收藏本站
《宁波大学》 2013年
收藏 | 手机打开
二维码
手机客户端打开本文

防火墙的包过滤优化若干技术研究

倪翠霞  
【摘要】:防火墙是网络安全的核心元素,是保证企业信息安全的中流砥柱,已在多数企业网络中被广泛使用。防火墙的基本功能是根据内置的规则表来决定每一个经过的数据包的过滤行为,即接收或丢弃。面对日趋恶化的网络环境及日益增大的网络速率,优化防火墙的包过滤技术,增强防火墙抵御网络攻击的能力,提高防火墙包过滤速度,具有重要的社会现实意义。 本文以优化防火墙的过滤技术为目标,同时面向下一代IPv6因特网,提出了防火墙包过滤的两个具体优化和创新方案,力求取得更好的防御网络攻击和提高处理速度的效果。本文研究工作的创新点主要体现在以下两个方面: (1)传统防火墙与路径标识(Pi)相结合的数据包过滤方案(CTFPi)。 针对已有防火墙包过滤的缺陷,我们发现传统包过滤技术与Pi技术有可结合之处,因此提出了一种新的防火墙规则优化方案-CTFPi方案,即将防火墙技术与Pi相结合的方法。根据CTFPi方案,一方面期望将数据包的过滤任务从受害主机转移到防火墙,减轻受害主机的负担;另一方面将目标主机放在一个安全域中,对经过防火墙过滤之后的数据包不再进行安全性检查,让数据包直接在安全域中传输,提高传输性能。更重要的是,我们将两项防御技术进行结合,期望进一步增强网络的安全性能。 试验表明,CTFPi方案能够更好地抵御攻击,并能够提高防火墙的过滤速度。与传统的数据包过滤方案相比,本文所提出的方案能够更好地适应高速的网络要求,并能够有效保护域内主机免于外部的恶意攻击。 (2)多叉树和双索引策略的防火墙规则搜索优化算法(MTADIS)。 该方案通过研究已有方案的缺陷,并在分析大规模防火墙日志文件的基础上,利用统计学的分析策略,提取其中反映规则特性的两个主要特征,即有限取值的协议字段和可聚合的IP地址字段,同时结合索引策略和多叉树的特点,提出了了MTADIS方案。通过MTADIS方案,一方面改进已有算法的不足,在这些方案的基础上继续研究;另一方面,结合下一代IPv6的特点,力争设计出具有良好扩展性的方案,能适用于下一代因特网的包过滤。 大量的仿真试验表明,相比于已有的方案,MTADIS在预处理时间和平均过滤时间上都有很大提高,并有良好的扩展性。因此,MTADIS方案能够更好地适用于目前快速复杂的网络环境。 本文不仅深入分析创新方案的理论模型和现实意义,而且还进行了充分的试验来验证方案的有效性。但这些方案仍然存在不足,未来的研究工作将主要针对这些不足,进一步改进完善,提高性能,使防火墙能更好地适应网络安全的需求。
【学位授予单位】:宁波大学
【学位级别】:硕士
【学位授予年份】:2013
【分类号】:TP393.08

【参考文献】
中国期刊全文数据库 前10条
1 邓辉燕;;Linux包过滤型防火墙技术的探索[J];电脑知识与技术;2008年29期
2 李林;卢显良;;一种基于切割映射的规则冲突消除算法[J];电子学报;2008年02期
3 孙长华;刘斌;;分布式拒绝服务攻击研究新进展综述[J];电子学报;2009年07期
4 李振强;张圣亮;马严;赵晓宇;;多决策树包分类算法[J];电子与信息学报;2008年04期
5 王会梅;鲜明;王国玉;;基于扩展网络攻击图的网络攻击策略生成算法[J];电子与信息学报;2011年12期
6 叶云;徐锡山;贾焰;齐治昌;;基于攻击图的网络安全概率计算方法[J];计算机学报;2010年10期
7 杨赞;杨林;王保进;张琨;;依据流统计特性的报文分类规则集动态优化[J];计算机应用研究;2011年05期
8 叶云;徐锡山;齐治昌;;大规模网络中攻击图的节点概率计算方法[J];计算机应用与软件;2011年11期
9 毕夏安;谢高岗;张大方;;基于规则集压缩的高效包分类算法[J];计算机应用;2010年11期
10 吴迪;连一峰;陈恺;刘玉岭;;一种基于攻击图的安全威胁识别和分析方法[J];计算机学报;2012年09期
中国博士学位论文全文数据库 前1条
1 李林;防火墙规则集关键技术研究[D];电子科技大学;2009年
【共引文献】
中国期刊全文数据库 前10条
1 郑维铭;;分布式拒绝服务攻击原理及实验[J];才智;2009年30期
2 陆军;杜蕾;;DDoS攻击中傀儡机动态分布策略研究[J];智能计算机与应用;2011年05期
3 李萌;;基于用户浏览行为的HTTP Flood检测方法[J];计算机安全;2010年02期
4 陈娟;马涛;;无线网络攻击分类技术研究[J];电子科技;2011年03期
5 吴志军;裴宝崧;;基于小信号检测模型的LDoS攻击检测方法的研究[J];电子学报;2011年06期
6 严博;吴晓平;廖巍;李凤华;;基于随机进程代数的P2P网络蠕虫对抗传播特性分析[J];电子学报;2012年02期
7 王会梅;鲜明;王国玉;;基于扩展网络攻击图的网络攻击策略生成算法[J];电子与信息学报;2011年12期
8 叶晰;温武少;叶依如;;基于动态口令的应用层DDoS攻击防御方案[J];电信科学;2012年10期
9 闵亨高;;网络攻击发展趋势[J];计算机安全;2013年01期
10 崔阿军;张华峰;范迪龙;赵明忠;;电力物联网安全防护技术研究[J];电力信息化;2013年03期
中国重要会议论文全文数据库 前4条
1 王勇;张璇;;基于多属性分类方法的网络攻击工具研究[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
2 刘海霞;杨正球;;IMS网络威胁行为分类方法研究[A];中国通信学会第六届学术年会论文集(中)[C];2009年
3 刘欣然;;一种新型网络攻击分类体系[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
4 陈伟琳;周颢;赵保华;;面向测试的协议攻击描述模型[A];全国网络与信息安全技术研讨会论文集(上册)[C];2007年
中国博士学位论文全文数据库 前10条
1 孟宇龙;基于本体的多源异构安全数据聚合[D];哈尔滨工程大学;2010年
2 林雪纲;网络信息系统生存性分析研究[D];浙江大学;2006年
3 王文奇;入侵检测与安全防御协同控制研究[D];西北工业大学;2006年
4 何申;面向3G移动通信网络的安全框架研究[D];中国科学技术大学;2007年
5 滕少华;基于对象监控的分布式协同入侵检测[D];广东工业大学;2008年
6 陈伟琳;协议安全测试理论和方法的研究[D];中国科学技术大学;2008年
7 雷杰;网络安全威胁与态势评估方法研究[D];华中科技大学;2008年
8 李冬;大规模网络中误告警去除和告警聚类方法研究[D];华中科技大学;2008年
9 张乐君;网络信息系统可生存性技术研究[D];哈尔滨工程大学;2008年
10 张宝军;网络入侵检测若干技术研究[D];浙江大学;2010年
中国硕士学位论文全文数据库 前10条
1 韩超;一种基于攻击端的DDoS攻击防御方法[D];大连理工大学;2010年
2 周粳迪;可扩展高性能分布式报文分类算法研究[D];解放军信息工程大学;2009年
3 钟慰;贝叶斯分类及其在入侵检测中的应用研究[D];中南林业科技大学;2008年
4 高琳;无线局域网接入认证协议的抗DoS攻击技术研究[D];西安电子科技大学;2010年
5 曲胜凯;基于决策树思想的合法监听研究[D];北京交通大学;2011年
6 刘雷;蜜网中的入侵告警分析研究[D];北京邮电大学;2011年
7 伍银;NIDS主动测试和被动测试相结合测试方法的研究[D];内蒙古大学;2011年
8 孟敏;基于两级逻辑综合技术的防火墙规则最小化研究[D];南京理工大学;2011年
9 邱俊沙;融合网络边界拒绝服务攻击检测系统研制[D];电子科技大学;2011年
10 徐鑫;入侵防御系统攻击特征库的建立方法研究[D];电子科技大学;2011年
【二级参考文献】
中国期刊全文数据库 前10条
1 向尕,曹元大;基于攻击分类的攻击树生成算法研究[J];北京理工大学学报;2003年03期
2 李鑫;季振洲;刘韦辰;胡铭曾;;防火墙过滤规则集冲突检测算法[J];北京邮电大学学报;2006年04期
3 何海宾;基于Linux包过滤的防火墙技术及应用[J];电子科技大学学报;2004年01期
4 杜德超,姚庆栋;多维过滤规则无冲突的高速分组分类算法[J];电子学报;2002年11期
5 李金明;王汝传;;基于VTP方法的DDoS攻击实时检测技术研究[J];电子学报;2007年04期
6 李振强;张圣亮;马严;赵晓宇;;多决策树包分类算法[J];电子与信息学报;2008年04期
7 钱萌;董小明;胡昊然;林家骏;胡万宝;;基于统计决策树的包分类算法[J];华东理工大学学报(自然科学版);2008年03期
8 王晓程,刘恩德,谢小权;攻击分类研究与分布式网络入侵检测系统[J];计算机研究与发展;2001年06期
9 冯东雷,张勇,白英彩;一种高性能包分类渐增式更新算法[J];计算机研究与发展;2003年03期
10 田立勤,林闯;报文分类技术的研究及其应用[J];计算机研究与发展;2003年06期
中国博士学位论文全文数据库 前1条
1 陈锋;基于多目标攻击图的层次化网络安全风险评估方法研究[D];国防科学技术大学;2009年
中国硕士学位论文全文数据库 前3条
1 余磊;IP包分类算法研究[D];重庆邮电大学;2007年
2 单福勇;基于HiCuts算法的Linux IPv6防火墙研究[D];大连海事大学;2009年
3 谭俊璐;基于决策树规则分类算法的研究与应用[D];暨南大学;2010年
【相似文献】
中国期刊全文数据库 前10条
1 王健;;网络防火墙技术研究[J];内江科技;2006年08期
2 伍锦群;;防火墙技术的探讨[J];长春理工大学学报(高教版);2008年02期
3 杨莲;陆际光;;防火墙在网络安全中的应用研究[J];电脑知识与技术;2008年27期
4 沈永新;;关于防火墙技术的研究与探讨[J];福建电脑;2011年01期
5 方芳;;网络防火墙技术分析[J];电脑知识与技术(学术交流);2007年04期
6 李继光;;综合利用多种防火墙技术保障网络安全[J];科技情报开发与经济;2007年14期
7 张文慧;周大水;;浅谈防火墙技术与发展[J];科技信息(学术研究);2008年34期
8 刘云峰;;三种常见防火墙实现技术之对比与研究[J];山西科技;2007年06期
9 胡永锋;张岩;胡占稳;;防火墙技术发展的研究[J];科学大众;2009年07期
10 王迪;;防火墙技术及攻击方法分析[J];湖南民族职业学院学报;2007年04期
中国重要会议论文全文数据库 前10条
1 陈关胜;;防火墙技术现状与发展趋势研究[A];信息化、工业化融合与服务创新——第十三届计算机模拟与信息技术学术会议论文集[C];2011年
2 赵钢;;网络安全与防火墙技术[A];第五届电子产品防护技术研讨会论文集(续)[C];2006年
3 刘怡文;;防火墙包过滤技术[A];第十三届全国计算机安全技术交流会论文集[C];1998年
4 李艳;;防火墙与网络安全[A];第十八次全国计算机安全学术交流会论文集[C];2003年
5 杨世标;陈木;;基于TCP序列号检测的防火墙子系统设计与实现[A];广东省通信学会2008年度学术论文集[C];2009年
6 张春华;;防火墙发展的新思路[A];广西计算机学会2004年学术年会论文集[C];2004年
7 李景义;;浅析网络安全技术[A];华东六省一市电机(电力)工程学会输配电技术研讨会2004年年会论文集[C];2004年
8 闵昌勇;;浅析网络安全技术[A];2007中国科协年会——通信与信息发展高层论坛论文集[C];2007年
9 刘阳富;;浅谈防火墙技术在银行网络中的应用[A];海南省通信学会学术年会论文集(2008)[C];2008年
10 刘宁;王靖;高成英;;基于ARP Agent的透明防火墙技术[A];全国第十五届计算机科学与技术应用学术会议论文集[C];2003年
中国重要报纸全文数据库 前10条
1 ;防火墙技术简介[N];中国计算机报;2001年
2 胡英;防火墙技术的演变[N];计算机世界;2002年
3 魏强 乌鲁木齐支队;筑牢信息防火墙[N];人民武警报;2010年
4 张琳;DIY防火墙会流行吗?[N];网络世界;2006年
5 特约作者 刘涛;防火墙: “软”“硬”兼施行天下[N];中国计算机报;2005年
6 阿勒泰地区职业技术学校 唐晓春;计算机网络防火墙技术浅析[N];新疆科技报(汉);2007年
7 佚名;防火墙的策略设计[N];网络世界;2007年
8 曾宇;千兆防火墙技术展望[N];中国计算机报;2003年
9 闵刚喜;复合防火墙技术的新演进[N];计算机世界;2002年
10 本报记者 李智鹏;梭子鱼:发力下一代防火墙技术[N];计算机世界;2011年
中国博士学位论文全文数据库 前10条
1 鲁宁;攻击源追踪及攻击流过滤方法研究[D];北京邮电大学;2013年
2 郭方方;集群防火墙系统的研究[D];哈尔滨工程大学;2006年
3 张颖江;基于增强型第二层隧道协议的隧道代理防火墙系统的研究[D];武汉理工大学;2006年
4 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
5 李春艳;分级防火墙系统中动态访问控制技术研究[D];哈尔滨工程大学;2004年
6 林楷;端信息跳变的若干关键技术研究[D];南开大学;2013年
7 阎冬;IP网络溯源方法及协作模式相关技术研究[D];北京邮电大学;2012年
8 桑丽;网络舆论研究[D];中共中央党校;2011年
9 王丹;黑龙江省农业气象信息服务平台构建研究[D];东北农业大学;2012年
10 徐伟;TCP协议的性能建模研究[D];中国科学技术大学;2012年
中国硕士学位论文全文数据库 前10条
1 吉璨琛;基于包过滤技术的个人安全防御系统研究与实现[D];北京邮电大学;2007年
2 倪翠霞;防火墙的包过滤优化若干技术研究[D];宁波大学;2013年
3 刘刚;基于应用层封包过滤技术的防火墙[D];四川大学;2005年
4 王雅静;基于Linux防DoS攻击防火墙研究[D];天津大学;2008年
5 宋鹏;部队网络防火墙的体系结构及其构建[D];兰州理工大学;2005年
6 邓国清;智能防火墙技术研究[D];吉林大学;2007年
7 於志勇;基于网络处理器的防火墙关键技术与算法研究[D];西北工业大学;2007年
8 张衡;具有vpn功能的防火墙的研究与实现[D];重庆大学;2005年
9 夏雪峰;基于行为检测的防火墙技术研究与实现[D];北方工业大学;2012年
10 银星;入侵检测系统应用研究[D];电子科技大学;2007年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026