The invention discloses a rule mapping method for security control strategy of inter-network interconnection, which belongs to the field of network security. Firstly, after mapping the subnet name to the subnet segment in the object mapping database, the strategy is edited and the security control strategy is generated; the lexical analysis module reads the security control strategy, sends it to the grammar analysis module to identify keywords, generates the corresponding phrases to perform the reading operation, fills in the corresponding nodes, and generates the corresponding specific AST; the semantic analysis module generates the subnet. Names are mapped to segment values, replacing the content of specific AST subnet name nodes to generate AST with semantics; security rule paradigm matching module transforms AST with semantics into security rules in XML form; security rule generator transforms security rules in XML form into executable rules code or commands to complete the mapping. The invention solves the problems of difficult configuration, maintenance, control and comprehension of rules for business staff, and realizes a simple and effective management mode.
【技术实现步骤摘要】
一种网间互联安全控制策略规则映射方法
本专利技术属于网络安全领域,具体是一种网间互联安全控制策略规则映射方法。
技术介绍
现有天地一体化网络军民共用,但是网络安全域差异化大,导致网间互联安全控制难度大。通过网间互联安全控制策略达到细粒度安全保护和防御是一种有效的手段。而网间互联安全控制策略是基于人的认知、风险评估和脆弱性分析而设计的,并没有联系到具体的设备、设备形态、软件以及数据等能够操作的层面,为了落实网间互联安全控制策略具体到可以操作的规则,需要提出有效智能的、自动从网间互联安全控制策略到控制规则的映射方法。各类网络服务与控制策略日益复杂化,与其相对应的策略与规则也层出不穷。如何完成策略与规则的映射及管理是网络安全业务的一个关键任务。规则引擎系统便是完成业务逻辑与规则快速变换的理想方案,它将业务逻辑的表达与执行相分离,业务逻辑以业务规则的形式表示,业务流程以业务规则的执行来完成,使业务逻辑的改变不会相应引起系统本身的修改,从而满足业务快速调整的实际需求。业务规则是各种决策被有效执行的系统保障。但是目前对业务规则的管理还存在一些亟待改进和优化之处,如业务规则与系统功能硬绑定,业务规则多而杂,业务规则描述自由、不统一。这种管理方式会导致一系列的问题,如难配置、难维护、难扩展、难定制、难复用、难管控和难理解等。
技术实现思路
本专利技术针对网间互联的实际需求,并考虑上述难点和痛点,提出了一种网间互联安全控制策略规则映射方法;应用于天地一体化网络信息安全保障体系,能够支撑网间互联细粒度安全控制,具有实现从安全控制策略到安全规则的自动映射。具体步骤如下:步骤一、构建...
【技术保护点】
1.一种网间互联安全控制策略规则映射方法,其特征在于,具体步骤如下:步骤一、构建映射处理体系架构,从上到下依次分布表现层、映射匹配层和规则生成层;表现层包括策略编辑模块和状态反馈两个模块;映射匹配层对表现层的安全控制策略进行语义分析及映射,并将安全控制策略转化为XML形式的安全规则;具体包括:词法分析模块,语法分析模块,对象映射数据库,语义分析模块及安全规则范式匹配模块;规则生成层包含一个安全规则生成器,将XML形式的安全规则转化为一条或多条可执行的规则代码或命令;步骤二、在映射匹配层的对象映射数据库中完成子网名称到子网网段的映射;步骤三、业务工作人员在表现层的策略编辑模块的界面进行策略编辑,编辑好后生成待部署的安全控制策略;步骤四、词法分析模块以字符流的形式读取待部署的安全控制策略,将字符序列转换为单词序列,发送到语法分析模块;步骤五、语法分析模块识别单词序列中的关键词,依据自定义的安全控制策略语法将符合该语法的关键词生成对应的短语;同时依据自定义的AST结构对短语执行读取操作,将读取到的内容填入自定义的AST结构中对应的节点,从而生成对应的具体AST;步骤六、语义分析模块根据对象映...
【技术特征摘要】
1.一种网间互联安全控制策略规则映射方法,其特征在于,具体步骤如下:步骤一、构建映射处理体系架构,从上到下依次分布表现层、映射匹配层和规则生成层;表现层包括策略编辑模块和状态反馈两个模块;映射匹配层对表现层的安全控制策略进行语义分析及映射,并将安全控制策略转化为XML形式的安全规则;具体包括:词法分析模块,语法分析模块,对象映射数据库,语义分析模块及安全规则范式匹配模块;规则生成层包含一个安全规则生成器,将XML形式的安全规则转化为一条或多条可执行的规则代码或命令;步骤二、在映射匹配层的对象映射数据库中完成子网名称到子网网段的映射;步骤三、业务工作人员在表现层的策略编辑模块的界面进行策略编辑,编辑好后生成待部署的安全控制策略;步骤四、词法分析模块以字符流的形式读取待部署的安全控制策略,将字符序列转换为单词序列,发送到语法分析模块;步骤五、语法分析模块识别单词序列中的关键词,依据自定义的安全控制策略语法将符合该语法的关键词生成对应的短语;同时依据自定义的AST结构对短语执行读取操作,将读取到的内容填入自定义的AST结构中对应的节点,从而生成对应的具体AST;步骤六、语义分析模块根据对象映射数据库中建立的映射将子网名称映射成网段值,替换具体AST中子网名称节点的内容,然后审查各节点内容是否符合规范性,如果是,则生成最终的带有语义的AST,执行步骤七,否则,向状态反馈模块发送异常信息,执行步骤八;步骤七、安全规则范式匹配模块通过读取最终带有语义的AST节点的内容,将最终带有语义的AST转化为XML形式的安全规则,若匹配成功则执行步骤九,若失败则发送反馈消息给状态反馈模块,执行步骤八;步骤八、状态反馈模块对收到的反馈消息进行处理,提示业务工作人员,返回步骤三对待部署的安全控制策略重新编辑;步骤九、规则生成层的安全规则生成器根据具体应用场景需要提供的规则服务,将XML形式的安全规则转化为一条或多条可执行的规则代码或命令,若成功则完成待部署的安全控制策略到规则的映射,否则发送反馈消息给反馈模块,执行步骤八。2.如权利要求1所述的一种网间互联安全控制策略规则映射方法,其特征在于,所述的表现层中,策略编辑模块是指:首先,自定义一套符合巴科斯范式的安全控制策略语法,业务员编辑符合该语法的安全控制策略;状态反馈对无法完成映射的安全控制策略进行错误提示。3.如权利要求1所述的一种网间互联安全控制策略规则映射方法,其特征在于,所述的映射匹配层中,词法分析模块对安全控制策略以字符流的形式进行扫描,根据构词规则识别单词和符号,生成单词序列;语法分析模块是指:首先,根据自定义的安全控制策略语法生成自定义的抽象语法树AST的结构...
【专利技术属性】
技术研发人员:陆月明,陈小雨,罗雪婷,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。