论文摘要
计算机网络的飞速发展,在带给人们极大便利的同时,也给人们带来了危害严重的信息安全问题。内容过滤技术可以实现对非法数据报文的有效拦截,由于内容的载体是应用,而应用千差万别,不同的客户有不同的需求,构造不同的协议类型实现特定业务传输,当前的内容过滤安全产品基于协议分析和模式匹配技术实现报文安全检查,但对协议支持不够灵活,难以满足应用快速变化的需要。为提高业务报文深度内容过滤功能的开发效率,本文提出了面向内容过滤的协议扩展概念,通过设计特定语言对协议报文的组织格式进行描述,由内容过滤系统进行动态解释,并结合安全策略,实现协议报文指定字段的安全检查。论文的主要研究内容如下:(1)经过对TCP/IP协议族中常用协议报文格式的分析,提出了协议报文格式的组织模型PFM。详细分析了协议格式基本性质、协议字段分类和字段之间的关系,得出字段关系的拟序性质、字段位置可确定和长度唯一确定的性质,从而为协议格式描述奠定了理论基础。(2)受Snort规则描述方法的启发,提出了面向内容过滤的协议格式描述语言CF-PDL,详细阐述了CF-PDL的词法和语法规则,并给出了几个用于内容过滤的有代表性的CF-PDL协议描述实例。(3)以一般的内容过滤产品系统结构为基础,设计了一种面向内容过滤的协议扩展软件框架,对框架的各个功能模块进行详细说明,分步骤地阐述了支持协议扩展的基本流程。(4)研究并实现了支持协议扩展的安全策略配置和协议描述文本的解析等关键技术,重点叙述了有限自动机的解析方法和协议类型信息、字段信息的链表组织方法,并简要分析了支持协议扩展的报文安全检查过程。本文的工作充分验证了在内容安全过滤系统中扩展协议过滤能力的可行性,能极大地提高相关软件功能开发的效率,为增强内容安全产品对应用业务的适应能力作了有益的探索,具有较好的理论意义和实际应用价值。
论文目录
摘要ABSTRACT第一章 概述1.1 课题研究的背景和意义1.2 本文的研究内容1.3 本文的组织结构1.4 本章小节第二章 内容过滤技术与协议扩展2.1 网络安全的主要途径2.1.1 网络与信息安全概念2.1.2 主要实现技术2.1.3 网络访问安全模型2.1.4 安全产品及其部署2.2 内容安全与DPI 技术2.2.1 内容安全的概念2.2.2 内容过滤与深度包检查技术2.2.3 基于关键词的过滤方法2.3 协议扩展技术的必要性2.3.1 应用需求、灵活性和成本2.3.2 协议扩展的思想和目标2.4 内容过滤安全产品的现状2.5 本章小节第三章 协议报文格式组织模型3.1 网络协议概念3.1.1 网络协议的定义3.1.2 网络协议的基本要素3.2 协议分析技术3.2.1 协议分析概述3.2.2 协议分析技术与 DPI3.3 PFM 中的概念、性质和定理3.3.1 协议格式基本概念3.3.2 协议格式基本性质3.3.3 协议字段分类3.3.4 协议字段关系3.3.5 协议字段的表示基础3.4 本章小节第四章 协议格式描述语言CF-PDL4.1 CF-PDL 的提出4.1.1 Snort 的规则描述4.1.2 内容过滤对协议描述的要求4.2 CF-PDL 词法4.3 CF-PDL 语法4.3.1 语法格式4.3.2 语法说明4.4 描述实例4.4.1 HTTP 协议的CF-PDL 描述4.4.2 GIOP 协议的CF-PDL 描述4.4.3 DNS 协议的CF-PDL 描述4.5 CF-PDL 描述能力分析4.5.1 协议类型描述能力4.5.2 字段类型描述能力4.6 本章小节第五章 面向内容过滤的协议扩展软件框架5.1 支持协议扩展的基本条件5.2 协议扩展软件框架PEF5.2.1 主要思想5.2.2 协议扩展框架5.2.3 模块功能分析5.3 支持协议扩展的基本流程5.4 本章小节第六章 支持协议扩展的关键实现技术6.1 总体拓扑与原型系统实现环境6.1.1 网络拓扑结构6.1.2 原型系统实现环境6.2 扩展协议描述文本的生成6.3 安全策略的扩展协议配置6.3.1 界面元素获取6.3.2 扩展协议配置6.4 对CF-PDL 描述文本的解析6.4.1 解析程序的执行流程6.4.2 有限自动机的解析方法6.4.3 数据结构描述6.5 报文安全检查的实现过程6.6 原型系统测试情况6.7 本章小节第七章 结束语致谢参考文献作者在学期间取得的学术成果附录 论文中使用的符号一览表
相关论文文献
标签:面向内容过滤的协议扩展论文; 内容过滤论文; 协议格式模型论文; 描述语言论文;
