刘洋[1](2019)在《数据包过滤规则匹配与并行化技术研究》文中进行了进一步梳理信息网络技术的蓬勃发展催生出一系列的新型网络架构,为当今社会带来了便捷化服务,但随之产生的信息安全问题也亟待解决。以天地一体化网络为例,该网络体系中存在军、民、党政、企业等多类型用户,对应着不同安全等级的网络域。当数据进行跨域传输请求时,域间安全设备需要根据接入域的安全策略,对接收到的数据包进行访问控制,以保障各个域间的可靠通信。随着域间传输的数据量不断增加,传统的串行过滤方式已经不再满足用户低延迟的性能需求,需要将多核处理器的并行运算特性引入至数据包过滤中,从而实现过滤规则的高效匹配,达到用户需求。因此,论文进行了基于多核处理器的数据包过滤规则匹配与并行化技术研究。开展的主要工作如下:(1)实现了一种基于哈希算法的线性匹配方案。根据过滤规则,系统首先会计算IP地址和端口号的哈希值,在哈希表中查找是否存在相符规则,然后根据查找结果判断是否需要进行链式查找。(2)实现了一种基于分层查找的树型匹配方案。根据过滤规则,系统按照协议、端口号,以及IP地址的查找顺序,依次对五元组信息进行匹配。(3)提出了一种基于元组归类的规则集并行化方法。该方法在传统共享内存的并行数据包过滤的基础上,增加了并行构建规则树,减少了原始规则树构建时间,提高了数据包过滤的效率。实验结果表明:过滤时间方面,小规模规则集时,两种匹配方式差异不大,随着规则数的增加,基于分层查找的树型匹配效果更优;内存占用方面,在规则集数目相同时,基于哈希算法的线性匹配的内存开销更小。同时,并行规则匹配较串行规则匹配得到了 10倍左右的性能提升,对规则集进行并行化处理后,随着规则集规模的增加,时间性能提升愈发明显。
蒋宁[2](2019)在《面向数字化车间工业控制网络的信息安全技术研究》文中研究表明制造业的发展需要工业以太网技术。工业以太网技术促进了工业控制网络与信息网络的集成,数控系统被连接到工业控制网络上进行数据通信。网络集成带来了工业控制网络中通信数据更容易受到泄露、篡改和拒绝服务攻击等信息安全问题。数字化车间工业控制网络位于网络的集成之处,信息安全问题非常重要。数字化车间工业控制网络上集成了大量的数控系统。相对于信息系统的计算机终端,数控系统的计算资源和存储资源有限,通信数据安全需求有其自身特点,安全机制需求重点关注的是资源成本和时间成本。本文针对面向数字化车间工业控制网络的信息安全问题,根据通信数据的安全需求,提出了纵深防御体系模型。本研究在纵深防御体系模型中,从预防的角度,在可用性、完整性和保密性三个方面对通信数据安全机制及其技术进行分别研究。开展面向数字化车间工业控制网络的纵深防御体系模型的研究,为提升工业控制网络的信息安全打下基础。论文的主要研究成果包括以下几个方面:1.提出了一种面向数字化车间工业控制网络的纵深防御体系模型,WN-DID体系模型。针对制造业网络化给工业控制网络带来的信息安全问题,采用预防防御技术。预防防御的难点在于边界防御的有效性。本文提出并建立的WN-DID体系模型将工业控制网络划分为不同的安全域,包括企业域、制造域和制造域内部的一个子域控制域。在不同的安全域根据纵深防御的原理进行边界防御,如部署工业防火墙等边界防御设备。WN-DID体系模型为工业控制网络通信数据的安全研究提供一个基础框架,解决了边界防御的有效性问题,实现了面向数字化车间工业控制网络的纵深防御。2.针对WN-DID体系模型中通信数据的可用性,提出了一种基于工业非军事区的服务器数据访问机制,包括IFW-IDMZ机制和IFW-IDMZ-like机制。在WN-DID体系模型中,企业域和制造域之间的工业防火墙造成了企业域无法访问制造域中服务器的问题。该问题的难点在于企业域既要访问制造域中服务器数据同时又要不降低制造域的安全性。本文提出的IFW-IDMZ机制中,通过利用工业防火墙的工业非军事区,数据资源可以在企业域与制造域之间进行无直接连接的分享。为了增强工业非军事区中服务器的信息安全,本文提出了IFW-IDMZ-like机制,双工业防火墙结构代替单个工业防火墙结构。双防火墙体系结构具有更强安全性和更高数据可用性的优势。为了防止工业防火墙单点失败,本文在IFW-IDMZ-like机制中,为每个工业防火墙进行备份。通过对面向数字化车间工业控制网络进行的Riverbed Modeler仿真测试,分析了端到端时延、防火墙吞吐量、服务器负载、服务器响应时间这些网络性能指标,基于工业非军事区的服务器数据访问机制达到了制造域中服务器数据可用性和安全性的兼顾的效果。3.针对WN-DID体系模型中通信数据的完整性,提出了一种基于NTRU的轻量级数字签名机制,包括NTRU-SHA机制和NTRU-SHA-T机制。通信数据完整性包括消息认证和实体认证,将两者结合的认证技术是完整性需要解决的问题。该问题的难点在于认证要满足低时延要求。本文提出的NTRU-SHA机制中,消息认证使用消息认证码。考虑到安全性能因素研究中采用SHA算法。实体认证研究使用数字签名技术,数字签名技术使用轻量级的非对称密码系统NTRU将消息认证码进行数字签名。为了进一步提升数字签名的效率,本文提出了NTRU-SHA-T机制,将消息认证码进行截断处理。轻量级签名机制既实现了消息认证又实现了实体认证,较少的时间消耗保证面向数字化车间工业控制网络的性能。4.针对WN-DID体系模型中通信数据的保密性,提出了一种端到端的基于NTRU的轻量级混合密码机制,包括NTRU-AES机制和NTRU-RC4机制。考虑到安全风险和密钥管理的因素,面向车间工业控制网络中的通信数据保密性应使用非对称密码机制。但与对称密码机制相比,非对称密码机制存在加密速度和解密速度较慢的问题。解决该问题的难点在于寻求一种机制,其加密和解密的速度较快同时安全风险较低。针对非周期性数据,本文提出了NTRU-AES机制,一种端到端的基于NTRU的轻量级混合密码机制。在NTRU-AES机制中,混合密码结合了对称密码和非对称密码的优点,保护数据采用对称密码中的分组密码AES算法,保护通信会话密钥采用轻量级非对称密码NTRU算法。为了提升周期性数据处理的效率,本文提出了NTRU-RC4机制,保护通信会话密钥采用轻量级非对称密码NTRU算法,而对称密码采用流密码RC4算法。端到端的基于NTRU的轻量级混合密码机制提升了加密和解密的速度,并且提升了会话密钥的安全性。较少的时间消耗在保证通信数据的保密性的同时保证面向数字化车间工业控制网络性能。
耿毅刚[3](2018)在《智能变电站二次系统安全防护方案的研究》文中研究表明随着计算机技术和自动化技术的不断发展,智能站的建设规模日益增大。与常规站相比,智能站二次侧信息数字化程度更高,如果安全防护不到位,更容易受到网络信息安全威胁,进而导致严重电网故障,所以本文对智能站二次系统的安全防护方案进行了研究,可为智能站信息安全提供指导。首先,指出智能变电站二次系统的安全防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其他非法操作;防护重点是强化变电站边界防护,加强内部安全措施;风险源主要是黑客、病毒、恶意代码等;主要特点是动态性、闭环性;整体策略是“安全分区、横向隔离、网络专用、纵向认证”。其次,对边界安全防护专用技术和安全防护设备的原理和配置情况进行了研究,通过对比研究,提出采用网闸隔离技术、非对称加密技术和VPN技术作为智能站二次系统安全防护方案的关键技术;对交换机、防火墙、横向隔离装置、纵向加密装置的原理及配置过程进行了研究,提出四种装置分别采用静态路由配置,安全访问策略可对源IP地址、目的IP地址、目的端口进行控制,并用SecureCRT工具在Windows系统下对其具体配置情况进行了仿真研究。然后,对220kVxx智能站的边界安全防护方案进行了设计研究,确定了防护目标及主要风险源,将二次系统分为三个安全区,并对各分区设备和安全装置的配置情况进行了研究,设计了安全防护方案的拓扑图,对安全分区中各系统的纵向防护方案和横向防护方案进行了详细设计,对物理隔离设备、加密认证装置、防火墙、路由器/交换机、主机等设备的安全加固方案进行了研究。最后,对智能站二次系统的过程安全防护进行了研究,提出了基于可信计算技术的过程安全防护方案,并对可信计算平台的设计进行了研究。
沈洋[4](2015)在《企业办公网络安全防护方案的设计与实现》文中进行了进一步梳理随着计算机网络技术的飞速进步,现代办公已向着办公信息化的方向快速发展。办公信息化是在办公自动化的基础上,政府、企业、学校、军队等单位运用现代计算机和网络技术,把传统的办公职能转移到网络上并进行相应的信息化扩展,进而实现无纸化办公,提高办公效率。然而随着办公信息化的全面发展,网络安全也越来越重要,企业办公网络的信息安全系统建设迫在眉睫。论文研究和分析了当前各种网络安全技术和数据备份方案等,对案例中的企业办公网络现状进行了实地调研。对于在企业办公网络应用中,如破坏系统、瘫痪服务、盗取重要文档、传播病毒等网络安全问题,提出了企业办公网升级改造的需求分析和设计构想。通过冗余网络拓扑结构设计、虚拟专用网应用、防火墙安全策略规划等方面的一系列措施,实现了网络行为管理、文档安全、病毒防护、数据备份等功能的网络安全系统建设,满足了企业办公网络应用的安全需求。论文中所提出的网络安全措施,在实际的办公网络应用中发挥的相应的安全保障作用,信息化安全技术在实际工作中得到了很好的运用,网络的运行安全、信息安全得到了有效的保护。
李璐[5](2015)在《Linux下应用层包过滤防火墙的设计与实现》文中研究说明网络的发展和普及,带领人类进入了一个崭新的信息化时代,智能化网络充斥在人类生活的各个方面。然而,传统的防火墙工作在网络层,不能对通过Email’快速传播的病毒、嵌在web页面的恶意代码、HTTP攻击等手段进行有效的防范,因此引起了人们对于应用层网络安全的重视,也加速了对应用层包过滤技术的研究。将应用层包过滤技术嵌入现有的包过滤防火墙,结合两者优点,同时检测网络层和应用层的数据包信息,多层次提高网络安全性。通过对客户端可能用到的各种应用类型逐一设置,可以过滤多种应用层协议数据包,加强应用层包过滤的功能。本文基于现有应用层过滤产品存在的问题,设计并实现了一个应用层包过滤防火墙。系统在原有包过滤防火墙的基础上集成了内容过滤和病毒检测的功能。本文的主要工作和成果如下:1.数据包捕获模块中分别设计了内核层和应用层的流程。无需在内核设计模块,内核层直接通过NetFilter的配置就可以将数据报文放入指定的队列中,应用层调用NetLink套接字接口接收共享队列中的数据报文。2.重组模块中结合哈希表和HTTP会话机制建立哈希会话链表,通过对数据包IP五元组的哈希运算决定填充链表位置,从而完成重组工作。3.内容过滤模块中改进并实现了一个关键字匹配算法,将报文内容与关键字库中的关键字逐一比对,检测非法关键字符,对报文内容进行有效的过滤。4.病毒检测模块中无需还原原有文件,利用流查杀引擎和流病毒库直接对一定数量的数据包进行病毒检测。优化病毒检测流程,对病毒采用只查不杀的处理方式,减少因报文转发而产生的系统时延。
黄侃[6](2014)在《基于Snort规则匹配算法的研究与实现》文中研究指明随着计算机网络的飞速发展,人们的生活也在发生深刻的变化,计算机网络已经成为人们生活中非常重要的一部分。然而,网络安全问题一直是研究和关注的焦点,上至国家,下至个人,都了解网络安全的重要性。入侵检测系统作为网络安全技术的代表之一,一直是专家学者研究的重点。作为一门年轻的学科分支,入侵检测系统的模型、原理、作用及分类都值得学习。入侵检测技术正在从传统网络安全技术中脱颖而出,成为网络安全技术的主流技术。Snort是一个轻量级的、开源的入侵检测系统,分析它的工作原理,检测过程,规则语法对学习Snort系统都是必要的。本文还分析了Snort从捕获数据包、包解码器、预处理器、规则解析和探测引擎以及响应与输出的全过程。本文重点剖析了Snort检测引擎采用的模式匹配算法,分析了BM算法、BMH算法、BMHS算法,指出了它们的优点及不足,以及BM及其改进算法的思想。在此基础上,从三个方面思考,采用双字符序列检测法,提出一种改进的BM算法1。继而,在BMH算法和BMHS算法的思想上拓展,提出另一种改进的BM算法2。在学习和分析Snort系统的基础上,设计一个在Windows平台下Snort入侵检测系统,可图形化显示入侵检测分析结果。最后将改进的算法应用于Snort系统中,通过实验验证,比较分析,改进的算法比BM算法及其改进算法在效率上都有所提高。算法的改进是成功的,对Snort系统今后的发展是有帮助的。
陈艺文[7](2013)在《虚拟数据中心安全防护的调研分析》文中研究表明随着信息技术的不断发展,数据中心规模和数量也呈现出爆炸性增长,由于数据中心设备的利用率和机房基础设施的低能源效率,电力消耗和管理维护的成本占数据中心成本的比例越来越高。为解决这一问题,企业对服务器进行虚拟化改造,在原有的硬件资源上创建多个虚拟机操作系统来实现数据的分布式共享,这样能有效降低数据中心的能耗,提高资源利用率。采用虚拟化技术的数据中心整合能够显着的节约运营成本,然而,在虚拟化带来好处的同时,也带来了新的安全风险。由于虚拟化环境独特的动态特性,传统的静态安全措施变得越来越力不从心,不仅难以管理动态虚拟服务器池周边的静态安全设备,而且静态安全措施甚至还可能会遮掩虚拟化所带来的好处。因此,寻求适合的安全方案,对虚拟数据中心进行安全防护,在解决安全隐患的同时,也能保障数据中心的性能,这是企业当前十分关注的问题。本文通过调研国内外知名厂商的虚拟化安全解决方案和产品,根据产品白皮书以及相关技术文档来详细阐述各个产品的架构图、核心组件和功能特性等,并从防火墙和防病毒两大方面出发,归纳总结可以应用于虚拟数据中心安全防护的解决方案。本文采用实验法,针对防火墙和防病毒两方面的安全方案,根据不同的性能评估项,设计不同的测试场景并搭建实验环境进行测试。最后,本文结合定性和定量分析方法,对实验测试结果进行分析对比。本文采用调研和实验相结合的研究方法,分析虚拟化安全解决方案,并搭建实验环境,测试这些方案对虚拟数据中心提供服务能力和性能的影响,对测试结果进行分析总结,并给出企业对虚拟数据中心进行安全防护方面的建议和展望。
张庭[8](2012)在《电子政务外网网络结构与安全管理》文中研究说明电子政务系统的信息安全是一个需要格外关注的问题。在享受网络带给我们的便利的同时,严格控制对信息的访问权限、保证信息的完整性对于政府网络来说是迫切需要解决的问题。网络的开放性必然带来信息失窃的隐患,解决好信息共享与保密性、完整性的关系,开放性与保护隐私的关系,互联性与局部隔离的关系,是实现安全的电子政务的前提。论文分析了常熟市电子政务系统和网络从2003年建设之后6年的使用情况,由于接入部门的不断扩充,用户需求的增加,网络安全问题开始出现;同时,应用系统数据量的增加,以及硬件设备的老化等问题,都影响现有应用系统的推广和使用。针对这些问题常熟市电子政务系统进行了网络和应用系统的升级改造,根据原有的网络结构和用户需求,更换了网络核心、汇聚和接入交换机,针对用户使用习惯,升级了OA办公系统和政府门户网站,并且根据系统安全等级体系标准,加强了网络和系统的安全。通过对网络的升级,增加了核心交换机和路由器,并且增加了出口线路,做到了核心线路冗余,减少了网络的单故障节点。同时增加了流量控制设备,有效地提高了网络的带宽利用,提高了网络的访问速度和核心业务的使用,有利地推进了业务系统的使用。
邱远兴[9](2012)在《浅谈下一代防火墙的发展趋势》文中研究指明近年来,下一代防火墙(Next-Generation Firewall简称NGFW)作为最具热点的安全产品之一,已经越来越受到国内外安全厂商、市场研究机构、媒体以及IT管理者等的追捧。NGFW究竟是如何定义的?它与传统防火墙、安全网关(Unified Threat Management简称UTM)有哪些不同?为了更好地理解下一代防火墙,本文从安全需求方面为出发点,对下一代防火墙未来发展趋势做一个全面的剖析。
姚崎[10](2011)在《高性能可信区域边界防护体系结构及关键技术》文中指出区域边界安全是信息系统安全保障框架的重要组成部分,传统的区域边界安全防护机制存在着缺乏体系化的结构设计和防护性能无法适应网络技术及应用高速发展两个方面的主要问题。针对上述问题,首先对区域边界防护体系结构展开研究,归纳总结了现有区域边界安全防护机制的技术特点,指出其存在的局限性;借鉴可信计算领域的研究成果,提出一种以可信网络连接为基础的区域边界防护体系结构,其有机整合了边界安全网关、终端计算环境安全机制和安全管理中心等安全组件,通过对信息流进行分类实现了边界安全防护的层次化和体系化,通过三元对等鉴别实现了边界安全防护机制自身完整性的度量和验证,通过区域边界强制访问控制模型的设计与应用实现了细粒度的边界访问控制。由于边界安全网关在区域边界防护体系结构中是安全策略的重要执行组件,同时其处理性能会成为影响边界可用性的瓶颈,因此给出了可信边界安全网关的功能结构设计和基于多核处理器并行处理的性能优化模型,并对性能优化模型中的三个关键技术问题展开重点研究。1)通过建立开放式安全网关架构的网络报文转发模型,分析了其性能瓶颈所在;然后给出一种基于多队列的报文缓冲区回收重用算法,以及一种基于报文队列的处理器亲和机制;实验结果表明,这两种优化方法提高了转发处理过程的处理器CACHE局部性,减少了同步互斥机制的使用次数,从而大幅提升了边界安全网关数据平面的报文转发性能。2)通过分析指出基于数据流分解与调度的处理模型适合目前安全引擎并行处理的需求;然后给出一种基于状态反馈的动态流调度机制——MFD流调度机制,其包括动态流空间划分算法和大流重映射算法两个部分;通过模拟器对满负载的10Gbps真实网络数据流样本进行模拟调度实验,实验结果表明与几种典型的流调度算法对比,MFD在保证并行执行的各个安全引擎负载均衡的前提下,实现了最小流破坏度,适合安全引擎的处理特点。3)采用生产者/消费者模型描述边界安全网关流水线结构中的共享报文队列操作,给出一种适合链表存储结构的无锁队列操作算法,证明了该算法满足并发执行程序的线性化归约和非阻塞特性;在实验环境中与几种主流的生产者/消费者队列操作算法进行了对比测试,实验结果表明该算法在各种应用环境中都能够具有较好的性能指标。
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.1.1 天地一体化网络 |
| 1.1.2 多核处理器 |
| 1.2 研究意义 |
| 1.3 国内外研究现状 |
| 1.4 论文主要工作 |
| 1.5 论文章节安排 |
| 第二章 并行化包过滤相关技术 |
| 2.1 并行计算技术 |
| 2.1.1 多核处理器结构 |
| 2.1.2 并行编程模式 |
| 2.2 数据包过滤 |
| 2.3 数据包分类 |
| 2.3.1 数据包分类定义 |
| 2.3.2 数据包分类算法 |
| 2.4 数据包过滤的评估指标 |
| 2.5 本章小节 |
| 第三章 基于数据包过滤规则匹配的串行设计 |
| 3.1 五元组信息 |
| 3.2 基于哈希算法的线性匹配 |
| 3.2.1 哈希函数的设计 |
| 3.2.2 线性匹配的实现流程 |
| 3.3 基于分层查找的树型匹配 |
| 3.3.1 树型规则设计 |
| 3.3.2 树型匹配的实现流程 |
| 3.4 实验测试与性能分析 |
| 3.4.1 实验环境及数据来源 |
| 3.4.2 实验测试与分析 |
| 3.5 本章小节 |
| 第四章 基于数据包过滤规则匹配的并行研究 |
| 4.1 规则匹配的并行化设计 |
| 4.1.1 简单并行策略 |
| 4.1.2 基于元组归类的并行策略 |
| 4.2 基于元组归类的的并行策略 |
| 4.2.1 整体实现思路 |
| 4.2.2 规则集预处理 |
| 4.2.3 元组归类处理 |
| 4.2.4 规则树的并行构建 |
| 4.3 数据包匹配的并行化实现 |
| 4.3.1 整体实现思路 |
| 4.3.2 数据包并行化匹配 |
| 4.4 实验测试与性能分析 |
| 4.4.1 实验环境与数据来源 |
| 4.4.2 实验测试与分析 |
| 4.5 本章小节 |
| 第五章 总结与展望 |
| 5.1 全文总结 |
| 5.2 下一步展望 |
| 参考文献 |
| 致谢 |
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 研究背景 |
| 1.1.1 工业控制系统的发展以及工业以太网的发展 |
| 1.1.2 工业控制网络与信息网络的集成 |
| 1.1.3 工业控制网络的安全问题 |
| 1.2 研究现状 |
| 1.2.1 面向数字化车间工业控制网络(WN)的结构 |
| 1.2.2 WN中的两种安全及其标准 |
| 1.2.3 WN中的信息安全与功能安全关系 |
| 1.2.4 工业控制网络中的信息安全研究 |
| 1.3 论文的研究意义和课题来源 |
| 1.4 论文研究内容及结构安排 |
| 1.5 小结 |
| 第2章 面向数字化车间工业控制网络的信息安全需求 |
| 2.1 WN中的信息安全特点 |
| 2.1.1 工业控制系统与IT系统的不同之处 |
| 2.1.2 工业控制系统与IT系统信息安全的不同之处 |
| 2.2 WN中数据的三种状态 |
| 2.3 WN中通信数据的安全需求 |
| 2.3.1 通信数据可用性需求 |
| 2.3.2 通信数据完整性需求 |
| 2.3.3 通信数据保密性需求 |
| 2.3.4 WN中信息安全需求特点 |
| 2.4 WN中的通信数据的安全机制 |
| 2.4.1 通信数据可用性安全机制 |
| 2.4.2 通信数据完整性安全机制 |
| 2.4.3 通信数据保密性安全机制 |
| 2.5 小结 |
| 第3章 面向数字化车间工业控制网络的纵深防御体系模型研究 |
| 3.1 防御的三道防线 |
| 3.2 纵深防御策略 |
| 3.2.1 工业控制系统中的信息安全级别 |
| 3.2.2 纵深防御的模型 |
| 3.2.3 边界防御 |
| 3.3 WN中安全域设计 |
| 3.3.1 安全域与子域设计 |
| 3.3.2 虚拟子域设计 |
| 3.4 面向数字化车间工业控制网络上的纵深防御(WN-DID)体系模型设计 |
| 3.4.1 单数字化车间的WN-DID体系模型 |
| 3.4.2 多数字化车间的WN-DID体系模型 |
| 3.5 小结 |
| 第4章 WN-DID体系模型中通信数据可用性研究与设计 |
| 4.1 WN-DID体系模型中通信数据可用性的需求 |
| 4.2 工业网络防火墙(IFW) |
| 4.3 WN-DID体系模型中通信数据可用性设计 |
| 4.3.1 工业非军事区(IDMZ) |
| 4.3.2 IFW-IDMZ机制设计 |
| 4.3.3 IFW-IDMZ-like机制设计 |
| 4.3.4 IFW-IDMZ-like机制的冗余热备设计 |
| 4.4 仿真验证 |
| 4.4.1 仿真实验验证 |
| 4.4.2 工业控制网络性能指标 |
| 4.4.3 基于Riverbed Modeler的仿真建模 |
| 4.4.4 WN的业务建模 |
| 4.4.5 仿真场景建模 |
| 4.4.6 仿真结果分析 |
| 4.5 小结 |
| 第5章 WN-DID体系模型中通信数据完整性研究与设计 |
| 5.1 WN-DID体系模型中通信数据完整性的需求 |
| 5.2 WN-DID体系模型中认证采用的技术 |
| 5.2.1 消息认证技术 |
| 5.2.2 数字签名技术 |
| 5.2.3 基于非对称密码系统的数字签名机制 |
| 5.3 WN-DID体系模型中的通信数据的完整性设计 |
| 5.3.1 基于SHA的消息认证 |
| 5.3.2 基于NTRU的数字签名 |
| 5.3.3 NTRU-SHA机制设计 |
| 5.3.4 NTRU-SHA-T机制设计 |
| 5.4 测试验证 |
| 5.4.1 NTRU密钥对生成效率分析 |
| 5.4.2 NTRU-SHA机制效率分析 |
| 5.4.3 NTRU-SHA-T机制效率分析 |
| 5.4.4 基于NTRU的数字签名机制效率比较 |
| 5.5 小结 |
| 第6章 WN-DID体系模型中通信数据保密性研究与设计 |
| 6.1 WN-DID体系模型中通信数据保密性的需求 |
| 6.2 WN-DID体系模型中的密码机制 |
| 6.3 WN-DID体系模型中的通信数据的保密性设计 |
| 6.3.1 基于非对称密码系统的设计 |
| 6.3.2 端到端密码方式的设计 |
| 6.3.3 NTRU-AES混合密码机制设计 |
| 6.3.4 NTRU-RC4 混合密码机制设计 |
| 6.4 测试验证 |
| 6.4.1 NTRU加密和解密会话密钥效率分析 |
| 6.4.2 NTRU-AES机制效率分析 |
| 6.4.3 NTRU-RC4 机制效率分析 |
| 6.4.4 基于NTRU的混合密码机制效率比较 |
| 6.5 WN-DID体系模型中的通信数据的完整性和保密性结合设计 |
| 6.5.1 基于SSL的设计 |
| 6.5.2 NTRU-AES-SHA-T机制与NTRU-RC4-SHA-T机制 |
| 6.6 综合测试验证 |
| 6.6.1 NTRU-AES-SHA-T机制效率分析 |
| 6.6.2 NTRU-RC4-SHA-T机制效率分析 |
| 6.6.3 基于NTRU的密码机制效率比较 |
| 6.7 小结 |
| 结束语 |
| 参考文献 |
| 致谢 |
| 作者简历及攻读学位期间发表学术论文及科研成果 |
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 论文选题背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 论文的主要内容 |
| 第2章 智能站二次系统安全防护方案整体结构 |
| 2.1 智能站二次系统安全防护概述 |
| 2.1.1 智能站二次系统安全防护目标 |
| 2.1.2 智能站二次系统安全防护基本特点 |
| 2.1.3 智能站二次系统安全防护分区方案 |
| 2.2 智能站二次系统安全防护策略 |
| 2.2.1 整体安全防护策略 |
| 2.2.2 边界安全防护策略 |
| 2.2.3 过程安全防护策略 |
| 2.3 本章小结 |
| 第3章 智能站二次系统安全防护技术研究 |
| 3.1 边界安全防护技术 |
| 3.1.1 通用技术措施 |
| 3.1.2 网络隔离技术 |
| 3.1.3 加密认证技术 |
| 3.2 边界安全防护设备及配置过程 |
| 3.2.1 交换机原理及配置过程 |
| 3.2.2 防火墙原理及配置过程 |
| 3.2.3 横向隔离装置原理及配置过程 |
| 3.2.4 纵向加密认证装置原理及配置过程 |
| 3.3 过程安全防护技术 |
| 3.3.1 可信计算技术原理 |
| 3.3.2 可信计算技术框架 |
| 3.4 本章小结 |
| 第4章 220kV某智能站二次系统安全防护方案的设计 |
| 4.1 工程背景概况 |
| 4.2 防护目标及主要风险 |
| 4.2.1 防护目标 |
| 4.2.2 主要风险和防护重点 |
| 4.3 边界安全防护方案 |
| 4.3.1 防护范围及安全分区 |
| 4.3.2 边界安全防护方案部署 |
| 4.4 各系统边界安全防护方案 |
| 4.4.1 安全I区系统边界防护方案 |
| 4.4.2 安全II区系统边界防护方案 |
| 4.4.3 安全III区系统边界防护方案 |
| 4.5 边界安全设备加固方案 |
| 4.5.1 物理隔离设备 |
| 4.5.2 加密认证装置 |
| 4.5.3 防火墙 |
| 4.5.4 路由器/交换机 |
| 4.6 基于可信计算技术的过程安全防护方案 |
| 4.6.1 可信计算平台设计 |
| 4.6.2 可信计算平台功能模块设计 |
| 4.6.3 工程应用前景分析 |
| 4.7 应用效果分析 |
| 4.8 本章小结 |
| 第5章 结论与展望 |
| 5.1 结论 |
| 5.2 展望 |
| 参考文献 |
| 致谢 |
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题背景及意义 |
| 1.2 办公网络安全现状 |
| 1.3 论文内容简介 |
| 第二章 网络安全相关技术 |
| 2.1 虚拟局域网技术 |
| 2.1.1 虚拟局域网定义 |
| 2.1.2 VLAN的优点及安全优势 |
| 2.1.3 VLAN划分方法 |
| 2.2 防火墙技术 |
| 2.2.1 防火墙的隔离技术 |
| 2.2.2 防火墙的分类 |
| 2.2.3 目前防火墙中的最新技术及发展情况 |
| 2.3 上网行为管理技术 |
| 2.3.1 上网行为管理的描述 |
| 2.3.2 管理功能 |
| 2.4 文档安全保护技术 |
| 2.4.1 文档保护的意义 |
| 2.4.2 防护手段分类 |
| 2.4.3 实现的文档保护结果 |
| 2.5 Web系统安全防护技术 |
| 2.5.1 Web应用面临的安全威胁 |
| 2.5.2 Web系统安全防护技术 |
| 2.5.3 Web系统安全防护设备 |
| 2.5.4 发展趋势 |
| 2.6 网络防病毒技术 |
| 2.6.1 计算机病毒的特点 |
| 2.6.2 计算机网络病毒的特点及危害 |
| 2.6.3 基于网络安全体系的防毒管理措施 |
| 2.6.4 基于工作站与服务器的防毒技术 |
| 2.7 双机热备技术 |
| 2.7.1 备份的含义 |
| 2.7.2 热备份原理 |
| 2.7.3 双机热备与数据备份的关系 |
| 2.7.4 镜像方式 |
| 第三章 办公网络安全系统分析与设计 |
| 3.1 现状介绍 |
| 3.2 需求分析 |
| 3.2.1 存在问题 |
| 3.2.2 建设要求 |
| 3.3 建设目标 |
| 3.3.1 网络升级目标 |
| 3.3.2 网络安全改造目标 |
| 3.3.3 数据热备设计目标 |
| 3.4 本章小结 |
| 第四章 解决方案设计与实现 |
| 4.1 VLAN重建与优化 |
| 4.1.1 VLAN拓扑设计 |
| 4.1.2 VLAN优化策略 |
| 4.2 出入.监控管理策略 |
| 4.2.1 启用防火墙 |
| 4.2.2 网络流量监控和管理子系统设置 |
| 4.3 安全防护措施设计与实现 |
| 4.3.1 文档安全保护 |
| 4.3.2 Web应用防护 |
| 4.3.3 网络防病毒 |
| 4.4 数据安全保护措施 |
| 4.4.1 数据安全备份软件的选择与功能要求 |
| 4.4.2 双机热备及异地备份策略部署 |
| 4.5 本章小结 |
| 第五章 总结与展望 |
| 5.1 总结 |
| 5.2 展望 |
| 参考文献 |
| 致谢 |
| 摘要 |
| ABSTRACT |
| 第一章 引言 |
| 1.1 研究背景和意义 |
| 1.2 国内外研究现状 |
| 1.3 论文的研究内容 |
| 1.4 论文创新点 |
| 1.5 论文组织结构 |
| 1.6 小结 |
| 第二章 相关技术研究 |
| 2.1 Netfilter/Iptables机制 |
| 2.1.1 Netfilter框架 |
| 2.1.2 Netfilter/Iptables的表和链 |
| 2.1.3 Iptables过滤规则设置 |
| 2.2 内核空间与用户空间通信 |
| 2.2.1 现有的通信方式及分析 |
| 2.2.2 Netlink详细介绍 |
| 2.3 HTTP协议报文 |
| 2.3.1 HTTP报文结构 |
| 2.3.2 HTTP请求和响应报文 |
| 2.4 关键字匹配算法 |
| 2.5 小结 |
| 第三章 应用层包过滤防火墙的设计 |
| 3.1 系统设计需求 |
| 3.1.1 功能需求 |
| 3.1.2 性能需求 |
| 3.2 系统总体设计 |
| 3.2.1 系统架构 |
| 3.2.2 系统体系设计 |
| 3.3 主要功能详细设计 |
| 3.3.1 数据包捕获 |
| 3.3.2 会话重组 |
| 3.3.3 内容过滤 |
| 3.3.4 病毒检测 |
| 3.4 小结 |
| 第四章 应用层包过滤防火墙的实现 |
| 4.1 数据包捕获模块 |
| 4.1.1 内核层数据发送 |
| 4.1.2 应用层数据接收 |
| 4.2 重组模块 |
| 4.3 内容过滤模块 |
| 4.3.1 内容过滤实现 |
| 4.3.2 关键字匹配算法改进 |
| 4.3.3 关键字匹配算法实现 |
| 4.4 病毒检测 |
| 4.5 日志管理 |
| 4.6 小结 |
| 第五章 系统测试 |
| 5.1 测试环境和目标 |
| 5.2 功能测试 |
| 5.2.1 内容过滤测试 |
| 5.2.2 病毒检测测试 |
| 5.2.3 结果分析 |
| 5.3 性能测试 |
| 5.3.1 改进BM算法的性能测试 |
| 5.3.2 系统性能测试 |
| 5.4 小结 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 下一步的展望 |
| 参考文献 |
| 致谢 |
| 摘要 |
| Abstract |
| 目录 |
| 第1章 绪论 |
| 1.1 网络安全研究的背景和意义 |
| 1.2 网络安全研究的现状 |
| 1.3 网络安全技术简介 |
| 1.4 本文主要研究内容及文章结构 |
| 第2章 入侵检测的基本理论 |
| 2.1 入侵检测的概念 |
| 2.2 入侵检测系统的作用 |
| 2.3 入侵检测系统模型的提出 |
| 2.3.1 收集信息 |
| 2.3.2 分析信息 |
| 2.3.3 入侵检测模型 |
| 2.4 入侵检测系统原理 |
| 2.5 入侵检测系统的分类 |
| 2.6 入侵检测系统的性能指标 |
| 2.7 入侵检测系统的发展要求 |
| 2.8 本章小结 |
| 第3章 Snort入侵检测系统分析 |
| 3.1 Snort简介 |
| 3.2 Snort工作原理 |
| 3.3 Snort工作流程 |
| 3.3.1 捕获数据包 |
| 3.3.2 包解码器 |
| 3.3.3 预处理器 |
| 3.3.4 规则解析和探测引擎 |
| 3.3.5 响应和输出 |
| 3.4 Snort的规则语法 |
| 3.5 本章小结 |
| 第4章 模式匹配算法的研究与改进 |
| 4.1 BM算法 |
| 4.2 BMH算法 |
| 4.3 BMHS算法 |
| 4.4 多模式匹配算法 |
| 4.4.1 AC算法 |
| 4.4.2 WM算法 |
| 4.5 改进的BM算法1 |
| 4.6 改进的BM算法2 |
| 4.7 本章小结 |
| 第5章 Windows平台下Snort入侵检测系统的设计与实现 |
| 5.1 系统体系结构 |
| 5.2 第一层---传感器层 |
| 5.3 第二层---数据库层 |
| 5.4 第三层---数据分析控制层 |
| 5.5 系统实现 |
| 5.6 算法性能测试 |
| 5.7 改进的算法应用于Snort系统中 |
| 5.8 本章小结 |
| 第6章 总结与展望 |
| 6.1 本文的主要工作 |
| 6.2 不足与对未来工作的展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间的研究成果 |
| 摘要 |
| Abstract |
| 目录 |
| 第一章 绪论 |
| 1.1 研究背景和意义 |
| 1.2 虚拟数据中心安全现状 |
| 1.3 主要研究工作和内容 |
| 1.4 论文组织结构 |
| 第二章 相关理论与技术 |
| 2.1 虚拟化概述 |
| 2.1.1 虚拟化的定义 |
| 2.1.2 系统虚拟化 |
| 2.2 服务器虚拟化 |
| 2.2.1 基本概念 |
| 2.2.2 关键特性 |
| 2.2.3 核心技术 |
| 2.3 虚拟化安全问题 |
| 2.4 本章小结 |
| 第三章 调研方法 |
| 3.1 调研范围 |
| 3.2 研究方法 |
| 3.3 资料和数据来源 |
| 3.4 资料和数据的分析方法 |
| 3.5 调研步骤 |
| 3.6 本章小结 |
| 第四章 安全方案分析 |
| 4.1 行业厂商安全方案详析 |
| 4.1.1 VMware |
| 4.1.2 趋势科技 |
| 4.1.3 McAfee |
| 4.1.4 Juniper |
| 4.1.5 Catbird |
| 4.1.6 Check Point |
| 4.2 安全防护方案总结 |
| 4.2.1 安全方案对比 |
| 4.2.2 防火墙方案 |
| 4.2.3 防病毒方案 |
| 4.3 本章小结 |
| 第五章 测试方案设计 |
| 5.1 实验环境 |
| 5.1.1 平台选择 |
| 5.1.2 硬件配置 |
| 5.2 防火墙方案测试设计 |
| 5.2.1 吞吐量 |
| 5.2.2 时延 |
| 5.2.3 HTTP 传输速率 |
| 5.2.4 DoS 处理能力 |
| 5.2.5 CPU 和内存使用率 |
| 5.3 防病毒方案测试设计 |
| 5.3.1 病毒检测率 |
| 5.3.2 误报率 |
| 5.3.3 性能测试 |
| 5.3.4 CPU 使用率 |
| 5.4 本章小结 |
| 第六章 测试结果与分析 |
| 6.1 信度分析 |
| 6.2 防火墙安全方案 |
| 6.3 防病毒安全方案 |
| 6.4 方案对比与选择 |
| 6.5 本章小结 |
| 总结与展望 |
| 总结 |
| 展望 |
| 参考文献 |
| 攻读硕士学位期间取得的研究成果 |
| 致谢 |
| 附表 |
| 摘要 |
| ABSTRACT |
| 目录 |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 课题意义和主要工作 |
| 1.3 论文内容介绍 |
| 第二章 电子政务系统概述 |
| 2.1 电子政务的定义 |
| 2.1.1 电子政务的应用背景 |
| 2.1.2 电子政务的定义 |
| 2.1.3 电子政务的特征 |
| 2.2 电子政务网络安全概述 |
| 2.2.1 安全概述 |
| 2.2.2 电子政务网络规划 |
| 2.2.3 网络总体结构 |
| 2.3 电子政务系统的安全问题 |
| 2.3.1 电子政务系统安全威胁 |
| 2.3.2 电子政务系统安全风险 |
| 2.3.3 电子政务的安全需求 |
| 2.4 电子政务风险分析 |
| 2.4.1 物理安全风险分析 |
| 2.4.2 网络安全风险分析 |
| 2.4.3 主机安全风险分析 |
| 2.4.4 应用安全风险分析 |
| 2.5 电子政务安全关键技术 |
| 2.5.1 防火墙技术 |
| 2.5.2 VPN 技术 |
| 2.5.3 入侵检测技术 |
| 第三章 常熟市电子政务系统现状分析 |
| 3.1 常熟市电子政务现状 |
| 3.1.1 常熟市电子政务网络状况 |
| 3.1.2 应用系统现状 |
| 3.2 电子政务问题分析 |
| 3.2.1 网络结构问题分析 |
| 3.2.2 主机安全问题分析 |
| 3.2.3 应用安全问题分析 |
| 3.2.4 数据安全问题分析 |
| 第四章 常熟市电子政务系统安全建设方案 |
| 4.1 物理安全建设方案 |
| 4.1.1 机房介绍 |
| 4.1.2 机房环境监控 |
| 4.2 网络安全建设方案 |
| 4.2.1 网络拓扑结构 |
| 4.2.2 防火墙配置以及策略 |
| 4.2.3 网络流控配置以及策略 |
| 4.2.4 行为管理审计配置以及策略 |
| 4.2.5 VPN 设备配置以及策略 |
| 4.2.6 网络日志管理 |
| 4.2.7 威胁发现管理 |
| 4.3 主机安全建设方案 |
| 4.3.1 服务器口令管理 |
| 4.3.2 服务器补丁安装 |
| 4.3.3 服务器病毒防护 |
| 4.3.4 服务器日志管理 |
| 4.4 应用安全建设方案 |
| 4.4.1 身份认证和密码管理 |
| 4.4.2 应用软件的漏洞补丁 |
| 4.4.3 负载均衡方案 |
| 4.5 数据安全建设方案 |
| 4.5.1 系统和数据备份 |
| 4.5.2 数据还原测试 |
| 第五章 总结与展望 |
| 致谢 |
| 参考文献 |
| 前言 |
| 一、下一代防火墙定义 |
| 1. 传统防火墙功能 |
| 2. 线速的处理性能 |
| 3. 高度融合IPS及智能化联动 |
| 4. 应用可视及身份鉴别的能力 |
| 二、区分下一代防火墙与UTM |
| 1. UTM定义 |
| 2. 产品架构 |
| 3. 应用场景 |
| 4. 技术及市场趋势 |
| 三、下一代防火墙的技术发展趋势 |
| 1. 虚拟化安全成为一个亟待解决的问题 |
| 2. 新应用模式下的攻击手段及技术将更加复杂及隐蔽 |
| 3. 基于云安全模式的We b信誉评级将成为新的需求热点 |
| 4. 大量数据中心的新建及扩容将会带来巨大的成本压力 |
| 四、结束语 |
| 致谢 |
| 中文摘要 |
| ABSTRACT |
| 图目录 |
| 表目录 |
| 1 绪论 |
| 1.1 引言 |
| 1.2 相关研究背景 |
| 1.2.1 信息安全保障框架 |
| 1.2.2 信息系统安全等级保护设计要求 |
| 1.2.3 可信计算的发展 |
| 1.2.4 多核处理器发展 |
| 1.3 区域边界防护体系结构 |
| 1.3.1 传统区域边界防护体系结构 |
| 1.3.2 体系结构安全弱点分析 |
| 1.4 区域边界安全防护性能 |
| 1.4.1 区域边界防护的高性能需求 |
| 1.4.2 高性能边界安全网关技术路线 |
| 1.5 研究内容及主要贡献 |
| 1.6 论文结构 |
| 2 可信区域边界防护体系结构 |
| 2.1 相关研究背景 |
| 2.1.1 区域边界安全体系结构 |
| 2.1.2 可信计算与可信网络连接 |
| 2.1.3 强制访问控制模型及应用 |
| 2.2 可信区域边界防护体系结构设计 |
| 2.2.1 设计目标及思路 |
| 2.2.2 可信区域边界安全体系结构 |
| 2.2.3 可信区域边界防护过程 |
| 2.2.4 可信区域边界三元对等鉴别机制 |
| 2.3 TDE区域边界强制访问控制模型 |
| 2.3.1 安全目标 |
| 2.3.2 TDE模型设计思路 |
| 2.3.3 模型常量及变量定义 |
| 2.3.4 模型安全不变量及规则 |
| 2.3.5 模型应用 |
| 2.4 可信区域边界安全网关原型系统设计 |
| 2.4.1 边界安全网关功能设计 |
| 2.4.2 边界安全网关性能设计 |
| 2.5 小结 |
| 3 边界安全网关高速报文转发机制 |
| 3.1 模型描述与分析 |
| 3.1.1 Linux网络转发模型 |
| 3.1.2 指标参数定义 |
| 3.1.3 性能瓶颈分析 |
| 3.1.4 相关研究工作 |
| 3.2 SKB重用机制 |
| 3.2.1 SR机制工作原理分析 |
| 3.2.2 多核环境下SR回收算法 |
| 3.2.3 性能测试与分析 |
| 3.3 基于队列的处理器亲和机制 |
| 3.3.1 基于接口的处理器亲和机制分析 |
| 3.3.2 基于队列的亲和机制 |
| 3.3.3 试验测试与分析 |
| 3.4 小结 |
| 4 边界安全网关负载均衡调度机制 |
| 4.1 模型描述 |
| 4.1.1 安全引擎并行处理模型 |
| 4.1.2 并行安全引擎的负载均衡调度问题 |
| 4.1.3 流调度算法度量指标设计 |
| 4.2 最小流破坏度负载均衡调度机制 |
| 4.2.1 设计思想描述 |
| 4.2.2 DHRW动态流空间划分算法 |
| 4.2.3 基于大流的流重映射算法 |
| 4.2.4 MFD机制完整描述 |
| 4.3 模拟实验数据及分析 |
| 4.3.1 模拟器设计与实现 |
| 4.3.2 数据流的选取与处理 |
| 4.3.3 DHRW动态流空间划分算法负载均衡度试验 |
| 4.3.4 基于大流调度的负载均衡度试验 |
| 4.3.5 MFD与同类算法指标对比分析 |
| 4.4 小结 |
| 5 边界安全网关流水线模型中无锁队列算法 |
| 5.1 模型描述及评价指标 |
| 5.1.1 生产者/消费者队列模型 |
| 5.1.2 队列操作算法评价指标 |
| 5.2 SP/SC队列操作算法研究 |
| 5.2.1 相关算法分析 |
| 5.2.2 FastList算法 |
| 5.2.3 算法线性化证明 |
| 5.2.4 算法非阻塞属性证明 |
| 5.3 SP/MC队列系统设计 |
| 5.3.1 队列结构设计 |
| 5.3.2 基于多消费者队列的MS算法扩展 |
| 5.3.3 基于多消费者队列的FastList算法扩展 |
| 5.3.4 扩展算法的属性分析 |
| 5.4 MP/MC队列系统设计 |
| 5.4.1 基于消费者的多队列结构设计 |
| 5.4.2 基于生产者分组的多队列结构 |
| 5.4.3 基于二维队列数组的结构设计 |
| 5.5 试验与性能分析 |
| 5.5.1 试验环境描述 |
| 5.5.2 SP/SC队列试验结果与分析 |
| 5.5.3 SP/MC队列试验结果与分析 |
| 5.5.4 MP/MC队列试验结果与分析 |
| 5.6 小结 |
| 6 结论 |
| 6.1 论文的主要贡献 |
| 6.2 不足及进一步研究方向 |
| 参考文献 |
| 作者简历 |
| 学位论文数据集 |
