《基于linux下netfilter框架的智能防火墙的研究》由会员分享,可在线阅读,更多相关《基于linux下netfilter框架的智能防火墙的研究(46页珍藏版)》请在金锄头文库上搜索。
1、河北工业大学 硕士学位论文 基于Linux下Netfilter框架的智能防火墙的研究 姓名:杨娟素 申请学位级别:硕士 专业:模式识别与智能控制 指导教师:武金木 20081101 河北工业大学硕士学位论文 - i - 基于基于 Linux 下下 Netfilter 框架的智能防火墙的研究框架的智能防火墙的研究 摘摘 要要 现在,网络在我们的生活中扮演着越来越重要的角色,资源共享和交互得到了空前的 发展,但是随之而来的网络安全问题也日益严重。由于网络协议本身的漏洞,以及操作系 统自身的安全性不高,网络攻击事件时有发生,防火墙作为网络安全上的第一道屏障发挥 着越来越大的作用。但是传统的防火墙缺乏
2、自我学习能力,不能动态的调整过滤规则,因 此构建具有学习能力的防火墙成为一种迫切的需要。 为了改变传统防火墙静态的缺点,在计算机免疫学原理的指导下,通过借鉴自然免疫 系统特征,构建了免疫防火墙模型。免疫防火墙采用两层结构,第一层采用传统的防火墙 的技术,第二层为基于免疫原理的免疫层。免疫层借鉴阴性选择算法、多层免疫学习算法 生成检测器,通过在 self、nonself 集上进行学习和识别训练。在免疫识别过程中,为了保 证检测器能动态变化以适应不断变化的网络环境,使用克隆选择算法对检测器进行优化处 理。免疫防火墙的实现平台是 Linux 下 Netfilter 框架,将免疫层防火墙作为钩子函数挂
3、接 在 Netfilter 提供的钩子点上,以此来达到过滤数据包的功能。 对构建的免疫防火墙进行了性能测试,主要测试了它的学习能力。测试结果表明,免 疫防火墙可以以自适应方式阻拦非法数据,具有较好的自适应和动态性,基本达到了预期 目标。 关键词关键词: Linux,Netfilter,阴性选择算法,克隆选择算法,多层免疫学习算法,防火墙 基于 Linux 下 Netfilter 框架的智能防火墙的研究 - ii - RESEARCH ON THE INTELLIGENT FIREWALL BASED ON NETFILTER FRAME IN LINUX ABSTRACT Nowadays,
4、network have played the more and more important role in our daily life, The sharing and mutuality of information have got unparalleled development. But the security of network have become more and more severe. Because of the leak of network protocol, and the low security of the operating system, the
5、 network attacks often happen. As the first barrier of the network ,firewall has exerted more and more function. But the traditional firewall is lack of the capability of self- learning and adjusting the filtration rules dynamically, So to build a self- learning firewall has become a exigent demand.
6、 In order to change the disadvantage of static firewall, with the guidance of computer immune principle ,by virtue the characteristics of natural immune system, it builds the Immune firewall model. The model uses dual- structure: the first level adopts technology of traditional firewall; the second
7、is immune level based on immune principle. The immune level creates detector using Negative Select Algorithm, which learns and trains by the self and nonself set. In the process of recognition, it ensures that the detector can changes with the environment of network., and optimizes the detector usin
8、g the Clone Select Algorithm. The platform of the firewall is Netfilter frame in Linux. It regards the immune firewall as hook function and hang the function in the hook point of Netfilter, so as to implement the function of filtering packet. Test the capability of the firewall, especially the capab
9、ility of self- learning. The result shows that the firewall can discourage anomaly with the self- adapt way, the system achieve the desired requirements. KEY WORDS:linux,netfilter,negative select algorithm,clone select algorithm,multi- level immune learing algorithm,firewall. 原创性声明原创性声明 本人郑重声明:所呈交的学
10、位论文,是本人在导师指导下,进行研究工作所取得的成 果。除文中已经注明引用的内容外,本学位论文的研究成果不包含任何他人创作的、已公 开发表或者没有公开发表的作品的内容。对本论文所涉及的研究工作做出贡献的其他个人 和集体,均已在文中以明确方式标明。本学位论文原创性声明的法律责任由本人承担。 学位论文作者签名: 日期: 关于学位论文版权使用授权的说明关于学位论文版权使用授权的说明 本人完全了解河北工业大学关于收集、保存、使用学位论文的规定。同意如下各项内 容:按照学校要求提交学位论文的印刷本和电子版本;学校有权保存学位论文的印刷本和 电子版,并采用影印、缩印、扫描、数字化或其它手段保存论文;学校有
11、权提供目录检索 以及提供本学位论文全文或者部分的阅览服务;学校有权按有关规定向国家有关部门或者 机构送交论文的复印件和电子版;在不以赢利为目的的前提下,学校可以适当复制论文的 部分或全部内容用于学术活动。 (保密的学位论文在解密后适用本授权说明) 学位论文作者签名: 日期: 导师签名: 日期: 河北工业大学硕士学位论文 - 1 - 第一章一章 绪绪 论论 1- 1 引言引言 随着 Internet 的迅猛发展,网络在人们的生活中占据着越来越重要的作用。人们通过 Internet 进行 信息交流,获取各种有用的信息知识。比如通过网站看新闻、通过网站购买东西、通过 google 或百度 搜索有用的
12、信息。很多公司通过网站来宣传自己、进行网上办公等。网络作为信息化社会的一个重要标 志,在人们生活中扮演越来越重要的角色。但任何事物都有其两面性,网络也不例外,虽然它给人们带 来了极大的方便和巨大的收益, 但同时如果使用不当也会造成巨大的损失。 各种网络攻击手段层出不穷, 造成的损失也越来越大,如 2000 年 2 月,雅虎、CNN、新浪等知名网站被攻击,造成网络长大几小时 的瘫痪,其中的经济损失达到几亿美元之多。美国 FBI 的调查表明每年因网络安全造成的损失高达 170 多亿。根据 Symantec 公司的网络安全威胁报告,在 2007 年的后 6 个月,中国网络恶意行为的数量排在 第二位,
13、仅次于美国,网络安全形势依然很严峻1。随着网络的快速发展,各种网络病毒和攻击手段也 不断发展, 网络安全方面的防护手段也在同这些网络破坏的较量中得到不断的发展和提高。 比如各种防 病毒软件、入侵检测、防火墙等网络安全产品的出现,构成了网络中的一道道安全的防护屏障,为网络 的正常运行保驾护航。 在这些网络安全产品中,防火墙扮演了重要的角色。防火墙本质上是一种访问控制技术。防火墙是 在两个网络通信时执行的一种访问控制手段, 它能允许你同意的人和数据进入你的网络, 同时将拒绝你 不同意的人和数据,能够最大限度的阻止网络中黑客来访问你的网络,保护自己的数据。 从第一个防火墙产品出现至今, 一直受到国内
14、外人们的关注, 现在研发防火墙技术的公司越来越多, 而且越来越多的新技术被应用到防火墙的开发上, 但是随着各种技术的发展, 网络安全收到的威胁也越 来越大,到目前为止还没有一种非常理想的防火墙产品。 面对动态的网路系统,只有自适应的安全系统才能完成应对复杂、动态的外部环境变化,保证计算 机网路系统的安全。网络安全问题的最终解决应走自适应的道路2。所以有必要研究具有动态性、自适 应性的防火墙,以满足当前网络安全的需要。 人工免疫系统作为人工智能领域的重要分支, 同神经网络及遗传算法一样也是智能信息处理的重要 手段,已经受到越来越多的关注3- 4。它受到生物免疫机制的启发而提出,借鉴了生物免疫系统
15、中抗体 (Antibody)对抗原(Antigen)的识别原理以及抗体产生和进化的过程。将需要检测的异常状况设定为 抗原,系统根据免疫算法原理产生抗体并以之对抗原进行识别。免疫系统最基本的能力是识别“自我/ 非我” (self/nonself) ,也就是说,它能够识别那些组织属于正常抗体的,不属于正常的就属于异常。对 于自我,免疫系统不作任何反应,对非我有反应并进一步处理。免疫算法的另一个优点是它的自学习能 力。它不仅能识别已出现过的抗原,而且能在过去经验的基础上识别未知的抗原。 1- 2 网络安全概述网络安全概述 1- 2- 1 网络安全及其现状网络安全及其现状 网络安全是一门涉及计算机科学
16、、网络技术、通信技术、密码技术、信息安全技术、应用数学、数 论、信息论等多种学科的综合性学科。它是指网络系统的部件、程序、数据的安全性,通过网络信息的 存储、传输和使用过程来体现网络安全。从本质上讲就是计算机网络上的数据安全和信息安全。确保网 基于 Linux 下 Netfilter 框架的智能防火墙的研究 - 2 - 络系统的信息安全是网络安全的目标。 网络安全的特性有: 保密性 (confidentiality) 、 完整性 (integrity) 、 可用性(usability)、可控性(controllability)5。 计算机技术是继农业和工业革命之后的第三大技术革命。从此人们所能感知的世界变得如此之大, 同时也变得如此之小,同时人类社会对 internet 的依赖性也越来越大。进入二十一世纪以
