防火墻配置的異常檢測與優(yōu)化研究.pdf

1、防火墻是當前網(wǎng)絡安全防護的一種重要的手段，本文在研究包過濾防火墻的技術原理的基礎上，詳細闡述了自動檢測防火策略規(guī)則錯誤與沖突的模型，分析了基于權重的線性優(yōu)化算法，重點研究了規(guī)則匹配結構的優(yōu)化算法，并通過實驗取得了較理想的結果。 首先，對防火墻的原理及作用進行了全面概述，介紹了目前常見的依賴于安全規(guī)則的包過濾防火墻技術，通過預先配置好的安全規(guī)則策略，分析網(wǎng)絡包的行為，處理安全事件來維護網(wǎng)絡安全。 防火墻策略規(guī)則的正確配置直

2、接影響到網(wǎng)絡的安全性能，本文對防火墻規(guī)則的配置策略以及與入侵檢測IDS的規(guī)則的關系進行了描述，分析了防火墻異常檢測的模型與實現(xiàn)算法。 在實現(xiàn)防火墻規(guī)則的正確配置的基礎上，基于高速網(wǎng)絡的需要對防火墻性能也提出了更高的要求。主要體現(xiàn)在防火墻規(guī)則的匹配速度及匹配算法上。本文結合國內(nèi)外對網(wǎng)絡數(shù)據(jù)流的分布特征的研究，針對包過濾防火墻策略配置，研究了基于權重參數(shù)的定義方法，實現(xiàn)了基于權重的規(guī)則順序優(yōu)化模型。 在此基礎上，為減少規(guī)則順

3、序匹配的深度，提出了以IP首段地址為關鍵值構造規(guī)則樹的優(yōu)化算法，解決了含通配符IP地址值在樹中節(jié)點構造的難點，并描述了算法實現(xiàn)的數(shù)據(jù)結構以及包匹配規(guī)則樹的過程。 此外，本文在研究目前已有的對防火墻檢測評估手段的基礎上，引入多種測試手段。通過實驗室數(shù)據(jù)流發(fā)生器Avalanche及相關平臺軟件對普通規(guī)則列與優(yōu)化后的防火墻性能參數(shù)進行了測試與評估；最后根據(jù)網(wǎng)絡數(shù)據(jù)流的分布特征，重點對順序優(yōu)化與規(guī)則樹結構優(yōu)化算法進行仿真實驗，結果表明優(yōu)