论文部分内容阅读
随着互联网的迅速发展,网络安全问题也日益严峻。黑客通过IM网络协议截取隐私、传播病毒,以P2P技术为核心的网络应用占用了大量网络带宽。另外,企业员工利用网络在工作时间进行大量与工作无关的网络访问,影响企业生产。因此,识别以及封堵这些网络应用,是当前网络安全迫在眉睫的紧要任务。传统的防火墙使用的协议识别方法主要是使用了基于端口识别协议和基于静态特征识别协议两种方式。随着网络应用的发展,越来越多的网络协议使用不确定端口并且使用安全加密技术等,使得特有的静态特征无法有效的提取。这些都给协议的准确识别带来了困难。基于以上原因,本课题提出了一种能够对端口不确定且无有效静态特征的协议进行准确识别的更为先进的协议识别技术——智能协议识别技术,并在此基础上设计并实现一个基于Netfilter机制的智能协议识别系统。本文的具体研究工作如下:(1)提出了一种智能协议识别模型。该模型不仅针对那些进行安全加密的协议能够准确识别,同时对于一般仅通过端口或静态协议识别就能够识别出来的协议也使用,能够达到对网络应用协议全面覆盖的识别能力,具有很强的扩展性能。(2)基于上面提出的模型,设计了一种智能协议识别算法,该算法针对端口不确定且无明显静态特征的协议,结合使用端口特征、协议静态特征和协议交互行为特征三种特征算法进行协议识别。(3)基于上面提出的模型与算法,设计并实现了一个基于Linux平台下的Netfilter机制的智能协议识别系统,为了获得更高的效率,该系统在协议识别的基础上对数据进行连线跟踪,并采用模块机制,使得该程序运行在内核空间便于安装和卸载。(4)对该系统进行具体的试验验证,能够实现对特定的网络应用协议(如:Webmail、Skype等)进行封堵控制,对目前难识别的网络协议——Skype应用,能够通过前十个数据包就能够识别出来,有效防止了深度包检测,提高了防火墙的性能。通过实际测试,该系统运行效果显著,具有良好的使用和推广价值。