網絡安全策略模型及沖突檢測研究.pdf

1、基于策略的網絡管理由于具有靈活、易用、自動化等特點，在網絡安全管理領域得到了廣泛的運用。策略是由網絡管理員配置的約束規(guī)則集，用于保護系統(tǒng)安全。對當前網絡安全策略模型研究發(fā)現，模型中往往忽略了網絡拓撲結構，然而網絡拓撲是基于策略的網絡管理中的一個重要考慮因素，網絡拓撲的改變會使網絡管理策略也隨之改變。與此同時，隨著網絡的結構變得越來越復雜，策略的配置不可避免的存在沖突。所以，幾乎所有的基于策略的網絡安全模型都需要對策略進行一致性檢測，消除

2、策略系統(tǒng)中存在的沖突，否則系統(tǒng)將存在安全漏洞。目前的策略沖突檢測方法分為單點檢測和全局檢測兩類，均存在缺陷：若進行單點檢測，只能檢測到網絡設備內部的策略沖突，并不能檢測網絡設備之間的策略沖突；而全局檢測則是把所有設備的規(guī)則集中起來進行全部檢測，此時可能會造成沖突誤報。因為在大型網絡中，不同路徑之間的策略不一致是完全合理的。
　　針對當前網絡安全策略模型中存在忽略網絡拓撲結構的問題，本文提出了基于網絡拓撲的網絡安全策略模型，即把網絡

3、拓撲和網絡設備中的策略規(guī)則進行統(tǒng)一建模。在模型中，把網絡拓撲抽象為無向圖，網絡設備之間的數據通信路徑抽象為無向圖中兩個結點之間的路徑。同時，對端口及策略規(guī)則進行形式化描述，實現策略和無向圖的有機聯系。
　　針對當前網絡安全策略沖突檢測中單點檢測或全局檢測過程所存在的問題，本文提出了基于路徑的策略沖突檢測方法，即沖突檢測的策略為網絡路徑中的路徑規(guī)則集。通過此方法，可以精確地檢測出網絡設備配置中可能存在的沖突。同時，為了提高策略沖突的

4、檢測效率，本文提出了基于決策樹的策略沖突檢測算法。算法根據規(guī)則中的維度對規(guī)則進行分類，構造出一棵決策樹，然后對決策樹中葉子結點中包含的規(guī)則進行沖突檢測。通過決策樹對規(guī)則的分類，把可能存在沖突的規(guī)則分類到同一葉子結點，減少了規(guī)則之間的比較次數，進而提高沖突檢測效率。
　　最后，本文基于上述模型和算法，設計了網絡安全策略沖突檢測原型系統(tǒng)。通過測試用例驗證，系統(tǒng)能夠準確地檢測出網絡中的策略沖突，基于決策樹的分類算法也能夠顯著地提高策略沖