【技术实现步骤摘要】
一种基于云环境下的策略自适应控制方法
[0001]本专利技术属于云环境的信息安全领域,具体涉及一种基于云环境下的策略自适应控制方法。
技术介绍
[0002]云环境是指能够从动态虚拟化的资源池中向用户或者各种应用系统按需提供计算能力、存储能力或者虚拟机服务等的互联网或者大数据环境。
[0003]云环境设备主要指计算资源设备(cpu、内存等)、存储资源设备(数据库等)和网络资源设备(防火墙、数据中心交换机、vpn和路由器等)。
[0004]由于云环境的网络设备种类数量众多以及设备对应的策略规模庞大且复杂,人工手动对各个网络设备的权限分配工作变得日益复杂。如何实现高效、准确、动态且自适应地对云环境中网络设备的策略配置,进而实现对资源访问请求的动态控制,具有重要的实用意义和价值。而现有关于网络设备的研究只局限于单独的网络设备,并没有一种对多个网络设备的策略进行协同决策的方法。
技术实现思路
[0005]本专利技术的目的是为了高效、准确、动态且自适应地对云环境中网络设备的策略配置,而提出了一种基于云环境下的策略自适应控制方法方法。
[0006]一种基于云环境下的策略自适应控制方法具体过程为:
[0007]S1、从当前网络环境中获取三个网络设备的策略,即SELinux系统、防火墙设备、交换机设备的策略;
[0008]定义当前网络环境模型G、网络路径p、访问请求r、防火墙决策模型的决策结果以及多种策略协同决策模型M;
[0009]S2、将访问请求表示为访问请求r的形式...
【技术保护点】
【技术特征摘要】
1.一种基于云环境下的策略自适应控制方法,其特征在于:所述方法具体过程为:S1、从当前网络环境中获取三个网络设备的策略,即SELinux系统、防火墙设备、交换机设备的策略;定义当前网络环境模型G、网络路径p、访问请求r、防火墙决策模型的决策结果以及多种策略协同决策模型M;S2、将访问请求表示为访问请求r的形式,再按照r所涉及到的设备分解为多个子请求序列;S3、通过多种策略协同决策模型对子请求序列进行策略决策,得到当前访问子请求序列的最终的决策结果α,并在访问请求与得到的最终的决策结果α相异的情况下生成AV策略新规则、防火墙策略新规则和交换机策略新规则;所述多种策略协同决策模型为SELinux系统、防火墙设备与OpenFlow交换机设备;S4、将生成的AV策略新规则、防火墙策略新规则和交换机策略新规则与S21获取的SELinux系统、防火墙设备、交换机设备的策略对应的规则进行冲突检测,当无冲突时将新规则放入规则库中,当有冲突时对冲突进行消解,将消解后的新规则放入规则库中。2.根据权利要求1所述的一种基于云环境下的策略自适应控制方法,其特征在于:所述S1、从当前网络环境中获取三个网络设备的策略,即SELinux系统、防火墙设备、交换机设备的策略;定义当前网络环境模型G、网络路径p、访问请求r、防火墙决策模型的决策结果、交换机决策模型的决策结果以及多种策略协同决策模型M;具体过程为:定义当前网络环境模型G,G=(V,E),其中,V表示网络环境中设备节点的集合,E={(V,V)}表示节点V
→
V之间存在通信的连接集合,使用links函数表示与节点V存在连接的所有节点;定义网络路径p,p=(s,t,V
p
,E
p
),其中,s表示路径源节点,t表示路径目的节点,V
p
={v1,v2,
…
,v
k
}表示路径涉及到的节点集合,E
p
={(s,v1),(v1,v2),
…
,(v
k
,t)}表示节点之间网络连接的集合;v1表示路径中第一个节点,v
k
表示路径中第k个节点;定义访问请求r,r=(r1,r2…
r
n
),其中r1,r2…
r
n
是对当前访问请求的约束限制;SELinux系统的策略是AV策略文档中五元组规则;定义防火墙决策模型的规则为Match
f
→
Action
f
;Match
f
=(IP
sr
,IP
dest
,Port
sr
,Port
dest
,Protocol),其中,Match
f
是防火墙决策模型的规则的条件匹配域,即防火墙数据包过滤域,IP
sr
表示源IP地址;IP
dest
表示目的IP地址;Port
sr
表示源端口号;Port
dest
表示目的端口号;Protocol表示数据包的协议类型,包含TCP、UDP或ICMP;Action
f
={allow,deny},其中Action
f
为防火墙执行动作域,表示防火墙规则对匹配数据包执行的操作,取值有允许或者拒绝;定义交换机决策模型的规则为Match
j
→
Action
j
,Match
j
=(ingress,mac
sr
,mac
dest
,IP
sr
,IP
dest
,Port
sr
,Port
dest
,Protocol),其中,Match
j
表示交换机决策模型的规则的条件匹配域,即交换机数据包过滤域,ingress表示数据包流入端口,mac
sr
表示数据包源MAC地址,mac
dest
表示数据包目的MAC地
址;Action
j
={set
field
:n,output:port,drop},其中,Action
j
为交换机执行动作域,表示交换机规则对匹配数据包执行的操作,取值有修改、丢弃和转发;定义多种策略协同决策模型M,M=(r,p
st
,ca,α);其中,r是由数据包字段组成的访问请求,p
st
是由当前网络拓扑G中支持源节点到目标节点的路径集合,ca表示该访问请求所赋予的条件属性,α就是最终决策的结果,值为允许或拒绝。3.根据权利要求2所述的一种基于云环境下的策略自适应控制方法,其特征在于:所述S3、通过多种策略协同决策模型对子请求序列进行策略决策,得到当前访问子请求序列的最终的决策结果α;在访问请求与得到的最终的决策结果α相异的情况下生成AV策略新规则、防火墙策略新规则和交换机策略新规则;所述多种策略协同决策模型为SELinux系统、防火墙设备与OpenFlow交换机设备;具体过程为:S31、SELinux系统、防火墙设备与OpenFlow交换机设备分别对子请求序列进行访问控制决策,得三个匹配结果,当有一个不允许时,最终结果即为不允许;当都满足允许时,最终结果即为允许;表达式为:α:act1∧act2∧
…
∧act
n
→
{allow,deny},其中act
i
表示单个设备产生的决策结果,∧表示交集,deny表示否认;α表示最终的决策结果;S32、所述在访问请求与得到的最终的决策结果α相异的情况下生成AV策略新规则、防火墙策略新规则和交换机策略新规则;具体过程为:当管理员发现访问请求应该被允许,但最终的决策结果α为拒绝时,应该对拒绝访问请求的设备下发新的允许规则使拒绝访问请求的设备允许该访问请求;当管理员发现访问请求应该被拒绝时,但最终的决策结果α为允许,应该对允许访问请求的设备下发新的拒绝规则,使允许访问请求的设备拒绝该访问请求;所述下发新的允许规则或下发新的拒绝规则的具体过程为:将应该被允许或拒绝的授权与SELinux、防火墙、交换机设备的访问子请求中信息结合生成AV策略新规则、防火墙策略新规则和交换机策略新规则。4.根据权利要求3所述的一种基于云环境下的策略自适应控制方法,其特征在于:所述生成AV策略新规则具体过程为:A、从SELinux系统采集数据,形成规则库中的已知访问模式和未知访问模式;具体过程为:从SELinux系统中采集数据,即AV策略文档、审计日志、属性与类型映射文档以及类型与具体文件映射文档;对AV策略文档、审计日志、属性与类型映射文档以及类型与具体文件映射文档进行标准化处理;对经过标准化处理后的AV策略文档进行策略冲突检测与消解;所述标准化处理是先去噪,再转换成JSON格式;
若经过标准化处理后的AV策略文档检测后无冲突,则将无冲突的标准化处理后的AV策略文档放进规则库中的策略列表进行保存,并且无冲突的标准化处理后的AV策略文档与两种映射文档结合组成规则库中的已知访问模式;若经过标准化处理后的AV策略文档检测后有冲突,则对有冲突的标准化处理后的AV策略文档进行消解,将经过消解后的AV策略文档放进规则库中的策略列表进行保存,并且经过消解后的AV策略文档与两种映射文档结合组成规则库中的已知访问模式;经过标准化处理后的审计日志形成规则库中的未知访问模式;所述AV策略文档记录了主体对客体访问权的规则集;AV策略规则包括五个基本元素,即action、subject_domain、object_type、object_class、permissions;AV策略规则分为允许allow和不允许neverallow类型的AV策略规则;所述审计日志记录了被SELinux拒绝的访问请求,审计日志类型分为AVC和SYSCALL的日志条目;AVC为访问向量缓存;SYSCALL为系统调用;所述策略冲突检测方法即:直接冲突:处理主体、客体及操作均相同,但授权不同而产生的冲突;客体文件类别冲突:考虑客体类别之间的包含关系,但授权不同而产生的冲突;访问权限冲突:考虑访问权限之间的优先级关系,但授权不同而产生的冲突;主客体交叉冲突:不同的主体类型包含相同的文件,但授权不同而产生的冲突;间接读取未授权文件冲突:用户间接地调用其它程序,读取了没有权限读取的文件而产生的冲突;间接修改未授权文件冲突:用户间接地调用其它程序,修改了没有权限修改的文件而产生的冲突;间接调用未授权程序冲突:用户间接地调用其它程序,执行了没有权限的操作而产生的冲突;B、采用不同分类器和规则库中的已知访问模式对规则库中的未知访问模式进行分类,当大多数的分类器的分类结果相同,即都判断某一规则为允许或拒绝,则将该结果作为最终的分类结果输出,基于未知访问模式和未知访问模式的分类结果生成AV策略新规则。5.根据权利要求4所述的一种基于云环境下的策略自适应控制方法,其特征在于:所述B、采用不同分类器和规则库中的已知访问模式对规则库中的未知访问模式进行分类,当大多数的分类器的分类结果相同,即都判断某一规则为允许或拒绝,则将该结果作为最终的分类结果输出,基于未知访问模式和未知访问模式的分类结果生成AV策略新规则;具体过程为:PC
‑
NN分类器:当多个已知访问模式连接同一个新访问模式时,基于连接的已知邻居推断出新访问模式应该被允许还是被拒绝;P2R
‑
Gap分类器:如果最接近未知模式的已知模式规则的访问权限为允许,则将该未知模式视为良性;如果最接近未知模式的已知模式规则的访问权限为拒绝,则将该未知模式视为恶意的;如果计算出的未知模式和已知模式的策略规则之间的距离未达到分类的阈值,即不接近任一
授权类型的规则,则保持该未知模式为未分类状态;AP
‑
CM分类器:如果未知模式和已知模式同时出现,则可以用已知的模式来推断未知模式的分类;如果未知模式和已知模式不同时出现,则保持该未知模式为未分类状态;DT分类器:如果未知的访问控制策略找到匹配的已知的访问控制策略,即拥有相同的主体域类型,客体类型和客体类别,则根据已知模式来推断未知模式的分类;如果未找到匹配的已知的访问控制策略,则保持未分类状态;当大多数的分类器的分类结果相同,即都判断某一规则为允许或拒绝,则将该结果作为最终的计算结果输出,并基于分类结果生成AV策略新规则;所述基于分类结果生成AV策略新规则;具体过程为:未知访问模式的四个基本元素,即subject_domain、object_type、object_class、permissions;未知访问模式的四个基本元素与分类结果组成AV策略新规则的五元组;分类结果为1的规则被赋予肯定的授权,分类结果为
‑
1的规则被赋予否定的授权,分类结果为0的规则不能被添加到新规则集中。6.根据权利要求5所述的一种基于云环境下的策略自适应控制方法,...
【专利技术属性】
技术研发人员:李晋,倪靖,刘田宇,程建华,
申请(专利权)人:哈尔滨工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。