基于嵌入式防火墙过滤规则的设计与算法优化

摘要

随着科学技术的不断发展，计算机网络和人们的日常生活联系的越来越紧密，同时网络攻击技术的不断发展也给人们带来很多困扰，防火墙就是专门用来防护网络攻击保护内网安全的，而且嵌入式防火墙由于性价比的优越性使得它在网络安全领域有一席之地。
　　 嵌入式上运行的程序都必须要求尽量紧凑和高效，这是因为嵌入式本身硬件特点所决定的，比如内存小，CPU主频低等等。现今很多嵌入式防火墙的过滤规则匹配算法都采用顺序匹配，这对小规模的规则库比较适用，一旦规则库较多，那么一定会给嵌入式防火墙的处理效率和网络吞吐率带来一定的影响。所以本文针对此问题提出了Binary Searchin Leafs of Tries算法，旨在提高过滤规则子系统的匹配速度，通过构造Trie树，并将规则存储在叶子节点，由于Trie的叶子节点存放的是一个有序序列，所以查找时采用折半查找。相比顺序匹配，该算法对防火墙的网络吞吐量有一定的提高，且非常适应嵌入式这种环境。
　　 此外，针对现代网络安全里比较著名的分布式拒绝服务攻击(简称DDoS)，设计出DDoS的防御子系统，对其中的关键部分进行了详细的分析和实现，比如典型DoS攻击的代码检测，Session Number，Session Rate，Packet Per Second的统计，用户态和内核态通信的机制，最后通过Cookie值的计算引出SYN Cookie算法及代码实现，结果表明该算法在网络攻击流量不是很高的情况下能起到很好的防御作用。
　　 最后，通过在WebUI上配置指定的过滤规则数进行数据包通包测试，通过发包工具和抓包工具进行数据统计，得出吞吐率对比图，在DDoS方面，同样通过WebUI配置DoS规则和Profile阈值文件，开启DDoS防御功能模块，用攻击工具对指定机器进行攻击，得出最后的实验结果，达到了预期的设计目的。
　　 但做的工作还是相当有限的，比如该系统针对IPv4，编写出能在IPv6下运行的程序也是今后的研究方向之一。

目录

文摘

英文文摘

声明

第1章绪论

1.1论文研究的目的和意义

1.2国内外研究的现状及动态

1.3论文主要内容及结构

第2章嵌入式防火墙及相关技术概述

2.1防火墙概述

2.1.1防火墙的分类

2.1.2防火墙的关键技术

2.2过滤规则

2.3 DDoS攻击的概念和原理

第3章过滤规则子系统设计与算法优化

3.1嵌入式系统平台设计

3.1.1嵌入式处理器的选用

3.1.2嵌入式操作系统的选用

3.2 Netfilter的流程框架

3.3内核模块层的设计与实现

3.3.1规则的组成成员

3.3.2规则的遍历机制

3.3.3表、匹配、动作的存储机制

3.3.4表、匹配、动作的管理机制

3.3.5钩子函数的存储机制

3.3.6钩子函数的管理机制

3.3.7数据包的处理流程分析

3.4规则匹配算法

3.4.1过滤规则

3.4.2规则匹配方法

3.4.3 Binary Search in Leafs of Tries算法

3.5本章小结

第4章DDOS防御子系统的设计

4.1总体设计流程图

4.2各模块实现细节

4.2.1典型DoS攻击的特点及检测代码实现

4.2.2 SN/SR/PPS的统计实现

4.2.3 Netlink实现用户态和内核态通信

4.3 SYN Cookie算法实现

4.4本章小结

第5章性能测试及结果分析

5.1过滤规则性能分析

5.2 DDoS防御性能分析

第6章总结与展望

致 谢

参考文献

硕士期间发表论文情况