面向網(wǎng)絡(luò)安全管理的策略架構(gòu)及若干關(guān)鍵技術(shù)研究.pdf

1、基于策略的網(wǎng)絡(luò)安全管理通過策略機(jī)制提高管理系統(tǒng)的可伸縮性和靈活性，被認(rèn)為是解決大規(guī)模分布式系統(tǒng)安全問題最有希望的方法。當(dāng)前，IETF（Internet Engineering Task Force）提出的策略架構(gòu)被廣泛的研究和應(yīng)用，但應(yīng)用到網(wǎng)絡(luò)安全管理中仍存在一些不足，因此探討面向網(wǎng)絡(luò)安全管理的策略架構(gòu)及其相關(guān)技術(shù)具有重要的理論意義和現(xiàn)實(shí)意義。
　　 在分析IETF策略架構(gòu)以及網(wǎng)絡(luò)安全需求的基礎(chǔ)上，通過引入策略決策參考點(diǎn)、策略分

2、析工具和策略功能驗(yàn)證模塊來對IETF策略架構(gòu)進(jìn)行改進(jìn)，提出了一個用于網(wǎng)絡(luò)安全管理的策略架構(gòu)NSMPF（Policy Framework for Network Security Management）。說明了NSMPF中各個模塊的功能，給出了架構(gòu)的工作流程，建立了基于該架構(gòu)的網(wǎng)絡(luò)安全體系，并制定了能同時(shí)支持安全策略和管理策略的基于XML（eXtensible Markup Language）語言規(guī)范的策略描述方法。
　　 NSM

3、PF中的策略決策參考點(diǎn)使用GA-ARB（Genetic Algorithm for Anomaly Rule Base）算法生成異常規(guī)則庫，并提供給策略決策點(diǎn)參考。GA-ARB算法以標(biāo)準(zhǔn)遺傳算法為基礎(chǔ)，采用專家規(guī)則集作為初始種群，選取網(wǎng)絡(luò)連接中最能反映異常特征的22個屬性進(jìn)行染色體編碼，根據(jù)個體匹配種群中異常連接以及正常連接的個數(shù)來設(shè)定適應(yīng)度函數(shù)，并在子代的產(chǎn)生過程中采用最優(yōu)個體保留和標(biāo)識個體保護(hù)的方法來確保最優(yōu)解不丟失。分析了GA-A

4、RB算法的收斂性，以實(shí)驗(yàn)的方式對GA-ARB算法的性能進(jìn)行了分析。
　　 NSMPF中的策略分析工具采用策略代數(shù)描述Ponder語言中的授權(quán)策略、委托策略、職責(zé)策略和禁止策略。從策略各組成要素的角度出發(fā)，分析了策略條件間所有可能存在的關(guān)系，包括離散、相等、包含、部分包含和交叉等五種，并依據(jù)此關(guān)系將可能存在的沖突進(jìn)行了分類。在策略沖突消解上，主要采用設(shè)定優(yōu)先級的方法。除了常見的幾種優(yōu)先級設(shè)定原則，還提出了被包含策略優(yōu)先、新創(chuàng)建（修

5、改）策略優(yōu)先以及新加載策略優(yōu)先等沖突消解原則。此外，對某些特定的沖突類型，給出了基于策略代數(shù)的消解方法。
　　 在給出策略分層結(jié)構(gòu)及求精過程的前提下，描述了NSMPF中的策略功能驗(yàn)證機(jī)制。通過對新添加的安全策略分析求精，將其轉(zhuǎn)換成能夠在網(wǎng)絡(luò)設(shè)備上執(zhí)行的低級策略，并據(jù)此生成覆蓋策略各個方面的模擬測試數(shù)據(jù)。此外，采用地址空間分段技術(shù)來規(guī)劃測試數(shù)據(jù)的產(chǎn)生，保證了策略的所有決定路徑都能被測試到，同時(shí)也避免了窮舉測試和隨機(jī)測試的不足。