学位论文 > 优秀研究生学位论文题录展示
基于数据流的快速协议判断方法研究
作 者: 刘迎春
导 师: 王锋;邓辉
学 校: 昆明理工大学
专 业: 计算机应用技术
关键词: 数据流 网络监听 模式匹配 协议判断
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 40次
引 用: 0次
阅 读: 论文下载
内容摘要
在本文中,以正则表达式描述协议指纹特征,在完整的上下文中进行模式匹配,实现一种动态快速协议判断方法,通过此种技术,对应的协议分析器可以准确无误的发挥其作用,减少额外的系统消耗,从而有效增强入侵检测、入侵检测防御、病毒防御方面的能力。本文深入学习研究了网络监听原理、数据包捕获技术、IP段重组技术、TCP流重组技术、自动机、模式匹配等协议判断的关键技术。同时通过网络分析软件Sniffer Pro学习研究了当前常用的网络通信协议,根据RFC说明文档总结了相关协议的工作原理和协议特点,并根据本系统的要求对相关网络协议总结出需要的特征识别码,协议签名采用正则表达式进行描述,作为协议判断系统实现的基础,提出了基于数据流的快速协议判断模型,在此模型的基础上采用插件方式实现了一个高效、可扩展的协议快速判断系统。系统主要包含以下三个部分:1、数据重组:利用源地址、目的地址、源端口、目的端口建立会话的唯一性,将网络数据报文采集到的数据报文进行重组,以会话为单位重组报文形成完整的上下文;2、协议判断:在数据重组的数据流中进行匹配协议指纹,实现与端口无关的协议判断,通过一系列的和典型协议对话的签名,系统检查流中的有效载荷(PayLoad)来搜索正确的分析器,如果一个签名被匹配上,则会开启相应的协议分析器,协议签名采用正则表达式进行描述;3、异常处理:如果协议判断发生异常时,可以简单的关闭协议分析器同时使用端口匹配进行协议判断,该协议判断系统可以快速判断目前常用的部分应用层协议,从而为后续的内容处理,入侵检测、蠕虫扫描、数据还原等提供支持。在千兆位网络环境中,将协议判断方法以插件形式应用于课题组的千兆位细粒度入侵检测系统中,动态协议探测技术实现的多种分析器能准确判断出会话的协议类型,协议的判断和入侵检测都能达到线速。
|
全文目录
摘要 3-4 Abstract 4-6 目录 6-8 第一章 引言 8-13 1.1 课题背景 8-9 1.2 研究意义 9 1.3 国内外研究现状 9-10 1.4 工作论述 10-11 1.5 论文结构 11-13 第二章 协议分析相关技术 13-29 2.1 TCP/IP协议 13-18 2.2 数据流的定义 18 2.3 网络监听 18-19 2.4 数据包捕获技术 19-23 2.4.1 数据包捕获技术 19 2.4.2 流行数据包捕获技术介绍 19-20 2.4.3 零拷贝技术 20-21 2.4.4 NAPI与PF_RING技术优化与实现 21-23 2.5 分片重组技术 23-24 2.5.1 IP分片重组技术 23-24 2.5.2 TCP流重组技术 24 2.6 正则表达式与有穷自动机 24-29 2.6.1 正则表达式 24-26 2.6.2 有穷自动机 26-29 第三章 协议分析原理 29-35 3.1 协议分析技术介绍 29 3.2 协议分析实现思想 29-35 第四章 常用协议分析与实现 35-64 4.1 包重组实现 35-40 4.1.1 IP分片重组实现 35-37 4.1.2 TCP分片重组实现 37-38 4.1.3 数据预处理 38-40 4.2 应用协议分析实现 40-57 4.2.1 常用网络协议分析 40-47 4.2.2 协议判断实现原则 47-48 4.2.3 实现类图及分析器基类简介 48-50 4.2.4 自动状态机实现 50-55 4.2.5 协议判断中模式匹配原理 55-57 4.3 协议判断系统对应用协议分析举例 57-61 4.3.1 Finger应用协议分析举例 57-61 4.3.2 HTTP应用协议分析举例 61 4.4 应用层协议指纹签名举例 61-64 第五章 验证与实验 64-67 第六章 总结与展望 67-68 6.1 总结 67 6.2 系统不足与展望 67-68 致谢 68-69 参考文献 69-71 附录A(攻读学位期间发表论文目录) 71
|
相似论文
- 一种多数据流聚类异常检测算法,TP311.13
- Web环境下基于语义模式匹配的实体关系提取方法的研究,TP391.1
- 基于数据流异常检测的嵌入式软件容错研究,TP368.1
- 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
- 基于RFID数据流的基本事件实惠查询处理与优化,TP311.13
- 云存储系统高效数据传输机制的研究,TP333
- 基于CUDA的正则表达式匹配系统的设计与实现,TP311.52
- Windows系统内核Rootkit的检测技术研究,TP309
- 网间加速技术研究与实现,TP393.2
- 僵尸控制行为识别及检测方法研究,TP393.08
- 安全相关软件的设计方法研究及应用,TP311.52
- Ares协议分析与流量检测机制研究,TP393.06
- 基于Web日志的入侵检测系统设计与实现,TP393.08
- 基于GPU的时间序列并行检索算法研究,TP391.41
- 云计算中依赖任务动态并行调度机制的研究,TP3
- 虹膜识别关键技术的研究,TP391.41
- 基于模式匹配与协议分析的分布式入侵检测研究,TP393.08
- Web敏感信息监测优化方法研究,TP393.08
- 石油物探中数据库管理技术的研究与应用,TP311.13
- 反抄袭检测系统的研究与实现,TP391.1
- 数据流重复数据检测方法的研究,TP311.13
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|