用决策树提高防火墙过滤能力的研究

中国科学技术大学硕士学位论文利用决策树提高防火墙过滤能力的研究姓名：王旭虓申请学位级别：硕士专业：管理科学与工程指导教师：王卫平20090401利用决策树提高防火墙过滤能力的研究作者：王旭虓学位授予单位：中国科学技术大学相似文献(10条)1.学位论文刘军军基于决策树的防火墙策略算法研究2009防火墙是广泛应用的确保网络和主机安全的防护措施。防火墙策略是防火墙实现其预定义安全决策的核心部件。目前，防火墙策略算法存在一些问题。异常检测算法有些只能检测某种特定异常，如交叉冲突异常，还有一些算法对防火墙策略中规则过滤域的表示方法存在这样或那样的限制；数据包匹配算法远未达到电路级速度，仍需优化。为了检测出防火墙策略中的各种异常情况，同时突破规则过滤域的表示方法的限制，本文研究了现实中使用的防火墙策略的统计特性和在某一方面比较成功的防火墙策略异常检测算法，提出一种新的用于防火墙策略异常检测与消除的CDE算法并进行了实验仿真测试。通过对防火墙策略规则表示中IP地址前缀的表示方法的研究，提出一种可以为IP前缀trie结构提供较快查找时间和较小空间消耗的新的LE-Trie，这种结构具有惰性展开（LazyExtend）特性，适用于以trie结构来组织IP前缀的场合，包括上面的CDE算法。为了将Grid-of-tries算法扩展到多维数据包分类，引入策略规则相对权重的概念，给策略中具有异常关系的规则分配相对权重，并将这个概念和LE-Trie应用到Grid-of-tries算法中得到一种可以用于防火墙数据包匹配的LE-GoT算法并对其进行了实验仿真测试。2.期刊论文张开宇.陆松年.ZHANGKai-yu.LUSong-nian基于改进决策树的有状态防火墙模型-信息安全与通信保密2010,(2)适应复杂防御策略的有状态模型是研究有状态防火墙的核心内容.防火墙的运行不仅应当具有时间和空间上的效率,还应当允许管理员定义复杂的逻辑过程和状态信息.在一种经典的有状态防火墙模型的基础上,结合改进决策树,提出了一种新的允许用户自定义状态变量以及防御算法的模型.该模型能够更好地适应针对不同类型网络攻击,复杂多变的防御策略需求,在时间和空间上也具有较好的效率.3.学位论文李春艳分级防火墙系统中动态访问控制技术研究2004本文研究一种结合二者优势的防火墙解决方案——分级防火墙系统,并对其核心部分——动态访问控制技术作深入研究.访问控制技术作为防火墙的核心部分,它的有效与否直接影响着整个防火墙系统性能的好坏.在本文提出的分级防火墙系统中,访问控制技术包含了两方面的内容:单个模块内的动态访问控制技术,以及整个分级系统中多个成员间的动态访问控制技术.本文研究了分级防火墙系统解决方案,给出了分级防火墙系统的拓扑结构模型及管理结构模型,并对系统的功能模块进行划分.本文提出了一种基于决策树分类器的数据包分类算法.其主要思想是通过预处理,利用规则集的结构特点构建一棵决策树,然后对数据包进行分类.该算法适用于多维及多类型的数据分类问题,并能适应规则集的动态更新的需求.在此算法基础之上,又提出了非精确匹配数据包算法,使用加权-阈值的方法控制分类的深度,使数据包分类具有一定的可预测性.本文还提出使用有限直接插入法来解决决策树节点的动态递增问题,减少决策树的重建次数,从而降低更新复杂度.本文针对分级防火墙系统的等级结构特点,提出基于索引树的分级访问控制方案,使用分组二进制表示法建立索引树.将分级的防火墙系统结构转换为树状空间结构,为树节点建立索引,并使用单钥密码系统,利用索引值产生密钥,然后基于该密钥系统实现分级访问控制.本文设计了隐匿公钥的产生及分配协议,并对该协议进行形式化证明,进而提出基于隐匿公钥密码系统的分级访问控制方案.该方案以ChangScheme为基础,对其进行改进,并将隐匿公钥应用于改进后的ChangScheme方案中,增强了系统的抗攻击能力,使其能够阻止密文篡改攻击,并具有双向身份认证的能力,以及良好的数字签名和容错性等特点,同时克服了公钥系统中普遍存在的安全隐患.最后,本文对分级防火墙的动态访问控制模块在Linux环境下进行仿真,试验结果表明该方案是切实可行的.4.期刊论文刘军军.梁建武.LIUJun-jun.LIANGJian-wu一种基于决策树的防火墙策略描述方法-微计算机信息2008,24(33)防火墙策略是一系列具体的规则,所以策略的制定对防火墙功能的发挥至关重要.本文主要介绍一种基于决策树的图的方式来描述防火墙策略,利用图论的方法,将抽象的策略描述成图就可以利用图的方式来设计和规划防火墙策略,这样可以有效防止策略之间的冲突,在保证防火墙策略正确有效的同时还可以去掉那些冗余的策略条款,使防火墙的工作高效快捷.5.学位论文张静琼基于学习的防火墙技术研究2004Internet所具有的开放性、国际性和自由性,以及TCP/IP协议在制定时本身所具有的缺陷,使得网络安全问题日益严重.网络技术的发展也使得网络病毒,各种各样的入侵行为和黑客行为也变得更加复杂.因此,采取积极而主动的安全措施对于保护电子资源是非常必要的,防火墙以及入侵检测技术也越来越受到重视.该文主要是在防火墙中实现一个学习模块.文中对防火墙技术以及拒绝服务攻击进行研究分析,使用TFN2K进行拒绝服务攻击的模拟,对攻击以及正常网络数据进行收集分析,然后选择属性良好的网络数据作为训练样本,进行了决策树的ID3算法实现,最后将这样一个学习模块加入到T.Rex防火墙中,并通过决策树生成规则,将规则写入文件,作为防火墙的部分规则.通过这一学习模块的加入,使得防火墙可以对新的流入的数据进行学习或判断,从而具备一定的学习能力,使防火墙向智能化方向发展.最后,总结了研究工作中的不足和进一步工作,并对机器学习在防火墙中的应用和发展前景进行分析.6.学位论文黎昀分布式防火墙系统中访问控制技术的研究2007随着Internet在全球的飞速发展，Internet应用越来越融入人们的日常生活。而用户之间的信任关系却越来越复杂，在原有信任模型一防火墙实施点内部都是可信的，其外部都是不可信的一的基础上建立起来的传统防火墙结构模型己不能很好的适应当前的Internet应用环境。本文首先叙述了网络安全的现状以及存在的问题。其次，在SteyenM.Bellovin提出的分布式防火墙概念的基础上，分析了传统防火墙所面临的问题。描述了分布式防火墙的特点，关键问题，并给出了其拓扑结构及管理结构模型。以及介绍了分布式防火墙的主要功能，从而对比得出分布式防火墙的优势所在。随后，重点讨论了分布式防火墙系统中的核心技术——访问控制技术。并对访问控制技术中的两个组成部分：状态检测，数据包分类算法，进行了改进。对状态检测技术的改进，主要是在考虑防火墙安全和速度性能的前提下，给出了针对TCP，UDP，ICMP和ARP等TCP/IP协议栈中主要协议的状态检测的结构设计，解决了以往状态检测仅的局限性问题。并且采用了TCP序列号检查、UDP虚连接、ICMP数据包检测引擎等办法保证网络的安全性和高效性。对数据包分类的改进，主要是集中在其算法部分。通过对传统算法的研究，本文提出了基于决策树的数据包分类的算法。其主要思想是通过预处理，利用规则集的结构特点构建一棵决策树，然后对数据包进行分类。该算法适用于多维及多类型的数据分类问题，并能适应规则集的动态更新的需求。本文还提出使用有限直接插入法来解决决策树节点的动态递增问题，减少决策树的重建次数，从而降低更新复杂度。文章的最后对访问控制技术的研究进行了总结，并对分布式防火墙未来的发展做出了一些展望。7.学位论文黄春芳基于流量日志的网络滥用检测机制的研究与实现2008本文对载荷无关的网络应用流量识别方法进行了分析和研究，设计并实现了一种基于流量日志的网络滥用行为检测机制。该机制从被部署在网络边界的安全网关或者防火墙产生的流量日志中提取本地主机的相关流量信息并构造状态向量。当采集到足够的各种滥用类型的状态向量样本后，将其作为训练集，然后通过C4.5机器学习方法在状态向量的不同的属性子集上对这些流量信息进行离线学习并得到一些初始分类器--C4.5决策树。在此基础上再执行协同学习过程，即利用在线采集到未标注类标号的状态向量集，以及离线学习过程中得到的训练集和初始分类器，进行半监督的协同学习来扩充训练集并得到一些新的决策树。最后这些决策树将与离线学习得到的初始决策树构成一个抽象的分类器--决策树森林。利用此决策树森林便可执行在线检测过程，在线检测过程的主要任务是每隔一定的时间，对一定时间范围内的流量日志进行在线处理，获取该时间范围内所有本地主机的状态向量，然后利用协同学习过程中得到的决策树森林对这些状态向量进行分类，从而可以检测网络滥用并对网络滥用行为按照应用协议进行进一步的分类。本文尝试仅从流量日志中提取相关流量信息来完成流量类型识别，并取得了比较满意的结果。实验数据表明，该网络滥用检测机制能将99％以上的正常类型同滥用类型正确区分出来，各种滥用类型被正确区分出来的比例一般在80％左右，有些甚至能达到90％以上。8.学位论文高志森混合式入侵检测系统中入侵检测分类器模型的研究与实现2007入侵检测(ID)是一种动态的安全保护技术，它可以帮助解决防火墙、访问控制等传统保护机制不能解决的问题。但是常规的入侵检测在攻击检测中表现出自适应性不强、检测效率不高的问题。为了提高入侵检测的检测性能，学者们将免疫原理和数据挖掘中的技术应用到入侵检测中，产生了基于免疫原理的入侵检测和基于数据挖掘的入侵检测。本文首先介绍了入侵检测的研究背景和发展历程，并介绍入侵检测系统(IDS)的概念、原理，比较不同入侵检测方法的优缺点。然后，分析了基于免疫原理的入侵检测技术和基于数据挖掘的入侵检测技术，分别深入地讨论了这两种技术中使用的权值树算法和决策树分类算法。在这个基础上，设计和实现了基于免疫原理的入侵检测分类器模型和基于数据挖掘的入侵检测分类器模型。前者采用权值树算法建立反映进程正常系统调用的权值树森林，通过权值树森林实现对进程异常行为的检测，该分类器可用于基于主机的异常入侵检测系统中；后者采用数据挖掘中的决策树算法，建立一棵反映入侵攻击特征的决策树，使用决策树包含的入侵识别规则实现对网络入侵的检测，该分类器模型可用于基于网络的误用入侵检测系统中；这两种模型都通过实验验证了它们在入侵检测方面的有效性。本文中设计的这两个分类器模型将用于混合式入侵检测系统，该混合式入侵检测系统将与同学实现的蜜罐系统、防火墙系统协同工作，组成一个相对完善的网络安全系统。9.学位论文肖珊基于网络环境监测的预警系统研究2007随着网络应用的快速发展，黑客入侵也日益猖獗。面对层出不穷的入侵手段，只依赖几个防御软件构造的黑盒安全系统是远远不够的。应该有更新的视角监视电脑上网时的内、外环境，提供网络连接更多的信息，防止未知的入侵。保障网络安全，入侵检测与防火墙是最常见的组合。本系统同时具有入侵检测与防火墙的基本性质，弱化了自动风险处理功能，强化了电脑上网环境监测预警与信息报告功能。本文力求从新的角度认识网络安全，以如实向用户反应计算机上网的真实环境为主，从机器内部环境监测、广域网环境监测、局域网环境监测三个方面做了一些的工作，目的是辅助用户做出决策，而不是代替用户做出决策。面向高端用户，做安全软件的有益补充。尝试建立按需分配系统资源的思想。通过建立基于应激反应的网络连接危险度评价模型，按照连接的危险程度控制协议分析器对封包的解码深度与捕获策略，既能快速放行良性封包，又不放过可疑封包，在速度与精度上找平衡点。力求克服不区分连接与封包造成的问题。建立了复合标准决策树剪枝算法，丰富了决策树剪枝方法，提高了决策树的灵活度。通过标准选择与参数调整，能让决策树适应入侵检测中种类繁多的数据对象与性能要求，初步解决数据预处理阶段的分类问题。从内环境、广域网环境、局域网环境三个角度对上网环境进行了研究，提出了综合分析、分级控制的方法，提出了局域网安全预警的人性化策略。系统设计仍有很多不足之处。所建立