学位论文 > 优秀研究生学位论文题录展示
网络集成防御系统下插件式防火墙设计与实现
作 者: 李林
导 师: 卢显良
学 校: 电子科技大学
专 业: 计算机系统结构
关键词: 插件 防火墙 规则冲突 包分类
分类号: TP393.08
类 型: 硕士论文
年 份: 2006年
下 载: 75次
引 用: 1次
阅 读: 论文下载
内容摘要
基于windows平台的大多数防火墙,都存在着以下两类问题:第一,随着攻击方式迅速变化,防御手段也应随之而改变,这就要求在原有的防火墙系统上,能够快速地开发出过滤器以应对攻击,即要求其具有良好的可扩展性。但是,现有的防火墙产品多数缺乏可扩展性,不支持第三方开发;另一方面,这些产品大多基于NDIS技术来实现,而该技术纷繁复杂,不利于快速开发各类过滤器。第二,随着防火墙规则集的不断庞大,有效管理这些规则变得越来越困难。当添加规则时,新规则可能会与已有规则发生冲突,造成潜在的安全漏洞。要避免此漏洞产生,管理员必须正确地确定新规则插入的位置。而要实现这一目标,必须找出与新规则相冲突的所有规则。但是,目前存在的冲突检测算法,其时间复杂度为O(dN)(N为规则个数,d为规则维数),效率低下。现有的大多数防火墙,都采用优先级的方式来处理规则间的冲突。但是,这种方式不仅不能从根本上化解规则冲突,而且,会在一定程度上影响包分类的效率。针对这两种情况,本文设计并实现了一种插件式防火墙。该防火墙主要包括两个部分:基于NDIS的插件式框架和构建于该框架上的防火墙实例。插件式框架具有一定程度上的可配置性,良好的可扩展性,并支持第三方开发。在该框架上进行二次开发,不必了解NDIS的任何细节问题,这样有利于快速开发各类过滤器。构建于该框架上的防火墙实例,实现了状态包检测型防火墙的基本功能,从一个侧面佐证了框架的特性。针对现有规则集冲突检测算法效率较低的这一情况,该实例提出并实现了一种基于单维交集的规则集冲突检测算法。该算法不仅能找出与新规则相冲突的所有规则,且时间复杂度降为O(㏒ N+N/w)(w为机器字长),效率大为提高。在单维交集冲突检测算法基础之上,防火墙实例提出并实现了一种基于规则分量分解的冲突化解办法。该办法不仅能够从根本上消除冲突,而且有利于提高包分类效率,还使得规则集具备“所见即所得”的特性。在规则集冲突化解的基础之上,防火墙实例提出并实现了一种基于规则分量分解的包分类算法。由于规则集不存在相冲突的规则,因此,在进行规则匹配时,该算法不需要
|
全文目录
第一章 引言 11-14 1.1 背景 11-12 1.2 网络集成防御系统简介 12 1.3 章节安排 12-14 第二章 基础理论和相关技术 14-18 2.1 包分类技术简介 14-15 2.2 防火墙技术简介 15-18 2.2.1 传统防火墙 15-16 2.2.2 深度包检测 16-17 2.2.3 分布式防火墙 17-18 第三章 构建于NDIS 上的插件式防火墙框架设计与实现 18-55 3.1 NDIS IMD 驱动程序 19-20 3.1.1 NDIS 介绍 19-20 3.1.2 为什么选择IMD 驱动程序 20 3.2 总体设计图 20-22 3.3 插件式防火墙对象模型 22-25 3.3.1 插件对象模型 22-24 3.3.2 operator new 和operator delete 24-25 3.4 IMD 驱动程序的实现 25-32 3.4.1 IMD 驱动程序的初始化 26-27 3.4.2 数据包结构 27-28 3.4.3 数据包的截获 28-32 3.5 包结构 32-33 3.6 主插件MAINPLUGIN 33-38 3.6.1 IPlugin 接口 34 3.6.2 MainPlugin 插件对象的创建和删除 34-35 3.6.3 Start 和Stop 接口函数的实现 35-36 3.6.4 TransferData 接口函数的实现 36 3.6.5 ProcessPacket 接口函数的实现 36-38 3.6.6 其它接口函数 38 3.7 插件通信部件PLUGINCOMM 38-40 3.7.1 IPluginComm 38-39 3.7.2 Register、UnRegister、RegisterList 和UnRegisterList 接口函数 39 3.7.3 TransferUserLevelData 和TransferPacket 接口函数 39-40 3.8 UKCD.DLL 和UKCOMMPLUGIN 40-45 3.8.1 创建设备对象 40-41 3.8.2 设置IRP 处理函数 41-42 3.8.3 PluginDeviceCreate 和PluginDeviceClose 的实现 42 3.8.4 PluginDeviceIoControl 的实现 42-45 3.8.5 Ukcd.dll 的实现 45 3.9 插件 45-50 3.9.1 插件的属性 46-47 3.9.2 插件的实现 47-48 3.9.3 插件间的关系 48 3.9.4 数据包在插件间的调度 48-50 3.10 插件系统加载程序PLUGINLOADER 50-53 3.10.1 插件的安装和清除 50-51 3.10.2 插件的加载和卸载 51 3.10.3 插件的启动 51-52 3.10.4 初始化 52 3.10.5 插件的修改 52-53 3.11 本章小节 53-55 第四章 一种构建于插件式框架的防火墙实例 55-68 4.1 总体设计图 55-56 4.2 解包插件 56-58 4.3 状态表管理插件 58-59 4.4 状态检测插件 59-62 4.5 规则管理插件 62-63 4.6 包分类插件 63 4.7 规则执行插件 63-64 4.8 日志管理插件 64 4.9 报警插件 64-66 4.10 状态反应插件 66 4.11 丢包插件 66-68 第五章 防火墙实例:规则冲突管理 68-91 5.1 防火墙规则冲突 68-70 5.2 冲突定义 70-72 5.2.1 规则间的关系 70-71 5.2.2 规则间的冲突定义 71-72 5.3 基于元组空间搜索的规则集冲突检测算法 72-76 5.3.1 元组空间 72-73 5.3.2 数据结构 73-75 5.3.3 算法处理过程 75-76 5.3.4 算法分析 76 5.4 单维交集冲突检测算法 76-82 5.4.1 相关概念 77-78 5.4.2 数据结构 78-80 5.4.3 算法处理过程 80-82 5.4.4 算法分析 82 5.5 规则冲突的化解 82-86 5.5.1 冲突的分类 83-84 5.5.2 遮挡和部分遮挡关系的化解 84-86 5.6 基于规则分量分解的包分类算法 86-91 5.6.1 相关概念 86-87 5.6.2 数据结构 87-88 5.6.3 算法处理过程 88-89 5.6.4 算法分析 89-91 第六章 系统测试 91-94 6.1 测试环境 91 6.2 测试报告 91-94 6.2.1 插件式防火墙框架测试 91-92 6.2.2 防火墙实例测试 92 6.2.3 规则集冲突检测算法测试 92-93 6.2.4 基于规则分量分解的包分类算法测试 93-94 第七章 结论 94-95 致谢 95-96 参考文献 96-98 个人简历 98
|
相似论文
- 基于比对技术的非法网站探测系统的实现与研究,TP393.08
- 基于嵌入式的面向造纸企业的一种QCS研究与设计,TP368.1
- 基于硬件防火墙的辅助管理系统服务器设计与实现,TP393.08
- 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
- 甘肃富源化工综合办公平台的分析与设计,TP311.52
- 军校校园网络可靠性和安全性设计与实现,TP393.18
- CFD标量数据场体绘制算法及并行可视化方法研究与实现,TP391.41
- 使用HTTPS隧道和WebService的木马通信及监控系统研究,TP393.08
- 面向IPv6防火墙的高性能规则匹配关键技术研究与实现,TP393.08
- 防火墙安全策略配置关键技术研究,TP393.08
- 基于模糊规则矩阵变换的不确定推理算法研究,TP18
- 电子政务系统中的网络安全技术应用与报表系统设计实现,TP393.08
- 基于插件的P-IDP4ICS及应用研究,TP311.52
- 基于软交换的SIP网关的设计与实现,TN915.05
- 基于插件技术的电力系统在线安全分析系统,TM73
- 金融防火墙制度的法律研究,D922.28
- 筛选规则智能化生成的研究与设计,TP393.08
- 基于防火墙和入侵检测的综合主机安全防范系统,TP393.08
- 一体化安全网关防火墙报文过滤技术研究与实现,TP393.08
- 防火墙与入侵检测联动算法研究,TP393.08
- IPSec穿越NAT的研究与设计,TP393.04
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|