CN101242409B - 一种多语言的网络数据包高效过滤的方法 - Google Patents
一种多语言的网络数据包高效过滤的方法 Download PDFInfo
- Publication number
- CN101242409B CN101242409B CN2008100192839A CN200810019283A CN101242409B CN 101242409 B CN101242409 B CN 101242409B CN 2008100192839 A CN2008100192839 A CN 2008100192839A CN 200810019283 A CN200810019283 A CN 200810019283A CN 101242409 B CN101242409 B CN 101242409B
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- processing
- filter
- language
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
多语言环境下的网络数据包高效过滤方法是一种网络安全和软件开发技术的解决方案,主要用于解决网络数据包处理程序的开发和应用问题,属于计算机网络和软件工程学技术交叉领域。同时又给出了一个可移植到路由器上的过滤器的代码实现。对网络数据包的监测与处理一直都是网络安全领域重要且关键的技术,本发明提出的这个处理方案,就是为了能更快捷、高效地处理网络数据包,保护我们的服务器与主机免受网络攻击的影响。因此,采用多语言实现,并增加了优化过滤的因素,使得过滤的效率得到最大的提高。所给出的过滤器的代码实现,可用在多个复杂网络环境下的服务器与个人主机上,作为相关网络数据包处理软件的基础。
Description
技术领域
本发明是一种网络安全和软件开发技术的解决方案,主要用于解决网络数据包处理程序的开发和应用问题,属于计算机网络和软件工程学技术交叉领域。
背景技术
防火墙被用来保护计算机网络免受非授权人员的骚扰与黑客的入侵。它在内部网络(专用网络)与外部网络之间形成一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部信息。防火墙可以是非常简单的过滤器,也可以是精心配置的网关,但原理都是监测并过滤所有内部网和外部网之间的信息。
包过滤是防火墙的最基本的功能之一,许多路由器上常常有包过滤功能。在如今专门的防火墙产品中,在此基础上又增加了扩展功能,如状态检测等。防火墙技术经历了五个发展阶段:包过滤、代理、状态检测、DMZ、NAT(网络地址转换)。包过滤技术一般在网络层对数据包进行选择,选择的依据是***内设置的过滤逻辑;代理技术是针对数据包过滤和应用网关技术存在的缺陷而引入的,工作在应用层,特点是进行两次连接;状态检测技术通过检查应用程序信息,来做出过滤的选择;DMZ是将需要对外提供服务的服务器集中放在一个单独的网段中;NAT分为源地址转换和目的地址转换,前者叫地址伪装,后者实现负载平衡。其实,无论防火墙发展到哪个阶段,都需要一种高效的数据包处理方式,特别是在某个存在大容量数据流的网段中,过滤的效率是至关重要的。例如在对抗大规模的Syn-Flood的DDoS攻击上,防火墙过滤的效率都不怎么理想。根据调研,专用抗攻击设备大约支持两至三万个数据包不等。而对于普通的路由产品来说,如何在没有专门设备的情况下提高防火墙过滤的性能,是一个必须要解决的问题。
发明内容
技术问题:本发明的目的是提供一种多语言的网络数据包高效过滤方法,同时,又必须是高效的。如何在不增加设备投资、操作可适用领域大的情况下完成,是本发明要解决的问题。即充分利用现有技术和现有设备,解决问题的方式也必须具有可推广性。
技术方案: 本发明提供了一种多语言的网络数据包高效过滤方法,在此方法上,可以方便、快捷、有效地设计出不同目的的防火墙产品,且也可用于其他涉及到网络数据包处理的程序设计任务中。首先,本方法是可多语言实现的,具有良好的平台移植性;其次,本方法可利用了许多优秀的开源代码,包括了C++STL、C++Pthread、多个Unix平台下的工具等,目的就是要达到高效率处理网络数据包的任务。同时,提出了一个可用在路由器产品上的过滤器设计。实验表明,过滤器的参数指标是符合正常工作要求的。既使在一些突发性的大数据流量存在情况下,也能很好的工作。
本发明一是提供了一种可在多个编程语言环境下实现的数据包处理方法;同时又提供了一个具体的过滤器设计实现。
方法流程:该数据包处理方法具体描述如下
1.)确定软件项目需求,分析易采用的编程语言及编程环境;
2.)在步骤1)的基础上,根据编程环境选择适用于网络数据处理的策略,并根据该策略选择在此环境下的***工具;
3.)通常,这些***工具由于与底层结合紧密,是由低级语言写成的,它们包含了一系列的***调用函数,这些***调用函数都与一个指针有关,该指针指向获取内核协议栈中数据包的地址,设它为指针变量A;
4.)根据步骤1)中分析软件易采用的编程语言,对这些***工具进行封装,即C++对C语言的封装,将指针变量A设为一个类B的成员变量,类B就是对数据包进行操作的对象类;
5.)依据步骤2)中确定的网络数据包处理策略,用高级语言进行统一建模,并用模块化设计思想编写处理策略的代码级程序;
6.)在以上步骤完成以后,就可以借鉴高级语言和低级语言中的各自优点,根据软件项目书中给出的要求,分析从低层获得数据包并进行策略过滤的处理流 程,找出策略过滤的效率瓶颈;对效率低的瓶颈部分增加并行处理、多线程、信号调用等措施。
在网络数据处理的策略中,利用高级编程语言与低级编程语言各自的优缺点,对网络数据处理过程中影响性能的瓶颈部分进行了改进:
基于多语言的数据包处理:
1.)选择具有内核空间与用户空间通信功能的Netlink作为过滤策略实施的低层模块,并对其进行再次封装,定义一个面向对象的数据包类,将它的一个属性变量赋予内核协议栈中数据包的地址;通过在数据包类中自定义类处理函数,依据资源的使用需求重新对内核***函数进行流程再分配;
2.)对网络数据包处理流程进行性能分析,找出影响整体处理效率的瓶颈部分,在这些瓶颈部分增加高级语言的模板库、线程库支持,在对数据依赖的瓶颈处增加多线程处理和缓冲区处理;
规则链表的设计:
规则链表对已经明确性质的网络数据包进行处理,属于DDoS攻击的数据包将进行丢弃,属于正常请求的连接报文将允许通过;规则链表采用协议号和端口号为基础的结构,依据攻击的不同方式首先进行协议号和端口号的匹配检测;采用开源环境下的内核规则过滤模式,避免大多数数据包经过内核与用户空间的转换,提高实际规则匹配的效率;内核规则链表采用树形结构设计,允许多个子规则节点属于一个父亲规则节点,这样前项和后项搜索效率很高,对于具有特定协议或端口特性的攻击报文规则链表匹配速度是很快的。
可以看出,本发明所提出的这一个数据包处理方法,就是围绕着高级语言与低级语言的差别,以及高级语言所提供的大量优秀标准库和模板而设计的。高级语言由于在***体系结构中处于离应用程序较近的范畴,因此往往比较适合高效率软件的开发。高级语言通常有低级语言不具有的特征,例如,JAVA语言就是一个解释型语言,当我们要执行程序时,才将程序动态地转换成某个操作平台能执行的机器码,具有跨平台性。同时,很多高级语言也是面向对象的,其最大好处就是允许我们编写更复杂的程序以解决现实世界中所有问题。
设计实现:本发明给出了一个可移植到路由器上的过滤器的代码实现。当然,这个过滤器的实现是依据上述数据包处理方法流程完成的,是该方法的可行 性理论验证。
首先,我们分析了常用路由器上对数据包的操作需求,发现一般都需要高级语言来实现。我们就采用最普遍的C++语言来作为软件实现语言。确定了所要实现的编程语言以后,我们就可以利用多种高级语言***分析方法来完成任务的建模。例如,最常用的就是UML统一建模语言,它是一个图形化描述语言,提供对***各个主要要素的语义描述。
其次,我们要选择数据包抓取的***工具。为了完成过滤的任务,必须是基于内核的。我们选择了Linux平台下的Netlink(用户空间与***空间通信机制),来作为网络数据包抓取的底层平台。Netlink提供了多个内核-用户双向通信连接,是一套完整的内核消息队列的无阻塞支持。在Linux2.4以后的版本的内核中,几乎全部的中断过程与用户态进程的通信都是使用Netlink套接字实现的。它的***调用函数,可以完成一般的防火墙策略决策,例如,丢弃、允许通过、排队处理等操作,是实现过滤任务的良好底层平台。
然后,我们查看Netlink的协议簇定义,以及涉及到Netlink的***调用函数,找到指向数据包地址的指针,并把它设定为指针变量A。
定义类名称Data,用来处理数据包相关操作。设定Data的成员变量B,为Netlink的数据包地址指针类型。这样,以后所有需要对数据包进行操作的函数,只要先定义一个Data的对象,就可以用成员变量B,来获取数据包的地址,从而对该数据进行分析处理。
一般的基于过滤技术的防火墙,它们选择的依据是***内设置的过滤逻辑,就是被称为访问控制表的机制。当然,我们可以自己编程实现一个访问控制表,但往往性能比不上一些开源的产品,自己编写的这部分代码常常成为了整个软件运行性能的瓶颈,大大影响过滤的性能。在本发明提出的这个过滤器设计中,访问控制列表采用内核自带的iptables工具,设计了一个依据数据包协议号与端口号为基础的访问控制链表,如图1、2所示。它充分利用了Linux操作平台下防火墙开发规程,在通往本机和转发的链表上,设立了一系列子链表,将软件其他模块产生的访问控制规则加入到这些子链表中,由***内核自动完成对数据包相关规则的处理。
***中iptables有一系列调用函数,为了更好地便于上层C++程序对低层 访问控制规则的操作,我们用“extern C”的形式将iptables中需要的规则***调用函数在C++代码中进行声明。
在完成了以上任务以后,就可以利用C++语言的特点,以及C++标准库和标准模板来优化过滤的性能。我们借鉴并行处理的原理,在从内核协议栈上取得网络数据包以后,不是马上处理该数据包,而是将它放入到C++标准模板定义好的一个Vector结构中,之所以这么做是考虑到底层Netlink的工作效率是影响整个过滤器发挥作用的关键因素。参考的这部分结构视图如图3所示。在软件结构前端与后端运行部分,采用了多线程的编写技术,使得软件的运行效率更高,过滤的速度更快,不受数据处理过程的影响。
移植性:上面给出的网络数据包过滤器可移植到大多数安装了iptables防火墙框架的服务器或个人主机上,用户可以此为基础设计不同要求的防火墙产品。基于该过滤器的防火墙开发步骤可如下(采用高级语言实现):
(1)明确所设计防火墙应具有的功能,各功能之间的联系。
(2)将各个功能组合成一个个模块,模块之间的联系也就是各个功能之间的联系。
(3)设计防火墙策略生成的算法,并用高级语言实现之。
(4)将策略算法生成模块、各个功能模块和本发明所提出的过滤器模块根据各自之间的联系,组合成一个完整的防火墙代码。
(5)在服务器或个人主机上部署该防火墙代码,并依据实际情况初始化内核规则链表。设置安全数据包的规则项,添加一些熟知的网络数据包攻击特征规则。
策略算法:各个网络攻击都有自己的特征,这需要不同的策略算法来识别,对数据包进行判断。
例如,当收到的是Syn报文,且包的源地址和目的地址都被设置成同一个服务器地址,就很可能是Land攻击。这就需要过滤器能很快的判断出来,并动态地将应有的规则加入到内核规则链表中。
又例如,当过滤器收到大量的Syn同步报文,就应当调用有关处理Syn-Flood洪水攻击的策略算法,并根据该算法指定相应内核规则的生成。图4就是一个比较实用、且可行的抗DDOS攻击策略算法。该策略算法包含以下模块。
Cookie生成器:每收到一个Syn报文,按MD5算法生成一个报文源地址的Cookie。
ACK报文生成器:当该模块收到Syn报文时,会根据报文中的sequence和IP地址,生成一个ACK回去。
有效性验证器:当模块收到RST报文时,会检验该报文的合法性。
TCP Cookie库:保存有已经建立的TCP Cookie,同时负责对TCP Cookie进行计时,超时就生成禁止规则。
该算法的基本思想就是在服务器与客户端设置一个保护层,来拦截所有从客户端发来的TCP SYN报文。保护层不保留任何TCP的状态信息。正因为如此,保护层才能比一般的服务器接受流量大得多的TCP网络流量。而且保护层也能做到对正常的网络流量和DDOS的网络流量的区分,保证让正常的网络流量通过,而拒绝让DDOS的网络攻击流量到达服务器。
从上面具体的例子看出,一个防火墙,其性能的优越与否,关键取决于策略算法是否是快捷的、灵活的、简便的。策略算法是防火墙设计的核心。当然,在基于本过滤器基础上的防火墙,其策略算法模块是可以静态加载的,只需要用高级语言编写好代码,重新编译、连接一下各个模块,就完成了防火墙功能的升级。
有益效果:本发明提出一种多语言环境下的网络数据包高效过滤方法,以及用该方法实现的可移植到路由器上的过滤器。实验表明,该过滤器能很好地完成网络数据包的处理任务,达到了防火墙设计的需求。它所具有的优点如下:
1.)实现方式的多样性。在不同平台下,只要能很好的封装底层的***调用,上层应用协议的开发就显得简便、快捷、高效。上层代码的开发可采用多种高级的面向对象的语言来编写,目的就是适用于不同功能的软件的设计。结合了不同语言的编程风格、编程优势,相比软件产品用单一语言或单一编程方式来实现的话,有许多显著的优点。
2.)编程思路清晰。上层应用代码的编写是采用模块化编程思想,模块化操作有利于功能的合理分解,减少各个任务的开发难度,提高软件的可利用性,降低开发周期。
3.)技术的扩展性。采用本发明提供的过滤器,可方便地添加新的策略算法, 因此,选择如何编写代码不再是关键的因素,程序员会更多的关注于如何应对具体的网络侵犯行为,把更多的精力放在策略算法的构造方面,这也就不断地促使防火墙软件的功能升级。
4.)与***关联的紧密性。由于过滤器是采用访问控制表的机制来进行规则的匹配,而本发明提供的过滤器采用内核自带的规则链表,以m叉树结构作为规则搜索、匹配的数据类型,相比其他防火墙产品中的该结构,往往更容易实现规则匹配的高效率性、准确性和实时性。且采用基于协议号和端口号的规则链表,大大缩短了匹配的时间和处理的开销。
5.)实验效果比较理想。在网络正常繁忙的时间段内,处理网络数据包的效率基本符合需求,各个子功能模块都能正常工作。在加入了某些突发性的攻击流量以后,过滤器仍能顺利地执行下去,不受外界的干扰。
附图说明
图1是iptable防火墙框架中输入链表(INPUT)的体系结构图,采用协议号与端口号为划分基础的链表结构。
图2是iptable防火墙框架中转发链表(FORWARD)的体系结构图,采用协议号与端口号为划分基础的链表结构。
图3是本发明提出的一个可移植到路由器上的过滤器实现部分框架图,说明怎样通过增加并行处理元素和并行算法来改进过滤的性能。
图4是一个比较实用、且可行的抗DDOS攻击策略算法,该算法采用了TcpCookie技术和智能过滤算法,是一个成熟的、可行的技术。
具体实施方式
下面就对本发明中过滤器的设计做一个全面的描述,并给出了基于该过滤器的防火墙软件开发。可以看出,本项目的设计框架比传统网络安全产品来的简捷,且更易于实现。
1.)传统的相关网络数据包软件,通常采用面向过程的软件分析方法,对项目书中各个功能需求进行结构划分,分层的来完成功能的实现。这种设计思路不利于软件的扩展性,不利于新的功能的添加,也很难改进过滤的性能。采用高级 语言的面向对象的机制,可以大大简化复杂的软件结构的设计,同时,采用模块化的编程思想,对于新功能的添加、性能的改善都有很大的帮助,这也就是本发明提出多语言环境下编写代码的原因。
2.)在说明了采用多语言编写程序的优势后,我们开始考虑对整个过滤器的体系结构进行设计。底层平台Netlink有一系列的函数调用,它们分别完成了Netlink协议的注册、抓取内核协议部分的数据包、回送相关信息给内核和完成Netlink协议的注销。为了能对底层平台数据包抓取部分进行优化,我们对其调用函数进行C++封装,提取相关的参数作为封装中类的成员变量。例如,提取数据包函数中的地址作为地址指针,提取协议注册函数中的协议注册符为类的成员函数,这些都有利于类内部的操作。
3.)增加过滤器对并行处理的支持。并行处理往往在网络数据包过滤效率的提高方面有很重要的作用;同时,并行计算理论也会对过滤器的效率产生重要的影响。我们给出了一个简单的并行以及并行计算的模型,在此模型上,设计了过滤器的整体结构。它结合了C++STL标准模板技术和C++Pthread的多线程调用,以及并行计算的设计思想,很好的解决了数据包接收和处理的关系。
4.)过滤执行前还要先向内核的防火墙框架初始化过滤链表,过滤链表的设计是采用协议号和端口号为基础的结构。之所以采用这种结构作为防火墙的访问控制链表,是因为首先,防火墙框架中规则链表是采用m叉树结构,前项和后项搜索效率很高,按协议号和端口号来划分规则有利于快速的规则匹配;其次,网络攻击常常都有显著的协议特征和端口特征,规则链表的设计也必须符合这个原则。
过滤器的设计只是防火墙能正常有效工作的基础,当要完成更复杂的防火墙软件的设计,还需要更加复杂的步骤:
5.)按面向对象的软件设计思想,分析软件的需求,从中识别出问题域的对象,定义这些对象和类的属性与服务,以及它们之间所形成的结构、静态联系和动态联系。
6.)生成对问题域的表示,把数据对象和处理操作连接起来,把数据和处理一起模块化。同时,在面向对象的设计中,要考虑四个方面的问题,即问题域部分、人-机接口部分、任务管理部分和数据库管理部分。
7.)在完成了面向对象的分析和设计以后,就可以为软件建立模型,通常可采用UML进行这部分工作。可以构建相应的User-case图、类图、状态图等。
8.)为策略算法建立模型,构造相应的类和对象。
9.)在建模的基础上,以类图为编程的蓝本,构建软件各个功能的模块。
10.)可以考虑其他模块编程,例如,人-机接口模块、数据库模块等。
Claims (2)
1.一种多语言的网络数据包高效过滤的方法,其特征在于该过滤方法的步骤如下:
1.)确定软件项目需求,分析易采用的编程语言及编程环境;
2.)在步骤1)的基础上,根据编程环境选择适用于网络数据处理的策略,并根据该策略选择在此环境下的***工具;
3.)这些***工具由于与底层结合紧密,是由低级语言写成的,它们包含了一系列的***调用函数,这些***调用函数都与一个指针有关,该指针指向获取内核协议栈中数据包的地址,设它为指针变量A;
4.)根据步骤1)中分析软件易采用的编程语言,对这些***工具进行封装,即C++对C语言的封装,将指针变量A设为一个类B的成员变量,类B就是对数据包进行操作的对象类;
5.)依据步骤2)中确定的网络数据包处理策略,用高级语言进行统一建模,并用模块化设计思想编写处理策略的代码级程序;
6.)在以上步骤完成以后,就可以借鉴高级语言和低级语言中的各自优点,根据软件项目书中给出的要求,分析从低层获得数据包并进行策略过滤的处理流程,找出策略过滤的效率瓶颈;对效率低的瓶颈部分增加并行处理、多线程、信号调用措施。
2.根据权利要求1所述的多语言的网络数据包高效过滤的方法,其特征在于在网络数据处理的策略中,利用高级编程语言与低级编程语言各自的优缺点,对网络数据处理过程中影响性能的瓶颈部分进行了改进:
基于多语言的数据包处理:
1.)选择具有内核空间与用户空间通信功能的Netlink作为过滤策略实施的低层模块,并对其进行再次封装,定义一个面向对象的数据包类,将它的一个属性变量赋予内核协议栈中数据包的地址;通过在数据包类中自定义类处理函数,依据资源的使用需求重新对内核***函数进行流程再分配;
2.)对网络数据包处理流程进行性能分析,找出影响整体处理效率的瓶颈部分,在这些瓶颈部分增加高级语言的模板库、线程库支持,在对数据依赖的瓶颈处增加多线程处理和缓冲区处理;
规则链表的设计:
规则链表对已经明确性质的网络数据包进行处理,属于DDoS攻击的数据包将进行丢弃,属于正常请求的连接报文将允许通过;规则链表采用协议号和端口号为基础的结构,依据攻击的不同方式首先进行协议号和端口号的匹配检测;采用开源环境下的内核规则过滤模式,避免大多数数据包经过内核与用户空间的转换,提高实际规则匹配的效率;内核规则链表采用树形结构设计,允许多个子规则节点属于一个父亲规则节点,这样前项和后项搜索效率很高,对于具有特定协议或端口特性的攻击报文规则链表匹配速度是很快的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100192839A CN101242409B (zh) | 2008-01-18 | 2008-01-18 | 一种多语言的网络数据包高效过滤的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100192839A CN101242409B (zh) | 2008-01-18 | 2008-01-18 | 一种多语言的网络数据包高效过滤的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101242409A CN101242409A (zh) | 2008-08-13 |
| CN101242409B true CN101242409B (zh) | 2010-12-08 |
Family
ID=39933620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100192839A Expired - Fee Related CN101242409B (zh) | 2008-01-18 | 2008-01-18 | 一种多语言的网络数据包高效过滤的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101242409B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378762A (zh) * | 2014-11-19 | 2015-02-25 | 北京极科极客科技有限公司 | 一种用户上网流量的监控方法 |
| CN106603473B (zh) * | 2015-10-19 | 2021-01-01 | 华为技术有限公司 | 网络安全信息的处理方法及网络安全信息的处理*** |
| CN105224338B (zh) * | 2015-10-28 | 2018-07-24 | 上海斐讯数据通信技术有限公司 | 实现路由器多语言的方法及web服务端 |
| CN107682300B (zh) * | 2016-08-02 | 2020-02-14 | 华为技术有限公司 | 确定安全组规则链的方法和装置 |
| CN110020006B (zh) * | 2017-07-27 | 2021-04-27 | 北京国双科技有限公司 | 查询语句的生成方法及相关设备 |
| CN109799980A (zh) * | 2018-12-13 | 2019-05-24 | 平安普惠企业管理有限公司 | 基于数据处理多编程语言互连的方法、装置及计算机设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039321A (zh) * | 2007-02-02 | 2007-09-19 | 南京邮电大学 | 基于混合型移动代理的无线传感器网络数据传输方法 |
-
2008
- 2008-01-18 CN CN2008100192839A patent/CN101242409B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039321A (zh) * | 2007-02-02 | 2007-09-19 | 南京邮电大学 | 基于混合型移动代理的无线传感器网络数据传输方法 |
Non-Patent Citations (1)
| Title |
|---|
| 蒋凌云,王汝传.基于流量自相似模型的SYN_FloodDDoS攻击防范.南京邮电大学学报(自然科学版).2007,27(2),90-94. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101242409A (zh) | 2008-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10313382B2 (en) | System and method for visualizing and analyzing cyber-attacks using a graph model | |
| CN101242409B (zh) | 一种多语言的网络数据包高效过滤的方法 | |
| CN104618321B (zh) | 用于计算机网络的企业任务管理的***及方法 | |
| CN103312689B (zh) | 一种计算机的网络隐身方法及基于该方法的网络隐身*** | |
| CN101512510B (zh) | 基于定义和应用网络管理意图提供网络管理的方法和*** | |
| CN106953837A (zh) | 具有威胁可视化的集成安全*** | |
| CN106850324A (zh) | 虚拟网络接口对象 | |
| CN109040037A (zh) | 一种基于策略和规则的安全审计*** | |
| CN103095701A (zh) | 开放流表安全增强方法及装置 | |
| CN101958903A (zh) | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 | |
| Kotenko et al. | Verification of security policy filtering rules by model checking | |
| CN114531273A (zh) | 一种防御工业网络***分布式拒绝服务攻击的方法 | |
| He et al. | Research on network programming language and policy conflicts for SDN | |
| CN105683943B (zh) | 使用基于逻辑多维标签的策略模型的分布式网络安全 | |
| CN102104609B (zh) | 一种网络协议安全缺陷分析方法 | |
| Martínez et al. | Model-driven extraction and analysis of network security policies | |
| Smith et al. | Fast signature matching using extended finite automaton (XFA) | |
| CN115296936A (zh) | 一种反网络犯罪辅侦的自动化方法及*** | |
| Ning et al. | Design and implementation of a decentralized prototype system for detecting distributed attacks | |
| Boussard et al. | A process for generating concrete architectures | |
| CN112437070A (zh) | 一种基于操作生成树状态机完整性验证计算方法及*** | |
| Li et al. | GolfEngine: Network management system for software defined networking | |
| RU2547628C2 (ru) | Способ и устройство управления потоками данных распределенной информационной системы | |
| CN116471122B (zh) | 一种基于q学习的网络安全剧本编排方法 | |
| Bourdier et al. | Symbolic analysis of network security policies using rewrite systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20080813 Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: Nanjing Post & Telecommunication Univ. Contract record no.: 2016320000218 Denomination of invention: An efficient filtering method for multi-language network data packets Granted publication date: 20101208 License type: Common License Record date: 20161118 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Jiangsu Nanyou IOT Technology Park Ltd. Assignor: Nanjing Post & Telecommunication Univ. Contract record no.: 2016320000218 Date of cancellation: 20180116 |
|
| EC01 | Cancellation of recordation of patent licensing contract | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20180118 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |