收藏本站
《华中科技大学》 2006年
收藏 | 手机打开
二维码
手机客户端打开本文

网络安全语言关键技术的研究

李伟明  
【摘要】: 随着Internet技术及其各种应用技术的高速发展,网络安全问题变得越来越重要和敏感。网络攻击技术和手段日新月异,迫使网络安全程序的开发必须越来越快。攻击技术和手段日益复杂、更具隐蔽性和分布性等特点使网络安全程序的开发也越来越困难。 为了描述各种复杂的安全规则和方便地对安全功能进行扩展,各种专有的安全语言都发展起来,如IDS系统的Snort规则脚本和RUSSEL语言,扫描器Nessus的NASL语言,描述漏洞的AVDL和VulnXML,以及攻击描述语言LAMBDA、JIGSAW和CISL。然而,上述安全脚本和语言仍然存在许多缺陷,如功能单一;语法语义各不相同,不方便学习,对同一个安全事件,采取完全不同的描述方式;规则之间互操作困难,无法交换和共享信息;语言的表示能力,检测强度都没有一个统一的标准等。 为此,提出了建立网络安全语言NSL(Network Security Language)的构想。通过对各种安全应用进行深入分析、归类、抽象出基于特征(Feature)、事件(Event)、过滤器(Filter)、限制(Constraint)和场景(Scenario)的模型。在此基础上定义了完整的NSL语法和语义,设计和实现了NSL的编译器和虚拟机。为大多数安全应用提供了一个统一的编程环境。 构造了以Rule和Scenario为核心的两级语法结构。NSL的基本语法结构在表达式、语句和方法级别上都兼容C/C++语言,不仅提高了描述复杂结构的能力,而且也降低了学习曲线。NSL的Rule和Scenario实现不同的安全功能。Rule负责基于signature的检测,而Scenario具有状态转换的自动推导能力,可以检测复杂的安全事件。 对基于signature的检测,主要采用了动态Filters加载方法,和Filters Cache结合在一起,既提供了强大的检测能力又允许方便的扩展。同时对内容检测的Boyer-Moore算法进行了优化,把Boyer-Moore算法中的两个启发式步骤连接起来,对匹配针对Web的攻击,可以达到更快的速度。Rule之间共设计了四种互动方式。现有的安全语言中,有的没有提供规则之间的互动能力,有的提供了比较简单的机制。而NSL具有4种粒度的规则交互方式:即规则启停控制,规则变量访问,规则方法调用和规则事件访问。丰富了规则的表现能力,提高了表示方法的简洁性。 对复杂攻击场景,采用自动状态机来进行检测。一个Scenario语法结构包含多个状态,每个状态可以对应攻击中的一个步骤。当预定的事件(Event)对象出现,状态之间会自动进行转换。Scenario和Rule之间可以通过Event进行通信,方便的提供了分布式的检测能力。使NSL具有普通IDS系统不具备的高级攻击检测能力。 为了能够适应网络应用对带宽苛刻的要求,还利用多种优化技术对NSL的运行了效率进行优化。包括四种方法:即窥孔优化(peephole optimization),快速指令分发,基于神经网络的垃圾搜集以及快速的Just-In-Time及时编译等算法和技术。基于神经网络的垃圾搜集为新提出的算法,通过神经网络来预测垃圾搜集的时机,取得了较好的效果。其他优化技术也在细节上做了改进。通过这些优化技术突破了一般安全语言在性能上的局限。 提出基于返回地址的缓冲区保护的方法。为了提高NSL在非可信网络中的安全性,尤其针对泛滥的远程缓冲区溢出攻击,NSL通过建立只读返回地址区域和对返回地址进行编码,有效防止了各种缓冲区溢出的攻击。 实现了一个较为完善的NSL编译、运行和测试环境。以此为基础开发了一个完整的安全工具:“开放式多功能安全平台”。该平台具有可扩展,分布式,集成化的特点。NSL语言在该项目的实际应用中,得到了测试和检验,结果表明了NSL在功能和性能上的有效性,基本达到了设计目标。在该平台上运行的Sniffer、Firewall和IDS等安全功能,经过实际环境中的测试,也都取得了良好的效果。该平台已经圆满的通过了有关部门的验收。
【学位授予单位】:华中科技大学
【学位级别】:博士
【学位授予年份】:2006
【分类号】:TP393.08

知网文化
【参考文献】
中国期刊全文数据库 前6条
1 蒋嶷川,田盛丰;入侵检测中对系统日志审计信息进行数据挖掘的研究[J];计算机工程;2002年01期
2 李承,王伟钊,程立,汪为农,李家滨;基于防火墙日志的网络安全审计系统研究与实现[J];计算机工程;2002年06期
3 唐屹,伍小明;带状态特征的检测规则及其在CIDF框架中的应用[J];计算机工程;2002年10期
4 安金萍,张景,李军怀;状态检测包过滤技术在Linux下的实现[J];计算机工程;2005年02期
5 杨忠宝,杨宏宇;Snort报文嗅探和报文解析实现的剖析[J];计算机工程;2005年13期
6 李允,罗蕾,雷昊峰,熊光泽;基于线索化方法的嵌入式Java虚拟机性能优化技术研究[J];小型微型计算机系统;2005年03期
【共引文献】
中国期刊全文数据库 前10条
1 冯清海;袁万城;樊启武;;基于FE—ANN—MC的结构可靠度计算方法研究[J];四川建筑科学研究;2008年04期
2 李峻;孙世群;;基于BP网络模型的青弋江水质预测研究[J];安徽工程科技学院学报(自然科学版);2008年02期
3 张艳;张海军;;基于DSP的多通道超声波连续测厚系统的研究[J];安徽工程科技学院学报(自然科学版);2008年03期
4 王世东;陈杨;张本福;孙光灵;黄晓梅;;八叉树在三维建模中的应用[J];安徽建筑工业学院学报(自然科学版);2006年06期
5 王世东;;Voronoi在GCS建模中的应用[J];安徽建筑工业学院学报(自然科学版);2007年05期
6 祝翠;钱家忠;周小平;马雷;;BP神经网络在潘三煤矿突水水源判别中的应用[J];安徽建筑工业学院学报(自然科学版);2010年05期
7 李峻;孙世群;;BP神经网络在青弋江水质评价上的应用[J];安徽建筑;2008年03期
8 杨宝华;;基于BP神经网络的西瓜仁重预测[J];安徽农业大学学报;2008年04期
9 丁晓贵;基于径基网络的水处理系统模型[J];安庆师范学院学报(自然科学版);2004年03期
10 冯学军,赵琴;径向基神经网络在股市预测中的应用[J];安庆师范学院学报(自然科学版);2005年01期
【二级参考文献】
中国期刊全文数据库 前2条
1 刘美兰,姚京松;审计跟踪与入侵检测[J];计算机工程与应用;1999年07期
2 刘明吉;王秀峰;黄亚楼;;数据挖掘中的数据预处理[J];计算机科学;2000年04期
【相似文献】
中国期刊全文数据库 前10条
1 刘全利;浅议网络安全[J];重庆商学院学报;1999年01期
2 易骥;网络安全与防火墙[J];人民公安;1999年11期
3 胡娟;冲浪——小心触礁[J];家庭电子;2001年06期
4 阿星;;网络安全不容忽视[J];电脑采购周刊;2002年32期
5 ;证券网络,说不完的安全话题 首创网络安全服务中心[J];电子测试;2002年02期
6 张平安;计算机网络系统安全构筑[J];深圳信息职业技术学院学报;2003年01期
7 王琨月;;病毒续写惊怵——2003年网络安全不容忽视[J];每周电脑报;2003年07期
8 ;为城域网保驾——思科为福建联通实施宽带IP网络安全二期改造[J];每周电脑报;2003年35期
9 彤欣;;网络安全导航图[J];中国计算机用户;2003年42期
10 张杰;企业信息化中网络安全的管理[J];煤炭企业管理;2004年04期
中国重要会议论文全文数据库 前10条
1 张建宇;廖唯棨;张行功;邹维;;网络处理器的发展及其在网络安全中的应用[A];全国网络与信息安全技术研讨会'2005论文集(下册)[C];2005年
2 贺飞;;网络安全实现结构[A];第十三届全国计算机安全技术交流会论文集[C];1998年
3 杜丞香;梁慕慧;;气象网络安全与计算机病毒的防护[A];第27届中国气象学会年会雷达技术开发与应用分会场论文集[C];2010年
4 李伟明;李之棠;;NSL:一种面向网络安全的语言[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
5 陈成;岳志伟;;浅谈政府门户网站的网络安全[A];中国航海学会航标专业委员会沿海航标学组、无线电导航学组、内河航标学组年会暨学术交流会论文集[C];2009年
6 邱晓鹏;张玉清;冯登国;;蠕虫攻防技术综述[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
7 王丽香;;网络信息建设与网络安全浅谈[A];山西省科学技术情报学会学术年会论文集[C];2004年
8 刘炳华;;基于国产设施的内部网安全系统集成[A];信息科学与微电子技术:中国科协第三届青年学术年会论文集[C];1998年
9 胡艳华;禚林强;;网络安全在医院信息化建设中的作用[A];第二十三届航天医学年会暨第六届航天护理年会论文汇编[C];2007年
10 邢建萍;;多方构建安全网络[A];第十二届全国核电子学与核探测技术学术年会论文集[C];2004年
中国重要报纸全文数据库 前10条
1 石爱;NetScreen推出全面的网络安全方案[N];通信产业报;2002年
2 记者史晓芳;中小企业应注重网络安全[N];中华工商时报;2003年
3 吕英;Top Layer网络安全方案亮相[N];通信产业报;2002年
4 本报记者 钱炜;政府应加大对网站维护的投入[N];科技日报;2009年
5 马蕾;第三方认证呼声渐高[N];人民邮电;2009年
6 陈飞雪;NETGEAR将安全融入到产品 大幅提升网络安全[N];中国计算机报;2002年
7 费振波 岳欣;自主研发结硕果网络安全显神威[N];黑龙江日报;2004年
8 赵建;网络安全防范问题为全球关注[N];国际商报;2003年
9 本版统筹/撰文 寒山;严望佳:用心护航中国网络安全[N];民营经济报;2006年
10 周雪;国内网络安全厂商坚持本土化[N];电脑商报;2008年
中国博士学位论文全文数据库 前10条
1 司加全;网络安全态势感知技术研究[D];哈尔滨工程大学;2009年
2 赖积保;基于异构传感器的网络安全态势感知若干关键技术研究[D];哈尔滨工程大学;2009年
3 李建平;面向异构数据源的网络安全态势感知模型与方法研究[D];哈尔滨工程大学;2010年
4 张建锋;网络安全态势评估若干关键技术研究[D];国防科学技术大学;2013年
5 刘效武;基于多源融合的网络安全态势量化感知与评估[D];哈尔滨工程大学;2009年
6 孟锦;网络安全态势评估与预测关键技术研究[D];南京理工大学;2012年
7 叶云;基于攻击图的网络安全风险计算研究[D];国防科学技术大学;2012年
8 李志东;基于融合决策的网络安全态势感知技术研究[D];哈尔滨工程大学;2012年
9 赵文涛;基于网络安全态势感知的预警技术研究[D];国防科学技术大学;2009年
10 杨天路;网络威胁检测与防御关键技术研究[D];北京邮电大学;2010年
中国硕士学位论文全文数据库 前10条
1 刘轰;基于Internet的远程监控系统及研究[D];河海大学;2003年
2 张雷;基于模式匹配的网络入侵检测系统研究[D];西南交通大学;2005年
3 任艳丽;关于不可否认协议中第三方的研究[D];陕西师范大学;2005年
4 汪兴东;基于BP神经网络的智能入侵检测系统的设计与实现[D];电子科技大学;2005年
5 向碧群;基于遗传算法的入侵检测系统研究[D];重庆大学;2005年
6 单长虹;计算机远程控制技术研究[D];武汉大学;2004年
7 徐小龙;遗传算法在智能入侵检测系统中的应用[D];曲阜师范大学;2006年
8 金飞;基于代理的分布式入侵检测系统的分析与设计[D];浙江大学;2006年
9 刘思培;基于移动代理的分布式入侵检测系统的设计与实现[D];吉林大学;2006年
10 雷涛;中小企业的信息网络安全与防护[D];华南理工大学;2010年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026