防火墙规则的异常检测及优化研究

摘要

随着当前互联网技术的快速发展，互联网通过其低廉的通讯成本和快速的通讯能力使得企业、学校和政府等部门的组织模式产生了巨大的变化。现在人们更愿意以互联网作为信息交流的平台，对互联网的依赖达到了前所未有的程度。然而互联网是一把双刃剑，在给人们带来快捷和便利的同时，也带来了日益严重的网络安全问题。在这种背景下防火墙应运而生，它被称为“网络安全的第一道闸门”，用于保护内部网络的安全。防火墙作为出现最早和使用量最大的网络安全产品，是构建网络安全策略的重要组成部分。
　　当前人们对防火墙的研究主要集中在提高数据包的过滤速度上，而很少考虑到防火墙的安全策略，也就是防火墙内部的规则表。防火墙作为保护网络安全的重要部分，其规则配置是否正确、是否合适直接影响到它的工作效率，从而影响到所保护的网络。本文在学习当前防火墙模型及功能的基础上，主要是做了以下两方面的研究：
　　①在防火墙规则的配置过程中，存在着两方面的问题。首先是防火墙管理员在设置规则时需要注意规则之间的关系及规则之间的相互影响，这样才能保证安全策略的正确性和完整性。其次是随着规则数量的不断增加，规则之间存在异常的可能性提高了，对规则进行管理的难度也相应加大了。
　　通过对以上问题的分析研究，本文定义了规则之间存在的五种关系，并采用规则树对规则进行建模。在此基础上对规则之间的异常类型进行分类研究，给出相应的异常检测算法，实现具有异常检测功能的规则管理工具。
　　②通常情况下，防火墙规则一旦配置好后就固定了，规则之间的先后顺序不会发生改变。基于有序规则序列的防火墙将数据包与规则依次比较，直到找到相匹配的规则。然而，随着规则数量增加，数据包需要与大量的规则进行比较，消耗了过多的时间，影响到防火墙的性能。
　　本文通过对网络流量特征进行分析，发现防火墙规则中少量的规则匹配了大部分的数据包，如果能将这些规则优先级提高就能有效地减少规则比较次数。因此本文针对规则排序优化开展研究，采用DAG图对规则进行建模来保证安全策略的完整性，然后根据规则匹配概率对规则DAG图进行动态调整，优化规则序列。

目录

封面

中文摘要

英文摘要

目录

1 绪论

1.1 引言

1.2 研究背景与现状

1.3 研究目的与内容

1.4 论文组织结构

2 防火墙概述

2.1 防火墙分类

2.2 防火墙体系结构

2.3 防火墙的功能

2.4 防火墙规则和包过滤

3 防火墙规则的建模及异常检测

3.1 引言

3.2 防火墙规则的建模

3.3 规则异常检测

3.4 防火墙规则的管理

3.5 本章小结

4 基于DAG图的规则排序优化

4.1 引言

4.2 网络流量的特征

4.3 规则序列优先关系的建模

4.4 规则DAG图的优化研究

4.4 本章小结

5 实验与结论

5.1 实验说明

5.2 实验及结果分析

5.3 实验总结

6 总结与展望

致谢

参考文献