[发明专利]计算机网络防御策略的转换一致性验证方法

摘要

计算机网络防御(CND)策略的转换一致性验证方法，步骤为：(1)首先进行策略预处理：对输入的策略描述文件和拓扑描述文件，利用lex/yacc工具生成的词法解析器和语法解析器对其进行解析，得到对于每一类动作处理的数据包范围。对相应的主体、客体进行精确化；(2)再进行措施预处理：对输入的措施描述文件，利用lex/yacc工具生成的词法解析器和语法解析器对其进行解析，确定设备所管理的保护域，然后剔除掉无关的配置规则，并将其规定的动作所处理的数据包范围提取出来；(3)将各类动作的数据包范围表达成逻辑表达式，并对应到相应的安全设备上。利用命题逻辑可满足性判定工具Yices进行求解，遍历所有的数据包范围，得到措施是否存在冗余或缺失。

主权项

计算机网络防御策略的转换一致性验证方法，其特征在于步骤如下：(1)在数据预处理部分，利用Lex、Yacc自动解析CNDPSL(CND Policy Specification Language，计算机网络防御策略描述语言)描述的策略文件和DMDL(防御措施描述语言)描述的措施文件，能够解析出保护型策略、检测型策略和响应型策略以及保护型措施、检测型措施和响应型措施，其中，策略文件中存放着多条策略，措施文件中存放着多条措施；(2)提取步骤(1)中的策略和措施的行为语义，并得出各类行为的数据域元组，并能够给出策略和措施的数据域元组的结构示意图；(3)通过步骤(2)得到策略和措施不同行为的数据域元组之后，能够根据得到策略和措施的数据域元组生成可满足性表达式，输入到SMT(Satisfiability Modular Theory，可满足性模理论)判定工具Yices中，根据模型中定义的可靠性和完备性两个方面来验证一致性；(4)若在步骤(3)中检测出不一致，则进入错误跟踪阶段，这时将采用数据包发生器通过发送与数据域元组对应的数据包，观察数据是否的确是在策略中声明，而在措施中未配置，从而验证一致性分析系统的正确性，并且能够基于策略，给出不满足一致性的措施反例及改进意见。