防火墙规则的泛化方法译文

1、防火墙规则的泛化方法摘要-现代防火墙越来越复杂，并且在他们的规则集中可能存在着异常。安全日志数据，比如防火墙日志和由入侵检测系统生成的日志，可以为已有的防火墙规则集的更新和添加提供有效信息。在这篇文章里，我们将着重介绍防火墙规则生成中一种有效机制的发展，并提出一种称为特殊域名规则生成算法（DSRG）的计算程序。该算法集成域特定的网络配置信息以帮助基于安全日志数据防火墙规则的泛化。这些广义的规则能够有助于异常检测或者被用做已有规则集的添加项。关键词：规则泛化，防火墙，安全、引言防火墙是一种在网络流量中作为边界滤波技术广泛使用的流行安全机制。防火墙基本上是以规则为基础的访问控制系统，处理基于组织安

2、全政策的网络流量的输入和输出。虽然过去的几十年里防火墙的基础机制并没有发生变化，但是由于网络流量的复杂性和攻击不断增加，防火墙规则在范围和管理两方面更加复杂。2009年一项近期研究表明今天的防火墙规则集可能包括上千种规则。管理规则对于很多大的机构来说是复杂的、易出错的、代价高的。在这篇文章中，我们将着重介绍防火墙规则泛化中的一种有效机制的发展。在许多机构里，有必要采取一种规则集使之能够有效并及时反映近期的网络流量模式。许多情况下，仅仅依赖内部进程而与实际网络配置数据无关的这种规则集是不能得以发展的。造成的后果是即使采用规则优化技术，防火墙规则集可能会过时、配置不当、结果不一致。这项研究是基于假

3、设正确的网络配置和安全日志在包级别（比如：从入侵检测系统、系统事件或网络流量日志中获取到的）提供必要的附加信息以助于当前防火墙规则集的一致性和异常检查。此方法不是为了替换全部防火墙规则集，而是更倾向于为使规则集成为最新的而使用附加信息修改现有规则集。研究重点是涉及到防火墙规则泛化问题。 已经有使用机器学习和数据挖掘方法来处理规则泛化问题的方法，该研究是扩展过滤规则生成方法（FRG），它是在防火墙日志中基于聚集算法生成防火墙规则中最小数的方法2。过滤规则泛化方法的问题是它提供的是一种粗略泛化技术。尽管这种泛化可能是正确的因为该泛化是基于有限的网络日志数据（注意对于任一种防火墙系统观测所有合法的和

4、不合法的网络流量几乎是不可能的），在很多情况下这种泛化是不正确的。在我们的方法中，我们提出了根据如网络管理员这样的领域专家分配的参数来泛化防火墙规则。该方法被称为特定域名规则泛化方法（DSRG）。在该方法中，泛化为终端用户提供交互式进程去调试基于感知的网络特性的参数，会更有效。文章分为以下几个章节。第2节提供在文献上相关工作的简要概述。第3节是对FRG算法的评价，说明它不能很好的执行的原因。第4节介绍我们的特定域名规则泛化（DSRG）算法，以及一些相关论述。第6节介绍该研究的成果和未来工作。 相关工作 大量文献致力于防火墙规则的有效管理。研究课题的范围从实用方法如检测和解决规则异常3、4、5、

5、优化规则集6到正规方法验证防火墙规则的有效性7。防火墙规则集管理与基于签名的入侵检测系统也有一些相似之处，类似于已经使用的优化和泛化技术8、9、10。一些研究工作与我们密切相关。FRG算法是一种基于决策树的方法，适用于相同的防火墙规则泛化领域2。FRG和DSRG最大的区别是用于泛化的属性层次的定义。我们的方法是更细粒度的，可以根据网络的具体配置。我们使用一种不同的泛化机制，这种泛化机制与用于根源分析的入侵检测系统产生的警报泛化有一些相似之处9、10、。我们的方法和9、10中方法不同之处在于，我们研究的是不同（尽管相关）的问题区域并且网络属性的泛化层次有不同的定义。 基于过滤规则泛化（FRG）算

6、法的规则泛化 此节开始讲述规则泛化问题，介绍FRG算法。A、 规则泛化问题 防火墙中的基本组成部分是规则集，规则集实质上是一个用于执行访问控制策略的知识库。防火墙规则r可以定义如下： r:协议、命令、源IP、源端口、目的IP、目的端口执行 该规则的条件部分是一组条件属性。条件集合通常由6个元素组成，它对应于一个IP数据包报头，还表示这是否是输入输出流量的一部分。规则集通常是由若干规则组成。规则的执行部分通常是拒绝和允许，表示网络流量是否应该被允许在限定情况下传输2、4。许多情况下，通配符（例如，带有一个“*”标志或端口号域的一个IP地址代表“任何”）被广泛用于防火墙规则。例如，172.0.1.

7、*表示的IP地址的范围是到55.通配符以紧凑的方式提供了定义大量的相似防火墙规则的方法。另一种增加防火墙规则的表现是使用无类别域间路由代理（CIDR），它允许任意字长的前缀分配来分离IP地址的子网部分和主机部分。May 31 17:53:51 utd52075 kernel: ACCEPT_LOGIN=OUT=eth0 SRC=0 DST= LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=10849 DF PROTO=UDP 图1、Linux防火墙日志例子图1表示在Linux操作系统中的

8、防火墙日志例子。虽然实际的日志文件可能有所不同，但是它包括的方面基本上类似于防火墙规则中的那些方面。应当指出，由于防火墙规则的泛化，一台主机或一个网络的防火墙日志可用于另一台主机或另一个网络。同样，被用于基于签名的入侵检测系统（IDS）的规则集还包括和防火墙规则中一样的重要领域。现代的防火墙和IDS有时集成并称为入侵防御系统（IPS）。其结果是，一台主机的IDS规则可能被用于它的防火墙规则泛化，或可用于另一台主机或另一个网络的防火墙泛化。B、 过滤规则生成（FRG）算法过滤规则生成（FRG）算法是一种聚合技术生成的减少（广义上）从安全日志数据中获取的个人防火墙的规则集2。我们在上一节中提到的日

9、志文件中会生成一棵决策树，每一层或每一个分支表示一个属性（例如，命令、协议、源IP、源端口、目的IP、目的端口）。每个被检查分支和聚合的规则联合通用字符来获取与一些特殊规则匹配的超集2。决策树在文献中也被称为策略树11。 与FRG算法相关的重要挑战之一是IP地址与端口号的聚合。两种方法是为了IP地址的泛化而提出的。传统的方法中，FRG聚合尽可能多的通过足够长的时间的数据挖掘。不幸的是在这种环境下自定义是不明确的。在积极的聚合中，FRG用蛮力简化使用给定的日志数据。例如，IP地址为55和55在聚合方法中将被聚合成为*.*.*.*。保护方法要被限制的

10、更多，上述两个IP地址不能一概而论。对于端口号的聚合，FRG算法采用了类似方法。例如，它可以设置端口号的一层的范围是1-1023，1024-1999，2000-2999，在这些范围的任一类中将任一端口号聚合到它所属的层的范围内。一些关键的端口号（例如，那些被使用的重要的服务器。如SMTP或HTTP）可以预定义以避免过度泛化。需要注意的是，因为实际上不可能遵守所有的合法的和不合法的网络流量日志，一些泛化技术可能受到不准确的概括，更何况安全日志可能包含不正确的信息，如错误配置的防火墙规则、误报或不正确的日志。C、 与FRG相关的典型问题根据前面对FRG算法的描述，由于过分简化的泛化策略，显然是FR

11、G使用的泛化技术可能会获取到不正确的防火墙规则。可能出现的问题包括以下内容。注意，这里的术语“数据点”可以代表防火墙规则中的任一属性（IP地址、端口号或协议）。1） 过度泛化：一些少量的数据点被作为数据属性的整个范围进行泛化。这有可能发生在侵略性的聚合方法下。2） 少泛化：代表整个范围内数据的一些数据点不能被泛化，或是作为整个范围内的数据属性的子集被泛化。这些情况在保持聚合方法时发生。3） 错误泛化：几个数据点被泛化成数据字段中不正确的类。这可能发生在分层方式下的端口号泛化。所有的这些问题可以归因于缺少针对特定域的细粒度的泛化层次体系。如果防火墙规则是不正确的泛化，规则集可能是危险的，因为它们

12、可能允许不合法的网络流量在实际网络中进行传输。它们也可能通过阻止合法请求使正常的网络服务不能使用。这样的粗粒度过程设立防火墙时很难优于手动检查安全日志，更何况是帮助优化现有防火墙。以上提到的问题有几个关键原因。首先，FRG算法没有考虑特定域的信息，如其他的IP地址的内外分离、指定特殊端口号。其次，它没有考虑到泛化过程中的日志数据的概率分布。为了使方法更有效，在基于单个数据项的特定网络字段泛化之前，整体视图的泛化引擎应该聚集足够的网络日志数据。 特定域规则泛化（DSRG）方法 本节我们将FRG算法扩展为特定域规则泛化（DSRG）方法。规则泛化问题被视为在观察到的历史数据中基于特定域的知识和网络域

13、的分配，如在防火墙日志文件、IDS日志文件或网络包层次中的其他安全日志文件中看到的那些。它基于这样的假设，给定足够大的数据，可以充分覆盖可被获取的单个防火墙规则的层次泛化。我们开始讨论以下正式定义。A、 定义 由网络属性组成的防火墙规则被定义为集合A1,A2,.,An。用表1所示的例子，这些字段可以是协议、源IP地址、源端口、目的IP地址、目的端口，并且我们规定n=5。对于每一个Ai,当1in时，域Dom(Ai)被定义为Ai的一列可能值。由特定防火墙规则假定的Ai属性的值被定义为rAi.给定的属性Ai，泛化的属性概念可以根据像内网这种结构的特定域的知识通过对Ai的特殊值分组获得。例如，IP5和

14、IP6的IP地址可以泛化为在图2中被称为“WEB_SERVER”的概念。然后，我们可以定义General(Ai)为Ai泛化值的集，扩展域extDom(Ai)作为域组和泛化属性集。即和。可以表示为一棵单根的树Ti来表示泛化层次体系。泛化的防火墙规则是被提及的DRSG算法的最终产物。图表2显示了网络结构的例子以及它的泛化字段，如IP地址和端口号。值得注意的是在这种方法中，目的IP地址和源IP地址遵循同一泛化层次体系，源端口和目的端口也一样。对某些网络来说，我们可以通过区分这些网络属性来采用不同的策略。我们的方法重要特征之一是包含特定域的知识。其中一个例子是IP地址根据同一组织（图表2（a）和图表2

15、（b）展示的Dept1和Dept2）内不同的部门进行泛化的。有时，不同部门在网络中分配不同的保护优先级。因此，它们可能被分配不同的防火墙策略 。在端口号泛化中可以看到类似原则。例如， 一个组织可能选择使用VoIP 请求来使用端口号50605070。因此，这一范围的端口号应该与其他非特权端口号分开，如图2（c）所示。图2、网络体系和泛化层次B、 DSRG算法 根据4.2节给出的定义，现在我们可以给出距离度量的定义。在泛化层次Ti中的两个元素x和y的距离被表示为x和y同属一个祖先的最短距离。显然，树的根节点是所有节点的共同祖先。更正式地说，假设P表示x和y的一组共同的祖先。然后当pP时，dist(

16、x,y)=dist(x,p)+dist(y,p)。在本研究的范围内，x和y表示两个防火墙规则。距离度量可以由一个未加权法（x和y共享同一权的边）计算出，或者是我们在通过入侵检测系统10、11产生的聚类警报这样的类似研究结果中观察到的加权法（假设x和y之间的不同权的边）计算得出。距离度量可用于恰当的评估一组不同的防火墙规则。防火墙泛化问题的目的最终成为寻找最大限度的减少泛化规则及其子女间平均距离的树，与给定的最小树大小相同。警报聚类问题的经典形式已被证明是NP完备。它可以通过减少CLUQUE问题来证明。同样，规则泛化问题的一般形式也是NP完备。因此，我们扩展了以前的近似警报聚类算法并开发了我们的

17、DSRG算法，如图3所示。算法如下进行。它通过原来规则集中的所有规则并根据每个属性中已给定的泛化层次体系泛化这些规则。参数rcount表示多少个别规则成为一个泛化规则，表示每个规则群集的大小。这也意味着，两个规则距离度量的计算是基于未加权理论。1至3行是参数初始化。4至13行迭代检查簇的大小是否大于最小临界值。如果否，根据给定的顺序（第5行）选择一个属性。顺序可以根据领域专家认为的头字段的重要性来定义。例如，重要性可被定义为偏序>协议>命令>目的端口>源端口>源IP>目的IP，给定如2所示的一组属性协议，命令，目的端口，源端口，源IP，目的IP。第7行用他们

18、的父值替换Ti中所有规则的Ai值。如9至12行所示，如果步骤6到8产生相同的规则，那么原来的规则将被替换为更泛化的规则。13行往下，R中的所有规则在给定的临界值进行泛化，并输出结果。下面的例子显示了用DSRG算法泛化的一些防火墙规则。每个属性的泛化层次是基于图2中所给定的。这里我们有一个临界值3,。例子中，源端口号1234,2001,3001泛化为如图2（c）所示的称为“NON_PRIV”的预定义特定域类别。IP地址IP7，IP8，IP9泛化为称为“WEB_SERVER”预定义域，等等。在执行了该算法的参数count(Rule 1),count(Rule 2),count(Rule 3)后组合

19、成泛化规则的形式，用所有字段替换每个网络属性中正在使用着的泛化层次体系，形成一个新的规则。图4、规则泛化例子C、论述 在提出的DSRG算法中，有两个重要的参数需要领域专家的参与：每个属性的泛化层次体系和泛化临界值。泛化层次体系必须加以调整以适应网络的具体配置。说明数据的量的泛化层次体系被认为是“足够”泛化。在我们的方法里，对所有的网络属性采用单一参数。作为一个变量，我们可以对不同的网络属性有不同定义，并使用算法的方法泛化基于实际数据分布的网络属性9。加权理论也可以用于计算不同的属性的距离度量。在DSRG中，我们在泛化过程也采用网络属性静态偏序更重要的属性首先被泛化。在实施过程中，我们可以选择一

20、个更适合实际网络数据模式的动态策略。此外，DSRG可以为泛化过程集成更多的网络字段，如有效载荷数据。这样的过程与入侵警报泛化域的研究结果有相似之处。对于已有的防火墙权限，从DSRG算法中获取的结果可以用于异常检查或添加防火墙权限。在某些情况下，规则集可以用于网络或另一台主机的类似配置。例如，在图2中Dept1和Dept2中使用的权限可能会共享一些类似的安全权限。因此，他们的一些防火墙规则可以互相使用。我们提出的方法中另外一个潜在的应用领域是主动检查已有的防火墙规则。例如，网络管理员可能会问这样的问题“如果这些泛化的文件规则应用于我们的网络中会怎样？它们会有什么影响？”使用泛化技术，防火墙规则集

21、可能用一个更紧凑版本替换，防火墙引起的网络延迟可以减少。如本文前面所述，任何泛化技术均被个别域的层次体系所限制；当迭代泛化应终止时被停止标准限制。在更早的工作和我们的方法中可以清楚的看到这不是例外。目前为止，适合持续的网络流量模式的泛化层次的动态管理中的研究结果似乎很少。这个方向可能更有研究价值。 结论和未来工作 本文中，我们专注于防火墙规则泛化的有效机制的开发，提出一个算法称为特定域规则泛化（DSRG）算法。算法集成特定域网络配置信息以帮助基于安全日志数据的防火墙泛化。这些泛化规则可以帮助异常检查或被用作已有规则集的添加项。我们的未来工作包括DSRG内部参数的改进，其性能的评价基于现实世界的

22、网络数据。参考文献1 IDC Go-to-Market Services. The State of Todays Firewall Management Challenges. 2 K. Golnabi, R. K. Min, L. Khan, E. Al-Shaer, “Analysis of Firewall Policy Rules Using Data Mining Techniques,”. Proc. 10th IEEE/IFIP Network Operations and Management Symposium (NOMS 2006), pp. 305315. 3 H. H

23、u, G. Ahn, K. Kulkarni, “Detecting and Resolving Firewall Policy Anomalies, Dependable and Secure Computing,” IEEE Transactions on Dependable and Secure Computing, vol. 9, issue 3, 2012, pp. 318331. 4 S. Pozo, R. Ceballos, R. M. Gasca, “Fast Algorithms for Consistency-Based Diagnosis of Firewall Rul

24、e Sets,” Proc. Third International Conference on Availability, Reliability and Security (ARES 08), pp. 229236. 5 W. Li, “A Tree-Based Model for Firewall Policy Management,” Proc. ISCA First International Conference on Advanced Computing and Communications (ACC2010), Sept. 2010. 6 H. Hamed, E. Al-Sha

25、er, “Dynamic rule-ordering optimization for high-speed firewall filtering,” Proc. 2006 ACM Symposium on Information, computer and communications security (ASIACCS '06), pp. 332342. 7 A. X. Liu, “Formal Verification of Firewall Policies,” Proc. 2008 IEEE International Conference on Communications (ICC), Beiji