開(kāi)放園區(qū)網(wǎng)可信運(yùn)行保障體系關(guān)鍵技術(shù)研究.pdf

1、開(kāi)放園區(qū)網(wǎng)可信運(yùn)行保障體系是基于可信網(wǎng)絡(luò)的思想提出的，是對(duì)可信網(wǎng)絡(luò)接入的擴(kuò)展，目標(biāo)是通過(guò)對(duì)園區(qū)網(wǎng)中已有的可網(wǎng)管的聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)安全產(chǎn)品以及網(wǎng)絡(luò)管理子系統(tǒng)和網(wǎng)絡(luò)安全子系統(tǒng)進(jìn)行有效地整合和管理，實(shí)現(xiàn)在整個(gè)園區(qū)網(wǎng)的范圍內(nèi)對(duì)異常網(wǎng)絡(luò)事件進(jìn)行快速地判定和響應(yīng)，從而全面提高園區(qū)網(wǎng)的可用性和可控性。 園區(qū)網(wǎng)可信運(yùn)行保障體系需要突破的三個(gè)關(guān)鍵技術(shù)是：網(wǎng)絡(luò)狀態(tài)感知和異常行為挖掘、異常定位和威脅程度評(píng)估、自動(dòng)控制策略響應(yīng)。為保證實(shí)用性，這三個(gè)關(guān)鍵技

2、術(shù)的解決要滿(mǎn)足下列條件：其一是必須能夠提供對(duì)網(wǎng)絡(luò)的持續(xù)感知和控制能力；其二是對(duì)網(wǎng)絡(luò)狀態(tài)的感知立足于挖掘從當(dāng)前聯(lián)網(wǎng)設(shè)備上收集到的運(yùn)行數(shù)據(jù)；其三是在對(duì)安全響應(yīng)問(wèn)題上必須立足于當(dāng)前聯(lián)網(wǎng)設(shè)備的控制能力；其四是整個(gè)過(guò)程可以自動(dòng)進(jìn)行，也可以人工參與。 論文首先分析了園區(qū)網(wǎng)可信運(yùn)行保障體系面臨的各種技術(shù)問(wèn)題和管理問(wèn)題，提出了可信運(yùn)行保障體系，給出了該體系的組成和相關(guān)的功能要求?；趯?duì)目前工業(yè)界和學(xué)術(shù)界研究成果的分析，提出了通過(guò)分析網(wǎng)絡(luò)流數(shù)據(jù)來(lái)

3、感知網(wǎng)絡(luò)運(yùn)行狀態(tài)的思路——基于網(wǎng)絡(luò)流行為來(lái)分析和診斷異常網(wǎng)絡(luò)流。將網(wǎng)絡(luò)流使用的協(xié)議作為網(wǎng)絡(luò)流行為模式研究和分類(lèi)的主要因素之一，歸納出網(wǎng)絡(luò)通信的十四種網(wǎng)絡(luò)流行為模式，并引入了組合特征值分布的概念(帶寬分布、流數(shù)量分布、包數(shù)量分布)來(lái)對(duì)網(wǎng)絡(luò)流行為進(jìn)行定性和量化描述。一方面突破了以往工作中主要研究網(wǎng)絡(luò)流特征的不確定性，改而研究網(wǎng)絡(luò)流特征的確定性；另一方面，引入的三個(gè)組合特征值分布，將網(wǎng)絡(luò)流的容量特性和概率分布特性結(jié)合起來(lái)，使研究結(jié)果不僅適用于

4、檢測(cè)容量異常的網(wǎng)絡(luò)流行為，還適用于容量特性正常但概率分布異常的網(wǎng)絡(luò)流行為，擴(kuò)大了檢測(cè)范圍，提高了適應(yīng)性。 異常威脅評(píng)估是可信運(yùn)行保障體系的一個(gè)關(guān)鍵環(huán)節(jié)，既要考慮園區(qū)網(wǎng)動(dòng)態(tài)運(yùn)行的特點(diǎn)和當(dāng)前的狀態(tài)，還要考慮實(shí)際可操作性。根據(jù)園區(qū)網(wǎng)網(wǎng)絡(luò)管理經(jīng)驗(yàn)，網(wǎng)絡(luò)帶寬擁塞和網(wǎng)絡(luò)設(shè)備資源耗盡是造成網(wǎng)絡(luò)不可用的主要原因，確定了五大類(lèi)威脅評(píng)估因素：網(wǎng)絡(luò)流的帶寬分布、網(wǎng)絡(luò)流的流數(shù)量分布、網(wǎng)絡(luò)流的包數(shù)量分布、關(guān)聯(lián)網(wǎng)絡(luò)設(shè)備的CPU利用率和內(nèi)存利用率。構(gòu)造了一個(gè)

5、貝葉斯網(wǎng)絡(luò)模型來(lái)評(píng)估異常行為網(wǎng)絡(luò)流對(duì)網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備資源帶來(lái)的影響。貝葉斯邏輯在數(shù)學(xué)上的可靠性使該模型成為一種描述人類(lèi)思維推理過(guò)程的標(biāo)準(zhǔn)模型，同時(shí)貝葉斯概率的特點(diǎn)不僅使評(píng)估模型能夠反映評(píng)估的連續(xù)性和累積性這兩個(gè)重要特征，還能夠在評(píng)估過(guò)程中將網(wǎng)管人員的推理模式定量地反映出來(lái)，能夠比較準(zhǔn)確地反映威脅源的真實(shí)威脅等級(jí)。自動(dòng)控制策略響應(yīng)要解決的幾個(gè)主要問(wèn)題是：根據(jù)威脅評(píng)估結(jié)果自動(dòng)生成控制策略對(duì)異常網(wǎng)絡(luò)流行為進(jìn)行控制；將網(wǎng)絡(luò)控制策略自動(dòng)地部署到

6、具體的網(wǎng)絡(luò)設(shè)備上執(zhí)行；系統(tǒng)自動(dòng)生成的策略必須能夠在各科，不同的網(wǎng)絡(luò)設(shè)備上執(zhí)行。本文設(shè)計(jì)了一種不依賴(lài)于網(wǎng)絡(luò)設(shè)備，但又接近于網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)的統(tǒng)一策略描述語(yǔ)言，同時(shí)根據(jù)網(wǎng)絡(luò)設(shè)備的控制能力設(shè)計(jì)了三大類(lèi)控制策略規(guī)則：限流策略、ACL阻斷和關(guān)閉端口。統(tǒng)一策略描述語(yǔ)言包含網(wǎng)絡(luò)設(shè)備訪(fǎng)問(wèn)控制所需的各種數(shù)據(jù)，能夠方便地轉(zhuǎn)化成不同廠(chǎng)商、不同設(shè)備的訪(fǎng)問(wèn)控制列表。由自動(dòng)策略生成機(jī)制依據(jù)威脅等級(jí)和策略執(zhí)行點(diǎn)設(shè)備的具體控制能力生成統(tǒng)一格式描述的策略，在策略的具體部署過(guò)

7、程中，由策略部署機(jī)制在部署之前將統(tǒng)一描述的策略規(guī)則轉(zhuǎn)換成具體設(shè)備的策略配置命令。策略的格式轉(zhuǎn)換采用XML技術(shù)來(lái)實(shí)現(xiàn)。將統(tǒng)一描述的策略規(guī)則和具體設(shè)備的策略命令都用XML文件來(lái)描述，并事先用XML文檔描述園區(qū)網(wǎng)上各種聯(lián)網(wǎng)設(shè)備的各類(lèi)策略配置命令格式與統(tǒng)一策略規(guī)則之間的對(duì)應(yīng)關(guān)系，利用XSLT技術(shù)就可將統(tǒng)一描述的策略規(guī)則轉(zhuǎn)換成設(shè)備具體的配置命令。增加新的設(shè)備，只需要編寫(xiě)新的XML文檔，即可實(shí)現(xiàn)策略規(guī)則到策略配置命令的轉(zhuǎn)換。本文提出的方法完全解決了