学位论文 > 优秀研究生学位论文题录展示

Linux2.4.x内核TCP/IP协议栈安全性研究

作 者: 刘晓萍
导 师: 郭玉东
学 校: 解放军信息工程大学
专 业: 计算机软件与理论
关键词: TCP/IP协议 包过滤 netfilterlinux操作系统 安全模块 状态检测 深度包过滤
分类号: TP316
类 型: 硕士论文
年 份: 2004年
下 载: 278次
引 用: 1次
阅 读: 论文下载
 

内容摘要


本文对internet与网络安全的发展和现状做了简单介绍,重点研究目前主要的网络安全威胁以及internet在基础协议—TCP/IP协议中存在的安全问题。认真阅读了Linux操作系统TCP/IP源代码和Linux安全模块(LSM,Linux内核的一个轻量级通用访问控制框架)网络安全框架netfilter。深入分析代码中主要模块和函数的数据结构。 通过以上研究,提出在内核层实现杜绝漏洞的两种思路和解决办法: ● 利用linux操作系统netfilter的原理和机制。根据需求编写LSM安全模块,并注册到相应的钩子点,实现操作系统指纹特征探测的防御,它使得安全访问控制模型能够以Linux可加载内核模块的形式实现出来,用户可以根据其需求选择适合的安全模块加载到Linux内核中,从而大大提高了Linux安全访问控制机制的灵活性和易用性。 ● 本文利用现有的多种网络安全技术,设计了一种多层协同防御框架,并详细介绍了该模型的原型系统在linux操作系统下的实现方法。本文提出的模型,主要是在linux内核原有的包过滤机制内部加入了状态检测模块和深度包过滤模块,在此基础上,构建了新的过滤系统。通过此模型原型系统的建立,可以较好解决现存的包过滤机制和代理机制在效率和安全方面的问题,它超越了传统的包过滤的标准TCP/IP标志监视功能。它能够使得检测机制工作在网络层,但可以监视高层协议的有效载荷,而不必分析应用层的通信结构。用来保护那些开放了易受攻击的而一般的包过滤又无法保护的网络服务(如WWW服务,mail服务,DNS服务,FTP服务等),能够帮助实现强制安全策略,阻止已知恶意代码攻击。并且描述了实际的测试结果和测试过程,证明了作者的观点。 最后,本文对于此领域内的相关问题,诸如如何将该模型与其它网络安全技术融合,如何提高系统的整体处理能力以及该模型的发展前景作了展望。

全文目录


摘要  2-3
Abstract  3-6
第一章 序言  6-9
  §1.1 课题背景  6-7
  §1.2 入侵者攻击方式的趋势  7
  §1.3 内核TCP/IP协议栈安全性研究现状  7-9
第二章 TCP/IP协议栈安全隐患  9-18
  §2.1 IP协议  9-10
  §2.2 TCP协议分析  10-16
  §2.3 UDP协议  16
  §2.4 已有技术的弱点  16-18
第三章 linux内核网络安全框架  18-25
  §3.1 LSM安全模块  18
  §3.2 Linux网络协议代码分析  18-20
  §3.3 内核网络安全框架  20-24
    §3.3.1 原理  20-23
    §3.3.2 网络安全功能点的实现  23-24
  §3.4 解决思路  24-25
第四章 自定义netfilter模块实现  25-35
  §4.1 系统指纹特征探测技术  25-27
  §4.2 自定义LSM模块编程的重要数据结构  27-31
    §4.2.1 主要内核模块和函数  27
    §4.2.2 自定义模块接口  27-28
    §4.2.3 HOOK点的处理函数nf_hookfn  28-29
    §4.2.4 注册函数  29-30
    §4.2.5 卸载函数  30
    §4.2.6 日志记录  30-31
  §4.3 实现流程和部分代码  31-33
  §4.4 模块编译时的注意事项  33
  §4.5 黑客NMAP探测细节和结果  33-35
第五章 协议栈安全解决方案  35-51
  §5.1 网络安全框架设计  35-36
    §5.1.1 系统设计  35
    §5.1.2 功能描述  35-36
  §5.2 网络状态检测的设计与实现  36-44
    §5.2.1 TCP协议连接特性分析  37
    §5.2.2 连接跟踪状态  37-39
    §5.2.3 状态检测原理和状态分析  39-41
    §5.2.4 内核状态检测缺陷  41
    §5.2.5 基于状态检测技术的模型结构设计  41-44
  §5.3 状态检测与基本包过滤模块融合具体实现  44-48
    §5.3.1 模块设计流程  44-45
    §5.3.2 状态检测具体实现  45-48
  §5.4 深度包过滤技术  48-51
    §5.4.1 系统的组成和功能  49-50
    §5.4.2 实际应用案例  50-51
论文小结  51-52
致谢  52-53
参考目录  53-54

相似论文

  1. 柴油机测试仪表校验仪及综合信息管理系统研究,TK426
  2. 基于操作系统驱动的嵌入式TCP/IP协议栈的实现,TN915.04
  3. 嵌入式TCP/IP协议栈TINET的移植研究,TP368.1
  4. 甘肃富源化工综合办公平台的分析与设计,TP311.52
  5. 用于无损视频高速传输的嵌入式千兆网接入技术研究,TN915.6
  6. 嵌入式实时操作系统ARTs-OS中TCP/IP协议栈的开发,TP316.2
  7. 电子科技大学中山学院停车场信息管理系统的设计与实现,TP311.52
  8. UPS电源蓄电池组均衡充电系统研究,TN86
  9. 面向IPv6防火墙的高性能规则匹配关键技术研究与实现,TP393.08
  10. 嵌入式智能家居控制终端的设计与实现,TP273.5
  11. 红外诊断技术在电气设备状态检测中的研究与应用,TN219
  12. 嵌入式自行火炮底盘系统状态检测和故障诊断技术研究,TJ818
  13. 基于Internet的远程水表抄表系统的设计与实现,TP274.2
  14. 基于Web的智能家居控制器的设计与实现,TP273.5
  15. 基于以太网的PROFIBUS-DP通信平台的研究,TP273
  16. 基于μC/OS-Ⅱ的以太网与RS485通信网关的研究与实现,TP273.5
  17. 基于TCP/IP协议的嵌入式火警警报系统的设计与研究,TP277
  18. 基于XML-RPC计费安全网关的设计和实现,TP393.08
  19. BSD协议栈性能分析和并行优化,TP393.04
  20. 基于包捕获技术的网络监听系统的研究与实现,TP393.08
  21. 大连海洋大学网络型多媒体教室的设计及相关通信协议的研究,TP399-C1

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机软件 > 操作系统
© 2012 www.xueweilunwen.com