面对网络安全的严峻形势，为促进防火墙等网络安全技术的发展，以齐德昱教授为所长的计算机系统结构研究所，紧跟时代步伐，站在IT技术前沿，承担了粤港关键领域重点突破项目——《综合联动线速程控网络安检机的研发》(项目编号：2005A10307007)的研究，我作为参与者，结合该项目对其一关键技术——流过滤进行深入研究，实现了一个流过滤防火墙原型，并将其应用于该项目的主要研制设备网络安检机中。 流过滤是一种由防火墙传统技术包过滤和应用代理有效融合新的体系结构。克服了传统技术不能有效应对网络攻击日益向应用层发展的不足等缺点，具有安全保护效果好、防范层次多、对用户透明，特别是很强的应用保护能力的优点。当前，对流过滤研究尚处于起步发展阶段，国外还没有机构专门进行研究，很难找到相应的资料与成果。国内学术刊物和各种文献中相关文章与资料也很少，研究靠前的是东软公司，初步将该技术应用到了Neteye3.1以后的防火墙<[1]>中，暨南大学申凤兰在论文《防火墙中透明模式和流过滤技术的研究与实现》<[2]>、西南交通大学王强在论文《基于IMD的流过滤个人防火墙的研究与设计》<[3]>中作了一定的研究，但都不成熟，该技术研究的空间大，且应用前景好，意义深远。 本课题在研究流过滤和通信协议等基本理论的基础上，充分应用和整合数据报拦截、多线程处理、报文重组、正则表达式、Boyer-Moore(BM)模式匹配、二进制线索(binary tree)树结构等多种技术与方法，创造性的建立了流过滤系统的核心部件——TCP/IP专用协议栈，设计了整个流过滤系统的详细方案，并作了实现。同时将流过滤应用在粤港项目研制设备网络安检机中，通过实验与测试，流过滤系统能很好的防范攻击，保护网络安全特别是应用层安全，功能强大，效果明显，达到了预期的研究目的。 研究结果中，我们利用NDIS中间驱动程序拦截数据报，在作协议识别和状态检测后，再将报文分为三类，对第一类不含应用数据与紧急数据的报文直接转发；对第二类含有紧急数据的报文，对紧急数据合法性检测后再作转发或丢弃处理；对含有应用数据的第三类报文，采用建立缓冲区和链表结构方式进行重组，而后应用BM算法，对照采用正则表达式建立的规则表中的规则逐条进行匹配，对应用数据进行合法性检测后，再用二进制线索树结构算法作转发处理或丢弃。这样既达到了多层防范攻击，增强应用检测能力的目的，又提高了系统运行速度和整体性能。