Netfilter/iptables防火墙中精确单模式匹配算法研究
发布时间:2021-12-11 02:00
随着计算机网络技术的不断发展,网络和人们的生活联系得更加的紧密,网络用户数量呈现了爆发式增长。但是由于网络的复杂性和开放性,人们在享受网络给生活带来改变的同时,也在受到各种网络安全问题的困扰。如何维护一个安全和谐的网络环境成了一个尤为重要的问题。网络防火墙在管理用户行为、维护网络安全方面起着不可替代的作用。实际应用中,大多数的网络防火墙采用的是攻击行为特征匹配的方式进行攻击行为检测,这种方法首先对已知的攻击行为进行特征提取形成特征库,在攻击检测中大多采用模式匹配的方式对特征进行匹配。在这一类攻击行为检测方法中模式匹配占有非常重要的地位。本文首先研究了Linux系统Netfilter/iptables防火墙,深入研究了防火墙当中的字符串模式匹配模块,并对其效率进行了分析。在此基础之上,提出了一种Netfilter/iptables防火墙中模式匹配模块的优化方法,该优化方法将模式串的预处理过程从内核态Netfilter转移到用户态iptables。openwrt路由器上的测试结果显示,当网络设备的包转发率很高、模式匹配规则数量众多的情况之下,优化之后的框架比原有的模式匹配框架在效率上有一定...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 绪论
1.1 研究背景和意义
1.2 国内外研究现状
1.3 论文主要工作和创新点
1.4 论文结构与章节安排
第二章 理论基础与设计分析
2.1 防火墙基础
2.1.1 防火墙作用
2.1.2 Netfilter/iptables防火墙系统
2.1.3 Netfilter框架
2.1.4 iptables
2.2 模式匹配技术分析
2.2.1 模式匹配定义
2.2.2 精确单模式匹配
2.2.3 模式匹配技术在防火墙中的应用
2.3 设计分析
2.4 本章小结
第三章 Netfilter/iptables中模式匹配模块研究及改进
3.1 Netfilter/iptables防火墙局限性
3.1.1 规则匹配过程
3.1.2 规则数量对带宽的影响
3.2 模式匹配框架分析
3.2.1 模式匹配框架
3.2.2 效率分析
3.3 模式匹配模块框架优化
3.4 编码设计
3.4.1 预处理模块设计
3.4.2 数据获取模块设计
3.5 本章小结
第四章 基于KMP/HORSPOOL的精确单模式匹配算法设计
4.1 基于比较的精确单模式匹配算法
4.1.1 基于前缀匹配的KMP算法
4.1.1.1 前缀比较方法
4.1.1.2 KMP算法
4.1.2 基于后缀匹配的BM算法
4.1.2.1 后缀比较方法
4.1.2.2 BM算法
4.2 HORSPOOL坏字符规则
4.3 基于KMP、HORSPOOL的新算法
4.3.1 IKMPH算法
4.3.2 算法效率
4.3.3 预处理
4.4 对IKMPH算法改进
4.4.1 SUNDAY坏字符规则
4.4.2 IKMPH算法增加移动距离
4.4.3 算法效率
4.5 算法移植
4.6 本章小结
第五章 测试与分析
5.1 模块测试
5.1.1 测试平台
5.1.2 测试方案
5.1.3 测试结果分析
5.1.3.1 规则数量不同
5.1.3.2 模式串长度不同
5.1.3.3 数据包大小不同
5.2 IKMPH/IKMPHS算法测试
5.2.1 测试平台与数据
5.2.2 测试方案
5.2.3 测试结果分析
5.2.3.1 模式串频率不同
5.2.3.2 模式串长度不同
5.2.3.3 文本串长度不同
5.2.3.4 最坏情况
5.3 算法移植模块测试
5.4 本章小结
第六章 总结与展望
6.1 论文总结与主要贡献
6.2 未来工作展望
致谢
参考文献
【参考文献】:
期刊论文
[1]Iptables规则集的优化设计[J]. 林燕. 计算机时代. 2015(02)
[2]基于Iperf的网络性能测量研究[J]. 张白,宋安军. 电脑知识与技术. 2009(36)
[3]一种高速精确单模式串匹配算法[J]. 范洪博,姚念民. 计算机研究与发展. 2009(08)
[4]入侵检测工具-Snort剖析[J]. 齐建东,陶兰,孙总参. 计算机工程与设计. 2004(01)
博士论文
[1]快速精确字符串匹配算法研究[D]. 范洪博.哈尔滨工程大学 2011
硕士论文
[1]入侵检测中多模式匹配算法的应用研究[D]. 陈洪涛.天津理工大学 2015
[2]Iptables研究及规则改进[D]. 张凡.北京邮电大学 2009
[3]Iptables规则集优化的设计与实现[D]. 陈岚.武汉科技大学 2008
本文编号:3533804
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:79 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 绪论
1.1 研究背景和意义
1.2 国内外研究现状
1.3 论文主要工作和创新点
1.4 论文结构与章节安排
第二章 理论基础与设计分析
2.1 防火墙基础
2.1.1 防火墙作用
2.1.2 Netfilter/iptables防火墙系统
2.1.3 Netfilter框架
2.1.4 iptables
2.2 模式匹配技术分析
2.2.1 模式匹配定义
2.2.2 精确单模式匹配
2.2.3 模式匹配技术在防火墙中的应用
2.3 设计分析
2.4 本章小结
第三章 Netfilter/iptables中模式匹配模块研究及改进
3.1 Netfilter/iptables防火墙局限性
3.1.1 规则匹配过程
3.1.2 规则数量对带宽的影响
3.2 模式匹配框架分析
3.2.1 模式匹配框架
3.2.2 效率分析
3.3 模式匹配模块框架优化
3.4 编码设计
3.4.1 预处理模块设计
3.4.2 数据获取模块设计
3.5 本章小结
第四章 基于KMP/HORSPOOL的精确单模式匹配算法设计
4.1 基于比较的精确单模式匹配算法
4.1.1 基于前缀匹配的KMP算法
4.1.1.1 前缀比较方法
4.1.1.2 KMP算法
4.1.2 基于后缀匹配的BM算法
4.1.2.1 后缀比较方法
4.1.2.2 BM算法
4.2 HORSPOOL坏字符规则
4.3 基于KMP、HORSPOOL的新算法
4.3.1 IKMPH算法
4.3.2 算法效率
4.3.3 预处理
4.4 对IKMPH算法改进
4.4.1 SUNDAY坏字符规则
4.4.2 IKMPH算法增加移动距离
4.4.3 算法效率
4.5 算法移植
4.6 本章小结
第五章 测试与分析
5.1 模块测试
5.1.1 测试平台
5.1.2 测试方案
5.1.3 测试结果分析
5.1.3.1 规则数量不同
5.1.3.2 模式串长度不同
5.1.3.3 数据包大小不同
5.2 IKMPH/IKMPHS算法测试
5.2.1 测试平台与数据
5.2.2 测试方案
5.2.3 测试结果分析
5.2.3.1 模式串频率不同
5.2.3.2 模式串长度不同
5.2.3.3 文本串长度不同
5.2.3.4 最坏情况
5.3 算法移植模块测试
5.4 本章小结
第六章 总结与展望
6.1 论文总结与主要贡献
6.2 未来工作展望
致谢
参考文献
【参考文献】:
期刊论文
[1]Iptables规则集的优化设计[J]. 林燕. 计算机时代. 2015(02)
[2]基于Iperf的网络性能测量研究[J]. 张白,宋安军. 电脑知识与技术. 2009(36)
[3]一种高速精确单模式串匹配算法[J]. 范洪博,姚念民. 计算机研究与发展. 2009(08)
[4]入侵检测工具-Snort剖析[J]. 齐建东,陶兰,孙总参. 计算机工程与设计. 2004(01)
博士论文
[1]快速精确字符串匹配算法研究[D]. 范洪博.哈尔滨工程大学 2011
硕士论文
[1]入侵检测中多模式匹配算法的应用研究[D]. 陈洪涛.天津理工大学 2015
[2]Iptables研究及规则改进[D]. 张凡.北京邮电大学 2009
[3]Iptables规则集优化的设计与实现[D]. 陈岚.武汉科技大学 2008
本文编号:3533804
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3533804.html
