互联网安全和服务质量保证体系及技术研究-通信与信息系统专业论文.docxVIP

北京邮电大学博上学位论文 北京邮电大学博上学位论文 摘要 摘要 随着互联网的发展，新应用的不断出现，如电子商务、屯子政务、IP电话、远程教育等，对网 络安全干u服务质量提出了新的要求。由于Intemet的开放结构，必需采取 定的安全技术干¨安仝措 施才能保证网络信息系统的安全，而现有的网络安全系统往往功能比较单一，如防火墙、入侵检测 系统等，难以完成网络系统的整体防护要求，因此也难以保证可靠地提供所需的业务，难以保证业 务信息的安全可靠；同时。由于Intemet尽力面为(BestEffort)服务的特点，必需采用一定的服务 质量保证机制利管理手段，才能满足种类繁多的新业务在服务质量各个方面的不同需求，而现有的 服务质量管理系统往往针对特定业务设计，为了提供多种业务，需要多个管理系统，增加，管理的 难度和复杂度；为了进行服务质量管理，网络性能测量必不可少，作为网络测茸一个重要方面的链 路带宽测量存在误差过大的问题，难以满足服务质量管理的要求。 本文主要在以下方面作了一些工作：网络安全技术和安全管理、服务质量管理体系结构利QoS 测角咀及链路带宽测量。对上边提到的问题进行了分析研究，提出了自己的解决办法，具体地说， 本文的工作主要包括： 1．提出了一个分布式入侵检测框架DIDF。将防火墙、入侵检测和安全事件响应结台起来，实 现了一个以管理为核心。具有防范、检测和响应能力的综合安全体系；实现了一。个基T-DIDF的分 布式入侵检测系统DIDS：借鉴高速路由器中的递归流分类算法RFC，提山了适合包过滤防火墙的 高速包过滤算法HSPF，实现了一个高速包过滤防火墒(DIDS的一个组件)。与其它的包过滤防火 墙相比，高速包过滤防火墙的效率有了一定提商。 2．分析了服务质量管理需求和现有的管理体系结构，提出了一个可支持多种业务的服务质翅 管理体系结构QoSMA。它采用分层机制，屏蔽了具体业务要求和具体的网络设备接r_]，提供一致 的业务接口和设备接13，因而可以在整个网络上为不同业务提供QoS支持；提出了 种监测QoS 分布情况的方法——基于注册服务器的QoS监测方法，从而可以获得业务QoS的分布信息；提出 了业务性能关键网段KNS的概念，提供了定位业务性能关键网段的方法。 3．分析了当前链路带宽测量使用的时延模型和技术方法，结合当前互联网设备的特点，指山 由丁Intemet中链路带宽的增长速度超过了网络节点处理探测数据包能力的增长速度，使得现有链 路带宽测量使用的时延模型不符合宽带互联网的发展要求，容易出现较大的测量误筹；建立L广个 适合宽带互联网链路测量需要的链路带宽测量时延模型——链路节点时延模型LAND，并基丁 LAND，提出了精确测量链路带宽的算法LBEM。与现有的链路带宽测量方法相比，LBEM的测量 精度有了很大提高。 关键词：网络安全，网络安全管理，服务质最，服务质量管理，QoS测量，链路带宽测量n 北京邮电大学博+学位论文 北京邮电大学博+学位论文 Absfracl Abstract With the development of Intemet，New applications，such as E-Business，E—Government，Voice over IP,Remote Education，and Net Meeting，need more rigorous support of security and quality of services (QoS)than the traditional IP services．Due to the open architecture of Internet，some network security technologies and mechanisms are needed to protect the network and information．The current network security systems ate always designed wim special technology and function is onefold It is difficult to ensure that the network security systems could provid sufficient security for the network and services； Because of the best effort characteristics of Interact，some QoS mechanisms and QoS management are required to ensllre the QoS of service