基于Netfilter框架流量识别系统的设计与实现

发布时间：2023-09-17 07:01

　　随着英特网的广泛普及,网络应用服务越来越丰富多彩,网络应用开发和用户需求双向增长,促使现今的互联网流量高速膨胀而且趋于复杂化。网络监控的紧迫性不仅仅是在带宽利用上,越来越多的病毒木马蠕虫等恶意程序、垃圾邮件、网络诈骗、钓鱼网站、网络犯罪等现象出现,也给社会安定造成极大的压力。面对这些越来越严峻的问题,如何高效快速的监控网络流量而尽量少的影响用户体验成为关键。 DPI (Deep Packet Inspection)技术的协议识别方法和DFI技术的识别方法是目前公认的最有效的两种方法。DPI技术具有细分程度高、识别效果好的优点,但缺点是识别准确率不稳定、不可靠且无法识别应用层加密的协议；DFI (Deep/Dynamic Flow Inspection)技术识别准确率高、识别流程简单易实现,而缺点是细分程度不够无法达到用户需求。 本文在研究了两种识别技术的优缺点,提出采取并行的方式将两者的优点结合起来,并根据传统DP工防火墙的缺点分析,将传统防火墙进行大量改进,并结合DFI检测模块的优势进行系统设计 接着本文以Linux系统提供的Netfilter为框架,实现了新型识别监控系统,定义了特...

【文章页数】：61 页

【学位级别】：硕士

【文章目录】：
摘要
ABSTRACT
第一章 绪论
    1.1 背景介绍
    1.2 国内外研究现状
    1.3 研究内容
    1.4 论文组织结构
第二章 LINUX下的NETFILTER框架结构
    2.1 钩子函数HOOK的功能和实现
        2.1.1 IPv4协议栈中的HOOK
        2.1.2 HOOK的调用方法
        2.1.3 HOOK点的实现
        2.1.4 HOOK点在表中的注册和注销
    2.2 IPTABLES机制分析
    2.3 NETFILTER与IPTABLES的交互
    2.4 本章小结
第三章 流量监控系统相关技术
    3.1 流最监测技术
        3.1.1 DPI(Deep Packet Inspection)深度包检测技术
        3.1.2 DFI(Deep/Dynamic Flow Inspection)深度/动态流检测技术
    3.2 传统DPI监控系统结构
    3.3 传统流量监控设备的结构
    3.4 传统流量监控系统的不足
    3.5 本章小结
第四章 新型流量监控系统的设计
    4.1 设计思想
    4.2 新型流最监控系统的结构设计
    4.3 改进的DPI检测模块的结构设计
    4.4 基于DFI技术的检测系统的结构设计
    4.5 本章小结
第五章 系统模块的详细设计与实现
    5.1 流量截取模块的实现
    5.2 DPI检测模块的详细设计和实现
        5.2.1 五元组关联表的设计与实现
        5.2.2 DFI系统的分类建议的实现
        5.2.3 改进之后的DPI检测模块识别流程
    5.3 DFI检测模块的设计与实现
    5.4 特征库的设计与实现
    5.5 对比模块的实现
    5.6 本章小结
第六章 系统测试与分析
    6.1 测试环境
    6.2 测试用例
    6.3 测试数据及结果
        6.3.1 识别结果及数据
        6.3.2 阻断测试
    6.4 结果分析
    6.5 本章小结
第七章 总结与展望
攻读学位期间发表的学术论文
致谢
参考文献



本文编号：3847237