基于流量检测技术的NG Firewall系统的设计与实现
|
摘要
防火墙处在可信网络和非可信网络之间,扮演者保卫安全的角色,它的性能高低直接影响着内外网之间数据传输和资源共享的效率,这也是当今NG Firewall(下一代防火墙的简称)市场上研究的重点问题之一。当今的互联网发展速度之快、新业务新协议数量之多令人惊叹不已,这给当今的防火墙带来了前所未有的压力和挑战,传统的防火墙已经越来越无法满足现在的安全需求。现在下一代防火墙的研究方向都瞄准了应用识别上,这不难理解,因为网络上的任何威胁从根本上来说都是一种网络应用,都可以通过数据分析从其他流量中识别出来。因此对各种网络威胁的监控都统一到应用识别上来,这也是下一代防火墙生存立足的根本所在。下一代防火墙必须能够满足基于应用识别的需求。
流量检测技术是信息安全特别是网络安全领域进行网络监测、防护、管理的重要技术手段。针对传统防火墙的弊端,本文将现今比较流行的几种流量检测技术引入到新的防火墙系统中,仔细分析了各种流量检测技术和控制技术的优缺点,并应用到了自己设计的系统中。本文重点研究了基于AC的多模字符串匹配算法,对现今比较流行的AC-BM算法进行了改进,并通过实例匹配验证了改进后的算法性能。在这些基础上本文设计了一个网络防火墙系统,并仔细设计了各个子模块的功能和实现机制、方法。总体而言,通过对多种不同种类的协议的检测试验结果表明本系统达到了设计的初衷,虽然在某些方面存在不少的瑕疵,但总体的结果还是令人满意的。具体本文主要完成了以下几方面的工作:
1、分析了传统防火墙所在的不足,比较了传统防火墙和下一代防火墙的差异和研究重点。
2、分析了现有的各种网络流量识别技术和控制技术,并总结了各种技术的实现方案和各自的优缺点。
3、重点研究了各种字符串匹配算法的性能,对AC-BM算法进行了适当改进,最后通过实例匹配和实验验证了改进算法的性能更好。
4、对互联网上流行的几种典型应用业务进行了分析和研究,并结合具体应用软件分析和归纳了各个协议的通信原理、流量特点及主要的分析方法等。
5、设计了一套下一代防火墙系统,实现了对网络流量的识别与控制。系统采用多种检测技术结合的方法提高协议识别的准确率,并依托Linux系统的Netfilter架构设计出流量控制方案,提出了针对流量控制的限流算法,实现了对具体流量的控制作用。
6、本文对不同业务种类的多种软件进行流量特征分析,提取特征并写入特征规则库中,对系统的流量识别和控制功能进行了测试,并对测试结果进行了分析。结果分析表明本系统可以实现对各种流量进行准确识别及有效控制,并具有较高的检测效率,基本达到了下一代防火墙的基本功能需求。
Firewall acts as the role of the actor to defend the security between the trusted network and non-trusted network. Its performance will directly affect the efficiency of data transfer and sharing of resources between the inside and outside the network, which is one of the key issues of today's NG Firewall (referred to next-generation firewall) market research. What amazed us is that today's Internet grows so fast and the sheer number of new business, which brings unprecedented pressures and challenges. Traditional firewalls have become increasingly unable to meet the security requirements. Research direction of the next-generation firewall now turns to targeting the application identification, which is not difficult to understand. Because any threat from the fundamental network is a network application, and it can be identified from other traffics through data analysis. So monitoring of a variety of network threats are unified to application identification, which is the essence of survival of the next-generation firewall. Next-generation firewalls must be able to meet the demand of application identification.
Traffic detection technology is one of the important technical means in the field of information security, especially for network security to do network monitoring, protection and management. According to the drawbacks of traditional firewall, the paper introduces today's several popular traffic detection technologies into the new firewall system, and carefully studies the advantages and disadvantages of various.detection techniques, and applies them into my system. This paper focuses on the research of the multimode string matching algorithm based on AC and improvement of today's popular AC-BM algorithm. Then the paper verifies the improved performance of the algorithm through example matching. The paper designs a network firewall system, and carefully designed features and mechanisms of the various sub-modules. Overall, the agreement on a variety of different types of testing results shows that the system reaches the original intention of the design, though there are a lot of flaws in some aspects, but the overall result is satisfy. The specific main works of the paper are the following aspects:
1. The paper analyzes the lack of the traditional firewall and compares the differences and focus between the traditional firewall and the next-generation firewall.
2. The paper analyzes the existing network traffic identification technology and control technology, and summarizes the implementation of the various technologies and their advantages and disadvantages.
3. The paper focuses on the performance of the various string matching algorithm and analyzes and makes a few appropriate improvements of AC-BM algorithm. Then the paper verifies the improved performance of the algorithm through example matching and experiment.
4. The paper researches several typical business applications which are popular on the Internet, and analyzes and summarizes communication theory、flow characteristics and analysis methods of each protocol combined with specific instances.
5. The paper designs a next-generation firewall systems and implements identification and control of network traffic. The method of using a variety of detection technologies is used to improve the recognition accuracy rate of the agreement. The paper gives a flow control algorithm based on the traffic control program of the Netfilter framework in the Linux system, and implements traffic control of the specific traffic.
6. The paper gives a variety of different types of business software flow analysis, finds their features and writes them to characteristic rule database. Then the paper tests traffic identification and control functions of the system, and analyzes the test results:The analysis of the results shows that the system can accurately identify and effectively control a variety of flow and has a good detection efficiency, basically reaches the basic functional requirements for next-generation firewall.
流量检测技术是信息安全特别是网络安全领域进行网络监测、防护、管理的重要技术手段。针对传统防火墙的弊端,本文将现今比较流行的几种流量检测技术引入到新的防火墙系统中,仔细分析了各种流量检测技术和控制技术的优缺点,并应用到了自己设计的系统中。本文重点研究了基于AC的多模字符串匹配算法,对现今比较流行的AC-BM算法进行了改进,并通过实例匹配验证了改进后的算法性能。在这些基础上本文设计了一个网络防火墙系统,并仔细设计了各个子模块的功能和实现机制、方法。总体而言,通过对多种不同种类的协议的检测试验结果表明本系统达到了设计的初衷,虽然在某些方面存在不少的瑕疵,但总体的结果还是令人满意的。具体本文主要完成了以下几方面的工作:
1、分析了传统防火墙所在的不足,比较了传统防火墙和下一代防火墙的差异和研究重点。
2、分析了现有的各种网络流量识别技术和控制技术,并总结了各种技术的实现方案和各自的优缺点。
3、重点研究了各种字符串匹配算法的性能,对AC-BM算法进行了适当改进,最后通过实例匹配和实验验证了改进算法的性能更好。
4、对互联网上流行的几种典型应用业务进行了分析和研究,并结合具体应用软件分析和归纳了各个协议的通信原理、流量特点及主要的分析方法等。
5、设计了一套下一代防火墙系统,实现了对网络流量的识别与控制。系统采用多种检测技术结合的方法提高协议识别的准确率,并依托Linux系统的Netfilter架构设计出流量控制方案,提出了针对流量控制的限流算法,实现了对具体流量的控制作用。
6、本文对不同业务种类的多种软件进行流量特征分析,提取特征并写入特征规则库中,对系统的流量识别和控制功能进行了测试,并对测试结果进行了分析。结果分析表明本系统可以实现对各种流量进行准确识别及有效控制,并具有较高的检测效率,基本达到了下一代防火墙的基本功能需求。
Firewall acts as the role of the actor to defend the security between the trusted network and non-trusted network. Its performance will directly affect the efficiency of data transfer and sharing of resources between the inside and outside the network, which is one of the key issues of today's NG Firewall (referred to next-generation firewall) market research. What amazed us is that today's Internet grows so fast and the sheer number of new business, which brings unprecedented pressures and challenges. Traditional firewalls have become increasingly unable to meet the security requirements. Research direction of the next-generation firewall now turns to targeting the application identification, which is not difficult to understand. Because any threat from the fundamental network is a network application, and it can be identified from other traffics through data analysis. So monitoring of a variety of network threats are unified to application identification, which is the essence of survival of the next-generation firewall. Next-generation firewalls must be able to meet the demand of application identification.
Traffic detection technology is one of the important technical means in the field of information security, especially for network security to do network monitoring, protection and management. According to the drawbacks of traditional firewall, the paper introduces today's several popular traffic detection technologies into the new firewall system, and carefully studies the advantages and disadvantages of various.detection techniques, and applies them into my system. This paper focuses on the research of the multimode string matching algorithm based on AC and improvement of today's popular AC-BM algorithm. Then the paper verifies the improved performance of the algorithm through example matching. The paper designs a network firewall system, and carefully designed features and mechanisms of the various sub-modules. Overall, the agreement on a variety of different types of testing results shows that the system reaches the original intention of the design, though there are a lot of flaws in some aspects, but the overall result is satisfy. The specific main works of the paper are the following aspects:
1. The paper analyzes the lack of the traditional firewall and compares the differences and focus between the traditional firewall and the next-generation firewall.
2. The paper analyzes the existing network traffic identification technology and control technology, and summarizes the implementation of the various technologies and their advantages and disadvantages.
3. The paper focuses on the performance of the various string matching algorithm and analyzes and makes a few appropriate improvements of AC-BM algorithm. Then the paper verifies the improved performance of the algorithm through example matching and experiment.
4. The paper researches several typical business applications which are popular on the Internet, and analyzes and summarizes communication theory、flow characteristics and analysis methods of each protocol combined with specific instances.
5. The paper designs a next-generation firewall systems and implements identification and control of network traffic. The method of using a variety of detection technologies is used to improve the recognition accuracy rate of the agreement. The paper gives a flow control algorithm based on the traffic control program of the Netfilter framework in the Linux system, and implements traffic control of the specific traffic.
6. The paper gives a variety of different types of business software flow analysis, finds their features and writes them to characteristic rule database. Then the paper tests traffic identification and control functions of the system, and analyzes the test results:The analysis of the results shows that the system can accurately identify and effectively control a variety of flow and has a good detection efficiency, basically reaches the basic functional requirements for next-generation firewall.
引文
[1]杨华网络威胁及其防范策略电脑知识与技术第7卷第20期2011年4860
[2]强瑛常见的网络安全威胁及日常应对措施网友世界02期2012年63-64
[3]陈琳羽浅析信息网络安全威胁办公自动化02期2009年30-31
[4]杨光,李非非,杨洋浅析计算机网络安全防范措施科技信息第29期2011年70
[5]http://www.gartner.com/technology/reprints.do?id=1-18CHDB2&ct=111215&st=sb.2011
[6]http://www.vsharing.com/k/net/2011-9/A649153.html
[7]李明 东软王军民:下一代防火墙赢在“应用识别”网络安全技术与应用第10期2011年4-5
[8]网管网康联合软件评测中心,推上网行为管理标准网络与信息2011年12月47
[9]沈建苗Palo Alto PA—5060:瑕不掩瑜计算机世界第028版2012年4月30日1-3
[10]Check point领航企业网络防火墙微电脑世界02期2012年120
[11]SONICWALL推出下一代防火墙技术CAD/CAM与制造业信息化2010年05月17日72
[12]郭宏远 梭子鱼下一代防火墙登陆国内市场电脑商报2010年12月20日1-2
[13]Diss.Gao,Qiang Zhi The Research and Design of Next Generation Software Firewall Huazhong (Central China) University of Science and Technology 2007.16
[14]http://www.sasdigg.cn/buy/777.html
[15]洪晶 网络扫描的设计实现和安全对策研究[学位论文]武汉中国地质大学2003
[16]杨强 一体化安全防护设备的研究与设计[学位论文]北京北京邮电大学2010
[17]张烨 防火墙的研究科技视界16期2012年06月174
[18]杜亚超 基于IPtables和Netfilter的防火墙设计实现[学位论文]北京北京邮电大学2005
[19]徐涛 基于IPv6分布式防火墙的设计与实现[学位论文]上海华东师范大学2008
[20]高志强 下一代软件防火墙研究与设计[学位论文]武汉华中科技大学2007
[21]黄丽韶 网络安全威胁与安全技术探析无线互联科技04期2012年23-24
[22]林冠洲 网络流量识别关键技术研究[学位论文]北京北京邮电大学2011
[23]徐海波 网络流量识别特征码自动提取系统的研究与实现[学位论文]北京北京邮电大学2010
[24]周昕 基于DPI和DFI的P2P流量识别设计与实现[学位论文]武汉湖北工业大学2010
[25]Diss.Zou,Bo Qiu Design and Implementation of Deep Packet Inspection in Firewall Huazhong (Central China) University of Science and Technology 2005 38
[26]韩耀明基于DPI技术的VoIP流量检测系统的设计与实现[学位论文]北京北京邮电大学2010
[27]段磊网络流量控制系统的设计与实现[学位论文]北京北京邮电大学2010
[28]代丽DFI流量分类技术的研究和实现[学位论文]北京北京邮电大学2011
[29]Thomas Karagiannis. Transport layer identification of p2p traffic, Internet Measurement Conference(IMC) Taormina, Sicily,Italy October,200425-27
[30]许佳基于IPv6的P2P流量识别与控制的研究[学位论文]西安西安科技大学2008
[31]毕磊VoIP流量识别及检测模块的设计与测试[学位论文]北京北京邮电大学2011
[32]于骁丹P2P流量监控技术研究与应用[学位论文]哈尔滨哈尔滨工程大学2009
[33]孙强网络流量控制与计费系统的设计与实现[学位论文]北京北京邮电大学2011
[34]韩玉婷入侵防御系统的研究与关键技术的实现[学位论文]北京北京邮电大学2010
[35]岳昆,于晓玲,周傲英Web服务核心支撑技术:研究综述软件学报3期2004年429
[36]唐凯基于.NET平台构建四层B/S结构的动态网站[学位论文]成都四川大学2004
[37]祝瑞,车敏基于HTTP协议的服务器程序分析现代电子技术4期2012年117
[38]邓友良HTTP报文监测和过滤技术研究[学位论文]成都西南交通大学2007
[39]戴帅基于ARM-Linux的嵌入式HTTPS服务器的研究与实现[学位论文]武汉武汉理工大学2010
[40]蔡勇FTP服务器技术研究及实现[学位论文]成都电子科技大学2005
[41]马建波基于IPv6 IPSec的FTP安全研究与实现[学位论文]杭州杭州电子科技大学2011
[42]鲍晓玲专用安全电子邮件系统的研究与实现[学位论文]北京北京交通大学2010
[43]岑芳明基于核偏最小二乘分类的垃圾邮件过滤研究[学位论文]南昌江西师范大学2009
[44]王妞椭圆曲线密码体制在安全电子邮件中的应用[学位论文]石家庄河北科技大学2008
[45]钱诚慎SMTP电子邮件客户端与服务器的设计与实现[学位论文]大连大连理工大学2006
[46]刘鹏网络用户行为分析的若干问题研究[学位论文]北京北京邮电大学2010
[47]李艳基于多层P2P的流媒体点播系统的研究与开发[学位论文]西安西安电子科技大学2009
[48]肖玮基于混合P2P网络的应用层组播系统研究与实现[学位论文]长沙中南大学2010
[49]李虎军,林学华,钱贵平基于P2P网络应用研究 福建电脑5期2010年55
[50]窦伊男根据多维特征的网络用户分类研究[学位论文]北京北京邮电大学2010
[51]庞怡,许洪光,姜媛即时通讯工具现状及发展趋势分析科技情报开发与经济第16卷第16期2006年169
[52]康贝基于SIP协议的VoIP网络研究及终端实现[学位论文]西安西北工业大学2003
[53]马巧华VoIP系统的实现及Radius协议在其中的应用[学位论文]杭州浙江大学2003
[54]秦霞基于H.323的VoIP通信系统的应用研究与实现[学位论文]天津天津工业大学2005
[55]殷文珊VoIP流量的监测技术与实现长沙通信职业技术学院学报第6卷第3期2007年26
[56]刘建兴软交换中SIP关键技术的研究和设计方案[学位论文]武汉华中科技大学2003
[57]李声防火墙与入侵检测系统联动技术的研究与实现[学位论文]南京南京航空航天大学2007
[58]乔思远基于DMA_ring的高速网络报文捕获机制的实现及应用[学位论文]济南山东大学2007
[59]李霞丽基于Linux的网络流量测量技术研究和Netfilter Prober的设计与实现[学位论文]西安西安交通大学2004
[2]强瑛常见的网络安全威胁及日常应对措施网友世界02期2012年63-64
[3]陈琳羽浅析信息网络安全威胁办公自动化02期2009年30-31
[4]杨光,李非非,杨洋浅析计算机网络安全防范措施科技信息第29期2011年70
[5]http://www.gartner.com/technology/reprints.do?id=1-18CHDB2&ct=111215&st=sb.2011
[6]http://www.vsharing.com/k/net/2011-9/A649153.html
[7]李明 东软王军民:下一代防火墙赢在“应用识别”网络安全技术与应用第10期2011年4-5
[8]网管网康联合软件评测中心,推上网行为管理标准网络与信息2011年12月47
[9]沈建苗Palo Alto PA—5060:瑕不掩瑜计算机世界第028版2012年4月30日1-3
[10]Check point领航企业网络防火墙微电脑世界02期2012年120
[11]SONICWALL推出下一代防火墙技术CAD/CAM与制造业信息化2010年05月17日72
[12]郭宏远 梭子鱼下一代防火墙登陆国内市场电脑商报2010年12月20日1-2
[13]Diss.Gao,Qiang Zhi The Research and Design of Next Generation Software Firewall Huazhong (Central China) University of Science and Technology 2007.16
[14]http://www.sasdigg.cn/buy/777.html
[15]洪晶 网络扫描的设计实现和安全对策研究[学位论文]武汉中国地质大学2003
[16]杨强 一体化安全防护设备的研究与设计[学位论文]北京北京邮电大学2010
[17]张烨 防火墙的研究科技视界16期2012年06月174
[18]杜亚超 基于IPtables和Netfilter的防火墙设计实现[学位论文]北京北京邮电大学2005
[19]徐涛 基于IPv6分布式防火墙的设计与实现[学位论文]上海华东师范大学2008
[20]高志强 下一代软件防火墙研究与设计[学位论文]武汉华中科技大学2007
[21]黄丽韶 网络安全威胁与安全技术探析无线互联科技04期2012年23-24
[22]林冠洲 网络流量识别关键技术研究[学位论文]北京北京邮电大学2011
[23]徐海波 网络流量识别特征码自动提取系统的研究与实现[学位论文]北京北京邮电大学2010
[24]周昕 基于DPI和DFI的P2P流量识别设计与实现[学位论文]武汉湖北工业大学2010
[25]Diss.Zou,Bo Qiu Design and Implementation of Deep Packet Inspection in Firewall Huazhong (Central China) University of Science and Technology 2005 38
[26]韩耀明基于DPI技术的VoIP流量检测系统的设计与实现[学位论文]北京北京邮电大学2010
[27]段磊网络流量控制系统的设计与实现[学位论文]北京北京邮电大学2010
[28]代丽DFI流量分类技术的研究和实现[学位论文]北京北京邮电大学2011
[29]Thomas Karagiannis. Transport layer identification of p2p traffic, Internet Measurement Conference(IMC) Taormina, Sicily,Italy October,200425-27
[30]许佳基于IPv6的P2P流量识别与控制的研究[学位论文]西安西安科技大学2008
[31]毕磊VoIP流量识别及检测模块的设计与测试[学位论文]北京北京邮电大学2011
[32]于骁丹P2P流量监控技术研究与应用[学位论文]哈尔滨哈尔滨工程大学2009
[33]孙强网络流量控制与计费系统的设计与实现[学位论文]北京北京邮电大学2011
[34]韩玉婷入侵防御系统的研究与关键技术的实现[学位论文]北京北京邮电大学2010
[35]岳昆,于晓玲,周傲英Web服务核心支撑技术:研究综述软件学报3期2004年429
[36]唐凯基于.NET平台构建四层B/S结构的动态网站[学位论文]成都四川大学2004
[37]祝瑞,车敏基于HTTP协议的服务器程序分析现代电子技术4期2012年117
[38]邓友良HTTP报文监测和过滤技术研究[学位论文]成都西南交通大学2007
[39]戴帅基于ARM-Linux的嵌入式HTTPS服务器的研究与实现[学位论文]武汉武汉理工大学2010
[40]蔡勇FTP服务器技术研究及实现[学位论文]成都电子科技大学2005
[41]马建波基于IPv6 IPSec的FTP安全研究与实现[学位论文]杭州杭州电子科技大学2011
[42]鲍晓玲专用安全电子邮件系统的研究与实现[学位论文]北京北京交通大学2010
[43]岑芳明基于核偏最小二乘分类的垃圾邮件过滤研究[学位论文]南昌江西师范大学2009
[44]王妞椭圆曲线密码体制在安全电子邮件中的应用[学位论文]石家庄河北科技大学2008
[45]钱诚慎SMTP电子邮件客户端与服务器的设计与实现[学位论文]大连大连理工大学2006
[46]刘鹏网络用户行为分析的若干问题研究[学位论文]北京北京邮电大学2010
[47]李艳基于多层P2P的流媒体点播系统的研究与开发[学位论文]西安西安电子科技大学2009
[48]肖玮基于混合P2P网络的应用层组播系统研究与实现[学位论文]长沙中南大学2010
[49]李虎军,林学华,钱贵平基于P2P网络应用研究 福建电脑5期2010年55
[50]窦伊男根据多维特征的网络用户分类研究[学位论文]北京北京邮电大学2010
[51]庞怡,许洪光,姜媛即时通讯工具现状及发展趋势分析科技情报开发与经济第16卷第16期2006年169
[52]康贝基于SIP协议的VoIP网络研究及终端实现[学位论文]西安西北工业大学2003
[53]马巧华VoIP系统的实现及Radius协议在其中的应用[学位论文]杭州浙江大学2003
[54]秦霞基于H.323的VoIP通信系统的应用研究与实现[学位论文]天津天津工业大学2005
[55]殷文珊VoIP流量的监测技术与实现长沙通信职业技术学院学报第6卷第3期2007年26
[56]刘建兴软交换中SIP关键技术的研究和设计方案[学位论文]武汉华中科技大学2003
[57]李声防火墙与入侵检测系统联动技术的研究与实现[学位论文]南京南京航空航天大学2007
[58]乔思远基于DMA_ring的高速网络报文捕获机制的实现及应用[学位论文]济南山东大学2007
[59]李霞丽基于Linux的网络流量测量技术研究和Netfilter Prober的设计与实现[学位论文]西安西安交通大学2004
© 2004-2018 中国地质图书馆版权所有 京ICP备05064691号 京公网安备11010802017129号 地址:北京市海淀区学院路29号 邮编:100083 电话:办公室:(+86 10)66554848;文献借阅、咨询服务、科技查新:66554700 |