面向網(wǎng)絡(luò)安全管理的策略架構(gòu)及若干關(guān)鍵技術(shù)研究.pdf

1、基于策略的網(wǎng)絡(luò)安全管理通過(guò)策略機(jī)制提高管理系統(tǒng)的可伸縮性和靈活性，被認(rèn)為是解決大規(guī)模分布式系統(tǒng)安全問(wèn)題最有希望的方法。當(dāng)前，IETF（Internet Engineering Task Force）提出的策略架構(gòu)被廣泛的研究和應(yīng)用，但應(yīng)用到網(wǎng)絡(luò)安全管理中仍存在一些不足，因此探討面向網(wǎng)絡(luò)安全管理的策略架構(gòu)及其相關(guān)技術(shù)具有重要的理論意義和現(xiàn)實(shí)意義。
　　 在分析IETF策略架構(gòu)以及網(wǎng)絡(luò)安全需求的基礎(chǔ)上，通過(guò)引入策略決策參考點(diǎn)、策略分

2、析工具和策略功能驗(yàn)證模塊來(lái)對(duì)IETF策略架構(gòu)進(jìn)行改進(jìn)，提出了一個(gè)用于網(wǎng)絡(luò)安全管理的策略架構(gòu)NSMPF（Policy Framework for Network Security Management）。說(shuō)明了NSMPF中各個(gè)模塊的功能，給出了架構(gòu)的工作流程，建立了基于該架構(gòu)的網(wǎng)絡(luò)安全體系，并制定了能同時(shí)支持安全策略和管理策略的基于XML（eXtensible Markup Language）語(yǔ)言規(guī)范的策略描述方法。
　　 NSM

3、PF中的策略決策參考點(diǎn)使用GA-ARB（Genetic Algorithm for Anomaly Rule Base）算法生成異常規(guī)則庫(kù)，并提供給策略決策點(diǎn)參考。GA-ARB算法以標(biāo)準(zhǔn)遺傳算法為基礎(chǔ)，采用專(zhuān)家規(guī)則集作為初始種群，選取網(wǎng)絡(luò)連接中最能反映異常特征的22個(gè)屬性進(jìn)行染色體編碼，根據(jù)個(gè)體匹配種群中異常連接以及正常連接的個(gè)數(shù)來(lái)設(shè)定適應(yīng)度函數(shù)，并在子代的產(chǎn)生過(guò)程中采用最優(yōu)個(gè)體保留和標(biāo)識(shí)個(gè)體保護(hù)的方法來(lái)確保最優(yōu)解不丟失。分析了GA-A

4、RB算法的收斂性，以實(shí)驗(yàn)的方式對(duì)GA-ARB算法的性能進(jìn)行了分析。
　　 NSMPF中的策略分析工具采用策略代數(shù)描述Ponder語(yǔ)言中的授權(quán)策略、委托策略、職責(zé)策略和禁止策略。從策略各組成要素的角度出發(fā)，分析了策略條件間所有可能存在的關(guān)系，包括離散、相等、包含、部分包含和交叉等五種，并依據(jù)此關(guān)系將可能存在的沖突進(jìn)行了分類(lèi)。在策略沖突消解上，主要采用設(shè)定優(yōu)先級(jí)的方法。除了常見(jiàn)的幾種優(yōu)先級(jí)設(shè)定原則，還提出了被包含策略?xún)?yōu)先、新創(chuàng)建（修

5、改）策略?xún)?yōu)先以及新加載策略?xún)?yōu)先等沖突消解原則。此外，對(duì)某些特定的沖突類(lèi)型，給出了基于策略代數(shù)的消解方法。
　　 在給出策略分層結(jié)構(gòu)及求精過(guò)程的前提下，描述了NSMPF中的策略功能驗(yàn)證機(jī)制。通過(guò)對(duì)新添加的安全策略分析求精，將其轉(zhuǎn)換成能夠在網(wǎng)絡(luò)設(shè)備上執(zhí)行的低級(jí)策略，并據(jù)此生成覆蓋策略各個(gè)方面的模擬測(cè)試數(shù)據(jù)。此外，采用地址空間分段技術(shù)來(lái)規(guī)劃測(cè)試數(shù)據(jù)的產(chǎn)生，保證了策略的所有決定路徑都能被測(cè)試到，同時(shí)也避免了窮舉測(cè)試和隨機(jī)測(cè)試的不足。