分布式防火墙策略异常检测算法的研究

来源 :南京理工大学 | 被引量 : 0次 | 上传用户:slayerwei
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
本文采用一种新型分布式防火墙的策略管理方案,即分散生成策略。这种策略管理方案解决了策略控制中心的单点失效问题,但是带来的问题是如何检测这种情况下的策略异常。本文针对这个问题,进行了分析,并就如何快速地,全面地检测策略异常进行了研究。首先设计了一种基于线性搜索的规则集冲突检测算法,此算法能够全面地检测防火墙规则间的冲突;然后,在此算法的基础上,借鉴Al-Shaer,Ehab提出的基于策略树(policy tree)的规则集冲突检测的设计思路,设计了一种基于二叉树(binary tree)的规则集冲突检测算法,此算法不仅能够全面检测防火墙规则冲突,而且规则冲突检测的效率较线性搜索算法和基于policy tree的规则集冲突检测算法有明显的提高。本文用C语言实现了基于线性搜索的规则集冲突检测算法、基于policy tree的规则集冲突检测算法和基于binary tree的规则集冲突检测算法,并用设置的规则集对这三种算法进行了测试。通过对测试结果的综合分析发现,本文设计的基于binary tree的规则集冲突检测算法可以适用于任意维的规则集冲突检测,而且其时间复杂度较线性搜索算法有很大提高(为线性算法的八分之一到九分之一),与基于policy tree的规则集冲突检测算法相比,其性能也有小幅提升。该算法虽然需要对规则集进行建树操作,但是建树操作所需要的时间和规则冲突检测所需时间相比微不足道。总之,基于binary tree的规则集冲突检测算法是一种快速的、有效的、全面的适用于大规模防火墙的规则集冲突检测算法。最后,就如何进一步提高基于binary tree的规则集冲突检测算法的效率,本文进行了初步的探讨。
其他文献
本文在对GPRS-Internet网络和计算机测控技术进行充分研究的基础上,设计实现了保定市城市路灯远程监控系统的监控中心计算机软件。该系统由监控中心计算机、GPRS-Internet网
随着互联网走入我国的千家万户以及移动互联网井喷式的发展,我国的信息社会经历了飞速的发展。同时,网络生活的不断丰富,越来越多的网络流行语从“线上”走入到人们的“线下
面向方面编程(AOP)技术提供了一种新型的编程范式,解决了传统编程范式中难以模块化横切关注点的问题。为了利用AOP的技术优势改善现有的遗产系统,可以对遗产代码进行方面(aspec
数字化图像作为多媒体信息的一个重要组成部分,尤其以生动的形象、易于理解的表现形式,使之成为在商业、教育、科技等多方面广泛应用的媒体形式之一。随着网络中图像信息的日
移动Ad Hoc网络是一组带有无线收发装置的移动终端(节点)组成的一个多跳临时性自治系统。Ad Hoc网络中无需设置任何中心控制节点,所有节点地位平等,具有很强的抗破坏性。Ad H
随着计算机和网络技术的不断发展,船舶机舱自动化技术也在迅速发展。传统基于局域网的,C/S结构的机舱自动化系统已显得有些不太适应发展的需求,船岸一体的,可供远程访问的机舱自
需求分析是企业信息化工作的重要组成部分,需求分析的核心问题是如何正确地将业务需求转化为系统要求,分析模式是解决该问题的一种非常重要的手段。论文提出了面向管理支撑系统(MSS)的一种系统需求分析模式(a pattern of system requirements analysis inMSS,简称PSRAM),并将其应用到电信企业的ERP系统规划中。论文首先阐述了PSRAM的研究背景和理论依据,并
随着计算机以及通信技术的发展,图像处理被广泛应用于各个领域。伴随着大规模图像数据库的产生,传统的信息管理方式已经不能满足实际的需求。为了便于图像的检索和识别,基于内容
一方面,传统的操作系统花费大量的CPU时间来执行任务、进行任务管理、进程间通信以及其它相关的操作。另一方面,任何在实时操作系统上运行的软件应用程序都会导致代码量的增
发布/订阅(Publish/Subscribe)通信泛型由于具有时空松耦合的特点,适用于大规模分布式计算环境,近年来得到了广泛的关注。时空松耦合包含时间和空间的松耦合。其中,空间的松耦