面向網(wǎng)絡安全管理的策略架構及若干關鍵技術研究.pdf

1、基于策略的網(wǎng)絡安全管理通過策略機制提高管理系統(tǒng)的可伸縮性和靈活性，被認為是解決大規(guī)模分布式系統(tǒng)安全問題最有希望的方法。當前，IETF（Internet Engineering Task Force）提出的策略架構被廣泛的研究和應用，但應用到網(wǎng)絡安全管理中仍存在一些不足，因此探討面向網(wǎng)絡安全管理的策略架構及其相關技術具有重要的理論意義和現(xiàn)實意義。
　　 在分析IETF策略架構以及網(wǎng)絡安全需求的基礎上，通過引入策略決策參考點、策略分

2、析工具和策略功能驗證模塊來對IETF策略架構進行改進，提出了一個用于網(wǎng)絡安全管理的策略架構NSMPF（Policy Framework for Network Security Management）。說明了NSMPF中各個模塊的功能，給出了架構的工作流程，建立了基于該架構的網(wǎng)絡安全體系，并制定了能同時支持安全策略和管理策略的基于XML（eXtensible Markup Language）語言規(guī)范的策略描述方法。
　　 NSM

3、PF中的策略決策參考點使用GA-ARB（Genetic Algorithm for Anomaly Rule Base）算法生成異常規(guī)則庫，并提供給策略決策點參考。GA-ARB算法以標準遺傳算法為基礎，采用專家規(guī)則集作為初始種群，選取網(wǎng)絡連接中最能反映異常特征的22個屬性進行染色體編碼，根據(jù)個體匹配種群中異常連接以及正常連接的個數(shù)來設定適應度函數(shù)，并在子代的產(chǎn)生過程中采用最優(yōu)個體保留和標識個體保護的方法來確保最優(yōu)解不丟失。分析了GA-A

4、RB算法的收斂性，以實驗的方式對GA-ARB算法的性能進行了分析。
　　 NSMPF中的策略分析工具采用策略代數(shù)描述Ponder語言中的授權策略、委托策略、職責策略和禁止策略。從策略各組成要素的角度出發(fā)，分析了策略條件間所有可能存在的關系，包括離散、相等、包含、部分包含和交叉等五種，并依據(jù)此關系將可能存在的沖突進行了分類。在策略沖突消解上，主要采用設定優(yōu)先級的方法。除了常見的幾種優(yōu)先級設定原則，還提出了被包含策略優(yōu)先、新創(chuàng)建（修

5、改）策略優(yōu)先以及新加載策略優(yōu)先等沖突消解原則。此外，對某些特定的沖突類型，給出了基于策略代數(shù)的消解方法。
　　 在給出策略分層結構及求精過程的前提下，描述了NSMPF中的策略功能驗證機制。通過對新添加的安全策略分析求精，將其轉換成能夠在網(wǎng)絡設備上執(zhí)行的低級策略，并據(jù)此生成覆蓋策略各個方面的模擬測試數(shù)據(jù)。此外，采用地址空間分段技術來規(guī)劃測試數(shù)據(jù)的產(chǎn)生，保證了策略的所有決定路徑都能被測試到，同時也避免了窮舉測試和隨機測試的不足。