HTTP報文監(jiān)測和過濾技術研究.pdf

1、隨著信息技術的發(fā)展與Internet應用的普及，在當前網(wǎng)絡攻擊、入侵等活動不斷增多的情況下，信息系統(tǒng)安全，尤其是計算機網(wǎng)絡安全的重要性變得日益突出，加強網(wǎng)絡安全方面的研究與實踐就顯得更加重要。監(jiān)控、審計與取證技術是保障信息系統(tǒng)安全、可靠運行的重要手段。 本文圍繞網(wǎng)絡安全監(jiān)控與審計系統(tǒng)的設計與實現(xiàn)，研究了數(shù)據(jù)包的采集與重組技術及Linux下伯克利包過濾(BPF)機制，分析了監(jiān)聽方式與網(wǎng)關方式下兩種數(shù)據(jù)采集方案的特點與重組原理。把網(wǎng)

2、絡監(jiān)控系統(tǒng)的設計分解為與協(xié)議無關的網(wǎng)絡探測器及與協(xié)議相關的HTTP數(shù)據(jù)還原模塊兩部分，并把網(wǎng)絡探測器的設計分為與數(shù)據(jù)中心的通信模塊，解析配置文件，記錄探測器日志，采集網(wǎng)絡數(shù)據(jù)包，緩沖采集到的數(shù)據(jù)包，重組TCP會話這幾個模塊。研究了HTTP數(shù)據(jù)還原技術，包括對HTTP內(nèi)容的解壓縮及傳輸編碼的塊解碼。在還原HTTP數(shù)據(jù)后對設置的關鍵字進行過濾并把中標的數(shù)據(jù)傳回數(shù)據(jù)中心進行保存以便日后取證。 重點研究了HTTP數(shù)據(jù)過濾技術，針對基于模

3、式匹配的過濾技術在關鍵字較多時需要回溯多次造成過濾速度慢的缺點，采用以文本反向匹配關鍵字的過濾技術，分別以哈希表及trie樹結(jié)構(gòu)存儲關鍵字，以HTTP數(shù)據(jù)中的文本反向匹配存儲在哈希表或trie樹中關鍵字的過濾技術，文本不再需要回溯，提高了匹配速度。 本文設計實現(xiàn)的網(wǎng)絡監(jiān)控系統(tǒng)，能對敏感HTTP內(nèi)容的訪問進行實時報警。對嚴重影響系統(tǒng)性能的關鍵字過濾技術，采用以trie樹存儲關鍵字，以數(shù)據(jù)包中的文本反向匹配關鍵字的過濾技術大大提高了