網(wǎng)絡(luò)安全策略模型及沖突檢測研究.pdf

1、基于策略的網(wǎng)絡(luò)管理由于具有靈活、易用、自動化等特點(diǎn)，在網(wǎng)絡(luò)安全管理領(lǐng)域得到了廣泛的運(yùn)用。策略是由網(wǎng)絡(luò)管理員配置的約束規(guī)則集，用于保護(hù)系統(tǒng)安全。對當(dāng)前網(wǎng)絡(luò)安全策略模型研究發(fā)現(xiàn)，模型中往往忽略了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，然而網(wǎng)絡(luò)拓?fù)涫腔诓呗缘木W(wǎng)絡(luò)管理中的一個重要考慮因素，網(wǎng)絡(luò)拓?fù)涞母淖儠咕W(wǎng)絡(luò)管理策略也隨之改變。與此同時，隨著網(wǎng)絡(luò)的結(jié)構(gòu)變得越來越復(fù)雜，策略的配置不可避免的存在沖突。所以，幾乎所有的基于策略的網(wǎng)絡(luò)安全模型都需要對策略進(jìn)行一致性檢測，消除

2、策略系統(tǒng)中存在的沖突，否則系統(tǒng)將存在安全漏洞。目前的策略沖突檢測方法分為單點(diǎn)檢測和全局檢測兩類，均存在缺陷：若進(jìn)行單點(diǎn)檢測，只能檢測到網(wǎng)絡(luò)設(shè)備內(nèi)部的策略沖突，并不能檢測網(wǎng)絡(luò)設(shè)備之間的策略沖突；而全局檢測則是把所有設(shè)備的規(guī)則集中起來進(jìn)行全部檢測，此時可能會造成沖突誤報。因?yàn)樵诖笮途W(wǎng)絡(luò)中，不同路徑之間的策略不一致是完全合理的。
　　針對當(dāng)前網(wǎng)絡(luò)安全策略模型中存在忽略網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的問題，本文提出了基于網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)安全策略模型，即把網(wǎng)絡(luò)

3、拓?fù)浜途W(wǎng)絡(luò)設(shè)備中的策略規(guī)則進(jìn)行統(tǒng)一建模。在模型中，把網(wǎng)絡(luò)拓?fù)涑橄鬄闊o向圖，網(wǎng)絡(luò)設(shè)備之間的數(shù)據(jù)通信路徑抽象為無向圖中兩個結(jié)點(diǎn)之間的路徑。同時，對端口及策略規(guī)則進(jìn)行形式化描述，實(shí)現(xiàn)策略和無向圖的有機(jī)聯(lián)系。
　　針對當(dāng)前網(wǎng)絡(luò)安全策略沖突檢測中單點(diǎn)檢測或全局檢測過程所存在的問題，本文提出了基于路徑的策略沖突檢測方法，即沖突檢測的策略為網(wǎng)絡(luò)路徑中的路徑規(guī)則集。通過此方法，可以精確地檢測出網(wǎng)絡(luò)設(shè)備配置中可能存在的沖突。同時，為了提高策略沖突的

4、檢測效率，本文提出了基于決策樹的策略沖突檢測算法。算法根據(jù)規(guī)則中的維度對規(guī)則進(jìn)行分類，構(gòu)造出一棵決策樹，然后對決策樹中葉子結(jié)點(diǎn)中包含的規(guī)則進(jìn)行沖突檢測。通過決策樹對規(guī)則的分類，把可能存在沖突的規(guī)則分類到同一葉子結(jié)點(diǎn)，減少了規(guī)則之間的比較次數(shù)，進(jìn)而提高沖突檢測效率。
　　最后，本文基于上述模型和算法，設(shè)計了網(wǎng)絡(luò)安全策略沖突檢測原型系統(tǒng)。通過測試用例驗(yàn)證，系統(tǒng)能夠準(zhǔn)確地檢測出網(wǎng)絡(luò)中的策略沖突，基于決策樹的分類算法也能夠顯著地提高策略沖