一種網(wǎng)絡(luò)安全規(guī)則沖突分析與簡(jiǎn)化方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,具體地,涉及一種網(wǎng)絡(luò)安全規(guī)則沖突分析與簡(jiǎn)化方法。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)技術(shù)的普及,網(wǎng)絡(luò)安全越來(lái)越受到各國(guó)的重視,尤其在廣泛應(yīng)用自動(dòng)化 設(shè)備的工業(yè)領(lǐng)域,工業(yè)控制網(wǎng)絡(luò)安全已經(jīng)提高到戰(zhàn)略高度。網(wǎng)絡(luò)設(shè)備之間通過(guò)一個(gè)或多個(gè) 網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)傳輸,如IEC104、Modbus、Profinet、MMS等。安全規(guī)則是一種重要的保護(hù) 網(wǎng)絡(luò)安全的方式。通過(guò)在安全保護(hù)設(shè)備上部署和實(shí)施安全規(guī)則,可以有效強(qiáng)化不同設(shè)備的 權(quán)限、阻止非法操作、防止信息泄漏。
[0003] 安全規(guī)則由一系列規(guī)則項(xiàng)組成,每一個(gè)規(guī)則項(xiàng)包括屬性和應(yīng)對(duì)措施,其中屬性包 括:
[0004] 源地址,其用來(lái)描述數(shù)據(jù)包的來(lái)源,其可以是某個(gè)單個(gè)設(shè)備的地址(IP地 址,MAC地址,主機(jī)名稱(chēng)等等),也可以是一系列設(shè)備地址的集合(192. 168. 2.X, [10. 0. 10. 1, 10. 2. 3. 4]);
[0005] 目標(biāo)地址,類(lèi)似于源地址,目標(biāo)地址用來(lái)描述數(shù)據(jù)包的目的地;以及
[0006] 規(guī)則細(xì)節(jié),即規(guī)則的詳細(xì)信息,這些信息詳盡的描述了數(shù)據(jù)包的特征,例如【協(xié)議 =Modbus,功能碼=3】。
[0007] 所述應(yīng)對(duì)措施是當(dāng)數(shù)據(jù)包信息和源地址、目標(biāo)地址、規(guī)則細(xì)節(jié)相匹配時(shí),應(yīng)該實(shí)行 的應(yīng)對(duì)措施。這類(lèi)措施包括:阻止該數(shù)據(jù)包通過(guò)、允許該數(shù)據(jù)包通過(guò)、允許但是向用戶(hù)報(bào)警 等等。
[0008] 安全保護(hù)設(shè)備依次逐條將安全規(guī)則項(xiàng)與所檢查的數(shù)據(jù)包進(jìn)行匹配。一旦發(fā)現(xiàn)正確 匹配,則按照規(guī)則項(xiàng)中的應(yīng)對(duì)措施處理該數(shù)據(jù)包。所有次序在匹配項(xiàng)以后的安全規(guī)則項(xiàng)則 會(huì)被忽略。
[0009] 如果一個(gè)數(shù)據(jù)包可以匹配不止一個(gè)規(guī)則項(xiàng),那么規(guī)則項(xiàng)之間就會(huì)存在沖突。值得 注意的是,規(guī)則項(xiàng)之間的沖突并不會(huì)影響規(guī)則的實(shí)施,由于規(guī)則項(xiàng)與數(shù)據(jù)包是有序匹配的, 一個(gè)數(shù)據(jù)包最終只會(huì)和次序靠前的規(guī)則項(xiàng)相匹配。規(guī)則項(xiàng)之間的沖突對(duì)用戶(hù)安全規(guī)則管理 帶來(lái)許多負(fù)面影響,在擁有很多安全規(guī)則的系統(tǒng)中,不必要的規(guī)則項(xiàng)會(huì)增加安全保護(hù)設(shè)備 的負(fù)載,也使規(guī)則之間的邏輯關(guān)系更加復(fù)雜并難以管理。
[0010] 實(shí)際應(yīng)用過(guò)程中,規(guī)則項(xiàng)之間的沖突不可避免。例如許多防火墻的規(guī)則設(shè)計(jì)中都 定義的默認(rèn)應(yīng)對(duì)措施。當(dāng)數(shù)據(jù)包和所有規(guī)則項(xiàng)都不匹配時(shí),安全系統(tǒng)使用默認(rèn)的設(shè)置來(lái)處 理該數(shù)據(jù)包。事實(shí)上,這種默認(rèn)的規(guī)則和所有的規(guī)則項(xiàng)都有沖突。
【發(fā)明內(nèi)容】
[0011] 為了克服現(xiàn)有技術(shù)的缺陷與不足,本發(fā)明的目的是提供一種網(wǎng)絡(luò)安全規(guī)則沖突分 析與簡(jiǎn)化方法,基于安全規(guī)則的針對(duì)設(shè)備和規(guī)則的詳細(xì)內(nèi)容,分析規(guī)則項(xiàng)之間的關(guān)系,對(duì)規(guī) 則沖突提供報(bào)警,同時(shí)對(duì)無(wú)用的規(guī)則項(xiàng)自動(dòng)刪除。本發(fā)明的網(wǎng)絡(luò)安全規(guī)則沖突分析與簡(jiǎn)化 方法的具體步驟如下:
[0012] 步驟a:定義安全規(guī)則項(xiàng)之間相同屬性的邏輯關(guān)系;
[0013] 步驟b:根據(jù)安全規(guī)則項(xiàng)之間各屬性的邏輯關(guān)系確定安全規(guī)則項(xiàng)屬性的總體邏輯 關(guān)系;
[0014] 步驟c:根據(jù)應(yīng)對(duì)措施定義規(guī)則項(xiàng)之間的沖突關(guān)系;
[0015] 步驟d:簡(jiǎn)化規(guī)則,不改變?cè)家?guī)則執(zhí)行效果的基礎(chǔ)上,除去無(wú)效的安全規(guī)則項(xiàng);
[0016] 步驟e:對(duì)規(guī)則沖突提供報(bào)警。
[0017] 優(yōu)選地,步驟a中,所述安全規(guī)則項(xiàng)之間各屬性的邏輯關(guān)系為:
[0018] 等同,被比較的規(guī)則屬性完全相同;
[0019] 包含,被比較的規(guī)則屬性前者嚴(yán)格包含后者,同時(shí)不是所述的等同關(guān)系;
[0020] 被包含,被比較的規(guī)則屬性后者嚴(yán)格包含前者,同時(shí)不是所述的等同關(guān)系;
[0021] 相交,被比較的規(guī)則屬性之間交集不為空,同時(shí)不是所述的等同、包含或被包含關(guān) 系;
[0022] 獨(dú)立,被比較的規(guī)則屬性之間沒(méi)有交集。
[0023] 優(yōu)選地,步驟b中,所述定義安全規(guī)則項(xiàng)屬性的總體邏輯關(guān)系的步驟如下:
[0024] 1)兩規(guī)則項(xiàng)的所有屬性之間的邏輯關(guān)系均為等同,則兩規(guī)則項(xiàng)屬性的整體邏輯關(guān) 系為等同;
[0025] 2)如果不滿(mǎn)足上述1)所述的條件,并且兩規(guī)則項(xiàng)之間的某個(gè)屬性的邏輯關(guān)系為 獨(dú)立,則兩規(guī)則項(xiàng)屬性的整體邏輯關(guān)系為獨(dú)立;
[0026] 3)如果不滿(mǎn)足上述1)、2)所述的條件,并且兩規(guī)則項(xiàng)的所有屬性之間的邏輯關(guān)系 為等同或包含,則兩規(guī)則項(xiàng)屬性的整體邏輯關(guān)系為包含;
[0027] 4)如果不滿(mǎn)足上述1)、2)和3)所述的條件,并且兩規(guī)則項(xiàng)的所有屬性之間的邏輯 關(guān)系為等同或被包含,則兩規(guī)則項(xiàng)屬性的整體邏輯關(guān)系為被包含;
[0028]5)如果不滿(mǎn)足上述任一條件,則兩規(guī)則項(xiàng)屬性的整體邏輯關(guān)系為相交。
[0029] 優(yōu)選地,步驟c中,兩個(gè)規(guī)則項(xiàng)之間的沖突方式取決于應(yīng)對(duì)措施的比較,所述沖突 方式包括以下兩種:
[0030] 重復(fù),指兩個(gè)規(guī)則項(xiàng)的應(yīng)對(duì)措施相同;
[0031] 矛盾,指兩個(gè)規(guī)則項(xiàng)的應(yīng)對(duì)措施不同。
[0032] 優(yōu)選地,步驟d中,規(guī)則簡(jiǎn)化的基本思想為,對(duì)于每個(gè)規(guī)則項(xiàng),只提供保留與移出 兩個(gè)選項(xiàng),對(duì)于以先后順序被執(zhí)行的兩個(gè)規(guī)則項(xiàng)gi,gj:
[0033] 如果兩規(guī)則項(xiàng)屬性的整體邏輯關(guān)系為gi包含或等于&,將沒(méi)有機(jī)會(huì)執(zhí)行&,則應(yīng) 該刪除gj;
[0034] 如果兩規(guī)則項(xiàng)屬性的整體邏輯關(guān)系&包含gi,并且兩者之間不存在與gi相關(guān)并矛 盾的規(guī)則項(xiàng),則gj可以取代gi,應(yīng)該刪除gi ;
[0035] 否則保留兩規(guī)則項(xiàng)。
[0036] 更優(yōu)選地,所述的相關(guān)是指,安全規(guī)則項(xiàng)屬性的總體關(guān)系為等同、包含、被包含或 相交。
[0037] 本發(fā)明的方法支持網(wǎng)絡(luò)安全中深層數(shù)據(jù)包詳細(xì)信息的分析,同時(shí)還支持安全規(guī)則 項(xiàng)之間的復(fù)雜邏輯關(guān)系分析。用戶(hù)通過(guò)分析的結(jié)果可以方便的理解復(fù)雜規(guī)則項(xiàng)之間的關(guān) 系,提高了安全規(guī)則的易用性。根據(jù)規(guī)則項(xiàng)之間的沖突關(guān)系簡(jiǎn)化用戶(hù)的安全規(guī)則,減少不必 要的規(guī)則項(xiàng)數(shù)量,降低安全保護(hù)設(shè)備的負(fù)載,提高網(wǎng)絡(luò)系統(tǒng)的茁壯性。
【附圖說(shuō)明】
[0038] 圖1為本發(fā)明安全規(guī)則的分析方法流程圖;
[0039] 圖2是本發(fā)明安全規(guī)則的簡(jiǎn)化方法流程圖。
【具體實(shí)施方式】
[0040] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,下面結(jié)合附圖及實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明,并不 用于限定本發(fā)明。
[0041] 本發(fā)明利用規(guī)則項(xiàng)中相同屬性之間的邏輯關(guān)系,自動(dòng)分析每一規(guī)則項(xiàng)與其他規(guī)則 項(xiàng)的沖突方式。同時(shí)自動(dòng)解決部分沖突。
[0042] 如圖1所示,規(guī)則沖突分析方法流程為:
[0043] 輸入:用戶(hù)規(guī)則G=[gpg2,g3, ? ? ?gm];
[0044] 輸出:規(guī)則沖突列表CT=[ctpct2,ct3,…];
[0045] gi為規(guī)則項(xiàng)i,包含源地址以),目標(biāo)地址隊(duì)),規(guī)則細(xì)節(jié)取)和應(yīng)對(duì)措施(A)。
[0046] 叫為沖突i,包含被比較規(guī)則項(xiàng)%),比較規(guī)則項(xiàng)(隊(duì)),規(guī)則屬性之間的邏輯關(guān)系 (RAi;j),以及沖突方式(Ti;J)。
[0047] 步驟一:定義規(guī)則項(xiàng)屬性的總體邏輯關(guān)系
[0048] 規(guī)則項(xiàng)之間相同屬性的邏輯關(guān)系為以下五種:
[0049] 等同,被比較的規(guī)則屬性完全相同,例如,兩個(gè)規(guī)則有完全相同的源地址(與地址 次序無(wú)關(guān));
[0050] 包含,被比較的規(guī)則屬性前者嚴(yán)格包含后者,同時(shí)不是上述的等同關(guān)系,例如, 【192. 168. 1.X】包含【192. 168. 1. 1 】;
[0051] 被包含,與包含相反,被比較的規(guī)則屬性后者嚴(yán)格包含前者,同時(shí)不是上述的等同 關(guān)系;
[0052] 相交,被比較的規(guī)則屬性的交集不為空,同時(shí)不是上述的等同、包含或被包含關(guān) 系;
[00