[发明专利]计算机网络防御策略的转换一致性验证方法

说明书

技术领域

本发明属于计算机网络安全技术领域，具体地说是一种验证计算机网络防御中的高层策略和底层设备措施之间是否一致的方法，把一致性分析的思想从防火墙规则扩展到计算机网络防御策略的环境中。

背景技术

计算机网络防御策略是指为了实现特定的安全目标，计算机网络和信息系统根据一定条件选择防御措施的规则。随着对于大规模的网络和信息系统的攻击日趋频繁，网络安全的研究已进入动态防御的阶段。策略一直在安全设备的管理中扮演着重要角色，影响并指导着安全措施的配置。通常，策略是基于人类思维的抽象认识，无法直接被网络设备所理解。需要将高层的网络防御策略经过人工或自动化地翻译，处理成低层措施，才能由设备和人员来执行。防御策略的转换是一个逐步求精的过程，而策略演化过程中的一个重要任务就是各抽象层次策略转换的一致性分析与验证。通过检验转换前后的一致性，分析并指出转换过程中产生的缺失和冗余的情况，能够指导策略进一步的演化，为策略能在设备上正确执行提供坚实的基础。现有的计算机网络防御策略的转换一致性验证方法主要有以下问题：

(1)限于研究对象，基于逻辑编程的模型检测方法，研究策略转换一致性问题时仅仅针对传统的包过滤防火墙，并不能完全表达计算机网络防御的整体状态。因此，将模型扩大到各类防御策略，仍有待研究。

(2)目前，基于着色Petri网的一致性检测模型，仅能验证系统是否具有逻辑错误，而不能定位导致错误发生的原因。而且，着色Petri网的状态爆炸问题限制了他所能验证的网络规模。

(3)基于语义相似度的研究方法，由于主观因素的参与，导致一致性的判断并不准确。而且相似度只是一个数值，无法精确地指出产生不一致的位置。

发明内容

本发明的技术解决问题：克服现有技术的不足，提出一种计算机网络防御策略的转换一致性验证方法，该方法既可以分析并定位措施相对于策略存在的缺失或冗余，还可以基于策略，给出不满足一致性的措施反例及改进意见。并且该方法时间效率较高，适合较大规模网络的验证。

本发明采取的技术方案是：计算机网络防御策略的转换一致性验证方法，步骤如下：

(1)在数据预处理部分中，主要由两大部分组成，一部分是对策略的预处理，另一部分是对措施的预处理。策略是系统一致性分析的基准，对于策略的处理，首先是根据lex和yacc的语法分析，得到对于每一类动作处理的数据包范围。对相应的主体、客体进行精确化。

(2)措施预处理部分要略微复杂于步骤(1)中策略的预处理。因为在策略转换为措施后，一条策略可能会生成多条措施。但得到的措施集在基本结构上是相同的，少数不同的地方存在于不同措施部署的具体节点不一致或者同一名词所指代的具体实例IP不同，策略中把放置的节点称之为组织机构，措施沿用了这一名词。因此，首先要确定设备所管理的保护域，然后剔除掉无关的配置规则，并将其规定的动作所处理的数据包范围提取出来。

(3)可满足性表达式生成与验证部分是一致性分析的主体内容，通过SMT描述语言描述的语法，将步骤(1)、步骤(2)生成的各类动作的数据包范围表达成逻辑表达式，并对应到相应的安全设备上。SMT工具与SAT工具一样都是用来解决命题逻辑可满足问题。但不同的是，SAT工具仅仅能解决只包含布尔变量的逻辑命题。而根据特定理论和逻辑，SMT可以解决更为广泛的命题逻辑问题，这些问题可以包含整数变量，实数类型的变量，只需将得到的含有整数变量或者实数变量的逻辑命题交给SMT工具求解即可。在这里选取Yices作为逻辑公式求解工具。可以方便的将数据包范围转化为整数形式的逻辑表达式，从而利用成熟的满足性验证工具遍历所有的数据包范围，并得到措施是否存在冗余或缺失。

(4)错误跟踪部分主要完成两个方面的工作。①定位不一致发生的位置。在步骤(3)中可满足表达式产生了可满足解，便可确定在此处产生了缺失或冗余。②构造数据包反例。由于SMT求解器仅能给出一个满足表达式的数据包元组，这并不足以指导管理员对不一致进行改进。因此通过合并表达式中的最小项，达到构造出反例的数据包范围，找出所有的不一致数据包范围。

所述步骤(1)中的一条CND策略包括组织机构、角色、活动、视图、上下文、措施元素。