[发明专利]一种面向网络访问控制的规则描述方法及构建方法、介质

说明书

本发明公开了一种面向网络访问控制的规则描述方法及构建方法、介质。本发明的规则描述方法，其特征在于，每一规则包括域配置、分组配置和编译配置三个层次；其中，域配置用来描述所要匹配的网络行为；分组配置包括若干个域配置，即描述所要匹配的网络行为的集合；编译配置用来描述流量符合所述分组配置所描述的网络行为时所采取的策略。基于本发明描述的规则，可以实现高效、精确、灵活的访问控制。

技术领域

本发明属于网络安全领域，涉及一种面向网络访问控制的规则描述方法及构建方法、介质。

背景技术

近年来，随着各类技术的发展，网络安全形势的日益严峻，企业、组织对于内部网络访问控制的需求十分强烈。

在入侵检测场景，为了避免内部用户访问有风险的网站，如钓鱼网站、挂马网站，会通过建立黑名单等方式，禁止对该类网站的访问。在数据防泄漏场景，为了避免企业重要数据被内部人员或攻击者窃取，也会采用访问控制技术防止该问题。

目前对网络访问行为进行描述有两类方法，一类是基于属性标注的，如基于角色(RBAC)或任务授权(TBAC)。另一类是基于网络行为特征的，其中SNORT规则得到的应用最为广泛。但是随着规则的日趋复杂，规则中存在大量的重复规则，比如一组恶意的IP地址重复出现在多个SNORT规则中，会影响规则的执行效率，也不利于维护。

发明内容

针对现有技术中存在的技术问题，本发明的目的在于提供一种面向网络访问控制的规则描述方法及构建方法、介质。基于本发明描述的规则，可以实现高效、精确、灵活的访问控制，本发明的规则描述模型简称MAAT。

本发明主要包含两个方面：(1)根据网络访问控制场景的特点，将规则分为编译配置、分组配置、域配置三个层次。其中域配置用来描述访问行为，分组配置用来描述访问行为的集合，编译配置用来描述流量符合访问行为时所采取的策略。(2)从优化执行效率和方便配置管理的角度，对各类配置的形式和组合关系进行定义。

本发明规则描述方法如图1，其包括以下内容：

1)为了便于规则的规格化描述，将规则分为域配置、分组配置、编译配置三个层次。为了便于结构化存储和独立增删，每个配置都有各自独立的生效标志。三个层次的配置共同描述了一个访问控制规则，其中域配置和分组配置描述了所要匹配的网络行为，编译配置描述了符合该行为后所采取的策略。

2)域配置，访问控制规则中对网络访问行为最细粒度的描述。针对网络传输协议或数据的设定字段的配置，域配置类型依据访问控制的粒度决定，这些域配置的类型包括：字符串、IP地址、数值区间、哈希值等。例如：

a)例1，指定HTTP协议中UserAgent包含子串“Chrome”和“11.8.1”。

b)例2，指定HTTP协议中域名以“.emodao.com”结尾。

c)例3，指定客户端IP地址属于202.118.101.*这个C段。

3)分组配置，描述访问控制规则中若干条域配置的组合关系。它是一个域配置的集合，所包含的域配置数量无上限，一条域配置记录只属于一个分组配置。

4)编译配置，描述当网络访问行为匹配访问控制规则时，所采取的策略。

5)一条访问控制规则是由若干条三类配置组合而成的，其组合关系如下：

a)分组配置中的多个域配置是“或”关系；

b)编译配置中的多个域配置分组是“与”或者是“非”关系；

c)一个分组配置允许在多个编译配置中复用，以方便访问策略的制定，提高规则的使用效率。例如某个分组配置，是若干IP地址的集合，可禁止该分组内的IP访问数个不同的网址。

形式化描述为：