專利名稱:計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測系統(tǒng)及檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測系統(tǒng)及檢測方法�,屬于計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,涉及到面向計算機(jī)網(wǎng)絡(luò)防御中的策略配置問題����,并把沖突檢測的思想從防火墻規(guī)則等網(wǎng)絡(luò)安全設(shè)備的低級描述擴(kuò)展到CND策略這種高層描述上。
背景技術(shù):
近年來��,隨著計算機(jī)科技的不斷發(fā)展網(wǎng)絡(luò)呈現(xiàn)大規(guī)模分布式的特點(diǎn)��,系統(tǒng)中所需配置的策略和策略配置人員的數(shù)量將增多�����,隨之而來的是網(wǎng)絡(luò)防御策略的維護(hù)難度逐漸加大����,在策略的配置過程中極易產(chǎn)生沖突�,影響整個系統(tǒng)的安全性����。策略通過管理員����,或者自動配置軟件,轉(zhuǎn)化為防御設(shè)備上的規(guī)則�。目前的自動配置軟件��,機(jī)械執(zhí)行策略到防御規(guī)則的轉(zhuǎn)化���,如果策略中存在沖突����,只要策略語法上正確,自動配置軟件仍然會執(zhí)行,那么自動配置軟件無法發(fā)現(xiàn)策略語義上的沖突,從而導(dǎo)致網(wǎng)絡(luò)中存在著隱含的訪問路徑或隱含的拒絕訪問的路徑��,造成隱私泄漏或阻止合法通信等嚴(yán)重后果����。管理員進(jìn)行策略到防御規(guī)則的轉(zhuǎn)化�,由于策略的規(guī)模����、策略的語義復(fù)雜的相互作用等原因,也存在此問題���。因此��,從提高系統(tǒng)的安全性和保障系統(tǒng)運(yùn)行效率高效性方面,在策略實施之前進(jìn)行策略的沖突檢測就顯得尤為重要���。首先,已有許多研究人員對策略規(guī)則沖突分析這一問題進(jìn)行了大量的研究,取得了不少的成就��,但是必須指出的是�,這些工作大部分都是為了解決特定的策略管理問題,或研究關(guān)注的目標(biāo)是策略規(guī)則的沖突問題等一系列訪問控制策略沖突檢測問題����,而對于CN D策略(Computer Network Defence,計算機(jī)網(wǎng)絡(luò)防御,CND)中的檢測及響應(yīng)策略的沖突檢測���,研究者鮮有涉及�����。CND策略是指為了實現(xiàn)特定的安全目標(biāo),計算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)根據(jù)一定條件選擇防御措施的規(guī)則�����。鑒于計算機(jī)網(wǎng)絡(luò)防御之于網(wǎng)絡(luò)安全的重要性,CND策略沖突檢測之于計算機(jī)網(wǎng)絡(luò)防御的重要性�,研究CND策略的沖突檢測將具有重大的意義�����。其次����,該技術(shù)能夠使得系統(tǒng)在策略層面針對可能產(chǎn)生的沖突進(jìn)行檢測���,避免在策略存在矛盾的情況下�����,依然進(jìn)行底層可執(zhí)行規(guī)則轉(zhuǎn)化��,導(dǎo)致不安全的執(zhí)行結(jié)果,并且影響整個系統(tǒng)的安全性;另一方面����,在策略層面進(jìn)行沖突檢測�,比在底層規(guī)則層面進(jìn)行沖突檢測更加高效���,也具有更好的靈活性與擴(kuò)展性。因此���,從提高系統(tǒng)的安全性和保障系統(tǒng)運(yùn)行效率高效性方面���,研究CND策略的沖突檢測技術(shù)將很有意義�。
發(fā)明內(nèi)容
本發(fā)明的技術(shù)解決問題克服現(xiàn)有技術(shù)的不足�,提供一種計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測系統(tǒng)及檢測方法����,能夠更有效地檢測沖突,防止未授權(quán)訪問等安全問題容易的發(fā)生,大大提高了計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全性。本發(fā)明的技術(shù)解決方案計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測系統(tǒng)���,包括文件讀取與結(jié)果顯示模塊���、策略預(yù)處理模塊、策略語義建模模塊和策略沖突檢測模塊�����,其中文件讀取與結(jié)果顯示模塊負(fù)責(zé)讀取輸入文件���,并輸出結(jié)果��;輸入為CND策略描述文件和CND初始策略本體文件����,輸出為沖突檢測報告�����;另外���,在系統(tǒng)中還維護(hù)一個防御策略信息庫�����,防御策略信息庫用于存貯策略元組語義映射信息及策略元組的直接包含信息等����,以便分析策略元組之間的包含關(guān)系�,防御策略信息庫在具體設(shè)計實現(xiàn)上采用SQL Server數(shù)據(jù)庫管理軟件來實現(xiàn),策略元組語義映射信息和策略元組的直接包含信息分別對應(yīng)不同的數(shù)據(jù)表;策略預(yù)處理模塊負(fù)責(zé)對輸入的CND策略描述文件進(jìn)行解析��,生成CND策略有序集作為輸出���;所述策略解析過程具體會按照CND策略描述語言的語法格式解析CND策略描述文件中的每一條策略��,一條策略或者一個策略元組是由組織機(jī)構(gòu)��、角色�����、活動��、視圖�����、上下文和措施6個元素構(gòu)成���;策略語義建模模塊完成對CND策略語義的建模工作,其中為三個子模塊初始策略本體導(dǎo)入子模塊負(fù)責(zé)導(dǎo)入OWL語言描述的CND初始策略本體文件并解析�;策略實例加載子模塊負(fù)責(zé)加載策略預(yù)處理模塊生成的CND策略有序集,經(jīng)轉(zhuǎn)換后形成本地策略本體����;而后通過策略元組語義映射子模塊����,判斷策略元組之間的關(guān)系�����,最終構(gòu)建CND策略語義模型�;策略沖突檢測模塊完成針對CND策略有序集的沖突檢測功能�;首先,在構(gòu)建的CND策略語義模型基礎(chǔ)上��,生成策略各個元組關(guān)系的有向圖���,判定元組之間關(guān)系�;其次�,根據(jù)策略中各個對應(yīng)元組間的關(guān)系,遍歷生成的策略元組關(guān)系有向圖���,從而分析出策略間的關(guān)系����;最后,根據(jù)策略之間的關(guān)系及比對策略措施是否矛盾的情況就可分析出策略沖突及所屬類型�。計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測方法,步驟如下(I)利用Lex和Yacc構(gòu)建的詞法解析器和語法解析器對輸入CND策略描述文件進(jìn)行解析��,解析出每條策略中的組織機(jī)構(gòu)�、角色、活動����、視圖、上下文和措施等元素��,生成CND策略有序集���;(2)利用本體建模工具Prot6g6人工構(gòu)建OWL語言描述的CND初始策略本體����,導(dǎo)入到檢測系統(tǒng)中并解析出初始策略本體�����,其中CND初始策略本體文件是采用本體語言O(shè)WL來描述的�,采用本體技術(shù)來描述可使得策略沖突檢測中的概念與概念、概念與對象���、對象與對象之間的關(guān)系更加明確���,將大大減少對問題域中概念和邏輯關(guān)系可能造成的誤解�����。CND初始策略本體文件具體包括CND策略概念的定義及其關(guān)系����,以及策略實例的聲明及其關(guān)系����;步驟(I)中得到的策略有序集�,與CND初始策略本體共同形成本地策略本體,通過策略元組語義映射,判斷策略元組之間的關(guān)系���,最終構(gòu)建CND策略語義模型���;(3)在系統(tǒng)中維護(hù)一個防御策略信息庫,防御策略信息庫用于存貯策略元組語義映射信息及策略元組的直接包含信息��,以便分析策略元組之間的包含關(guān)系����,防御策略信息庫在具體設(shè)計實現(xiàn)上采用SQL Server數(shù)據(jù)庫管理軟件來實現(xiàn)�����,策略元組語義映射信息和策略元組的直接包含信息分別對應(yīng)不同的數(shù)據(jù)表�;(4)完成針對CND策略有序集的沖突檢測功能��,首先��,在步驟(2)構(gòu)建的CND策略語義模型基礎(chǔ)上��,利用步驟(3)中的防御策略信息庫中的策略映射關(guān)系����,生成策略各個元組關(guān)系的有向圖,判定元組之間關(guān)系��;其中有向圖是指利用圖論中的有向圖來描述角色���、視圖以及活動等策略元組之間的繼承關(guān)系�,當(dāng)兩節(jié)點(diǎn)之間具有連通性時����,即代表這兩個節(jié)點(diǎn)對應(yīng)的策略元組之間具有包含關(guān)系���;有向圖采用的數(shù)據(jù)結(jié)構(gòu)是鄰接表結(jié)構(gòu),對有向圖中的每個結(jié)點(diǎn)建立一個單鏈表����;表結(jié)點(diǎn)由包含域、鏈域和數(shù)據(jù)域三個域組成���,其中包含域表示對當(dāng)前結(jié)點(diǎn)的直接包含結(jié)點(diǎn)����,鏈域表示對當(dāng)前結(jié)點(diǎn)的其他的包含結(jié)點(diǎn)�����,數(shù)據(jù)域表示該結(jié)點(diǎn)存儲的相關(guān)信息����,在這里指策略的元組內(nèi)容��;頭結(jié)點(diǎn)中�,由結(jié)點(diǎn)域和數(shù)據(jù)域組成,其中結(jié)點(diǎn)域表示圖中結(jié)點(diǎn)�,數(shù)據(jù)域存儲當(dāng)前結(jié)點(diǎn)信息�;(5)根據(jù)步驟(4)各個策略對應(yīng)元組間的關(guān)系����,利用提出的沖突檢測算法遍歷生成策略元組關(guān)系有向圖,從而分析出策略間的關(guān)系���,最后���,根據(jù)策略之間的關(guān)系及比對策略措施是否矛盾的情況分析出策略沖突及所屬類型;沖突檢測算法包含以下幾個部分初始化上下文策略表示��,檢查上下文是否重疊���,初始化系統(tǒng)中已有的組織機(jī)構(gòu)���、角色、活動�����、視圖��、上下文和措施等內(nèi)容����,檢查角色是否重疊���、檢查視圖是否重疊、檢查活動是否重疊�、檢查措施是否相互矛盾、顯示沖突策略及沖突類型����,具體步驟如下(a)算法首先根據(jù)CND策略語義模型,構(gòu)建各個策略元組的關(guān)系圖�����;(b)通過對遍歷關(guān)系圖��,分析出策略元組之間的關(guān)系���;(C)在此基礎(chǔ)上得出兩條防御策略之間的關(guān)系,然后通過措施元組比對����,完成策略沖突分析;(d)最終算法以沖突報告的形式給出沖突產(chǎn)生的對象���、類型及原因���,完成對CND策略的沖突檢測����。本發(fā)明與現(xiàn)有的技術(shù)方法相比的有益效果在于(I)提出了 CND策略的語義建模方法�。針對CND策略,采用一種Computer NetworkDefence Policy Specification Language (計算機(jī)網(wǎng)絡(luò)防御策略描述語言,CNDPSL),該語言能夠統(tǒng)一描述計算機(jī)網(wǎng)絡(luò)防御中保護(hù)���、檢測和響應(yīng)策略�����,這樣可以不針對具體設(shè)備中的底層規(guī)則進(jìn)行沖突檢測�,大大提高了方法的通用性��。(2)給出了 CND策略沖突的分類方法及沖突分類形式化表示����。結(jié)合現(xiàn)有的針對策略沖突的分類方法,研究針對CND策略沖突的分類方法并且給出每一種沖突類型的形式化表示����。具體的沖突類型通過讀取沖突規(guī)則來導(dǎo)入����,這樣可以動態(tài)的添加或刪除需要檢測的沖突類型��,具有良好的可擴(kuò)展性��。(3)給出了 CND策略的沖突檢測方法����。在CND策略語義模型和沖突分類研究的基礎(chǔ)上,結(jié)合現(xiàn)有的策略沖突檢測算法�,研究適用于CND策略的沖突檢測算法,并且能夠給出沖突位置����、沖突類型和沖突原因,方便策略管理員及時進(jìn)行沖突消解����。目前現(xiàn)有的策略沖突檢測技術(shù)都缺乏對沖突原因、沖突類型及沖突所在的策略位置等信息的檢測����。
圖1為本發(fā)明的CND策略沖突檢測系統(tǒng)功能結(jié)構(gòu)圖;圖2為本發(fā)明的CND策略模型結(jié)構(gòu)圖�����;圖3為本發(fā)明的CND策略語義建模算法流程圖�;圖4為本發(fā)明的初始策略本體UML圖;圖5為本發(fā)明的CND策略描述文件解釋流程圖�����;圖6為本發(fā)明的CND策略沖突檢測算法流程圖���;圖7為本發(fā)明的有向圖模型及對應(yīng)鄰接表表示圖��。
具體實施例方式如圖1所示��,本發(fā)明中����,計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測系統(tǒng)由文件讀取與結(jié)果顯示模塊�����、策略預(yù)處理模塊��、策略語義建模模塊和策略沖突檢測模塊構(gòu)成。
整個系統(tǒng)實現(xiàn)過程如下(I)首先給出CNDPSL語言模型CNDPSL 語言面向 Computer Network Defence Policy Model (計算機(jī)網(wǎng)絡(luò)防御策略模型��,CNDPM)����,圖2為該模型的結(jié)構(gòu)圖,能夠統(tǒng)一描述保護(hù)���、檢測和響應(yīng)策略���,CNDPSL語言是一種聲明式的語言,抽象了網(wǎng)絡(luò)防御控制的行為��,對網(wǎng)絡(luò)防御需求具有較好的靈活性���、可擴(kuò)展性和適應(yīng)性�。CNDPSL語言描述的防御策略是一個與組織機(jī)構(gòu)���、角色�、視圖和活動相關(guān)的黑盒子�,根據(jù)模型中組成部分的定義,策略(policy)形式化定義成六元組POLICY: : =<org, r, a, v, c, m>其中��,orge 0RG, r e ROLE, a e ACTIVITY, v e VIEW, c e CONTEXT, m e MEASURE�����。策略中各實體存在偏函數(shù)的關(guān)系F:0RGXRXAXVXC — M所有的策略中����,組織機(jī)構(gòu)均為網(wǎng)絡(luò)安全區(qū)域,策略元組取值均為定義的集合�����。(2)給出CND策略沖突的分類根據(jù)在CND策略沖突檢測過程中是否需要引入策略語義���,將策略沖突分為語法和語義沖突�,其中針對語法沖突的檢測不需要引入策略的語義����;其次根據(jù)CND策略之間的關(guān)系,將語義沖突又進(jìn)一步劃分為包含沖突����、相關(guān)沖突。定義I語法沖突是兩條策略中在相同的組織機(jī)構(gòu)中�����,上下文,角色�����、視圖及活動元組名稱都相同���,而措施不能同時被滿足的狀態(tài)����。此類沖突不需要理解策略的語義�,僅從語法層面就可以檢測出策略是否存在沖突。表示如下
權(quán)利要求
1.計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測系統(tǒng)��,其特征在于包括文件讀取與結(jié)果顯示模塊��、策略預(yù)處理模塊�、策略語義建模模塊和策略沖突檢測模塊,其中文件讀取與結(jié)果顯不1旲塊負(fù)責(zé)讀取輸入文件�,并輸出結(jié)果;輸入為CND束略描述文件和CND初始策略本體文件�,輸出為沖突檢測報告;另外�,在系統(tǒng)中還維護(hù)一個防御策略信息庫�����,防御策略信息庫用于存貯策略元組語義映射信息及策略元組的直接包含信息等�,以便分析策略元組之間的包含關(guān)系����,防御策略信息庫在具體設(shè)計實現(xiàn)上采用SQL Server數(shù)據(jù)庫管理軟件來實現(xiàn)�,策略元組語義映射信息和策略元組的直接包含信息分別對應(yīng)不同的數(shù)據(jù)表;策略預(yù)處理模塊負(fù)責(zé)對輸入的CND策略描述文件進(jìn)行解析,生成CND策略有序集作為輸出�;所述策略解析過程具體會按照CND策略描述語言的語法格式解析CND策略描述文件中的每一條策略,一條策略或者一個策略元組是由組織機(jī)構(gòu)��、角色��、活動�、視圖、上下文和措施6個元素構(gòu)成����;策略語義建模模塊完成對CND策略語義的建模工作,其中為三個子模塊初始策略本體導(dǎo)入子模塊負(fù)責(zé)導(dǎo)入OWL語言描述的CND初始策略本體文件并解析����;策略實例加載子模塊負(fù)責(zé)加載策略預(yù)處理模塊生成的CND策略有序集�,經(jīng)轉(zhuǎn)換后形成本地策略本體����;而后通過策略元組語義映射子模塊,判斷策略元組之間的關(guān)系�����,最終構(gòu)建CND策略語義模型�;策略沖突檢測模塊完成針對CND策略有序集的沖突檢測功能;首先�����,在構(gòu)建的CND策略語義模型基礎(chǔ)上����,生成策略各個元組關(guān)系的有向圖,判定元組之間關(guān)系���;其次��,根據(jù)策略中各個對應(yīng)元組間的關(guān)系�,遍歷生成的策略元組關(guān)系有向圖,從而分析出策略間的關(guān)系 ’最后����,根據(jù)策略之間的關(guān)系及比對策略措施是否矛盾的情況就可分析出策略沖突及所屬類型。
2.計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測方法�,其特征在于步驟如下(1)對輸入CND策略描述文件進(jìn)行解析,解析出每條策略中的組織機(jī)構(gòu)����、角色、活動�、視圖�����、上下文和措施等元素��,生成CND策略有序集��;(2)導(dǎo)入OWL語言描述的CND初始策略本體文件并解析出初始策略本體����,其中CND初始策略本體文件是采用本體語言O(shè)WL來描述的,采用本體技術(shù)來描述可使得策略沖突檢測中的概念與概念���、概念與對象�����、對象與對象之間的關(guān)系更加明確��,將大大減少對問題域中概念和邏輯關(guān)系可能造成的誤解����;CND初始策略本體文件具體包括CND策略概念的定義及其關(guān)系,以及策略實例的聲明及其關(guān)系��;步驟⑴中得到的策略有序集�,與CND初始策略本體共同形成本地策略本體,通過策略元組語義映射���,判斷策略元組之間的關(guān)系�,最終構(gòu)建CND策略語義模型��;(3)在系統(tǒng)中維護(hù)一個防御策略信息庫����,防御策略信息庫用于存貯策略元組語義映射信息及策略元組的直接包含信息,以便分析策略元組之間的包含關(guān)系��,防御策略信息庫在具體設(shè)計實現(xiàn)上采用SQL Server數(shù)據(jù)庫管理軟件來實現(xiàn),策略元組語義映射信息和策略元組的直接包含信息分別對應(yīng)不同的數(shù)據(jù)表�;(4)完成針對CND策略有序集的沖突檢測功能,首先����,在步驟(2)構(gòu)建的CND策略語義模型基礎(chǔ)上,利用步驟(3)中的防御策略信息庫中的策略映射關(guān)系�,生成策略各個元組關(guān)系的有向圖,判定元組之間關(guān)系��;其中有向圖是指利用圖論中的有向圖來描述角色���、視圖以及活動等策略元組之間的繼承關(guān)系��,當(dāng)兩節(jié)點(diǎn)之間具有連通性時,即代表這兩個節(jié)點(diǎn)對應(yīng)的策略元組之間具有包含關(guān)系���;有向圖采用的數(shù)據(jù)結(jié)構(gòu)是鄰接表結(jié)構(gòu)��,對有向圖中的每個結(jié)點(diǎn)建立一個單鏈表�;表結(jié)點(diǎn)由包含域����、鏈域和數(shù)據(jù)域三個域組成,其中包含域表示對當(dāng)前結(jié)點(diǎn)的直接包含結(jié)點(diǎn),鏈域表示對當(dāng)前結(jié)點(diǎn)的其他的包含結(jié)點(diǎn)��,數(shù)據(jù)域表示該結(jié)點(diǎn)存儲的相關(guān)信息�,在這里指策略的元組內(nèi)容;頭結(jié)點(diǎn)中�,由結(jié)點(diǎn)域和數(shù)據(jù)域組成,其中結(jié)點(diǎn)域表示圖中結(jié)點(diǎn)�����,數(shù)據(jù)域存儲當(dāng)前結(jié)點(diǎn)信息�����;(5)根據(jù)步驟(4)各個策略對應(yīng)元組間的關(guān)系����,利用提出的沖突檢測算法遍歷生成策略元組關(guān)系有向圖,從而分析出策略間的關(guān)系��,最后�,根據(jù)策略之間的關(guān)系及比對策略措施是否矛盾的情況分析出策略沖突及所屬類型;沖突檢測算法包含以下幾個部分初始化上下文策略表示����,檢查上下文是否重疊�,初始化系統(tǒng)中已有的組織機(jī)構(gòu)����、角色、活動��、視圖���、上下文和措施內(nèi)容����,檢查角色是否重疊��、檢查視圖是否重疊����、檢查活動是否重疊、檢查措施是否相互矛盾�����、顯示沖突策略及沖突類型��,具體步驟如下(a)算法首先根據(jù)CND策略語義模型���,構(gòu)建各個策略元組的關(guān)系圖����;(b)通過對遍歷關(guān)系圖���,分析出策略元組之間的關(guān)系��;(C) 在此基礎(chǔ)上得出兩條防御策略之間的關(guān)系��,然后通過措施元組比對���,完成策略沖突分析; (d)最終算法以沖突報告的形式給出 沖突產(chǎn)生的對象����、類型及原因,完成對CND策略的沖突檢測�����。
全文摘要
計算機(jī)網(wǎng)絡(luò)防御策略的沖突檢測系統(tǒng)及檢測方法����,利用詞法解析器和語法解析器讀取并解析CND策略描述文件��;利用本體建模工具人工構(gòu)建初始策略本體����,初始本體只包括CND策略中策略元組的概念及概念間的關(guān)系�����,而無策略實例及其關(guān)系���;依據(jù)初始策略本體和加載解析后的策略有序集����,生成包含策略實例的本地策略本體����,而后根據(jù)防御策略信息庫中的策略元組的語義映射,得出元組之間的語義包含關(guān)系�����,在此基礎(chǔ)上構(gòu)建CND策略語義模型��;構(gòu)建策略各個元組的關(guān)系圖并進(jìn)行遍歷����,分析出策略元組之間的關(guān)系;通過措施元組比對���,完成策略沖突分析�����,算法最終以沖突報告的形式給出沖突產(chǎn)生的對象�、類型及原因����。本發(fā)明能夠更有效地檢測沖突,防止未授權(quán)訪問等安全問題容易的發(fā)生����,大大提高了計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全性。
文檔編號G06F21/56GK103049700SQ20131003252
公開日2013年4月17日 申請日期2013年1月28日 優(yōu)先權(quán)日2013年1月28日
發(fā)明者夏春和, 羅楊, 魏昭, 李亞卓, 梁曉艷 申請人:北京航空航天大學(xué)