基于Netfilter機制的智能協(xié)議識別技術(shù)研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全問題也日益嚴(yán)峻。黑客通過IM網(wǎng)絡(luò)協(xié)議截取隱私、傳播病毒，以P2P技術(shù)為核心的網(wǎng)絡(luò)應(yīng)用占用了大量網(wǎng)絡(luò)帶寬。另外，企業(yè)員工利用網(wǎng)絡(luò)在工作時間進行大量與工作無關(guān)的網(wǎng)絡(luò)訪問，影響企業(yè)生產(chǎn)。因此，識別以及封堵這些網(wǎng)絡(luò)應(yīng)用，是當(dāng)前網(wǎng)絡(luò)安全迫在眉睫的緊要任務(wù)。
　　 傳統(tǒng)的防火墻使用的協(xié)議識別方法主要是使用了基于端口識別協(xié)議和基于靜態(tài)特征識別協(xié)議兩種方式。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，越來越多的網(wǎng)絡(luò)協(xié)議使用不確定端口并且使

2、用安全加密技術(shù)等，使得特有的靜態(tài)特征無法有效的提取。這些都給協(xié)議的準(zhǔn)確識別帶來了困難。基于以上原因，本課題提出了一種能夠?qū)Χ丝诓淮_定且無有效靜態(tài)特征的協(xié)議進行準(zhǔn)確識別的更為先進的協(xié)議識別技術(shù)——智能協(xié)議識別技術(shù)，并在此基礎(chǔ)上設(shè)計并實現(xiàn)一個基于Netfilter機制的智能協(xié)議識別系統(tǒng)。本文的具體研究工作如下：
　　 (1)提出了一種智能協(xié)議識別模型。該模型不僅針對那些進行安全加密的協(xié)議能夠準(zhǔn)確識別，同時對于一般僅通過端口或靜態(tài)協(xié)議

3、識別就能夠識別出來的協(xié)議也使用，能夠達到對網(wǎng)絡(luò)應(yīng)用協(xié)議全面覆蓋的識別能力，具有很強的擴展性能。
　　 (2)基于上面提出的模型，設(shè)計了一種智能協(xié)議識別算法，該算法針對端口不確定且無明顯靜態(tài)特征的協(xié)議，結(jié)合使用端口特征、協(xié)議靜態(tài)特征和協(xié)議交互行為特征三種特征算法進行協(xié)議識別。
　　 (3)基于上面提出的模型與算法，設(shè)計并實現(xiàn)了一個基于Linux平臺下的Netfilter機制的智能協(xié)議識別系統(tǒng)，為了獲得更高的效率，該系統(tǒng)在協(xié)