基于规则的防火墙匹配算法研究

传统防火墙包过滤过程是通过数据包与过滤规则顺序匹配,直到有一条规则匹配后即可停止。当过滤规则日益增多时,防火墙的吞吐量也不断下降,严重影响了网络的性能。该文提出并设计了快速的规则匹配算法,改变了以往的顺序匹配,极大地提高了防火墙的吞吐量和性能。     

支持防火墙规则扩展的匹配算法HERAM

防火墙是一种重要的网络安全技术,但随着网络规模的发展,遇到了许多急需解决的问题,其中就有防火墙网络瓶颈的问题。提出一种新的规则匹配算法来解决这个问题,把多维的问题进行降维处理,根据规则之间有无关联性把规则进行分类处理,另外把新添加的规则运用散列表进行组织,从而做到在增加扩展性的同时,使时间效率不受大的影响。     

一种防火墙规则冲突检测算法

在入侵检测系统和状态检测防火墙等系统的应用中,规则冲突检测及冲突检测算法在计算机网络安全及服务质量方面起着至关重要的作用。文章首先对防火墙过滤规则进行了描述,然后对规则冲突进行了分类,在此基础上提出了一种规则冲突检测算法。     

一种基于统计分析的防火墙规则匹配优化方法

文章提出了一种基于统计分析的防火墙规则匹配优化方法。该方法对通过防火墙的数据包进行统计分析,并根据统计数据动态调整过滤规则的相对次序,使其和当前网络流量特性相一致,从而达到减少规则匹配时间、提高防火墙性能之目的。仿真结果表明,该方法在一定程度上提高了防火墙的性能。     

基于防火墙规则匹配优化算法的研究

随着网络功能和应用程序的增加,过滤规则集日益庞大,这严重影响了网络的性能。该文提出了一种基于规则匹配的防火墙优化方法。该方法对通过防火墙匹配的数据包进行权重计算相关规则排序,从而减少规则匹配时间。仿真结果显示,该方法有效地改善了防火墙的性能。     

基于权重与匹配效率的防火墙规则集优化算法

研究并分析防火墙规则集的优化方法,给出规则与网络数据包的的匹配频率、匹配热度和规则权重的关系公式;设计并编写基于权重与基于匹配效率的规则集优化算法程序;最后通过对相应的实验数据的分析比较,得出两种算法均可较大幅度的降低防火墙规则集与网络数据包的匹配次数,从而优化防火墙性能的结论。     

一种防火墙规则冲突检测算法

在入侵检测系统和状态检测防火墙等应用中,规则冲突检测及冲突解析算法是影响安全性及服务质量的关键。首先对防火墙过滤规则之间的关系进行了建模和分类。然后在过滤规则关系分类的基础上提出了一种冲突检测算法。该算法能够自动检测、发现规则冲突和潜在的问题,并且能够对防火墙过滤规则进行无冲突的插入、删除和修改。实现该算法的工具软件能够显著简化防火墙策略的管理和消除防火墙的规则冲突。     

一种基于规则分解映射的防火墙规则匹配算法

并行树搜索(PTS)算法是报文分类领域中较为优秀的算法之一,但它需要构建大量的external nodes,且只支持以前缀形式表示的规则,因此其匹配效率及适用范围都受到了很大的影响.针对这一问题,提出一种基于规则分解映射的规则匹配算法RMBRDM.RMBRDM算法首先按照启发式方法选取标准维;然后根据规则分解映射和标准维对相关规则进行分解;最后建立一棵二叉决策树.理论分析和仿真实验均表明,RMBRDM算法不仅支持以范围形式表示的规则,且时空性能优于PTS算法.     

基于统计分析与规则冲突检测的防火墙优化

提出一种基于统计分析和规则冲突检测的防火墙优化方法,从防火墙规则的匹配概率入手,结合规则间的冲突检测,实现防火墙规则的精简和线型匹配优化。实验表明,该方法在一般情况下能对防火墙已有的规则进行精简,使其平均规则匹配次数减少40%,性能得到较大的提高。     

一种防火墙规则快速匹配方法

包过滤是防火墙的一项基本技术,一种快速的规则匹配方法,能极大地提高防火墙的吞吐量和性能。RFC算法是具有代表性的包分类算法,分类速度快。文章着眼于应用RFC算法提高防火墙访问控制列表（ACL）的搜索速度,对RFC算法的建立过程、算法的性能等作了简单介绍,对适合防火墙实际应用的RFC算法进行了阐述,并在防火墙上进行了测试验证。     

用于控制器保护的防火墙规则的三叉树算法

为提高防火墙安全规则的查找速度,提出了一种面向IP地址集合处理的时间复杂度为O([log32N])的三叉树查找算法,N为安全规则数。用空间分析法解决规则冲突,并给出规则树的生成算法,该方法适用于控制应用的可靠性分析和安全完整性等级验证的要求。     

防火墙规则配置错误分析及其检测算法

防火墙技术是实现企业网络安全的主要手段,企业根据自身的安全需要对防火墙进行相应的配置,其配置结果就是防火墙内部的规则表,然而,问题也随之出现。一方面随着规则表中规则数目的增长,不同的规则之间发生冲突的可能性也相应增加,另一方面管理员本身也可能在最初配置规则表的时候,出现一些错误。本文〖BP）〗对防火墙规则配置过程中可能出现的错误进行了分析,介绍了防火墙规则配置错误的几种常见类型,给出了发现错误的算法,并针对不同的错误给出了相应的解决方案。     

一种基于关联规则的图像特征点匹配算法

针对图像间特征点匹配的SURF算法在图像遮挡、旋转和亮度改变等复杂情况下误匹配率较高的问题,本文提出了一种新的匹配算法.通过分解SURF特征点描述子向量,重新构造了匹配基准,在此基础上运用关联规则的支持度判定策略,提高了复杂情况下图像间特征点匹配的精度.计算机仿真实验表明,与SURF算法相比,本文算法的图像匹配正确率有明显提高.     

针对规则更新操作的测试数据包选取算法*

防火墙规则集中存在的配置错误主要来源于规则的添加、删除等更新操作。因此进行规则更新时,需要使用测试算法判断更新操作的正确性。现有的测试算法仅从被添加或被删除规则的顶点选取测试数据包,不能检测出所有因规则冲突而导致的配置错误。基于此,提出了一种针对规则更新操作的测试数据包选取算法PCRU。该算法从两处选取测试数据包,即被添加或者被删除的规则的顶点和规则冲突区域。理论分析和仿真实验表明,与现有测试算法相比,在进行规则更新时,PCRU算法只需使用少量的测试数据包,即可检测出所有因规则冲突而导致的配置错误。     

防火墙扩展match模块匹配算法优化

为提高大规则集防火墙中规则匹配效率,研究了Iptables规则中扩展match模块的匹配特点,将匹配过程分为数据包解码和参数比较两个步骤,对不同规则中的相同扩展match模块,提出了一种"一次解码,多次匹配"(decoding-once-techno-logy,DOT)的优化算法。通过对规则匹配时间建模分析,证明改进算法可以减少规则匹配时数据包解码次数,从而降低规则中扩展match模块的匹配时间。实验结果表明,改进后的算法可以有效提高防火墙吞吐量,降低时延。     

一种基于预测的资源匹配算法

网格任务调度过程中的资源匹配是根据任务要求从网格资源信息服务（GRIS）中查找出合适资源的过程。GRIS中记录的往往是资源的静态信息，由于本地负载的动态变化使得基于资源静态信息来确定的候选资源集中一些资源并不能满足任务的QoS需求。基于相关资源动态信息预测资源未来状态，给出了网格任务平均完成时间及完成时间的分布函数，并根据任务QoS需求，兼顾考虑资源当前及未来状态，提出了一种资源匹配模型与匹配算法。通过实验表明，该算法能有效减少候选资源数目，从而降低调度时间复杂度。     

基于活跃规则集的Snort高效规则匹配方法

对于基于特征的开源入侵检测系统Snort来说,如何提高速度以适应高速网络的发展是关键。在分析Snort新特性和现存多种规则匹配方法的基础上,考虑到大量Snort规则在一定时间内只有一小部分规则是活跃的,提出基于活跃规则集的Snort规则匹配方法,通过把每个端口下的规则分成活跃规则集与不活跃规则集,结合反馈规则匹配频度的思想,实时更新规则匹配顺序和控制活跃规则集大小,从而提高规则匹配速度。     

一种改进的字符串多模式匹配算法

基于字符串匹配的检测方法是入侵检测系统中的一种重要方法。通过分析几种常见的字符串匹配算法（AC、AC_BMH、Sunday等）的基础,提出了一种对AC算法的改进,新算法每一次匹配不成功后都能跳过尽可能多的字符以进行下一轮匹配,使得匹配次数大大减少,从而提高了匹配效率。分析了该算法的性能,并用具体的实验数据给出了几种匹配算法的测试结果。     

防火墙与网络入侵防御系统集成实施方案

本文分析了Linux防火墙实现方法和网络入侵防御系统的原理,提出了一种防火墙与网络入侵防御系统集成实施的方案,并分析了入侵防御系统实现中的数据来源、检测方法和改进的响应方式。