学位论文 > 优秀研究生学位论文题录展示
基于规则可编程机制的有状态防火墙设计
作 者: 张开宇
导 师: 陆松年
学 校: 上海交通大学
专 业: 通信与信息系统
关键词: 有状态模型 规则逻辑 可编程 网络攻击 防御策略
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 7次
引 用: 0次
阅 读: 论文下载
内容摘要
防火墙是防御网络攻击最常使用的技术手段之一,其理论与技术在与网络攻击的对抗中得到了长足的发展。在各种类型的防火墙中,有状态防火墙与最早期的包过滤防火墙相比,具有灵活性好,对攻击防御能力更强的优势,因此在保护用户网络时起到举足轻重的作用。然而,随着网络攻击手段的日益多样化与差异化,防火墙面对各种新型攻击逐渐显得捉襟见肘。为了使防火墙技术得到进一步的发展,必须在现有的理论框架基础上进行改进与创新,并从技术可实现的角度给出验证。本文在深入分析传统防火墙理论与技术优缺点的基础上,重点研究了克服其缺点的方法,设计并实现了规则可编程机制的有状态防火墙。首先,本文从对传统防火墙原理技术的总结出发,分析各类传统防火墙的优缺点,并着重讨论传统有状态技术—状态检测。针对状态检测技术中状态类型单一、包过滤逻辑不够灵活的缺点,提出一种改进的有状态模型,该模型对有状态技术中状态与状态更新逻辑两个概念进行了扩展与深化。在此模型的基础上,提出规则可编程的有状态防火墙。文中从整体结构、规则库结构、规则接口、规则语言、规则编译器等几方面详细研究了规则可编程防火墙的设计方案。其中,重点研究了两方面的内容:一是以高效规则匹配为原则的规则库结构设计,二是用于描述状态与状态更新逻辑的规则语言的设计。其次,文中给出了该方案在PC机Windows 7操作系统环境下的具体实现,对于实现中存在的难点进行了详细的讨论,给出了各自相应的解决方案。文章以一个暴力破解FTP用户密码的具体攻击为例,以可编程规则的方式部署相应的防御策略。实验表明,该方案有较好的灵活性与可扩展性,能适应部署复杂防御策略的需求。最后,本文分析了采用规则可编程机制的有状态防火墙的发展与应用前景,并提出了进一步研究方向。
|
全文目录
摘要 5-7 Abstract 7-11 第一章 绪论 11-22 1.1 研究背景 11 1.2 TCP/IP 协议简介 11-13 1.3 防火墙技术简述 13-20 1.3.1 防火墙结构分类 13-14 1.3.2 防火墙功能分类 14-20 1.4 研究有状态防火墙的必要性 20 1.5 论文的组织结构 20-22 第二章 有状态防火墙通用模型及描述方法 22-33 2.1 有状态防火墙通用模型 22-27 2.2 防火墙规则的伪代码描述方法 27-31 2.3 程序代码描述与模型之间的关系 31-32 2.4 本章小结 32-33 第三章 基于规则可编程机制的防火墙设计 33-69 3.1 设计要素 33 3.2 可编程规则构想 33-34 3.3 整体结构设计 34-35 3.4 规则库匹配模块设计 35-36 3.5 规则库结构设计 36-49 3.6 规则的设计 49-51 3.6.1 规则的接口设计 49-50 3.6.2 规则子过程的设计要点 50-51 3.7 规则语言的设计 51-65 3.7.1 规则语言设计的目标 51-52 3.7.2 数据类型的设计 52-54 3.7.3 变量定义设计 54 3.7.4 运算符的设计 54-56 3.7.5 控制流的设计 56-57 3.7.6 API 的设计 57-61 3.7.7 规则语言编写规则实例 61-65 3.8 规则编译器的设计 65-68 3.8.1 词法分析设计 65-67 3.8.2 语法分析设计 67-68 3.9 本章小结 68-69 第四章 规则可编程防火墙的实现与测试 69-80 4.1 实现环境与方案 69 4.2 核心模块----过滤驱动程序的实现 69-75 4.2.1 Windows 驱动程序模型(WDM) 69-71 4.2.2 网络驱动程序接口规范(NDIS) 71-72 4.2.3 过滤驱动程序的实现 72-75 4.3 规则编译器的实现 75-77 4.3.1 二进制接口 75 4.3.2 状态变量与临时变量的寻址 75-76 4.3.3 数据包字段的寻址 76 4.3.4 编译API 函数调用 76-77 4.4 安全问题 77 4.5 测试实验 77-79 4.6 本章小结 79-80 第五章 总结与展望 80-82 5.1 总结 80 5.2 展望 80-82 参考文献 82-84 致谢 84-85 攻读学位期间发表的学术论文 85 攻读硕士学位期间参加的项目 85-87
|
相似论文
- SOA高校迎新系统中的SDO模型的研究与实现,G647
- 基于句法特征的代词消解方法研究,TP391.1
- 基于智能学习的多传感器目标识别与跟踪系统研究,TP391.41
- 基于TCP/IP协议的嵌入式图像传输系统接收终端的设计,TP368.1
- 语音情感识别的特征选择与特征产生,TP18
- 啤酒瓶在线检测相关技术的研究,TS262.5
- 中密度板纤维干燥系统与PLC控制系统设计,TP273
- 市场演化状态的判断研究,F014.3
- 顾问型企业项目管理系统的设计与实现,TP311.52
- 电渣炉过程控制系统的设计及优化控制,TP273
- 多通道闪存控制器模块化设计与实现,TP333
- 高速网络环境下的入侵检测系统的研究,TP393.08
- 工业机器人离线编程系统关键技术的研究,TP242
- 基于SOPC的高性能图像相关器的设计与实现,TP391.41
- 110kV变电站综合自动化系统中101规约通信的实现,TM63
- 基于SOPC的嵌入式串口—网络协议转换器的设计和实现,TN915.05
- 船体分段的机器人焊接路径规划与离线编程,TP242
- 基于Word自动化的学位论文写作辅助系统,TP311.52
- SmartSAR内核自动化测试工具的设计与实现,TP311.52
- DNS安全检测技术研究,TP393.08
- 基于FPGA的高速数据采集系统设计,TP274.2
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|