硕士论文-分布式防火墙策略异常检测与分析

分布式防火墙策略异常检测与分析作者：孙春明学位授予单位：湖北工业大学相似文献(10条)1.期刊论文李文静.王福生.LiWenjing.WangFusheng防火墙在图书馆网络中的安全策略-现代情报2008,28(6)借助Internet通信技术,高校图书馆网络可以为用户提供越来越多的数字资源,但是其网络也存在越来越多的安全问题.本文根据防火墙工作原理,分析了防火墙的各种失效状态,提出了一些防火墙安全防护措施.防火墙双机热备份和多层次防护等安全策略,是在防火墙失效状态下抵制非法入侵和防止未授权访问的有效手段,是维护图书馆网络正常运行的可靠保证.2.学位论文刘杨防火墙安全策略管理系统设计与实现2009随着人们对网络安全问题的日益关注，作为网络安全基本防护设备的防火墙，其安全性已越来越受到管理人员的重视。为保证防火墙规则与安全策略的一致性和规则配置的正确性，需要对防火墙的规则进行检查，发现规则集中存在的影响防火墙安全策略的规则异常。本文首先分析防火墙安全策略管理技术，重点研究了Firewalking规则探测技术原理和Firewalk工具的实现。其次，深入研究了防火墙规则一致性检测技术，总结了当前防火墙规则的建模方法、防火墙规则异常分类和异常检测算法，并对基于策略树的异常检测算法进行了改进，提出了一种基于协议分组的多策略树防火墙规则一致性检测算法。该算法可以有效地对规则集中可能存在的规则异常进行准确定位，并且提高了检测速度。在上述工作基础上，设计了一个防火墙安全策略管理系统，该系统在常规安管系统管理功能的基础上增加了防火墙规则一致性检验和防火墙规则合规性验证功能，能集中、自动、有效地管理防火墙，并保证其配置安全策略的正确性。最后，实现了防火墙安全策略管理系统的关键模块，并进行测试验证。3.期刊论文邓文俊.梁意文.DENGWen-jun.LIANGYi-wen防火墙安全策略的语义分析方法-计算机工程与应用2007,43(26)给出了通过语义分析防火墙安全策略的方法.先将安全策略用一个优先逻辑程序表示,然后计算其语义.由于语义容易理解,管理员能很容易地分析安全策略配置,检测配置的正确性.4.学位论文郝宁安全策略中心与NP架构防火墙的设计与实现2005当前网络安全的研究有两个侧重点，分别是如何提高安全防护设施的安全性和处理速度。提高安全性的研究致力于利用多种安全防护设施(包括防火墙，入侵检测系统和安全评估系统等)实现综合的安全防护体系，通过安全设施之间的信息共享和联动响应，提高安全防范系统的安全性。提高处理速度的研究主要是为了适应网络带宽的不断增长，研究如何提高网络安全设施的处理速度，特别是网络边界设备——防火墙的吞吐量，网络处理器的出现为防火墙硬件化提供了一条新的途径。本文的工作以江苏省科技计划项目“主动式安全防范系统的研究”(课题编号BG2004036)为背景，主要工作从提高安全性和处理速度出发，可以分为两大部分。第一部分是安全策略中心的设计与实现，论文在主动式安全防范系统中提出了安全策略中心模型，改进了传统的入侵检测系统与核心防火墙直接联动的方式，综合利用IDS的入侵告警信息和内网安全扫描器提供的扫描结果制定联动策略并通过核心防火墙进行实施，设计并实现了安全策略中心，提高了联动响应行为的合理性；同时安全策略中心能够发现防火墙策略中的存在的异常和冲突，辅助管理员对核心防火墙进行正确合理的配置。第二部分是基于网络处理器(NP)架构的防火墙的设计与部分实现，论文在研究IntelIXP系列网络处理器软硬件体系结构的基础上，结合主动式安全防范系统项目需求，给出了具备包过滤、网络地址转换(NAT)和虚拟专用网(VPN)功能的防火墙系统详细设计方案，并实现了简单包过滤防火墙系统SimFilter，并对其进行了测试与仿真，根据测试结果对下一步研究给出建议。论文的最后对全文进行了总结和展望。5.期刊论文杨颖.YangYing防火墙与校园网的安全策略-荆州师范学院学报(自然科学版)2001,24(5)阐述了防火墙系统及安全策略,重点论述了构建校园网防火墙时所涉及的各种问题,并给出防火墙系统拓扑结构和设计实例.6.学位论文冯爱娟分布式防火墙系统中主机防火墙的设计与实现2004随着IT技术的飞速发展,企业网络正迅速普及,同时企业网络的安全问题也越来越突出.分布式防火墙为解决企业网络的安全问题提出了一整套解决方案.该文分析对比了传统边界防火墙和分布式防火墙(DFW)的优缺点,从而明确了DFW中主机防火墙的任务及特点.该课题目标是完成一个DFW系统中的主机防火墙软件.DFW中主机防火墙的主要任务可归纳为以下几点:网络数据包拦截、安全策略接收、日志发送模块以及心跳发送.该文首先分析了在用户态和核心态实现数据包过滤的几种方法,包括基于Winsock2SPIHOOK和NDISHOOK的两种网络封包截获等方法.在比较了这几种方法的优劣之后,决定在主机防火墙采用SPIHOOK和NDISHOOK两种技术结合实现数据包过滤.其次,根据DFW拓扑结构的需要,设计了心跳序列方案,并设计了软件实现方法.在以上方案设计基础上,该文实现了基于Windows2000操作系统的主机防火墙软件设计.SPIHOOK技术就是在Socket中插入开发过滤的服务提供者接口程序,它工作在应用层,CPU占用率低,效率高,而且跨Windows平台.NDISHOOK是替换掉NDIS函数库中系统函数的地址,使之指向自己编写的过滤函数.NDISHOOK拦截的是较为底层的数据包,不容易被渗透.结合这两种技术可以拦截所有的网络数据包.在主机防火墙中,应用程序、动态链接库以及驱动程序之间要经常交换安全策略、数据包信息等数据,为解决数据频繁交换问题,该文给出了一种行之有效的方法.另外主机防火墙安全策略、主机入侵检测安全策略以及心跳更新都是策略中心向主机发送的数据,因此主机防火墙需接收几种不同类型的数据,为了有效利用主机资源,该文给出了一种解决方法;此时该文给出了一种主机的日志包括防火墙与入侵检测日志正常上报到日志服务器的技术途径,合理解决了日志服务器的负载和网络吞吐量的问题.在主机防火墙经单独调试之后,将其整合到分布式防火墙系统中进行整体联调.联调结果证明,开发的主机防火墙功能样机已经具备较好的功能,稳定性良好,达到了预期的设计目标.7.期刊论文张维.魏霞.郑世珏电子银行防火墙安全策略的研究与实现-高等函授学报(自然科学版)2003,16(6)电子银行不但减少了工作人员的劳动量,也给人们的生活带来了极大的方便.但是,电子银行网络数据的安全性也成为金融网络管理的一个重要问题.本文探讨了基于电子银行防火墙的若干安全策略,而且给出了具体的设计模型和设计原则.8.学位论文李拴保基于策略的防火墙安全管理平台设计与实现2005防火墙技术的不断发展对网络安全管理平台提出了更高的要求。传统安全管理平台已经不能适应安全管理的标准化、一体化、与设备无关性等要求。基于策略的防火墙安全管理能够实现策略统一描述、日志统一管理、设备的一体化管理、与其它平台有效集成等。本文研究的基于策略的防火墙安全管理平台，主要包括安全管理中心、目录服务器、策略决策点和策略实施点。在安全管理中心，采用GSPML(基于XML的组安全策略标记语言)语言描述防火墙安全策略，安全管理中心能够方便地制定安全策略，策略分发前进行数据结构转化，采用智能方法对防火墙日志集中转储与分析：各个决策点能够对防火墙策略进行有效性、一致性检测，并且能够转储与汇总日志；各个实施点能够分布、高效的执行策略，实时的采集防火墙日志；同时，采用了基于UDP的可靠通信技术解决安全管理中心、策略决策点、策略实施点之间通信策略包的丢失问题。9.期刊论文王保义.张少敏电力企业信息网络系统的综合安全策略-华北电力技术2003,(4)分析了电力企业信息网络系统的安全威胁,针对这些威胁提出了在网络级、系统级和应用级分别进行安全设计的综合策略.考查并总结了典型的电力企业信息网络系统的逻辑结构,为此提出了网络级的安全策略,主要采用虚拟局域网技术、防火墙技术及针对Internet的相关安全技术.系统级安全设计主要进行了操作系统安全、数据库系统安全、数据加密技术、数字签名技术和系统记录等安全策略.应用级安全设计主要采用了先期加密和数字签名技术、动态权限策略和操作的记录策略,并提出了一个安全、速度快和实用的组合加密与数字签名算法.实践证明综合安全策略安全、可靠而实用.10.期刊论文钟乐海.罗明英Internet防火墙技术及安全策略-四川师范学院学报(自然科学版)2003,24(1)介绍了防火墙的功能、特点及其适用范围,并对当前常见的防火墙技术和防火墙设计原则及安全策略作了讨论,然后介绍了几种常见的防火墙应用.本文链接：授权使用：上海海事大学(wflshyxy)，授权号：817b1c58-da90-4cc2-9a3e-9dfa0180cc38下载时间：2010年9月23日