基于包过滤技术的Internet安全性研究

通过分析Internet中常见的网络安全问题,对包过滤技术作了简单阐述,并介绍了一个基于包过滤技术的网络安全模型。     

基于NDIS的状态包过滤个人防火墙

现在,Internet的安全问题越来越引起人们的广泛关注,利用防火墙技术来增强网络的安全性越来越得到人们的青睐。包过滤技术是防火墙的核心技术。基于NDIS(Network Driver Interface Specification)的状态包过滤技术是在内核模式下,采用NDIS中间驱动程序技术截获网络封包并用状态包过滤方法过滤网络封包。这种技术不但移植性好,而且具有许多强大的功能。     

基于代理的IP包源追踪系统

提出了一种不需要ISP合作的基于代理的IP包源追查体系结构,描述了支持这种体系结构的分布式包记录代理服务器和集中式反向追查安全控制服务器的实现步骤,扩充了UnixIP包转发算法,实现了包摘要算法和自动追查系统,解决了诸如可疑包的识别、记载、追踪的安全性,节省路由器资源·通过仿真实验证明基于代理的IP包追踪方法是行之有效的·     

基于Netfilter的网络防火墙的实现

防火墙在网络安全保障方面发挥着十分重要的作用.论文在分析包过滤防火墙技术的基础上,讨论了Linux环境下的Netfilter框架技术,并设计实现了一个基于Iptables工具的包过滤防火墙,为网络提供一定的安全保障.     

IP包过滤技术研究

随着IP路由产品的与日俱增,包过滤日益成为提高网络安全的工具之一。本文详细探讨了IP包过滤技术的应用,网络安全途径,包过滤性协议;分析了包过滤应用中出现的问题,并提出解决的办法;研究了包过滤对网络安全策略的可用性。     

包过滤防火墙的研究

文章在分析传统包过滤技术缺陷的基础上,详细论述了包过滤技术的两种发展趋势;最后以技术实例说明了这两种趋势的融合。     

Internet安全——包过滤与防火墙技术

介绍了Ｉｎｔｅｒｎｅｔ的常用安全技术,包过滤与防火墙技术,并分析了包过滤与防火墙的工作原理,给出了包过滤与防火墙与网络七层结构的对应关系,最后对防火墙的建立提出了指导性原则。     

Linux系统下IP包过滤技术的应用

本文论述基于Linux系统的包过滤技术．阐述Linux系统防火墙的配置，并通过实例介绍Linux信息包过滤方案的实现。     

基于操作系统内核的包过滤防火墙系统的设计与实现

分析了包过滤防火墙的工作原理,然后在对W indows NT和Linux内核网络接口的分析基础上,通过修改操作系统的内核,实现了透明的包过滤防火墙.并对包过滤防火墙提出了自己的见解.     

一种基于数据包综合信任度的防火墙包过滤模型

针对分布式拒绝服务攻击的特点和目前防火墙采用的包过滤技术在攻击响应时的不足,提出了一种基于数据包综合信任度的防火墙包过滤模型.该模型中,对发往受保护主机的TCP和UDP数据包进行过滤时,不仅要考虑该数据包的特性以及记录的状态,还要考虑计算的综合信任度和由此得到的信任级别,从而通过为不同级别的数据包提供不同的服务质量来减轻拒绝服务攻击.     

一次性可变概率分片标记及其压缩标记

提出了一次性可变概率分片标记方法,即对每一数据包从接入到受害主机的传输路径上的所有路由器至多对其进行一次标记,由此能够避免对任一数据包的重复标记;路由器根据数据包在网络上传输的距离d以概率1/(33-d)对其进行可变概率标记,使受害主机可等概率地收集到攻击路径中各个路由器标记的数据包.在此基础上,根据传输路径上IP信息的相似性冗余,提出了压缩一次性可变概率分片标记方法.实验结果表明,提出的方法能够消除可变概率标记方法对数据包的重复标记问题,并显著减少反向追踪攻击源所需数据包的数目,提高了对攻击源定位的准确性和实时性.     

一种快速且安全的概率标记追溯技术

现有的包标记技术,如概率包标记方法(PPM)、基于TTL的包标记方法(TPM)和动态概率包标记方法(DPPM),不能快速重构攻击路径和防御攻击者伪造标记。该文提出了自适应概率标记方法(APMS)。数据包在进入网络时,其TTL值在第1跳路由器被修改为统一值,中继路由器能够推断出接收的数据包在网络中已传送的跳数,并自适应地以跳数的倒数为概率,标记该数据包。APMS方法中,受害者平均接收最少的攻击包即可重构攻击路径,并可完全消除攻击者伪造标记所带来的影响。NS2模拟实验证明:使用APMS方法,受害者收集齐重构攻击路径所需标记耗费的时间比其他方法要少20%以上,并且攻击者伪造的标记不能到达受害者,从而不会对受害者重构攻击路径产生影响。     

使用ns2模拟与改进PPM算法

根据推测路径需要的数据包数量、 推测复杂性和误报率等参数, 对不同的随机包标记（PPM）算法进行了评价. 通过扩充ns2、 确定攻击拓扑和攻击流量建立一个模拟测试环境, 实际模拟并对比分析了各种PPM算法, 可测试大规模DDoS攻击下各种PPM算法反向追踪的执行效果. 根据模拟过程和结果, 提出PPM的改进方向, 从而有效提高了反向追踪的实时性.     

A dynamic probabilistic marking approach with multi-tag for tracing ICMP-based DoS attacks

This paper presents a dynamic probabilistic marking algorithm with multiple routing address tags, which allows the victim to traceback the origin of ICMP (Internet Control Message Protocol)-based direct and reflective DoS attacks. The proposed approach makes full use of scalable data space of ICMP packet to achieve multiple information tags. The difference between this proposal and previous proposals lies in two points. First, the number of packets needed by the victim to reconstruct the attack path is greatly reduced because of three key mechanisms: multi-tag, uniform leftover probability, and tag location choice based on the module of accommodated tag numbers within a packet. Second, the true origin of both direct and reflective ICMP-based DoS attacks can be traced.     

AODV-FABL路由协议的优化及其军事应用

为提高数据分组传输的稳定性, 对AODV FABL(Ad-Hoc On-demand Distance Vector-Fast Adaptive Backup Local）协议进行优化, 提出了AODV-OFABL（AODV Optimize Fast Adaptive Backup Local）路由协议。该协议对HELLO消息格式内容进行修改, 结合现今部队编制及作战实际, 建立特种作战、 野战及城市战模型, 并利用NS3软件进行仿真, 寻找不同作战模型的最佳匹配路由。实验结果表明, AODV-OFABL协议可提高分组投递率, 均衡能量, 降低节点死亡率, 更适用于野战中, 在网络拓
扑的停留时间为60 s时, 分组投递率达到97%, 平均时延降到320 ms。     

小波包变换算法抑制直扩通信系统窄带干扰

利用多进制小波包算法的良好光滑性、线性相位、紧支性等特点,并结合传统小波包分解树及滤波器,对数据进行多进制小波包分解,有效地抑制窄带干扰．分析和仿真结果表明,基于小波包算法的窄带干扰抑制的方法在性能上更为优越,并具有优异的误比特率性能．     

数据采集中延长WSN生存周期的研究与实现

无线传感器网络的生存周期将直接影响其在物联网中的应用价值,针对该问题进行了深入研究,最终实现生存周期的有效延长.通过组建简单稳定路由,为MAC层提供鲁棒通信路径的基础,从低功耗和减少数据包冲突概率两个角度出发,设计了周期性唤醒机制和FHPR算法.周期性唤醒机制使节点可以长期处于超低功耗状态;FHPR算法包括跳频列表和数据包重组机制两部分,前者有效减少冲突概率,后者在减少冲突概率的同时有效降低功耗.实验结果表明:由自主研发的节点组建成的无线传感器网络可以稳定运行,生存周期被有效延长.     

A method to compress vibration signals using wavelet packet transformation combined with sub-band vector quantization

A novel compression method for mechanical vibrating signals,binding with sub-band vector quantization （SVQ） by wavelet packet transformation （WPT） and discrete cosine transformation （DCT） is proposed.Firstly,the vibrating signal is decomposed into sub-bands by WPT.Then DCT and adaptive bit allocation are done per sub-band and SVQ is performed in each sub-band.It is noted that,after DCT,we only need to code the first components whose numbers are determined by the bits allocated to that sub-band.Through an actual signal,our algorithm is proven to improve the signal-to-noise ratio （SNR） of the reconstructed signal effectively,especially in the situation of lowrate transmission.     

IP追踪中攻击路径重构问题的随机模型

建立了IP追踪中攻击路径重构问题的理想模型和扩展模型.基于概率包标记方法,将攻击路径的重构过程表述为一个收敛的随机过程,推导出收敛时间与路径长度、标记概率之间的数学定量关系,得出达到最小收敛时间需要满足的数学条件.实验结果表明,该模型理论值与实验结果一致,为深入研究概率包标记方法提供了理论依据.