一些策略实例。     

全要素SDN指纹攻击及其模糊混淆防御机制研究

软件定义网络（Software-Defined Networking，SDN）的"三层两接口"架构使攻击者可以通过分析数据包往返时延分布规律推测网络类型、控制器类型及关键流规则等指纹信息.目前SDN指纹攻击及其防御研究基本处于空白状态，为此，本文系统构建了全要素SDN指纹攻击链，并在双重时间维度分别设计了概率加扰和控制器混淆调度防御机制，通过渐变概率加扰与最优混淆调度协同提升SDN指纹信息隐藏度.实验结果表明该机制能够在有效隐藏SDN指纹信息的同时减少对网络性能的影响.     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

算法生成恶意域名的实时检测

当前对算法生成域名技术的检测,检测所用时间周期过长,无法对算法生成的恶意域名进行快速检测。针对此问题,本文基于新增域名与已分类恶意域名之间的关联关系,提出一种算法生成域名的实时检测方法,并在某省运营商DNS服务器机房部署本系统,实验验证本检测方法。实验表明与已有方法相比,本方法能够快速筛选用于恶意网络行为的算法生成域名。但本方法需要消耗大量的计算资源和内存资源,需要在后续的工作中研究解决。     

ISS和中软国际共同推出Proventia产品

Proventia能够通过单一引擎,在一次数据传递过程中查找所有可能存在的恶意内容,从而实现了抵御多种威胁的目的。我们以电子邮件检测为例,借助组合检测功能,Proventia只需对电子邮件数据包检测一次,这种组合功能包括防病毒、防火墙、入侵预防、内容以及垃圾邮件过滤和分析,所有功能均以并行模式运行,而不是按顺序依次执行。只需执行一次事件日志记录,而用户也只需要面对一个管理系统。在单一数据包检查过程中,Proventia 能够对病毒、蠕虫、垃圾邮件、不需要的Web内容、恶意应用程序以及黑客攻击进行识别和拦截。单一引擎多重功能Proventia…     

域名系统高可用性方案设计与实现

DNS系统是互联网重要的基础设施,一旦因软硬件故障、遭受攻击、负载过重等原因变得不可用,将导致用此DNS系统的用户无法访问所有互联网上的域名,从而使网络基本处于瘫痪状态。对DNS系统的安全防护应从物理安全、主机安全、网络安全、应用及数据安全、威胁防护五个方面进行考虑,应对DNS系统通过负载均衡等技术进行高可用性设计。     

基于域名的恶意行为检测技术

文章首先对域名恶意行为进行简述;然后从域名恶意行为生成机制、相似性、跳变性和互通性四个维度介绍现有的基于域名的恶意行为安全检测技术;之后从DNS流量检测系统和基于DNS数据挖据技术两个维度介绍现有的检测系统;最后展望了恶意域名检测的发展方向。     

基于Windows的网络数据包拦截技术

所有基于Windows操作系统的个人防火墙核心技术点在于Windows操作系统下网络数据包拦截技术。主要研究在Windows操作系统下常见的网络数据包拦截技术及实现方法。     

一种SDN中基于熵值计算的异常流量检测方法

摘要：软件定义网络（software defined networking,SDN）是一种新型网络创新架构,其分离了控制平面与转发平面,使得网络管理更为灵活。借助SDN控制与转发分离的思想,在SDN基础上引入一个集中式安全中心,在数据平面设备上采集数据,用于对网络流量进行分析,通过熵值计算和分类算法判断异常流量行为。对于检测到的网络异常情况,安全中心通过与SDN控制器的接口通告SDN控制器上的安全处理模块,进行流表策略的下发,进而缓解网络异常行为。通过本系统可以在不影响SDN控制器性能的情况下,快速检测网络中的异常行为,并通过SDN下发流表策略对恶意攻击用户进行限制,同时对SDN控制器进行保护。     

未来网络安全工具:混合型防火墙

该防火墙结合了包过滤防火墙和应用级代理的特点.它同包过滤防火墙一样能够通过IP地址和端口号,过滤进出的数据包,也能够检查SYN和ACK标记和序列数字是否逻辑有序.另一方面,它也能象应用级代理一样,在应用层上检查数据包的内容,查看这些内容是否能符合既定的网络安全规则.     

IPv6下上网行为管理系统的设计与实现

在对IPv6环境下HTTP协议分析技术研究的基础上,设计并实现了基于IPv6协议的上网行为管理系统。介绍了HTrrP的工作原理,阐述了如何在IPv6网络环境下通过旁路监听方式获取数据包,并通过协议分析技术,对HTTP会话进行归类分析和内容还原,根据既定规则进行特征匹配,通过TCP拦截技术过滤信息流,实现内容控制,防止机密外泄,实现上网行为管理功能,并给出了实现过程。