基于哈夫曼树的防火墙规则动态优化的研究
- 格式:pdf
- 大小:423.99 KB
- 文档页数:5


第37卷 Vb1.37 第20期 NO.20 计算机工程 Computer Engineering 2011年10月 0ctober 201 1 ・安全技术・ ・ 文章缩号:lo0I卜 428(2ol1)2o—01o3—02 文献标识码:A 中圈分类号:TP393・08 基于默认规则的防火墙优化方法 傅鹤岗,张李 (重庆大学计算机学院,重庆400044) 摘要:提出一种基于默认规则的防火墙优化方法,根据规则的匹配概率及防火墙日志,从默认规则中分离出简单规则,分析这些规则与 原规则的关系,并合并成新的规则。评价规则对防火墙性能的影响,并选择性地加入防火墙规则库,实现防火墙线性匹配优化。实验结果 表明,该方法在一般情况下能有效降低规则的平均匹配次数,提高防火墙性能。 关健词:默认规则;平均规则匹配次数;规则的无冲突区域;规则合并;统计分析 Firewall Optimization Method Based 0n DeI.ault Rule FU He-gang.ZHANG Li (College of Computer Science,Chongqing University,Chongqing 400044,China) IAbstraet]This paper proposes a firewall—optimization method based on default—rules.This method begins by the matching probability of firewall rules,extracting some simple rules from the default-rules based on the firewall logs.After analyzing the relationship between the simple rules and the existing rules,these simple rules are emerged into the new rules.The impacts of these new rules are evaluated on the firewall and some new rules are added to the rules library selectively,to implement the optimization for the linear match of the firewal1.Experimental results show that,this method can reduce the average number of rules matches,elevating the performance of firewal1. [Key words|default rule;average number ofrule matching;conflict—free region ofrule;rule merging;statistic analysis D0I:10.39691j.issn.1000—3428.2011.20.036 1概述 防火墙是被普遍采用的一种安全策略,通常设置在内外 部网络之间,控制着进出网络的数据包。防火墙按其实现形 式可以分为软件防火墙和硬件防火墙2大类,其中软件防火 墙主要通过大量严格且具有针对性的过滤规则实现。 大多数防火墙有2个重要性质:(1)采用封闭策略,即一 个信息流在缺省状态下是被禁止的,除非有一条规则明确地 规定它是允许的。(2)规则库对顺序敏感,遵循找到第l条匹 配成功的规则即终止匹配的原则。也就是说,对于每个信息 流,防火墙总是从优先级高的规则向优先级低的规则逐个匹 配。这种匹配方法对于具有严格优先级的规则库来说,随着 使用时间的延长,匹配效率会有很大的变化,会造成许多的 无效匹配,影响防火墙的性能。 针对这种情况,就有了基于统计分析的思想设计的防火 墙,它主要根据一段历史时间内过滤规则的匹配情况重新设 定规则的优先级,使得优先级高的规则即是匹配次数较多的 规则,从而降低了无效匹配次数,优化了防火墙性能…。 基于统计分析的方法在调整规则优先级的时候,默认规 则总是处于最低优先级,也就是说与默认规则匹配的信息流 进行了规则库长度的无效次匹配,这对防火墙性能产生了巨 大影响。本文针对这种情况,提出一种防火墙优化方法。 2基于默认规则的优化思想 基于统计分析的防火墙优化策略的前提条件是某一段时 间内信息流的特征呈连续性。基本方法是根据一段历史时间 内的统计情况,将使用最频繁的规则放置于规则表的最前面, 达到减少匹配时间、提高防火墙性能的目的。 衡量防火墙匹配速率的指标为平均规则匹配次数L2 J,对 于线性规则表的防火墙,如果其规则数量为Ⅳ,且防火墙在 做规则匹配时每条规则的匹配速率近似相等,那么防火墙的 平均规则匹配次数w可以表示为: Ⅳ W=Zix i=1 其中,P 表示第f条规则的匹配概率,通过统计历史记录里 的规则匹配情况获得 J。显然 的值是防火墙性能的一个重 要标识,它的值越小,说明防火墙的性能越好。通过该公式 可以看出[41:(1)越靠后的规则的匹配概率对w的值的影响就 越大。(2)规则库的规则越少, 的值也就越小,防火墙的性 能也就越优。 在防火墙的规则表中,默认规则处于规则表的最后一行, 与默认规则匹配的信息流对防火墙性能的影响也就越大。由 于防火墙规则对顺序的敏感性,默认规则并不参与规则顺序 的调整,这可能造成防火墙的性能瓶颈。 在统计分析的过程中,假设信息流在一段时间内呈连续 性的特征,也就是说在前一段时间内匹配次数多的规则,在 相邻的后一时间段内匹配的次数同样也会多,这种特征对于 默认规则同样也应该适用。如果从默认规则中分离出一些具 有较高匹配次数的规则,将新的规则加入到规则表中,并参 与规则顺序的动态调整,这样就可以降低w的值。不过新规 则应该满足一定条件。 首先,新规则不能与原有规则存在冲突。因为,默认规 则是整个规则库优先级最低的规则,而新规则是从默认规则 分离出来,一旦参与规则顺序的调整,如果与其他的规则有 冲突,就势必会影响整个规则库的语意,而这是不允许的。 作者倚介:傅鹤N(1950--),男,剐教授,主研方向:网络安全; 张李,硕士 收穑日期:20ll一04—18 E-mail:pledge.c@163.corn
防火墙过滤规则的建模和全面优化
张翼张勇汪为农
(上海变通大学网络信息中心,上海200122)
摘 要 防火墙的管理在今天的企业网络环境中是一个复杂和易出错的任务,网络管理员不能仅仅依靠自己的经验和
知识采配置防火墙.而必须使用有效的工具和技术,在系统的方法学的指导下来完成。论文采用几何技术对防火墙的配
置进行建模,每个过滤规则被映射为多雏空间中的一个几何体,从而使得防火墙的配置可视化和易于理解。该方法可以
对防火墙的现有规则库进行彻底的重写,从而实现全面的优化。另外,该文还将通常定义在两个规则之间的规则冲突的
概念和分类扩展到多个规则之间。
关键词过滤规则 规则冲突 空间几何体规则重写 规则优化平均检索长度
文章编号1002—8331-(2006)06—0146—05 文献标识码A 中图分类号TP393
Modelling and Complete Rewritten of Firewall Filtering Rules
Using Geometry Technique
Zhang Yi Zhang Yong Wang Weinong
(Network Information Center,Shanghai Jiaotong University,Shanghai 200 1 22)
Abstract:The management of firewalls in today’S enterprise network environment is a complex and error-prone task.
Effeetive techniques and tools for administrating the firewall configurations must be available to network administrators
SO that they can fulfill their responsibilities under the guide of a systematic methodology,not just based on their
第38卷
、,ol_38 第2期
No.2 计算机工程
Computer Engineering 2012年1月
January 2012
・安全技术・ 文章编号:100o—3428(2Ill2)02--0135—03 文献标识码:A 中豳分类号t TP391
防火墙过滤规则动态生成方案设计
赵跃华,周万胜
(江苏大学计算机科学与通信工程学院,江苏镇江212013)
摘要:基于主机的包过滤防火墙只能提供单一层面的、静态的网络安全防护。为此,设计一个可动态生成防火墙过滤规则的方案。利用
专家知识检测网络层数据包的攻击行为和运行中应用程序的攻击行为,通过专家系统推理,实现防火墙过滤规则的动态生成。基于
Windows系统的实验结果证明,该防火墙系统能检测出多种攻击行为,并及时生成防火墙的过滤规则。 关健词:防火墙;CLIPS推理机;过滤规则;规则动态生成;专家系统
Design 0f Dynamic Generation Scheme for Firewall Filtering Rule
ZHAO Yue・hua,ZHOU Wan-sheng
(Institute ofComputer Science and Communication Engineering,Jiangsu University,Zhenjiang 212013,China)
[Abstract]In order to overcome the shortcomings that packets filtering firewall on host only provides single—level and static network security
protection,U firewall filtering rules dynamical generation scheme is designed.Attacks behavior information from network layer packets and application processes are detected by using expert knowledge and corresponding filtering rules are generated by using expert system reasoning.
目 录
第一章 引言 ................................................................................................... 2
1.1 课题的国内外概况 ..................................................................................................... 2
1.2本论文题目的理论意义和实用价值 .......................................................................... 3
第二章 包过滤防火墙技术 ............................................................................. 5
2.1 包过滤防火墙技术简介 ............................................................................................. 5
2.2 防火墙包过滤技术的特点 ......................................................................................... 6
2.3 包过滤防火墙工作原理 ............................................................................................. 7
2.4 数据包过滤技术 ....................................................................................................... 10