人们在享受互联网飞速发展带来的便利的同时,也备受各种安全问题困扰。协议识别作为网络安全研究的重要内容,在防火墙系统中广泛应用,也一直是研究的热点。目前,协议识别主要集中在对端口、负载等方面的研究,各种识别方法差别很大,不适合在一个防火墙中应用多个协议识别方法,而且识别率方面也没有达到满意的要求,迫切需要一种新的可以结合防火墙应用的协议识别方法。本文在对协议识别技术研究和网络中数据流量分析的基础上,针对协议识别规则识别率低以及无法在防火墙中使用多种协议识别方法的问题,提出了一种包含Content、Pattern和Behavior三种规则的协议识别方法,并根据防火墙的特点,改进了防火墙的规则选择算法,最后对根据Content、Pattern和Behavior三种规则构建的防火墙系统进行评测。本文主要内容包含以下几点：(1)提出了一种包含Content、Pattern和Behavior三种规则的应用层协议识别方法。三种规则分别对基于特征字、模式和行为特征的协议识别方法进行改进,而且可以使用多个规则对在一次会话中使用多个规则。通过对识别率的测试,也说明了三种协议识别规则的高识别率。(2)协议识别是防火墙的核心技术,针对三种协议识别规则在防火墙中的应用问题,提出了一种改进的防火墙规则选择RSTFP算法。该算法同时考虑了规则匹配的时间、频率和优先级。并对LRU、LFU和RSTFP算法进行了分析和对比实验,规则命中率和性能方面也达到了预期效果。(3)对在三种规则和RSTFP算法基础上构建的防火墙进行了实验验证,并和其他防火墙进行了对比,实验结果表明这种新的协议识别规则的有效性和可行性。本文通过结合协议识别在防火墙中的应用,提出的包含Content、 Pattern和Behavior规则的协议识别方法可以对会话级的网络流量有效识别,并且结合防火墙和规则特点,提出的规则选择RSTFP算法有效的解决了三种规则在防火墙中应用中匹配效率低的问题。