開放園區(qū)網可信運行保障體系關鍵技術研究.pdf

1、開放園區(qū)網可信運行保障體系是基于可信網絡的思想提出的，是對可信網絡接入的擴展，目標是通過對園區(qū)網中已有的可網管的聯(lián)網設備、網絡安全產品以及網絡管理子系統(tǒng)和網絡安全子系統(tǒng)進行有效地整合和管理，實現(xiàn)在整個園區(qū)網的范圍內對異常網絡事件進行快速地判定和響應，從而全面提高園區(qū)網的可用性和可控性。 園區(qū)網可信運行保障體系需要突破的三個關鍵技術是：網絡狀態(tài)感知和異常行為挖掘、異常定位和威脅程度評估、自動控制策略響應。為保證實用性，這三個關鍵技

2、術的解決要滿足下列條件：其一是必須能夠提供對網絡的持續(xù)感知和控制能力；其二是對網絡狀態(tài)的感知立足于挖掘從當前聯(lián)網設備上收集到的運行數(shù)據(jù)；其三是在對安全響應問題上必須立足于當前聯(lián)網設備的控制能力；其四是整個過程可以自動進行，也可以人工參與。 論文首先分析了園區(qū)網可信運行保障體系面臨的各種技術問題和管理問題，提出了可信運行保障體系，給出了該體系的組成和相關的功能要求?；趯δ壳肮I(yè)界和學術界研究成果的分析，提出了通過分析網絡流數(shù)據(jù)來

3、感知網絡運行狀態(tài)的思路——基于網絡流行為來分析和診斷異常網絡流。將網絡流使用的協(xié)議作為網絡流行為模式研究和分類的主要因素之一，歸納出網絡通信的十四種網絡流行為模式，并引入了組合特征值分布的概念(帶寬分布、流數(shù)量分布、包數(shù)量分布)來對網絡流行為進行定性和量化描述。一方面突破了以往工作中主要研究網絡流特征的不確定性，改而研究網絡流特征的確定性；另一方面，引入的三個組合特征值分布，將網絡流的容量特性和概率分布特性結合起來，使研究結果不僅適用于

4、檢測容量異常的網絡流行為，還適用于容量特性正常但概率分布異常的網絡流行為，擴大了檢測范圍，提高了適應性。 異常威脅評估是可信運行保障體系的一個關鍵環(huán)節(jié)，既要考慮園區(qū)網動態(tài)運行的特點和當前的狀態(tài)，還要考慮實際可操作性。根據(jù)園區(qū)網網絡管理經驗，網絡帶寬擁塞和網絡設備資源耗盡是造成網絡不可用的主要原因，確定了五大類威脅評估因素：網絡流的帶寬分布、網絡流的流數(shù)量分布、網絡流的包數(shù)量分布、關聯(lián)網絡設備的CPU利用率和內存利用率。構造了一個

5、貝葉斯網絡模型來評估異常行為網絡流對網絡帶寬和網絡設備資源帶來的影響。貝葉斯邏輯在數(shù)學上的可靠性使該模型成為一種描述人類思維推理過程的標準模型，同時貝葉斯概率的特點不僅使評估模型能夠反映評估的連續(xù)性和累積性這兩個重要特征，還能夠在評估過程中將網管人員的推理模式定量地反映出來，能夠比較準確地反映威脅源的真實威脅等級。自動控制策略響應要解決的幾個主要問題是：根據(jù)威脅評估結果自動生成控制策略對異常網絡流行為進行控制；將網絡控制策略自動地部署到

6、具體的網絡設備上執(zhí)行；系統(tǒng)自動生成的策略必須能夠在各科，不同的網絡設備上執(zhí)行。本文設計了一種不依賴于網絡設備，但又接近于網絡設備實現(xiàn)的統(tǒng)一策略描述語言，同時根據(jù)網絡設備的控制能力設計了三大類控制策略規(guī)則：限流策略、ACL阻斷和關閉端口。統(tǒng)一策略描述語言包含網絡設備訪問控制所需的各種數(shù)據(jù)，能夠方便地轉化成不同廠商、不同設備的訪問控制列表。由自動策略生成機制依據(jù)威脅等級和策略執(zhí)行點設備的具體控制能力生成統(tǒng)一格式描述的策略，在策略的具體部署過

7、程中，由策略部署機制在部署之前將統(tǒng)一描述的策略規(guī)則轉換成具體設備的策略配置命令。策略的格式轉換采用XML技術來實現(xiàn)。將統(tǒng)一描述的策略規(guī)則和具體設備的策略命令都用XML文件來描述，并事先用XML文檔描述園區(qū)網上各種聯(lián)網設備的各類策略配置命令格式與統(tǒng)一策略規(guī)則之間的對應關系，利用XSLT技術就可將統(tǒng)一描述的策略規(guī)則轉換成設備具體的配置命令。增加新的設備，只需要編寫新的XML文檔，即可實現(xiàn)策略規(guī)則到策略配置命令的轉換。本文提出的方法完全解決了