随着互联网的发展，网络安全问题已经引起了社会各界的厂泛重视。随看来自网络的攻击持续不断的增长，防火墙已经成为网络安全领域的一种核心设备。但是传统防火墙严格依赖于网络拓扑结构且基于这样一个假设基础那就是防火墙在受控实体点内部，即防火墙保护的内部连接认为是可靠和安全的，而把在受控实体点的另外一边，即来自防火墙外部的每一个访问都看作是带有攻击性的，或者说至少是有潜在攻击危险的，因而产生了其自身无法克服的缺陷。要解决传统边界防火墙固有的缺陷只有靠分布式防火墙所提供的细粒度的保护。然而防火墙在设计实现过程中的失误可能会为产品带来巨大的安全漏洞，所以防火墙每一部分的模块的设计都必须经过周全的考虑。经实验数据表明，在防火墙最基础最根本的过滤规则的定义部分，产生策略异常的可能性相当大。因此本文选择了分布式防火墙策略异常检测与研究作为课题进行研究。 本文前两个章节主要对传统防火墙的局限性进行了分析，即防火墙保护的内部连接认为是可靠和安全的。之后介绍了分布式防火墙，它既保留了传统防火墙的优点，又克服了传统防火墙的缺点。它主要负责对网络边界、各子网和网络内部各节点之间进行安全防护，所以它是一个完整的系统。虽然分布式防火墙技术的发展对于保护网络的安全迈进了一大步，但分布式防火墙策略的复杂性却又限制了网络安全的效果，防火墙策略管理难度大，策略库中多条过滤规则可能会产生不规则现象。因此本文的三、四章首先对分布式防火墙系统中各过滤节点上的过滤规则之间可能出现的异常进行分类，并介绍了一种过滤策略异常检测的模型一策略树。该模型能够检测出分布式防火墙过滤规则之间的冗余、冲突、不完整等各种异常，从而保证了分布式防火墙过滤策略的完整性和一致性。其次，阐述了本文的核心内容，即在基于过滤规则相关性定义的基础上，来确定在单防火墙和多防火墙环境中存在的异常，并描述了过滤规则异常检测的系统模型。在本文的第五章并给出了相关的数据结构及在以上两种环境中自动检测过滤规则异常的算法。