一种基于NDIS网络数据包过滤器的设计 图文精

1、 万方数据 万方数据 万方数据 一种基于NDIS网络数据包过滤器的设计 作者:杨永杰, 冯军, 谢正光, Yang Yongjie, Feng Jun, Xie Zhengguang 作者单位:南通大学电子信息学院,江苏 ,南通,226007 刊名: 计算机应用与软件 英文刊名:COMPUTER APPLICATIONS AND SOFTWARE 年,卷(期:2010,27(7 被引用次数:0次 参考文献(4条 1.杨志程.舒辉.董卫宇基于NDIS隐蔽通信技术的木马病毒分析 2008(10 2.Floroiu J W.Ionescu T C.Ruppelt R Using NDIS inter

2、mediate drivers for extending the protocol stack a case study 2001 3.侯功华.赵远东基于NDIS 中间层的包过滤的研究与设计 2006(12-3 4.刘惠.蔡皖东.赵煜基于NDIS的防火墙穿透通信技术研究与实现 2007(5 相似文献(10条 1.期刊论文蒋华.袁红林.JIANG Hua.YUAN Hong-lin基于NDIS中间驱动的包过滤器的设计实现-微计算机信息 2009,25(15 分析了网络驱动程序接口规范(NDIS的体系结构和标准开发接口.介绍了设计实现局域网数据包过滤器的关键技术和包过滤的基本过程.最后完成了实验

3、验证,结果表明,基于NDIS中间驱动的包过滤器具有高效和实用的优点. 2.期刊论文万映辉.邸晓奕.张水平基于NDIS的网络嗅探器的设计与实现-计算机工程2004,30(10 介绍了网络嗅探器的基本工作原理,提出了一种网络嗅探器的设计思想,并给出其实现的关键技术和设计框架.该网络嗅探器在实际应用中发挥了重要的作用. 3.学位论文王培宏作战值班系统中IP流量过滤器的设计与实现2006 随着信息化建设的深入和互联网的迅速发展,信息资源得到最大程度的共享。但是,信息化发展带来的网络安全和管理问题日渐凸出,成为企事业单位和部队信息化建设需要解决的重要问题。虽然很多用户使用了软、硬件防火墙,但内部网的管理

4、人员对整个网络的有效管控还是不够的,为了更进一步加强内部网络的管控,需要对科学有效的管理系统做进一步研究开发。 IP流量过滤器是一个运行在Windows操作系统下、对进出主机的网络数据包按一定的规则进行过滤并根据配置策略监控用户网络应用进程的C/S模式软件系统。其主要目的是丢弃不符合规则要求的流量、限制用户非法访问、提高网络带宽的利用率和加强专用网络的监控力度,实现网络的基本安全保障和有效的网络管理。 系统基于C/S模式实现,通过对服务器IP地址、服务端口、用户相关信息等进行配置,可以在用户程序与服务器进行通信时区分用户类型。客户端程序支持在开机后的自动加载和运行,并提供用户登录验证手段,根据

5、用户的角色分类、权限来判断用户的类别,从而确定用户能够执行哪些应用程序、使用哪些网络服务,为IP流量过滤等处理提供依据。本文关键技术:一是利用NDIS中间层驱动实现网络数据包过滤;二是通过编写的五个封装的类实现对Windows操作系统应用进程的分类检测,服务器端由MD5算法对应用程序代码产生定长特征码,构建特征库,而客户端按照同样的算法产生特征码,与从服务器端下载的特征库进行匹配,从而确定该用户哪些应用程序不能运行。 本文给出了IP流量过滤器的设计与实现方法。ADO技术对数据库数进行操作、网络编程技术实现网络的连接、利用NDIS中间层驱动实现流量过滤、注册表技术实现该软件客户端的自动运行、用V

6、C编写的封装类对Windows操作系统应用进程的分类检测等技术在系统实现过程中得到了应用。 4.期刊论文肖瑜.吕定辉.Xiao Yu.Lv Dinghui基于数据包过滤技术的防火墙模型设计-计算机光盘软件与应用 2010(5 本文分三部分介绍了个人防火墙系统模型的设计.第一部分介绍了数据包过滤模块的设计;第二部分进程管理模块实现了与Windows操作系统的任务管理器的任务管理部分的功能;第三部分端口扫描模块在Windows平台下使用套接口(SOCKET技术实现了把本机作为客户端,把需要扫描的IP地址所在的机器作为服务器端端口扫描. 5.学位论文梁亚舒基于NDIS的过滤框架设计与实现2007 在

7、Windows系统中,诸如NAT,防火墙等这类网络应用几乎都是基于NDIS(Network Driver Interface Specification来实现的。实现包过滤的方法主要是书写NDIS过滤驱动程序,它需要的技巧比较高,而且烦琐,需要考虑很多细节,不利于快速开发各类过滤器。 针对这种情况,本文设计并实现了一种基于NDIS的过滤框架,该框架具有一定程度上的可配置性,良好的可扩展性,并支持第三方开发。在该框架上进行二次开发,不必了解NDIS的任何细节问题,这样有利于快速开发各类过滤器。 同时,本文在基于该过滤框架的基础上,实现了一个NAZT实例和一个防火墙实例。在讨论防火墙实例的基础上,

8、针对规则集管理这个问题,我们进行了详细讨论。随着防火墙规则集的不断庞大,有效管理这些规则变得越来越困难。当添加规则时,新规则可能会与已有规则发生冲突,造成潜在的安全漏洞。要避免此漏洞产生,管理员必须正确地确定新规则插入的位置。而要实现这一目标,必须找出与新规则相冲突的所有规则。但是,目前存在的冲突检测算法,其时间复杂度为D(dN(N为规则个数,d为规则维数,效率低下。现有的大多数防火墙,都采用优先级的方式来处理规则间的冲突。但是,这种方式不仅不能从根本上化解规则冲突,而且会在一定程度上影响包分类的效率。 基于此,本文针对现有规则集冲突检测算法效率较低的这一情况,提出并实现了一种规则集冲突检测算

9、法。该算法不仅能找出与新规则相冲突的所有规则,且时间复杂度降为O(N+N斗N/w(w为机器字长,效率大为提高。同时,本文还提出并 实现了一种基于规则分量分解的包分类算法,该规则在一定程度上提高了包分类效率,其时间复杂度为O(dN。 6.期刊论文李笑涛网络分析软件的体系结构-北京广播电视大学学报2001(3 2001年7月我们开发了网络分析软件NetMantis.作为网络分析软件NetMantis能够捕捉网络通信,对网络带宽利用率、数据丢失率和时延等性能参数进行统计、分析.捕捉是分析的基础,通常,捕捉网络通信依靠内核捕捉组件完成.BPF(Berkeley Packet Filter是最著名的捕捉

10、组件,它适用于BSD UNIX.NPF(Netgroup Packet Filter是与BPF兼容的全新实现,在Windows环境下工作.本文将介绍如何在NPF基础上构造网络分析软件. 7.学位论文李林网络集成防御系统下插件式防火墙设计与实现2006 基于windows平台的大多数防火墙,都存在着以下两类问题: 第一,随着攻击方式迅速变化,防御手段也应随之而改变,这就要求在原有的防火墙系统上,能够快速地开发出过滤器以应对攻击,即要求其具有良好的可扩展性。但是,现有的防火墙产品多数缺乏可扩展性,不支持第三方开发;另一方面,这些产品大多基于NDIS技术来实现,而该技术纷繁复杂,不利于快速开发各类过

11、滤器。 第二,随着防火墙规则集的不断庞大,有效管理这些规则变得越来越困难。当添加规则时,新规则可能会与已有规则发生冲突,造成潜在的安全漏洞。要避免此漏洞产生,管理员必须正确地确定新规则插入的位置。而要实现这一目标,必须找出与新规则相冲突的所有规则。但是,目前存在的冲突检测算法,其时间复杂度为O(dN(N为规则个数,d为规则维数,效率低下。现有的大多数防火墙,都采用优先级的方式来处理规则间的冲突。但是,这种方式不仅不能从根本上化解规则冲突,而且,会在一定程度上影响包分类的效率。 针对这两种情况,本文设计并实现了一种插件式防火墙。该防火墙主要包括两个部分:基于NDIS的插件式框架和构建于该框架上的

12、防火墙实例。 插件式框架具有一定程度上的可配置性,良好的可扩展性,并支持第三方开发。在该框架上进行二次开发,不必了解NDIS的任何细节问题,这样有利于快速开发各类过滤器。 构建于该框架上的防火墙实例,实现了状态包检测型防火墙的基本功能,从一个侧面佐证了框架的特性。针对现有规则集冲突检测算法效率较低的这一情况,该实例提出并实现了一种基于单维交集的规则集冲突检测算法。该算法不仅能找出与新规则相冲突的所有规则,且时间复杂度降为 O(logN+N/w(w为机器字长,效率大为提高。在单维交集冲突检测算法基础之上,防火墙实例提出并实现了一种基于规则分量分解的冲突化解办法。该办法不仅能够从根本上消除冲突,而

13、且有利于提高包分类效率,还使得规则集具备“所见即所得”的特性。在规则集冲突化解的基础之上,防火墙实例提出并实现了一种基于规则分量分解的包分类算法。由于规则集不存在相冲突的规则,因此,在进行规则匹配时,该算法不需要查找冲突规则,从而在一定程度上提高了包分类效率,其时间复杂度为O(dlogN。 8.期刊论文夏红霞.杨红云.陈旭辉Windows平台下网络监测的实现技术-武汉理工大学学报(交通科学与工程版 2004,28(5 文中就Windows系列平台下常用的监测实现技术进行了讨论,包括应用层实现的Winsock服务提供者接口(SPI 和原始套接字,以及系统核心层实现的传输层过滤驱动程序、过滤器钩子

14、(Filter-Hook驱动程序、中间驱动程序(IMP、NDIS HOOK 驱动程序等不同的实现方法及其特点,在此基础上详细论述了中间驱动程序的实现. 9.学位论文管瑞峰基于宽带网的DVB接收系统的软件设计及其实现2002 DVB体系的应用起始于直播卫星系统,后来逐渐被有线电视系统采用,由于Internet的崛起,有人开始了基于Internet的DVB系统的研究,可是 Internet带宽低,错误率高,这些Internet网络固有的局限性,限制了需要大量数据的传播的DVB系统的广泛应用.采用广播电视系统的有线电视高速宽带网络,并且通过利用DVB标准中规定的各种控制信息,以PC机为客户端,实现了

15、基于宽带的DVB接收系统.这个接收系统采用Windows平台,硬件采用专用接收瞳接收DVB广播数据;驱动软件部分采用NDIS体系结构,这样的体系结构能够易于在各个Windows平台中移植;应用软件部分采用DirectShow中的过滤器结构 ,实现了一个SourceFilter,这样可以使用通用的控制媒体播放器MediaPlayer来播放MPEG节目,又能够控制媒体流的播放.通过测试,该DVB接收系统能够同时完成MPEG-2TMPEG-1格式的播放以及文件的下载. 10.期刊论文秦根建.张秉权网络数据包截获机制的研究-兵工自动化2003,22(6 数据包截获机制是网络性能分析工具和网络安全工具的

16、实现基础.UNIX系统下可利用基于网卡的混杂方式BPF、DLPI机制实现.Windows系统下有三种实现方法:在网卡驱动程序和TCP/IP协议栈间利用NDIS机制开发中间驱动程序;利用分层结构模式在Tcpip.sys上挂接截获驱动程序;通过编写服务提供者接口程序(SPI截获.并以NDIS驱动程序为例,详述了其实现过程和主要函数的实现流程. 本文链接:http:/ 授权使用:吕先竟(wfxhdx,授权号:811527da-5c90-4687-a2a2-9e75014b6952 下载时间:2011年1月24日 江苏金湖大华自动化仪表有限公司座落于碧荷飘香、风景秀逸、人杰地灵具有“天下第一荷 花”的金湖水乡。公司物资力量雄厚，生产设备先进，检测设施齐全，并且制定了科学合理 的生产工艺和健全的质保体系， 汇聚了许多对仪器仪表制造有着特殊追求和造诣的科技人员 及职工队伍。在温度、压力、流量、显示、效验等仪表的制造均领先于同行业。 公司主营 产