【技术实现步骤摘要】
本专利技术涉及一种,属于计算机网络安全
,涉及到面向计算机网络防御中的策略配置问题,并把冲突检测的思想从防火墙规则等网络安全设备的低级描述扩展到CND策略这种高层描述上。
技术介绍
近年来,随着计算机科技的不断发展网络呈现大规模分布式的特点,系统中所需配置的策略和策略配置人员的数量将增多,随之而来的是网络防御策略的维护难度逐渐加大,在策略的配置过程中极易产生冲突,影响整个系统的安全性。策略通过管理员,或者自动配置软件,转化为防御设备上的规则。目前的自动配置软件,机械执行策略到防御规则的转化,如果策略中存在冲突,只要策略语法上正确,自动配置软件仍然会执行,那么自动配置软件无法发现策略语义上的冲突,从而导致网络中存在着隐含的访问路径或隐含的拒绝访问的路径,造成隐私泄漏或阻止合法通信等严重后果。管理员进行策略到防御规则的转化,由于策略的规模、策略的语义复杂的相互作用等原因,也存在此问题。因此,从提高系统的安全性和保障系统运行效率高效性方面,在策略实施之前进行策略的冲突检测就显得尤为重要。首先,已有许多研究人员对策略规则冲突分析这一问题进行了大量的研究,取得了不少...
【技术保护点】
计算机网络防御策略的冲突检测系统,其特征在于包括:文件读取与结果显示模块、策略预处理模块、策略语义建模模块和策略冲突检测模块,其中:文件读取与结果显示模块:负责读取输入文件,并输出结果;输入为CND策略描述文件和CND初始策略本体文件,输出为冲突检测报告;另外,在系统中还维护一个防御策略信息库,防御策略信息库用于存贮策略元组语义映射信息及策略元组的直接包含信息等,以便分析策略元组之间的包含关系,防御策略信息库在具体设计实现上采用SQL?Server数据库管理软件来实现,策略元组语义映射信息和策略元组的直接包含信息分别对应不同的数据表;策略预处理模块:负责对输入的CND策略描...
【技术特征摘要】
1.计算机网络防御策略的冲突检测系统,其特征在于包括文件读取与结果显示模块、策略预处理模块、策略语义建模模块和策略冲突检测模块,其中文件读取与结果显不1旲块负责读取输入文件,并输出结果;输入为CND束略描述文件和CND初始策略本体文件,输出为冲突检测报告;另外,在系统中还维护一个防御策略信息库,防御策略信息库用于存贮策略元组语义映射信息及策略元组的直接包含信息等,以便分析策略元组之间的包含关系,防御策略信息库在具体设计实现上采用SQL Server数据库管理软件来实现,策略元组语义映射信息和策略元组的直接包含信息分别对应不同的数据表;策略预处理模块负责对输入的CND策略描述文件进行解析,生成CND策略有序集作为输出;所述策略解析过程具体会按照CND策略描述语言的语法格式解析CND策略描述文件中的每一条策略,一条策略或者一个策略元组是由组织机构、角色、活动、视图、上下文和措施6个元素构成;策略语义建模模块完成对CND策略语义的建模工作,其中为三个子模块初始策略本体导入子模块负责导入OWL语言描述的CND初始策略本体文件并解析;策略实例加载子模块负责加载策略预处理模块生成的CND策略有序集,经转换后形成本地策略本体;而后通过策略元组语义映射子模块,判断策略元组之间的关系,最终构建CND策略语义模型;策略冲突检测模块完成针对CND策略有序集的冲突检测功能;首先,在构建的CND策略语义模型基础上,生成策略各个元组关系的有向图,判定元组之间关系;其次,根据策略中各个对应元组间的关系,遍历生成的策略元组关系有向图,从而分析出策略间的关系 ’最后,根据策略之间的关系及比对策略措施是否矛盾的情况就可分析出策略冲突及所属类型。2.计算机网络防御策略的冲突检测方法,其特征在于步骤如下(1)对输入CND策略描述文件进行解析,解析出每条策略中的组织机构、角色、活动、视图、上下文和措施等元素,生成CND策略有序集;(2)导入OWL语言描述的CND初始策略本体文件并解析出初始策略本体,其中CND初始策略本体文件是采用本体语言OWL来描述的,采用本体技术来描述可使得策略冲突检测中的概念与概念、概念与对象、对象与对象之间的关系更加明确,将大大减少对问题域中概念和逻辑关系可能造成的误解;CND初始策略本...
【专利技术属性】
技术研发人员:夏春和,罗杨,魏昭,李亚卓,梁晓艳,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。