学位论文 > 优秀研究生学位论文题录展示
分布式防火墙策略异常检测算法的研究
作 者: 张丽
导 师: 陈清华
学 校: 南京理工大学
专 业: 计算机应用技术
关键词: 分布式防火墙 策略异常 规则冲突 策略树 二叉树
分类号: TP393.08
类 型: 硕士论文
年 份: 2007年
下 载: 78次
引 用: 2次
阅 读: 论文下载
内容摘要
本文采用一种新型分布式防火墙的策略管理方案,即分散生成策略。这种策略管理方案解决了策略控制中心的单点失效问题,但是带来的问题是如何检测这种情况下的策略异常。本文针对这个问题,进行了分析,并就如何快速地,全面地检测策略异常进行了研究。首先设计了一种基于线性搜索的规则集冲突检测算法,此算法能够全面地检测防火墙规则间的冲突;然后,在此算法的基础上,借鉴Al-Shaer,Ehab提出的基于策略树(policy tree)的规则集冲突检测的设计思路,设计了一种基于二叉树(binary tree)的规则集冲突检测算法,此算法不仅能够全面检测防火墙规则冲突,而且规则冲突检测的效率较线性搜索算法和基于policy tree的规则集冲突检测算法有明显的提高。本文用C语言实现了基于线性搜索的规则集冲突检测算法、基于policy tree的规则集冲突检测算法和基于binary tree的规则集冲突检测算法,并用设置的规则集对这三种算法进行了测试。通过对测试结果的综合分析发现,本文设计的基于binary tree的规则集冲突检测算法可以适用于任意维的规则集冲突检测,而且其时间复杂度较线性搜索算法有很大提高(为线性算法的八分之一到九分之一),与基于policy tree的规则集冲突检测算法相比,其性能也有小幅提升。该算法虽然需要对规则集进行建树操作,但是建树操作所需要的时间和规则冲突检测所需时间相比微不足道。总之,基于binary tree的规则集冲突检测算法是一种快速的、有效的、全面的适用于大规模防火墙的规则集冲突检测算法。最后,就如何进一步提高基于binary tree的规则集冲突检测算法的效率,本文进行了初步的探讨。
|
全文目录
摘要 3-4 Abstract 4-7 1 绪论 7-12 1.1 课题来源 7-9 1.1.1 网络安全面临的威胁 7-8 1.1.2 网络安全的基本措施 8-9 1.2 选题背景及当前研究现状 9-10 1.3 本文的主要内容及组织结构 10-12 2 分布式防火墙概述 12-23 2.1 防火墙 12-18 2.1.1 防火墙的分类 13-14 2.1.2 防火墙的体系结构 14-17 2.1.3 传统防火墙存在的问题 17 2.1.4 分布式防火墙的提出 17-18 2.2 分布式防火墙 18-22 2.2.1 分布式防火墙的体系结构 18-21 2.2.2 分布式防火墙的优点 21-22 2.2.3 分布式防火墙的主要功能 22 2.3 本章小结 22-23 3 分布式防火墙的策略异常研究 23-35 3.1 分布式防火墙下策略异常产生的原因 23 3.2 防火墙规则间关系的定义 23-27 3.2.1 防火墙规则的结构 23-25 3.2.2 防火墙规则间的相关性 25-27 3.3 防火墙策略异常的分类 27-34 3.3.1 防火墙内部策略异常的分类 27-29 3.3.2 分布式防火墙策略异常的分类 29-34 3.4 本章小结 34-35 4 防火墙规则冲突检测算法 35-47 4.1 通用规则配对检测算法 (CPD) 35 4.2 基于 Grid of tries 的二维规则集冲突检测算法 35-37 4.3 基于比特向量 (BV) 的规则集冲突检测算法 37-40 4.4 基于元组空间 (tuple space) 搜索的规则集冲突检测算法 40-45 4.5 基于策略树 (policy tree) 的规则集冲突检测算法 45-46 4.6 本章小结 46-47 5 分布式防火墙策略异常检测算法的研究 47-72 5.1 基于线性搜索的防火墙规则集冲突检测算法 48-50 5.2 基于二叉树 (binary tree) 的防火墙规则集冲突检测算法 50-57 5.2.1 算法设计 50-52 5.2.2 binary tree 的创建 52-54 5.2.3 规则集冲突检测算法描述 54-57 5.3 基于元组空间搜索和 binary tree 的规则集冲突检测算法 57-61 5.3.1 基于元组空间搜索的规则集冲突检测算法的研究分析 58-59 5.3.2 算法设计 59-61 5.4 算法中的主要数据结构及核心函数 61-66 5.4.1 线性搜索规则冲突检测算法的主要数据结构 61-63 5.4.2 基于 binary tree 的规则冲突检测算法的主要数据结构 63-66 5.5 算法测试与性能分析 66-71 5.5.1 算法测试 66-67 5.5.2 算法性能分析 67-71 5.6 本章小结 71-72 6 结束语 72-74 6.1 结论 72-73 6.2 展望 73-74 致谢 74-75 参考文献 75-78
|
相似论文
- 企业资产证券化融资研究,F832.51
- 基于实物期权理论的中国卷烟销售终端体系投资决策研究,F274;F426.8
- 多光谱图像混合像元分类技术研究,TP751
- 基于滑窗小波二叉树的网络异常检测与分析,TP393.08
- 基于ECC的高效可分电子现金协议研究,TP393.09
- 战术信息传输系统的研究,TN919.2
- 基于实物期权的房地产延迟开发决策研究,F293.3;F832.5
- 基于实物期权理论的电信运营企业顾客资产测量研究,F626;F224
- 二代数与结合代数,O153
- 电力网络拓扑分析在图元编辑软件中的应用及配电网络重构方法的研究,TM711
- CTCS-3级列控系统现场测试及辅助工具的研究,U284.48
- 多边环境协定与多边贸易规则的冲突与协调,D996.1
- 嵌入式防火墙的研究与实现,TP393.08
- 信用违约互换产品的定价研究,F830.9
- 基于实物期权理论的风险投资决策研究,F830.59
- 股票挂钩型结构性理财产品定价研究,F224
- 可转债定价理论及其数值计算方法研究,F224
- 基于二叉树的PPP项目交换期权评价与应用研究,F283;F830.9
- 《卡塔赫纳生物安全议定书》与世界贸易组织规则的冲突,D996.1
- 我国乡间司法问题研究,D926
- 基于二叉树形冲突分解的非坚持S-CSMA协议分析,TN929.5
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|