[发明专利]一种快速细粒度多域网络互联安全控制方法

摘要

本发明公开了一种快速细粒度多域网络互联安全控制方法，属于网络空间安全领域。首先建立安全策略语言语法规范，将每个安全策略分别转换成范式脚本，并实现相应的语法解析器，将没有错误的脚本进行存储；然后对其中域以及业务的语义在网络中存在的脚本，将白名单中每条策略分别设计成一棵树，对树进行合并；将黑名单中每条策略分别设计成一棵树，并将其合并白名单中；将范围默认动作内每条策略分别设计成一棵树，将其与黑白名单合并树进行合并，得到安全策略树。最后把描述域间业务通信的该脚本转换为描述细粒度的七元组安全规则，并高速分发/传输到安全互联网关，依据安全规则更新执行单元的安全控制信息。本发明具有简便性和灵活性，效率更高。

主权项

1.一种快速细粒度多域网络互联安全控制方法，其特征在于，具体步骤为：步骤一、建立安全策略的语言语法规范，将用户要求的每个安全策略分别转换成范式脚本，并实现相应的语法解析器，检查脚本的语法错误，将没有错误的脚本进行存储；范式脚本包括四部分：全局默认动作，白名单，黑名单和范围默认动作；全局默认动作包括accept和drop；白名单，黑名单和范围默认动作均有若干策略构成，每条策略包括：域间互联、业务互联以及基于特征的互联；步骤二、判断某脚本中域以及业务的语义是否在网络中存在，如果是，进入步骤三，否则，语义错误返回步骤一重新编写范式脚本；步骤三、针对该脚本，将白名单中每条策略分别设计成一棵树，对树进行合并；针对当前脚本中的白名单，首先，将前两个相邻的树进行合并；过程如下：从根节点开始向下查找，当根节点A相同时，保留一个根节点A，并将所有子节点以及连接的子树都合并在该根节点下；同理，遇到相同的子节点B合并保留一个，并将相同子节点B下不同的子树都合并到子节点B下；遇到不同的子节点B和C全部合并到该根节点A下，同时，将子节点B和C下的所有子树全部各自保留；依次类推，直至将这两个树的所有子节点合并完毕；然后，将第三棵树重复上述过程进行合并，直至将白名单内所有树遍历完毕；白名单中每条策略的动作为accept；步骤四、将该脚本的黑名单中每条策略分别设计成一棵树，并将其合并白名单中，每次合并前都做冲突检查；步骤五、将该脚本的范围默认动作内每条策略分别设计成一棵树，将其与黑白名单合并树进行合并，得到该脚本对应的安全策略树；步骤六、建立安全规则的语言语法规范，结合该脚本中域和业务的语义，把描述域间业务通信的该脚本转换为描述细粒度的七元组安全规则；七元组安全规则包括：源IP区间、目的IP区间、协议类型区间、源端口区间、目的端口区间、时间区间和URL特征；具体实施方式如下：首先，针对每个安全策略脚本，通过查询每个域的名称，找到各域的用户IP地址，进一步得到成对域在安全规则中的源IP区间和目的IP区间；然后，通过查询业务名称、结合多域网络关系，把业务元素翻译成安全规则中的协议类型区间、源端口区间、目的端口区间、时间区间和URL特征；最后，在七元组安全规则的最后加上对应的动作：accept和drop；步骤七、将翻译得到的七元组安全规则通过网间互联安全控制协议高速分发/传输到安全互联网关；步骤八、安全互联网关接收到安全规则后，依据安全规则更新执行单元的安全控制信息；具体步骤如下：首先，检查安全规则的语法规范；然后，建立8层过滤匹配树；第一层是根节点，第二层是源IP区间构成的节点，第三层是以源IP区间节点为父节点的目的IP区间节点，以此类推，第四层为协议类型区间、第五层为源端口区间、第六层为目的端口区间、第七层为时间区间、第八层为URL特征；最后，当获取到新的数据包结构体后，依次判断数据包的源IP、目的IP、协议类型、源端口、目的端口和数据；并依次与8层过滤匹配树对应层的子节点进行比较：当数据包的七元组在过滤匹配树中找不到完全对应的子节点时，该数据包按照全局默认动作处理；当数据包的七元组在过滤匹配树能完全匹配到对应的子节点时，按照过滤匹配树最后的叶子节点的动作accept和drop进行处理。