【摘要】：防火墻是最廣泛部署的安全機(jī)制之一,其有效性取決于網(wǎng)絡(luò)過濾策略的配置。如今,防火墻策略異常檢測與處理技術(shù)已經(jīng)普遍應(yīng)用于現(xiàn)實場景中。在防火墻中存在異常策略時,系統(tǒng)會對異常策略進(jìn)行風(fēng)險評估并自動化解決沖突。該技術(shù)的應(yīng)用大大提高了防火墻的穩(wěn)定性和安全性。在互聯(lián)網(wǎng)的高速發(fā)展的形勢下,對防火墻的安全性要求不斷提高,防火墻策略異常檢測與處理技術(shù)成為一個研究熱點(diǎn)。由于防火墻中的策略數(shù)量十分龐大,策略之間的關(guān)系十分復(fù)雜,依靠人工手段解決沖突基本是不可能的。因此,人們逐漸采用自動化的技術(shù)來處理異常�，F(xiàn)在的異常檢測技術(shù)已經(jīng)可以準(zhǔn)確的檢測出異常策略,但是異常處理的效果仍然不盡如人意。當(dāng)評估一條異常規(guī)則的動作存在偏差時,往往會導(dǎo)致多條規(guī)則異常。與此同時,在檢測與處理方法的效率上也亟待提高。在以往的方法中,處理異常通常采取分治的方法,將規(guī)則集合劃分為多個子集,每個子集包含幾十乃至上百條規(guī)則,隨后進(jìn)行風(fēng)險評估從而處理子集中的異常。這種方式在評估出現(xiàn)偏差時會造成規(guī)則影響域變小,產(chǎn)生嚴(yán)重的安全漏洞。同時,在過去的方法中評估異常處理效果的標(biāo)準(zhǔn)過于寬松,無法準(zhǔn)確的評估方法的處理效果導(dǎo)致處理后的規(guī)則沖突仍然比較嚴(yán)重。為了解決上述問題,本文中我們設(shè)計了高效的異常檢測算法用于檢測異常規(guī)則并保留有效信息,提出了基于異常域的異常處理算法,利用異常檢測算法保存的有效信息來優(yōu)化后續(xù)的異常處理過程。我們首先將規(guī)則的異常域保存標(biāo)記,而后在異常處理階段構(gòu)建風(fēng)險評估模型來評估異常域的風(fēng)險等級,并針對模型參數(shù)進(jìn)行優(yōu)化,從而提高異常處理的準(zhǔn)確率,同時利用檢測階段保存的有效信息,加快異常處理的進(jìn)程,提高處理效率,并在不影響其他策略的前提下處理異常規(guī)則,提高系統(tǒng)的穩(wěn)定性和可維護(hù)性。我們與Hongxin Hu,Haris等人的方法進(jìn)行了對比實驗,實驗結(jié)果表明本文方法顯著的降低了異常域的影響范圍,驗證了本文方法的優(yōu)越性。
[Abstract]:Firewall is one of the most widely deployed security mechanisms, and its effectiveness depends on the configuration of network filtering policies. Nowadays, firewall policy anomaly detection and processing technology has been widely used in real world. When an exception policy exists in a firewall, the system assesses the risk of the exception policy and automates conflict resolution. The application of this technology greatly improves the stability and security of the firewall. With the rapid development of Internet, the security requirements of firewall are increasing constantly, and firewall policy anomaly detection and processing technology has become a hot research topic. Because the number of policies in firewall is very large and the relationship between policies is very complex, it is impossible to solve conflicts by manual means. As a result, people are gradually using automated technology to handle exceptions. At present, the anomaly detection technology can detect the anomaly strategy accurately, but the effect of exception handling is still not satisfactory. When there is a deviation in the evaluation of an exception rule, it often results in multiple rule anomalies. At the same time, the efficiency of detection and processing methods also need to be improved. In previous methods, the rule set is divided into several subsets, each subset contains dozens or even hundreds of rules, and then risk assessment is carried out to deal with the exceptions in the subset. This approach can result in a smaller rule impact domain and a serious security vulnerability when there is a bias in the assessment. At the same time, the criteria for evaluating the effect of exception handling in the past methods are too loose, and the rule conflicts after processing are still serious due to the inability to accurately evaluate the effect of the methods. In order to solve the above problems, we design an efficient anomaly detection algorithm to detect anomaly rules and retain valid information, and propose an exception handling algorithm based on anomaly domain. The efficient information saved by the anomaly detection algorithm is used to optimize the subsequent exception handling process. We first store the exception domain marker of the rule, and then construct a risk assessment model in the exception handling phase to evaluate the risk level of the anomaly domain, and optimize the model parameters to improve the accuracy of exception handling. At the same time, the effective information stored in the detection phase is used to speed up the process of exception handling, improve the processing efficiency, and deal with the exception rules without affecting other strategies, so as to improve the stability and maintainability of the system. Compared with Hongxin Hu,Haris 's method, the experimental results show that this method can significantly reduce the influence range of the anomaly domain, and verify the superiority of the proposed method.
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 王衛(wèi)平;陳文惠;李哲鵬;陳華平;;防火墻策略不一致性檢測算法[J];中國科學(xué)院研究生院學(xué)報;2007年03期

2 劉軍軍;梁建武;;一種基于決策樹的防火墻策略描述方法[J];微計算機(jī)信息;2008年33期

3 ;好磚砌牢墻——談防火墻策略[J];每周電腦報;1996年01期

4 ;如何讓你的網(wǎng)絡(luò)更安全[J];信息安全與通信保密;2004年09期

5 蔣俊鋒;陳兵;葛廣超;;嵌入式防火墻策略分發(fā)機(jī)制的研究[J];儀器儀表用戶;2006年01期

6 張文蘭,孫忠;網(wǎng)絡(luò)規(guī)劃中防火墻策略與設(shè)置[J];中國西部科技;2003年05期

7 賀武征;;理解ISA Server 2004規(guī)則的構(gòu)建和理解[J];科學(xué)大眾(科學(xué)教育);2013年05期

8 胡斌彥;;一體化網(wǎng)關(guān)式防火墻策略設(shè)置分析[J];中國教育技術(shù)裝備;2009年27期

9 狄春江;;淺析ISA SERVER 2004訪問規(guī)則策略[J];計算機(jī)與網(wǎng)絡(luò);2007年01期

10 岳紅超;;智能化推動網(wǎng)絡(luò)安全控制的精細(xì)化管理[J];中國金融電腦;2013年11期

相關(guān)會議論文 前5條

1 楊波;王海洋;董繼潤;;基于復(fù)合事件規(guī)則的主動數(shù)據(jù)庫動態(tài)分析模型[A];第十六屆全國數(shù)據(jù)庫學(xué)術(shù)會議論文集[C];1999年

2 陳文亮;朱靖波;呂學(xué)強(qiáng);姚天順;;詞性標(biāo)注規(guī)則的獲取和優(yōu)化[A];第一屆學(xué)生計算語言學(xué)研討會論文集[C];2002年

3 左維松;昝紅英;張坤麗;吳云芳;;規(guī)則和統(tǒng)計相結(jié)合的情感分析研究[A];第五屆全國信息檢索學(xué)術(shù)會議論文集[C];2009年

4 海然;謝小權(quán);;基于多要素融合的風(fēng)險評估模型的設(shè)計[A];全國計算機(jī)安全學(xué)術(shù)交流會論文集（第二十二卷）[C];2007年

5 薛曄;黃崇福;;自然災(zāi)害風(fēng)險評估模型的研究進(jìn)展[A];中國災(zāi)害防御協(xié)會風(fēng)險分析專業(yè)委員會第二屆年會論文集（二）[C];2006年

相關(guān)重要報紙文章 前8條

1 沈生;防火墻并非萬全之策[N];中國計算機(jī)報;2003年

2 《網(wǎng)絡(luò)世界》評測實驗室 董培欣;核心防護(hù) 萬兆安全[N];網(wǎng)絡(luò)世界;2009年

3 陳偉康;用ISA 2004凈化企業(yè)辦公環(huán)境[N];中國電腦教育報;2005年

4 雅慧;分支機(jī)構(gòu)同樣要安全[N];中國計算機(jī)報;2003年

5 《網(wǎng)絡(luò)世界》評測實驗室 董培欣;防火墻的“高富帥”[N];網(wǎng)絡(luò)世界;2012年

6 ;讓我們的網(wǎng)絡(luò)更安全[N];中國電腦教育報;2004年

7 ;保障網(wǎng)絡(luò)內(nèi)外安全連接[N];網(wǎng)絡(luò)世界;2003年

8 本報記者 姜姝;真相:剛需Wi-Fi為何在高校不好用?[N];中國信息化周報;2014年

相關(guān)博士學(xué)位論文 前6條

1 楊永福;“規(guī)則”的分析與建構(gòu)：制度的社會網(wǎng)絡(luò)基礎(chǔ)[D];武漢理工大學(xué);2003年

2 齊慶磊;軟件定義網(wǎng)絡(luò)中規(guī)則管理關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2017年

3 郭凱;最優(yōu)利率規(guī)則：一般理論與應(yīng)用[D];東北財經(jīng)大學(xué);2007年

4 戴明;長三角地區(qū)船聯(lián)網(wǎng)信息感知與交互關(guān)鍵技術(shù)研究[D];長安大學(xué);2016年

5 張萬軍;基于大數(shù)據(jù)的個人信用風(fēng)險評估模型研究[D];對外經(jīng)濟(jì)貿(mào)易大學(xué);2016年

6 熊偉;基于空間ECA模型的空間數(shù)據(jù)庫主動規(guī)則技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2005年

相關(guān)碩士學(xué)位論文 前10條

1 劉軍軍;基于決策樹的防火墻策略算法研究[D];中南大學(xué);2009年

2 肖淇;云環(huán)境下防火墻策略沖突檢測及消解方法研究[D];湖南大學(xué);2013年

3 王薇;狀態(tài)防火墻策略查詢技術(shù)研究[D];湖南大學(xué);2011年

4 孫立琴;防火墻策略沖突檢測及可視化[D];上海交通大學(xué);2011年

5 范光遠(yuǎn);防火墻策略配置審計系統(tǒng)審計方案的分析與設(shè)計[D];北京郵電大學(xué);2013年

6 李曉靜;Ponder語言研究及在防火墻策略管理中的應(yīng)用[D];解放軍信息工程大學(xué);2005年

7 張左敏;自穩(wěn)定型入侵檢測響應(yīng)系統(tǒng)[D];山東大學(xué);2008年

8 伍要田;網(wǎng)絡(luò)可達(dá)性測試及其工具的研究與實現(xiàn)[D];湖南大學(xué);2012年

9 楊澤雪;主動規(guī)則的終止性分析[D];哈爾濱理工大學(xué);2006年

10 潘R，

本文編號：2444603