一种基于分类的访问控制列表冲突检测系统及方法技术方案

本发明专利技术公开了基于分类的访问控制列表冲突检测系统，基于该系统的方法为：实时收集网络拓扑结构，并将网络拓扑结构建模保存；设定关键路径，实时收集网络拓扑结构中关键路径上的网络设备访问控制策略信息，并解析访问控制策略信息；对解析后的访问控制策略信息进行分类，得到可能存在冲突的访问控制策略信息表；对可能存在冲突的访问控制策略信息表进行冲突检测，得到冲突检测结果。本发明专利技术可以收集用户指定的管理区域中关键路径相关设备的访问控制列表信息，解析访问控制列表信息，并且按照指定的结构存储起来，访问控制策略进行冲突检测。

【技术实现步骤摘要】
一种基于分类的访问控制列表冲突检测系统及方法
本专利技术属于网络通讯安全领域，具体涉及一种基于分类的访问控制列表冲突检测系统方法。
技术介绍
在网络技术日益发展的信息时代，网络已经成为了人们生活和工作的重要组成部分。而随着网络规模的不断扩大，很容易出现非法攻击、信息泄露、病毒入侵等安全问题，一旦这些安全问题发生，就可能给我们造成巨大的损失。所以，目前网络安全问题也变得越来越重要。访问控制列表通过在路由器的接口上控制是否转发或阻止数据包来过滤网络流量。路由器检查每个数据包并基于访问列表中指定的规则来决定是否转发或丢弃这个包。访问控制列表可以为网络访问提供一个基础层次的安全性。而为了使访问控制列表可以发挥基础层次安全性的作用，需要对访问控制列表进行分析，能够检测访问控制列表之间的冲突，使数据包能够正常的转发。目前，对冲突检测冲突的研究有基于空间的分离算法、基于XACML的策略冲突检测、基于Ponder语言的冲突检测方法。但是这些方法需要对规则进行两两之间的顺序比较，时间复杂度比较高。为了降低规则之间的比较次数，本专利技术采用分类的方式，根据规则的不同维度对访问控制策略进行分类，将可能产生冲突的策略归于一类，以减少策略之间的比较次数。面对现在复杂的网络环境，网络设备之间是相互联系的，单纯地检测单台网络设备内部访问控制列表的冲突已经毫无意义，因为设备之间访问控制列表的冲突会使某些访问控制规则失效，从而影响报文的正常转发。
技术实现思路
针对现有技术中的上述不足，本专利技术提供的一种基于分类的访问控制列表冲突检测系统及方法解决了现有技术中存在的问题。为了达到上述专利技术目的，本专利技术采用的技术方案为：一种基于分类的访问控制列表冲突检测系统，包括访问控制分析装置和若干网络设备，所述访问控制分析装置分别与若干网络设备连接；所述访问控制分析装置用于网络设备访问控制信息获取模块、网络拓扑收集模块、网络关键路径管理模块、访问控制策略分析与检测模块以及网络关键路径访问控制策略冲突检测模块。进一步地，所述网络设备访问控制信息模块用于实时收集网络设备上的访问控制策略信息，解析每条访问控制策略信息，按照源地址、目的地址、源端口号、目的端口号以及协议类型保存；所述网络拓扑收集模块用于实时自动收集网络拓扑结构，将收集的网络拓扑结构建模并保存；所述网络关键路径管理模块用于设定重点关注的关键路径，将关键路径中相关的网络设备以及接口保存；所述访问控制策略分析与检测模块用于根据需要进行冲突检测的访问控制列表集合，采用贪心算法并选择局部最优属性对访问控制列表集合进行分类，直至访问控制列表不能被分割或者没有可以分割的属性；所述网络关键路径访问控制策略冲突检测模块用于获得与关键路径相关的网络设备及接口的访问控制列表信息，调用访问控制策略分析与检测进行网络关键路径访问控制策略的冲突检测。本专利技术的有益效果为：(1)本专利技术提供了一种基于分类的访问控制列表冲突检测系统，可以对网络设备的访问控制信息进行分类，并检测冲突，保证了网络安全。(2)本专利技术有效地减少了比较次数，提高了系统的检测效率，节约了工作时间。一种使用基于分类的访问控制列表冲突检测系统的方法，包括以下步骤：S1、实时收集网络拓扑结构，并将网络拓扑结构建模保存；S2、设定关键路径，实时收集网络拓扑结构中关键路径上的网络设备访问控制策略信息，并解析访问控制策略信息；S3、对解析后的访问控制策略信息进行分类，得到可能存在冲突的访问控制策略信息表；S4、对可能存在冲突的访问控制策略信息表进行冲突检测，得到冲突检测结果。进一步地，所述步骤S2中访问控制策略信息的解析结果包括源地址、目的地址、源端口号、目的端口号和协议类型；所述源地址、目的地址、源端口号和目的端口号为连续属性，所述协议类型为离散属性。进一步地，所述步骤S3包括以下分步骤：S3.1、分别设定源地址分类范围、目的地址分类范围、源端口号分类范围和目的端口号分类范围；S3.2、分别以源地址分类范围、目的地址分类范围、源端口号分类范围、目的端口号分类范围和协议类型进行分类，获取分类结果；S3.3、选取分类最平均的分类结果作为最终分类结果；S3.4、判断最终分类结果中是否存在只有一条访问控制策略信息的类别，若是，则判定该类别中访问控制策略信息不存在冲突；否则判断该类别中访问控制策略信息存在冲突，获取可能存在冲突的访问控制策略信息表。进一步地，所述步骤S3.2获取分类结果的具体方法为：S3.2.1、通过贪心算法并以每个分割属性进行分类，选取分类最平均的结果进行下一次分类；S3.2.2、重复步骤S3.2.1直至不能分类，得到分类结果；所述分割属性包括源地址、目的地址、源端口号、目的端口号和协议类型；所述分割属性的分类方法具体为：以源地址分类范围、目的地址分类范围、源端口号分类范围或目的端口号分类范围对访问控制策略信息集合进行分类，获取分类结果；将访问控制策略信息集合按协议类型进行分类，获取分类结果。进一步地，所述步骤S4包括以下步骤：S4.1、判断可能存在冲突的访问控制策略信息表中两两策略间是否存在属性区间重叠，若是，则进入步骤S4.2，否则对应的两条策略不存在冲突；S4.2、判断属性区间重叠的两条策略动作是否相同，若是，则两条策略不存在冲突，否则两条策略存在冲突。本专利技术的有益效果为：(1)本专利技术提供的基于分类的访问控制列表冲突检测方法，高效快捷，计算量低，提高了冲突检测的效率，保证了网络安全。(2)本专利技术可以收集用户指定的管理区域中关键路径相关设备的访问控制列表信息，解析访问控制列表信息，并且按照指定的结构存储起来，访问控制策略进行冲突检测。(3)本装置可以配置设备的访问控制规则，并在规则下发前，检测待下发的规则是否与设备中已存在的规则相冲突。(4)本专利技术将待下发的规则匹配到相应的以关键路径为索引的冲突检测分类结果中去，根据分类规则将待下发的访问控制规则划分到叶子节点中，再进行冲突检测，提高了冲突检测的效率。附图说明图1为本专利技术提出的一种基于分类的访问控制列表冲突检测系统示意图。图2为本专利技术提出的一种基于分类的访问控制列表冲突检测方法流程图。具体实施方式下面对本专利技术的具体实施方式进行描述，以便于本
的技术人员理解本专利技术，但应该清楚，本专利技术不限于具体实施方式的范围，对本
的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本专利技术的精神和范围内，这些变化是显而易见的，一切利用本专利技术构思的专利技术创造均在保护之列。下面结合附图详细说明本专利技术的实施例。如图1所示，一种基于分类的访问控制列表冲突检测系统，包括访问控制分析装置和若干网络设备，所述访问控制分析装置分别与若干网络设备连接；所述访问控制分析装置用于网络设备访问控制信息获取模块、网本文档来自技高网...

【技术保护点】
1.一种基于分类的访问控制列表冲突检测系统，其特征在于，包括访问控制分析装置和若干网络设备，所述访问控制分析装置分别与若干网络设备连接；/n所述访问控制分析装置用于网络设备访问控制信息获取模块、网络拓扑收集模块、网络关键路径管理模块、访问控制策略分析与检测模块以及网络关键路径访问控制策略冲突检测模块。/n

【技术特征摘要】
1.一种基于分类的访问控制列表冲突检测系统，其特征在于，包括访问控制分析装置和若干网络设备，所述访问控制分析装置分别与若干网络设备连接；
所述访问控制分析装置用于网络设备访问控制信息获取模块、网络拓扑收集模块、网络关键路径管理模块、访问控制策略分析与检测模块以及网络关键路径访问控制策略冲突检测模块。


2.根据权利要求1所述的基于分类的访问控制列表冲突检测系统，其特征在于，所述网络设备访问控制信息模块用于实时收集网络设备上的访问控制策略信息，解析每条访问控制策略信息，按照源地址、目的地址、源端口号、目的端口号以及协议类型保存；
所述网络拓扑收集模块用于实时自动收集网络拓扑结构，将收集的网络拓扑结构建模并保存；
所述网络关键路径管理模块用于设定重点关注的关键路径，将关键路径中相关的网络设备以及接口保存；
所述访问控制策略分析与检测模块用于根据需要进行冲突检测的访问控制列表集合，采用贪心算法并选择局部最优属性对访问控制列表集合进行分类，直至访问控制列表不能被分割或者没有可以分割的属性；
所述网络关键路径访问控制策略冲突检测模块用于获得与关键路径相关的网络设备及接口的访问控制列表信息，调用访问控制策略分析与检测进行网络关键路径访问控制策略的冲突检测。


3.一种使用如权利要求1所述基于分类的访问控制列表冲突检测系统的方法，其特征在于，包括以下步骤：
S1、实时收集网络拓扑结构，并将网络拓扑结构建模保存；
S2、设定关键路径，实时收集网络拓扑结构中关键路径上的网络设备访问控制策略信息，并解析访问控制策略信息；
S3、对解析后的访问控制策略信息进行分类，得到可能存在冲突的访问控制策略信息表；
S4、对可能存在冲突的访问控制策略信息表进行冲突检测，得到冲突检测结果。


4.根据权利要求3所述基于分类的访问控制列表冲突检测系统的方法，其特征在于，所述步骤S2中访问控制策略信息的解析结果包括...

【专利技术属性】
技术研发人员：詹晋川，陈江婷，张理阳，张淼，王箭，
申请(专利权)人：深圳市风云实业有限公司，
类型：发明
国别省市：广东;44