应用协议一致性检查技术研究与应用

摘要

随着专门针对应用层的攻击现象的增多，传统的状态检测防火墙的有效性越来越低。防火墙的功能重心从网络层发展到了应用层，因而诞生了深度检测技术。深度检测技术基于数据包的应用层信息，对网络通信进行访问控制。目前，深度检测技术作为一项新兴技术，仍处于发展和验证阶段。本文旨在通过对深度检测技术的重要技术——应用协议一致性检查技术的研究来分析和研究针对应用层攻击的防范方法。 应用协议一致性检查技术对应用协议消息进行协议解码，确认它们是否和应用协议定义的一致，过滤不符合应用协议定义的数据包，从而提高网络的安全性。本文通过分析应用协议消息的通用格式，研究应用协议消息的语义特征，给出了应用协议消息的“域”和“域规则”的定义，并由此建立应用协议一致性规则模型，解决了合法的应用协议消息的语义特征建模问题。应用协议一致性规则模型是一个积极安全模型，即规定了一个“白名单”，只有符合白名单的应用层数据才能通过检查。 基于应用协议一致性规则模型，本文完成应用协议一致性检查系统的体系结构和主要功能模块的设计，并针对应用协议一致性规则匹配的关键问题提出了自己的解决办法：针对域名规则匹配，提出了一种多关键词识别算法；采用一种新的HybridNFA/DFA实现思路对正则表达式匹配过程进行改进，提高了简单域值规则匹配的执行效率。 最后，本文实现了HTTP协议一致性检查系统，通过过滤那些不符合HTTP协议一致性规则库的HTTP请求，提高了Web服务器的安全性。

目录

文摘

英文文摘

第一章绪论

1.1本文的研究背景

1.2防火墙技术发展回顾

1.3深度检测技术的研究和应用现状

1.4 面向深度检测的应用协议一致性检查

1.5本文的主要工作

1.6本文的组织结构

第二章应用协议一致性检查相关技术介绍

2.1多关键词匹配

2.1.1 AhoCorasick算法

2.1.2 WuManber算法

2.1.3 CommentzWalter算法

2.1.4 ACBM算法

2.1.5 小结

2.2正则表达式匹配

2.2.1 基于NFA的正则表达式匹配

2.2.2 基于DFA的正则表达式匹配

2.2.3 Hybrid NFA/DFA正则表达式匹配

2.2.4 小结

第三章应用协议一致性规则模型研究

3.1 应用协议消息的形式化定义

3.2域规则

3.3应用协议一致性规则模型

3.4域规则匹配

第四章应用协议一致性检查系统设计

4.1系统总体结构

4.2应用协议一致性规则描述语法

4.3系统各模块设计

4.3.1 规则解析模块

4.3.2 数据包捕获模块

4.3.3 数据预处理模块

4.3.4 一致性检查引擎

4.3.5 响应模块

4.4应用协议一致性规则匹配中的关键问题

4.4.1 域名规则匹配

4.4.2 域名到域值规则的映射

4.4.3 简单域值规则匹配

第五章一个应用开发实例简介

5.1 HTTP协议一致性检查系统概述

5.2 HTTP协议一致性规则库

5.3 HTTP协议一致性检查系统实现

5.4系统运行结果

第六章总结与展望

6.1 本文工作总结

6.2进一步的工作展望

参考文献

致谢