TCP／IP网络的网关与安全

本文讨论了ＴＣＰ／ＩＰ网络中的安全问题，分析了自动网关存在的安全缺陷，提出了程序网关的概念，给出了程序网关在ＴＣＰ／ＩＰ网络中的实现的方法。     

透明网关与透明代理结合的防火墙的设计与实现

叙述了一种透明网关和透明代理结合的防火墙的设计与实现。给出了所设计的透明网关与透明代理的详细工作原理，讨论了两者的配合运行，描述了该防火墙的透明特性和安全特性，最后给出了在Linux系统下的具体实现。     

安全网关优化

安全网关是网络安全的重要手段，既能控制网络行为，又能保证信息安全传输．但是，安全网关的协议变换操作和数据加密封装，增加了系统的复杂度和CPU的负荷，降低了安全网关的性能．重点研究安全网关的软件结构优化和系统性能优化．在系统软件结构优化方面，抽象出安全网关的原子操作集及操作序列表达式，并改进了安全网关的访问控制表；在系统性能优化方面，本文提出了安全快速处理算法．实验结果表明，新的算法和软件结构大大提高了安全网关的吞吐率，降低了分组处理延时，保证策略数目不会影响吞吐率的变化．     

基于改进SM3的配电网络安全网关系统研究与实现

为提高配电网络安全，提出了一种配电网络安全网关系统。该系统包括配电网络防护终端、交互网关接入区及主站防护区这3个子系统。为确保数据的机密性和完整性，系统应用改进SM3算法对通信内容进行加密，从而确保数据的唯一性和可靠性。通过测试分析，与经典SM3算法的运行情况相比，改进后的SM3算法总运行时间减少将近26.9%。其中，压缩函数的效率显著提高了28.7%左右，证明了改进方案能有效提高SM3算法的运行效率。同时，对比了正常通信情况及网络安全威胁情况下，系统运行时主站和终端发送和接收验证包数量。对比结果表明，该系统能够应对网络攻击来验证系统的安全性。测试结果验证了所提系统在执行效率及安全性能方面的有效性。     

Linux下基于Squid的多能代理系统与透明网关解决方案

本文给出一个Linux下基于Squid的多能代理系统与透明网关解决方案，允许内部网络通过NAT透明网关访问外部网络的同日寸，并给出外部网络分享Squid缓存的方法，同日寸给出一套端口密码动态切换和自动封禁的机制。通过在网关开设硬盘空间存放缓存，可以提高40％网络请求的访问速度，效果良好。     

安全网关测试系统的研究

本文依据技术标准《GA/T 681网关安全技术要求》与《RFC2544》对边界安全网关设备的访问控制功能测试及其性能测试进行了研究,最后提出了自动化测试的实施方法。     

万兆时代的安全网关

随着互联网应用越来越广泛,骨干网上的数据量越来越大,致使相应的网络安全产品规格也越来越高。作为企业内网与外网连接的咽喉要道—安全网关,自然需要承载更多的任务,于是从百兆到千兆、再到万兆的安全网络产品纷到沓来。文中以联想万兆级安全网关产品为例,论证了万兆安全网关的出现不仅仅是带宽上的简单变化,更多的是核心技术的发展和更新。     

支付网关功能及安全浅析

支付网关是银行金融网络系统和英特网网络之间的接口。本文对支付网关的概念、功能和工作流程进行了相应的分析。并对支付网关的安全要求和安全技术进行详细研究。     

一种基于协议分析的半代理HTTP病毒网关的设计与实现

本文在分析现病毒网关原理基础上,提出了一种基于协议分析的半代理HTTP病毒网关,较详细论述了该网关的设计原理和若干关键技术实现,最后用实验进行了验证。实验结果表明,用该防病毒网关系统,性能比传统的普通模式、透明模式的网关有大幅度提高。     

基于安全网关搭建福州大学至诚学院网络全方位安全系统

本文针对安全网关及其特点,结合福州大学至诚学院网络管理和应用的实际,提出构建一个基于安全网关的福州大学至诚学院网络安全架构的设想。     

基于DPDK的高速数据包捕获方法

不断增大的网络带宽给人们提供了丰富的网络应用和服务的同时,也给传统的数据俘获系统带来了挑战.本系统基于Intel数据平面开发套件（Data Plane Development Kit,DPDK）设计了高速网络数据包捕获软件.能够更好适应目前校园网高速网络数据包捕获的要求,为网络数据包分析提供技术支持.最后,本文对基于DPDK的数据包捕获系统和传统Libpcap进行了实验结果对比,表明基于DPDK的数据包捕获系统能够明显提升高速网络出口数据俘获的性能.     

一种基于高速网络的WebShell综合检测溯源技术研究与实现

WebShell是常见的Web脚本入侵攻击工具.攻击者将WebShell植入网站服务器后可对网站服务器进行控制,获取服务器操作权限.WebShell通常嵌套在正常网页脚本中,具有极强的隐蔽性,对网站自身及访问者带来极大危害.针对这些问题,文章提出一种基于DPDK的高速网络流量分析检测技术,在高速网络环境中对网络流量进行...     

面向高速网络流量的加密混淆型Web Shell检测

WebShell是一种常见的Web脚本入侵工具。随着流量加密和代码混淆等技术的逐渐发展,使用传统的文本内容特征和网络流特征进行匹配的检测手段越来越难以防范生产环境下复杂的WebShell恶意攻击事件,特别是对于对抗性样本、变种样本或0Day漏洞样本的检测效果不够理想。搭建网络采集环境,在高速网络环境中利用数据平面开发套件（DPDK,data plane development kit）技术捕获网络数据包,标注了一套由1万余条不同平台、不同语言、不同工具、不同加密混淆方式的WebShell恶意流量与3万余条正常流量组成的数据集;通过异步流量分析系统框架和轻量型日志采集组件快速地解析原始流量,并融合专家知识深度分析几种流行的WebShell管理工具通信过程中的HTTP数据包,从而构建面向加密混淆型WebShell流量的有效特征集;基于该有效特征集使用支持向量机（SVM,supportvectormachine）算法实现对加密混淆型WebShell恶意流量的离线训练和在线检测。同时,利用遗传算法改进参数搜索方式,克服了由人工经验设置参数方位以及网格搜索陷入局部最优解的缺点,模型训练效率也得到...     

大规模软硬协同哈希表设计与实现

哈希表在网络报文处理,尤其是带状态的报文处理中发挥着重要作用.伴随着网络流量的快速增长,传统软件哈希表难以满足网络性能需求,而查找是影响哈希表性能的关键之一,如何提升哈希表的查找速率也一直是一个难点问题.经研究表明,现有的网络流量呈现Pareto分布特征,即存在少数的大流量数据——大象流.基于当前数据中心广泛采用的软硬协同计算模式,提出了一种基于DPDK+FPGA的大规模软硬协同哈希表架构.根据现有网络流量特征,将流量分成大象流与背景流.同时也将哈希表分成硬件表与软件表.在FPGA中构造小规模硬件表,卸载所有报文的哈希计算,以及大象流的哈希查找.在软件中基于DPDK构建大规模软件表,利用FPGA卸载哈希计算,加速背景流的查找.软件拥有所有流信息,利用采样法识别大象流并将大象流的键值对信息(key-value)更新到FPGA的硬件表中,以加速软件中大规模软件表的查找速率.采用Xilinx U200加速卡和通用服务器作为硬件平台,实现了软硬协同的大规模哈希表,并利用测试仪构造了符合当前网络特征的流量数据,以DPDK精确转发为例,验证了软硬协同哈希表的性能.结果表明,在大象流哈希查找完全卸载...     

基于多核平台的高速网络流量实时捕获方法

随着互联网上应用的丰富和网络带宽的增长,带来的安全问题也与日剧增,除了传统的垃圾邮件、病毒传播、DDoS攻击外,还出现了新型的隐蔽性强的攻击方式.网络探针工具是一种部署在局域网出口处的旁路设备,能够收集当前进出网关的全部流量并进行分析,而网络探针工具中最重要的模块就是数据包的捕获.传统的Linux网络协议栈在捕获数据包时有诸多性能瓶颈,无法满足高速网络环境的要求.介绍了基于零拷贝、多核并行化等技术的多种新型的数据包捕获引擎,并基于Intel DPDK平台设计并实现了一个可扩展的数据包捕获系统,它能够利用接收端扩展(receiver-side scaling, RSS)技术实现多核并行化的数据包捕获、模块化的上层处理流程.除此之外,还讨论了更有效、更公平的将数据包分发到不同的接收队列所应使用的Hash函数.经过初步的实验验证,该系统能够实现接近线速的收包并且多个CPU核心间实现负载均衡.     

基于DPDK的高速存储I/O优化方法

网络I/O在Redis存储过程中是限制存储性能的关键因素,而默认参数或人工参数配置会制约存储性能。针对参数配置不当导致存储吞吐性能下降及时延较高的问题,提出一种存储I/O优化方法GTS。考虑各阶段参数对存储性能的影响,在DPDK的优化原理基础上通过分析处理特性,采用分层模型策略实现对存储性能预测,从而寻找出最优参数调优方案。实验结果表明,与默认参数相比,GTS方法能够有效提升存储吞吐量,且在写密集下较ATH算法具有更低的时延。     

基于DPDK并行通信的动态监控模型

为了更好地发挥通信系统的性能,充分利用系统节点的资源,提高系统的可靠性与稳定性,设计了一种基于DPDK并行通信的动态监控模型。该模型结合DPDK和通信系统的高速率、大流量、强实时性等特点,面向多节点备份、数据包与控制包分离、多网口并行收发数据包、多核并行处理数据包进行设计,分析了监控对象,研究了数据采集方法,设计了二层通信协议DMPD,并对网口进行了细粒度监控,给出了网口负载信息模型。另外,将散列函数、调整函数与动态负载信息结合起来设计了更有效、更公平的基于多网口的动态负载均衡算法。实验结果表明,该监控模型能够准确检测和及时处理系统出现的异常,并且实现了多网口的动态负载均衡。     

NFV中单节点启发式资源分配方法

从网络包转发性能角度出发,通过实验深入分析DPDK对虚拟网络功能的加速效果及CPU资源消耗情况,并对单节点资源分配问题进行研究,证明了该问题是NP难类型,提出了基于贪心算法的启发式VNF资源分配算法。在此基础上,针对网络负载的潮汐现象,提出了一种基于网络负载的虚拟网络功能实例自动切换方案。实验结果显示,相较传统方式,该方案在高负载情况下VNF性能提升了20%。     

基于超融合云网络环境的持续丢包主动探测系统

业务上云在近些年已经成为趋势,而新冠疫情也加速了这一趋势.然而公有云并不适用于所有用户.尤其是出于数据隐私的考虑,很多用户尤其是政府用户更希望在后疫情时代建设他们自己的私有云或者混合云.超融合设备(HCI)是达到这一目标的有效手段.在超融合设备中,计算、网络、存储等资源都被完全虚拟化,传统的物理网络设备单元也被一段段代码所替代.此外为了获得高性能的网络转发能力,很多创新技术应运而生,其中DPDK技术是其中翘楚而被广泛应用.开发者可以利用DPDK技术实现多种多样地、定制化地网络转发应用.虚拟化技术和DPDK技术可以大大提升设备资源的利用率以及网络转发性能,降低大中小企业或者机构的数据中心或者私有云的构建难度和成本.但同时高度的虚拟化也给网络运维人员带来了巨大的挑战.这些虚拟网元对网络运维人员而言是没有实体的,虚拟网络在运维人员看来就像一个“黑盒”.当网络出现故障时(如丢包),传统的针对物理网络设备的排障手段在虚拟网络中变得不可用,这就大大增加了网络排障的时间,进而对业务的持续运行造成影响.针对这种问题,设计了一种虚拟网络持续性丢包探测系统Flowprobe,该系统旨在解决基于DPDK用户...     

煤矿井下安全监控分站的设计及其仿真实现

为了设计一种具有低成本、低功耗、易操作、功能强且可靠性高的煤矿井下安全分站,针对煤矿安全生产实际,文章提出了采用MCS-51系列单片机为核心、具有CAN总线通信接口的煤矿井下安全监控分站的设计方案;首先给出煤矿井下安全监控分站的整体构架设计,然后着重阐述模拟量输入信号处理系统的设计过程,最后说明单片机最小系统及其键盘、显示、报警、通信等各个组成部分的设计;为验证设计方案的可行性与有效性,使用Proteus软件对设计内容进行仿真验证,设计的煤矿井下安全监控分站具有瓦斯、温度等模拟量参数超标报警功能和电机开停、风门开闭等开关量指示功能;仿真结果表明:设计的煤矿井下安全监控分站具有一定的实际应用价值.