论文部分内容阅读
企业员工、在校学生利用Internet在工作、学习时间进行大量与工作和学习无关的行为已经成为影响企业生产、学校教学不容忽视的负面问题。政府、企业、学校等单位都提出了对用户的网络行为进行监视并控制的需求,包括:禁止某些网络应用、浏览信息分类管理、上网时间管理、访问策略管理以及能够对事件进行日志与报警等。
针对这些需求,合理的解决方案是在网络出口对应用层协议进行有效的监控。传统的防火墙只是根据IP地址、端口等低层信息来进行数据包过滤,不能对应用层协议进行有效的监控。能够识别应用层协议信息是对监控系统的基本要求,已有的基于数据包的方案及应用层代理的方案都存在监控效率不高的缺点。
当前流行的应用层协议在结构、数据包格式等方面都非常复杂,对它们进行分析和监控的难度很大。论文中给出了对应用层协议进行分析的一般方法,并对TencentQQ、eDonkey两种流行的协议进行了详细的分析。
论文在对Linux状态检测防火墙及Linux网桥ebtables架构研究的基础上,提出了基于Linux平台的应用层协议监控系统的体系结构,系统由协议监控、系统配置与系统服务、用户界面三部分组成。
系统采用基于连接跟踪的应用层协议识别技术,能够高效、全面地识别数据包的应用层协议类型,并且选择性地获取数据包中的重要信息,从而对网络出口进行有效地监控;论文中详细讨论了一种高灵活性的访问控制机制的设计及实现,该机制将系统中各种控制及功能模块有效地组织在一起,并且,利用其中的访问控制列表能够制定出灵活的访问控制策略;系统利用URL分类技术使得监控粒度进一步细化;日志、报警功能则为管理员提供了全面、快速监视应用层协议的手段;论文最后对系统的核心处理模块——协议识别模块的处理效率进行了详细地分析;对应用层协议识别覆盖率的测试方法进行了研究,并给出了系统对于UDP工作方式下的TencentQQ协议的识别覆盖率的测试结果。