防火墻規(guī)則的異常檢測及優(yōu)化研究.pdf

1、隨著當前互聯(lián)網(wǎng)技術的快速發(fā)展，互聯(lián)網(wǎng)通過其低廉的通訊成本和快速的通訊能力使得企業(yè)、學校和政府等部門的組織模式產(chǎn)生了巨大的變化?，F(xiàn)在人們更愿意以互聯(lián)網(wǎng)作為信息交流的平臺，對互聯(lián)網(wǎng)的依賴達到了前所未有的程度。然而互聯(lián)網(wǎng)是一把雙刃劍，在給人們帶來快捷和便利的同時，也帶來了日益嚴重的網(wǎng)絡安全問題。在這種背景下防火墻應運而生，它被稱為“網(wǎng)絡安全的第一道閘門”，用于保護內(nèi)部網(wǎng)絡的安全。防火墻作為出現(xiàn)最早和使用量最大的網(wǎng)絡安全產(chǎn)品，是構建網(wǎng)絡安全策略

2、的重要組成部分。
　　當前人們對防火墻的研究主要集中在提高數(shù)據(jù)包的過濾速度上，而很少考慮到防火墻的安全策略，也就是防火墻內(nèi)部的規(guī)則表。防火墻作為保護網(wǎng)絡安全的重要部分，其規(guī)則配置是否正確、是否合適直接影響到它的工作效率，從而影響到所保護的網(wǎng)絡。本文在學習當前防火墻模型及功能的基礎上，主要是做了以下兩方面的研究：
　?、僭诜阑饓σ?guī)則的配置過程中，存在著兩方面的問題。首先是防火墻管理員在設置規(guī)則時需要注意規(guī)則之間的關系及規(guī)則之間

3、的相互影響，這樣才能保證安全策略的正確性和完整性。其次是隨著規(guī)則數(shù)量的不斷增加，規(guī)則之間存在異常的可能性提高了，對規(guī)則進行管理的難度也相應加大了。
　　通過對以上問題的分析研究，本文定義了規(guī)則之間存在的五種關系，并采用規(guī)則樹對規(guī)則進行建模。在此基礎上對規(guī)則之間的異常類型進行分類研究，給出相應的異常檢測算法，實現(xiàn)具有異常檢測功能的規(guī)則管理工具。
　?、谕ǔＧ闆r下，防火墻規(guī)則一旦配置好后就固定了，規(guī)則之間的先后順序不會發(fā)生改變。

4、基于有序規(guī)則序列的防火墻將數(shù)據(jù)包與規(guī)則依次比較，直到找到相匹配的規(guī)則。然而，隨著規(guī)則數(shù)量增加，數(shù)據(jù)包需要與大量的規(guī)則進行比較，消耗了過多的時間，影響到防火墻的性能。
　　本文通過對網(wǎng)絡流量特征進行分析，發(fā)現(xiàn)防火墻規(guī)則中少量的規(guī)則匹配了大部分的數(shù)據(jù)包，如果能將這些規(guī)則優(yōu)先級提高就能有效地減少規(guī)則比較次數(shù)。因此本文針對規(guī)則排序優(yōu)化開展研究，采用DAG圖對規(guī)則進行建模來保證安全策略的完整性，然后根據(jù)規(guī)則匹配概率對規(guī)則DAG圖進行動態(tài)調(diào)整