智能防火墙核心模块的研究与实现

作     者：李卓群 

作者单位：南京理工大学 

学位级别：硕士

导师姓名：陈清华

授予年度：2008年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：智能防火墙 产生式规则专家系统 网络攻击 规则优化 

摘      要：近年来,随着互联网技术的迅速发展,信息化进程不断深入,Internet的发展已经深入到我们生活的每个角落。网络通信技术可以为计算机信息的获取、传输、处理、利用与共享提供一个高效、快捷的环境与传输通道,但与此同时,互联网上存在着各种形式的恶意攻击,对计算机用户和网络资源造成了严重的危害。 本文分析了传统防火墙的缺点,根据专家系统的特点,选择产生式规则系统来设计智能防火墙学习模块。接着,使用了数据包截获工具,并把截取出来的数据包按协议分发到数据库的三个数据表。本文设计并实现了数据包预处理模块,可以从大量无序的数据包记录中,分析提取出与网络攻击知识库中条件相匹配的事实数据。接下来使用基于CF模型的推理方法,从事实数据逐步推导出结论。分析得出网络中是否包含攻击行为,及攻击的源地址、端口及MAC地址等相关信息,生成过滤规则,添加到防火墙列表中。 本文还针对SYN Flood攻击的特点,实现了网络红名单技术,在对截获的数据包进行分析后,向红名单中添加安全访问的IP地址,这种技术的实现给网络管理员手工配置过滤规则提供事实依据,以免过滤掉合法的访问。 本文根据防火墙策略树异常检测算法,实现了规则优化模块,该模块可以将规则表中策略异常分析整理出来,记到日志里,并删除冗余异常规则。最后,在实际的网络环境中,对模块进行了测试,结果显示,规则学习模块能准确地判断出SYN Flood、ICMPFlood、Land等攻击,规则优化模块也能够按照预想的方式进行工作。