收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

Netfilter/iptables防火墙中精确单模式匹配算法研究

高文华  
【摘要】:随着计算机网络技术的不断发展,网络和人们的生活联系得更加的紧密,网络用户数量呈现了爆发式增长。但是由于网络的复杂性和开放性,人们在享受网络给生活带来改变的同时,也在受到各种网络安全问题的困扰。如何维护一个安全和谐的网络环境成了一个尤为重要的问题。网络防火墙在管理用户行为、维护网络安全方面起着不可替代的作用。实际应用中,大多数的网络防火墙采用的是攻击行为特征匹配的方式进行攻击行为检测,这种方法首先对已知的攻击行为进行特征提取形成特征库,在攻击检测中大多采用模式匹配的方式对特征进行匹配。在这一类攻击行为检测方法中模式匹配占有非常重要的地位。本文首先研究了Linux系统Netfilter/iptables防火墙,深入研究了防火墙当中的字符串模式匹配模块,并对其效率进行了分析。在此基础之上,提出了一种Netfilter/iptables防火墙中模式匹配模块的优化方法,该优化方法将模式串的预处理过程从内核态Netfilter转移到用户态iptables。openwrt路由器上的测试结果显示,当网络设备的包转发率很高、模式匹配规则数量众多的情况之下,优化之后的框架比原有的模式匹配框架在效率上有一定的提高。这种思想可以应用到Netfilter/iptables的其他模块之中,只要该模块有预处理,而该预处理与数据包无关,就可以提前进行这种预处理,以达到提高防火墙效率的目的。在Linux系统中Netfilter/iptables防火墙的字符串模式匹配算法也过于单一,接下来本文研究了精确单模式匹配算法,特别是基于前缀搜索匹配的KMP算法和基于后缀搜索匹配BM算法以及基于BM的改进算法HORSPOOL和SUNDAY算法。之后,提出了一种基于KMP和HORSPOOL的新的模式匹配算法IKMPH,新的模式匹配算法IKMPH结合了KMP算法的部分匹配表和HORSPOOL算法的坏字符表。之后将IKMPH和SUNDAY算法的坏字符规则结合,提出了IKMPHS算法。在与KMP、BM、HORSOPOOL算法的对比测试中,新的算法IKMPH和IKMPHS在多数情况下的运行效率都要高于参与测试的算法,由此证明了两种新的算法是高效的模式匹配算法。本文最后将新的算法IKMPH、IKMPHS移植到Netfilter/iptables防火墙模式匹配模块中,并与防火墙中原有算法BM和KMP算法进行对比测试,发现新的算法在防火墙中的效率也高于其它两种模式匹配算法。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 ;Implementation and Performance Evaluation of IPSec VPN Based on Netfilter[J];Wuhan University Journal of Natural Sciences;2005年01期
2 魏晓宁;;基于Netfilter防火墙的设计与实现[J];科技资讯;2006年32期
3 顾栋梁;周健;程克勤;;基于Netfilter的连接限制的研究与实现[J];计算机工程;2009年10期
4 曾树洪;;Netfilter防火墙原理分析及其扩展应用[J];现代计算机(专业版);2009年12期
5 杨明明;王铮;;Netfilter性能动态改善方法的研究与实现[J];计算机技术与发展;2010年04期
6 李俊;;基于Netfilter防火墙的研究与实现[J];西藏大学学报(自然科学版);2010年02期
7 李旭;路娟;;Netfilter防火墙管理口防护的实现[J];河北软件职业技术学院学报;2013年02期
8 姚亚锋;蒋毅;;一种Netfilter/IPtables防火墙的实现研究[J];计算机安全;2013年11期
9 刘建彪,杨寿保;Netfilter功能框架及其在校园网中的应用[J];计算机应用;2003年02期
10 陈五友,刘万里,尹治本;利用Netfilter构建防火墙[J];通信技术;2003年01期
11 张锦祥;基于Netfilter/Iptables的嵌入式防火墙的设计与实现[J];计算机时代;2005年07期
12 程克勤;周健;于博;;基于Netfilter的网络用户认证系统[J];大连理工大学学报;2005年S1期
13 蒋中国;汪晓茵;;一种对基于Netfilter后门模块的检测方法[J];网络安全技术与应用;2006年10期
14 余勇;王伟;;Building Traversing NAT IPv6 Tunnel Gateway System Relies on Netfilter/Iptable Framework[J];Journal of Electronic Science and Technology of China;2006年04期
15 张磊;;基于Netfilter和属性证书的网络设备身份认证[J];中国新通信;2007年05期
16 肖蓉;;基于Netfilter框架的防火墙设计[J];现代计算机;2007年04期
17 曹成;周健;黄方剑;钱田芬;;Netfilter框架下防火墙模型总体结构设计[J];计算机应用;2007年S1期
18 刘传领;刘敏;;一种Netfilter防火墙过滤功能的实现[J];网络与信息;2007年09期
19 李尚;刘传领;;Netfilter防火墙内容过滤的实现[J];商丘职业技术学院学报;2007年05期
20 杨省伟;曾子维;庄兵;;基于Netfilter框架的访问控制的动态实现[J];计算机工程与设计;2008年23期
中国重要会议论文全文数据库 前6条
1 ;Implementation and Performance Evaluation of IPSec VPN Based on Netfilter[A];Proceedings of the 1st Chinese Conference on Trusted Computing and Information Security[C];2004年
2 袁方方;安宝宇;郑世慧;;基于Netfilter的内容过滤系统的研究与实现[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年
3 周健;孙海霞;;基于Netfilter防火墙的Per-IP限速的研究与实现[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
4 李峰;张玉清;;Linux防火墙的扩展应用研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
5 王宝生;王涛;郦苏丹;;天基网络链路仿真器的研究与设计[A];节能环保 和谐发展——2007中国科协年会论文集(一)[C];2007年
6 项锐;毛玉明;;在Linux下快速构建防火墙研究[A];2006中国西部青年通信学术会议论文集[C];2006年
中国硕士学位论文全文数据库 前10条
1 卢金龙;基于Netfilter框架的流量控制技术研究[D];贵州大学;2015年
2 滕月;基于Linux的网络流量监控统计系统的设计与实现[D];电子科技大学;2014年
3 刘玄;基于Netfilter的轻量级防火墙的设计与实现[D];哈尔滨工业大学;2016年
4 高文华;Netfilter/iptables防火墙中精确单模式匹配算法研究[D];电子科技大学;2016年
5 雷渊明;基于Netfilter的包分类研究与设计[D];湖南大学;2009年
6 胡连勇;基于Netfilter框架的校验字过滤防火墙的设计与实现[D];电子科技大学;2006年
7 周东浩;基于Netfilter的包分类优化技术的研究与实现[D];国防科学技术大学;2010年
8 吴良敏;基于Netfilter框架的审计监测防火墙的研究与实现[D];湖南大学;2012年
9 吴鼎;基于Netfilter框架流量识别系统的设计与实现[D];北京邮电大学;2013年
10 汤立浩;基于Netfilter内容过滤系统[D];汕头大学;2004年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978