防火墙规则的动态分配和散列表匹配算法

防火墙应用在大型传输网络中存在管理和吞吐量问题 :手工方式配置多个防火墙 ,无法适应开放的、动态网络环境 ;大量过滤规则导致防火墙吞吐量下降。针对管理问题 ,提出了一种访问控制政策的自动分配与动态配置方法 ,将全局过滤规则自动地分发到相应的防火墙 ;利用入侵监测系统和搜索引擎的结果 ,自动定位防火墙、动态配置过滤规则。针对吞吐量问题 ,提出了一种基于散列表的规则匹配算法 ,该算法在所讨论的安全政策下可以将时间复杂度从 O(N )降低到 O(1) ,从而提高了防火墙的吞吐量     

基于默认规则及冲突检测的防火墙规则优化算法

防火墙过滤规则集的日益增大以及规则间存在的相互冲突严重影响了网络的性能。对防火墙匹配优化算法进行研究和改进,在使用统计分析方法提高了规则调整动态性的基础上,结合规则间的冲突检测进行预优化,同时提出将默认规则分离出一部分进行合并操作,将生成的新规则参与原规则集的次序调整。仿真结果证明该方法有效的降低了防火墙规则匹配时间,提高了防火墙性能。     

利用地理位置的中继选择及功率分配

在协作多中继蜂窝系统下行链路中,提出根据中继节点地理位置和吞吐量增益联合选取中继节点参与移动用户和基站间的协作通信方案,并运用凸优化算法分配各节点功率.仿真结果表明:该方案不仅改善了用户的误码率,并且提高了系统吞吐量.     

防火墙规则的分析及优化

本文用准确的数学模型定义防火墙规则之间的关系，提出了一系列优化算法。如果规则存在冗余、不一致，立即反馈给管理员。通过优化规则可以加快包过滤的速度，对规则配置自动分析。     

双向四节点中继协作传输策略性能分析

讨论和研究了高频谱效率的双向四节点无线网络中继协作策略.其系统模型为线型放置的4个节点要通过中间2个节点的中继协作来实现2组数据的交换.基于该系统模型,给出了只采用叠加编码技术的双向中继传输策略(SC-relaying)和联合网络编码与叠加编码的双向中继协作传输策略 (JNSC-relaying),并对它们可获得的速率范围和吞吐量性能做了分析和讨论.数值分析结果表明,在可获得的速率范围性能方面,JNSC-relaying策略并没有明显的优势;然而在吞吐量性能方面,JNSC-relaying策略可获得明显的性能改进.     

多线程防火墙过滤模块的设计与实现

根据包过滤的工作原理,利用网络处理器的优势,设计一种基于Intel IXP2400网络处理器的防火墙安全解决方案,包括过滤模块过滤规则的程序描述、数据结构、设计流程和功能实现.最后,以LINUX的IPCHAIN防火墙为例进行测试,测试结果表明:与传统的防火墙相比,该设计方案性能优越,具备较高的吞吐量.     

NP防火墙中异常策略检测的研究与实现

为了适应复杂的网络环境,防火墙的规则集往往非常庞大,因此人工的方法很难保证防火墙安全策略的正确配置.文中对防火墙中异常策略的检测方法进行了深入的研究,并在此基础上给出了NP防火墙中异常策略检测模块的设计与实现.测试结果表明,该模块可以有效地检测出防火墙规则集中的各种异常,避免安全隐患的产生.     

认知无线网络频谱协作感知能耗与吞吐量的凸优化研究

针对认知无线电(cognitive radio,CR)双门限频谱协作感知能量效率与吞吐量优化的问题,提出了利用凸优化理论使能量效率与网络吞吐量达到最优平衡.在能耗一定条件下推导吞吐量关于虚警率与检测率等参数的目标方程;然后,对虚警率和检测率作合理约束,利用凸优化理论对吞吐量方程分析,推导出最优化目标函数的服从条件在一定范围内,关于感知时间与较大门限值满足联合凸或分别凸,吞吐量目标函数的变形在一定范围内,关于感知时间与较大门限值满足联合凸或分别凸;最后,利用凸优化工具获得感知时间与感知门限的最优值.理论分析和仿真结果表明,在能耗一定条件下,对于较为广泛的信噪比区间,该优化方案均可明显提高网络吞吐量及双门限认知无线电频谱协作感知的能量效率.     

防火墙包过滤规则正确性的研究

随着网络技术的迅速发展,应用网络技术和共享网络资源已经成为日常学习、工作中必不可少的部分.只要网络存在,安全问题就会作为一个极其重要和极具威胁性的问题存在.目前市场上有各种各样的安全工具,技术最成熟、最早产品化的就是防火墙,防火墙是安全策略的技术实现,包括滤系统是防火墙最基本、最重要、最核心部分.防火墙的包过滤规则是根据实际需要的安全策略来制定的,对规则集应该考虑整体是否有效、规范,而不应该是规则集中的每条规则是否有效、规范.研究了包过滤规则在应用之前能够进行规则的冲突检测,避免规则之间出现矛盾、冗余,便于规则的管理和维护,也便于制定较为完备的安全策略.     

基于协作频谱感知和干扰约束的认知异构网络

针对异构无线网络的空闲信道检测准确率及网络吞吐量的优化问题,提出一种基于协作频谱感知和干扰约束的认知异构网络.首先,所提出的认知异构网络系统模型采用多个中心次用户(Center Secondary Users,CSU)节点协助其他节点进行频谱感知,并引入了能量检测阈值,在提高空闲信道检测准确率的同时节省检测能耗.接着,采用最大化数据速率的联合优化方程,在干扰功率的限制约束下为节点分配最佳的发射功率,降低干扰程度并优化网络吞吐量.实验仿真结果表明,相比较基于集群的协作频谱感知分配策略算法和基于QoS约束的能量感知竞争功率分配算法,该算法的网络吞吐量分别提升了3.4%和1.5%,平均频谱利用率分别提高了9.3%和7.4%.     

FPC: A New Approach to Firewall Policies Compression

Firewalls are crucial elements that enhance network security by examining the field values of every packet and deciding whether to accept or discard a packet according to the firewall policies. With the development of networks, the number of rules in firewalls has rapidly increased, consequently degrading network performance.In addition, because most real-life firewalls have been plagued with policy conflicts, malicious traffics can be allowed or legitimate traffics can be blocked. Moreover, because of the complexity of the firewall policies, it is very important to reduce the number of rules in a firewall while keeping the rule semantics unchanged and the target firewall rules conflict-free. In this study, we make three major contributions. First, we present a new approach in which a geometric model, multidimensional rectilinear polygon, is constructed for the firewall rules compression problem.Second, we propose a new scheme, Firewall Policies Compression(FPC), to compress the multidimensional firewall rules based on this geometric model. Third, we conducted extensive experiments to evaluate the performance of the proposed method. The experimental results demonstrate that the FPC method outperforms the existing approaches, in terms of compression ratio and efficiency while maintaining conflict-free firewall rules.     

产生式规则库的求精研究

把规则库中的冗余规则分为蕴涵规则冗余、抽象规则冗余和死规则冗余3类，提出利用文字集的闭包和规则抽象分别处理蕴涵规则冗余和抽象规则冗余，给出了相关的算法，并针对蕴涵冗余开发了有效的软件工具．同时讨论了规则库的一致性，给出相应的处理策略，考察了规则库求精在网络知识管理、Internet结构分析和Data Mining中的应用。     

工控机防火墙启动硬件故障处理

目前,工控机防火墙正在使用的数量超过防火墙总量的50%,工控机防火墙出现故障时一般是交给生产厂商处理,主要原因处理的办法和手段不多。本文描述了工控机防火墙启动故障时的分析、判断、排除、修复处理方法过程,并指出了在故障排除应注意的问题:1.为防火墙安装输入输出设备;2.BIOS设置问题。这两点对使用此类防火墙的用户有一定的指导意义。     

INTERNET网防火墙的构筑与配置

本文在比较了两种基本防火墙技术以及三种防火墙结构的基础上，探讨了构筑子网过滤结构防火墙的配置方案。     

一种基于Mobile Agent的分布式主动防火墙体系结构

针对分布式防火墙不能有效防止拒绝服务攻击问题。在分布式防火墙基础上提出了一种基于Mobile Agent的分布式主动防火墙体系结构，不被动的防止攻击，利用Mobile Agent将攻击拒绝在攻击者处，并对该体系结构进行测试，可以有效地避免了拒绝服务攻击。     

一种无冗余的关联规则发现算法

关联规则是数据挖掘的重要研究内容之一,而传统算法生成的关联规则之间存在着大量的冗余规则。本文提出了一种通用的由量大频繁项目集生成无冗余关联规则的GNRR算法,利用规则之间的冗余关系,按一定顺序挖掘不同的规则,消除了规则之间的冗余性,使发现的规则数目呈指数倍减少。     

蜜网与防火墙及入侵检测的无缝结合的研究与实现

在对已有的蜜网模型中防火墙、入侵检测的部署仔细研究后,指出蜜网也有不安全性,在此基础上提出如用DMZ区(非武装区,不信任区)、两层防火墙防止对内部网的侵害,用NIDS(网络入侵检测系统)和限制流量的方法防止对外部网的攻击,从而形成了一个新的蜜网、入侵检测技术、防火墙构成的方案.     

试论网络防火墙技术

本文对网络防火技术的安全机制及其实现方法进行了分析，介绍了防火墙的类型、安全措施和标准，以及目前防火墙的弱点，并对防火墙技术的发展趋势进了展望。     

基于主机的网络防火墙技术及其实现方法

网络防火墙技术在信息安全领域中扮演着十分重要的角色，因此介绍了网络防火墙的分类及特征，着重阐述了主机型网络防火墙的工作原理和关键技术，并结合MS Windows操作系统给出了一些具体实现方法。其主机型防火墙技术必将在解决信息安全方案中占据越来越重要的地位。