基于NDIS深度包檢測的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、針對Internet的攻擊現(xiàn)象越來越多，特別針對應(yīng)用層的入侵更是屢見不鮮，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)把防火墻的功能重心從網(wǎng)絡(luò)層發(fā)展到了應(yīng)用層。針對應(yīng)用層的審計(jì)誕生了深度包檢測技術(shù)，深度包檢測技術(shù)不僅檢測數(shù)據(jù)包頭部，而且深入有效載荷，能夠發(fā)現(xiàn)隱藏在其中的特征，較之傳統(tǒng)的網(wǎng)絡(luò)層審計(jì)方法能更精細(xì)地識別不同的網(wǎng)絡(luò)行為。
　　正則表達(dá)式具有字符串所不具備的強(qiáng)大和靈活的表達(dá)能力，它能確切地表達(dá)出復(fù)雜的特征，因而深度包檢測中逐漸使用正則表達(dá)式代替?zhèn)鹘y(tǒng)的K

2、MP、AC、BM等精確字符串匹配算法。DFA和NFA可以實(shí)現(xiàn)正則表達(dá)式匹配，DFA比NFA更適合在網(wǎng)絡(luò)應(yīng)用中使用。規(guī)則特征庫規(guī)模的擴(kuò)大以及“.*”和“{}”運(yùn)算符的廣泛使用使DFA存在空間爆炸、性能嚴(yán)重下降的問題。
　　本文詳細(xì)分析了DFA空間爆炸的原因，在對現(xiàn)有DFA優(yōu)化技術(shù)深入研究和分析的基礎(chǔ)上，提出了HCADFA分組算法。通過L7-filter最新的所有規(guī)則模擬DFA爆炸情況，相比于mDFA，同一內(nèi)存限制條件下，HCADFA

3、能得到更少的分組;同等數(shù)量分組的條件下，HCADFA存儲性能更好。HCADFA提高了DFA在深度包檢測中的實(shí)用性。另外，本文給出了一種適用于應(yīng)用層的特征庫內(nèi)存模型，該模型能壓縮DFA圖存儲的狀態(tài)數(shù)量，減少DFA圖存儲空間。
　　最后，本文通過使用HCADFA分組算法作為核心模塊匹配策略，設(shè)計(jì)并實(shí)現(xiàn)了一個網(wǎng)絡(luò)安全審計(jì)系統(tǒng)ENAuditSys。分析運(yùn)行結(jié)果表明ENAuditSys達(dá)到了預(yù)期目的，在對網(wǎng)絡(luò)性能影響在可接受范圍內(nèi)，能夠?qū)徲?jì)