網(wǎng)絡(luò)安全策略模型及沖突檢測研究.pdf

1、基于策略的網(wǎng)絡(luò)管理由于具有靈活、易用、自動化等特點，在網(wǎng)絡(luò)安全管理領(lǐng)域得到了廣泛的運用。策略是由網(wǎng)絡(luò)管理員配置的約束規(guī)則集，用于保護系統(tǒng)安全。對當(dāng)前網(wǎng)絡(luò)安全策略模型研究發(fā)現(xiàn)，模型中往往忽略了網(wǎng)絡(luò)拓撲結(jié)構(gòu)，然而網(wǎng)絡(luò)拓撲是基于策略的網(wǎng)絡(luò)管理中的一個重要考慮因素，網(wǎng)絡(luò)拓撲的改變會使網(wǎng)絡(luò)管理策略也隨之改變。與此同時，隨著網(wǎng)絡(luò)的結(jié)構(gòu)變得越來越復(fù)雜，策略的配置不可避免的存在沖突。所以，幾乎所有的基于策略的網(wǎng)絡(luò)安全模型都需要對策略進行一致性檢測，消除

2、策略系統(tǒng)中存在的沖突，否則系統(tǒng)將存在安全漏洞。目前的策略沖突檢測方法分為單點檢測和全局檢測兩類，均存在缺陷：若進行單點檢測，只能檢測到網(wǎng)絡(luò)設(shè)備內(nèi)部的策略沖突，并不能檢測網(wǎng)絡(luò)設(shè)備之間的策略沖突；而全局檢測則是把所有設(shè)備的規(guī)則集中起來進行全部檢測，此時可能會造成沖突誤報。因為在大型網(wǎng)絡(luò)中，不同路徑之間的策略不一致是完全合理的。
　　針對當(dāng)前網(wǎng)絡(luò)安全策略模型中存在忽略網(wǎng)絡(luò)拓撲結(jié)構(gòu)的問題，本文提出了基于網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)安全策略模型，即把網(wǎng)絡(luò)

3、拓撲和網(wǎng)絡(luò)設(shè)備中的策略規(guī)則進行統(tǒng)一建模。在模型中，把網(wǎng)絡(luò)拓撲抽象為無向圖，網(wǎng)絡(luò)設(shè)備之間的數(shù)據(jù)通信路徑抽象為無向圖中兩個結(jié)點之間的路徑。同時，對端口及策略規(guī)則進行形式化描述，實現(xiàn)策略和無向圖的有機聯(lián)系。
　　針對當(dāng)前網(wǎng)絡(luò)安全策略沖突檢測中單點檢測或全局檢測過程所存在的問題，本文提出了基于路徑的策略沖突檢測方法，即沖突檢測的策略為網(wǎng)絡(luò)路徑中的路徑規(guī)則集。通過此方法，可以精確地檢測出網(wǎng)絡(luò)設(shè)備配置中可能存在的沖突。同時，為了提高策略沖突的

4、檢測效率，本文提出了基于決策樹的策略沖突檢測算法。算法根據(jù)規(guī)則中的維度對規(guī)則進行分類，構(gòu)造出一棵決策樹，然后對決策樹中葉子結(jié)點中包含的規(guī)則進行沖突檢測。通過決策樹對規(guī)則的分類，把可能存在沖突的規(guī)則分類到同一葉子結(jié)點，減少了規(guī)則之間的比較次數(shù)，進而提高沖突檢測效率。
　　最后，本文基于上述模型和算法，設(shè)計了網(wǎng)絡(luò)安全策略沖突檢測原型系統(tǒng)。通過測試用例驗證，系統(tǒng)能夠準確地檢測出網(wǎng)絡(luò)中的策略沖突，基于決策樹的分類算法也能夠顯著地提高策略沖