【技术实现步骤摘要】
一种面向网络访问控制的规则描述方法及构建方法、介质
本专利技术属于网络安全领域,涉及一种面向网络访问控制的规则描述方法及构建方法、介质。
技术介绍
近年来,随着各类技术的发展,网络安全形势的日益严峻,企业、组织对于内部网络访问控制的需求十分强烈。在入侵检测场景,为了避免内部用户访问有风险的网站,如钓鱼网站、挂马网站,会通过建立黑名单等方式,禁止对该类网站的访问。在数据防泄漏场景,为了避免企业重要数据被内部人员或攻击者窃取,也会采用访问控制技术防止该问题。目前对网络访问行为进行描述有两类方法,一类是基于属性标注的,如基于角色(RBAC)或任务授权(TBAC)。另一类是基于网络行为特征的,其中SNORT规则得到的应用最为广泛。但是随着规则的日趋复杂,规则中存在大量的重复规则,比如一组恶意的IP地址重复出现在多个SNORT规则中,会影响规则的执行效率,也不利于维护。
技术实现思路
针对现有技术中存在的技术问题,本专利技术的目的在于提供一种面向网络访问控制的规则描述方法及构建方法、介质。基于本专利技术描述的规则,可以实现高效、精确、灵活的访问控制,本专利技术的规则描述模型简称 ...
【技术保护点】
1.一种面向网络访问控制的规则描述方法,其特征在于,每一规则包括域配置、分组配置和编译配置三个层次;其中,域配置用来描述所要匹配的网络行为;分组配置包括若干域配置,即描述所要匹配的网络行为的集合;编译配置用来描述流量符合所述分组配置所描述的网络行为时所采取的策略。
【技术特征摘要】
1.一种面向网络访问控制的规则描述方法,其特征在于,每一规则包括域配置、分组配置和编译配置三个层次;其中,域配置用来描述所要匹配的网络行为;分组配置包括若干域配置,即描述所要匹配的网络行为的集合;编译配置用来描述流量符合所述分组配置所描述的网络行为时所采取的策略。2.如权利要求1所述的规则描述方法,其特征在于,同一规则包括若干所述域配置,同一所述域配置只属于一个所述分组配置;同一所述分组配置允许在多个不同所述编译配置中复用。3.如权利要求1或2所述的规则描述方法,其特征在于,所述分组配置中的多个域配置为“或”关系,所述编译配置中的域配置分组之间是“与”或者是“非”关系。4.如权利要求1所述的规则描述方法,其特征在于,所述域配置为网络传输协议或网络传输数据的设定字段。5.如权利要求1所述的规则描述方法,其特征在于,所述域配置r的描述信息包括:匹配位置、域类型和匹配内容。6.如权利要求5所述的规则描述方法,其特征在于,所...
【专利技术属性】
技术研发人员:刘庆云,郑超,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。