网络安全联动系统中策略的分析与检测_图文

1、zp潞年9局 全国抗恶劣环境计算机第十八届学术年会论文集 中国r西安 网络安全联动系统中策略的分析与检测张焕.曹万华,张剑,冯 力(寺匡怒船重工集滋公蜀第,辨研究循,霸托武汉4374摘要:竹时网络安全联动系统中安全策略蟛约上日益复杂,数量不断增多所带糸.1幕略冲突、效率低下等问题,采用 形式忆分析的方法对安全联动防卫策略的完备性。一致性和冗余性进行了分析与捡别,初步形成了一套适用于网绔安 全联动防卫策略的分析与检测机制,同时给出了具体的策略完备性和一致性的检刻方法。在对冗余策略的处理中。提 出了一种基于信任度因子的最优策略选择算法。提出的安全策略分析与检测方法将为网络安全联动防卫策略管理打 下

2、坚实的理论基础,同时也在工程实践中具有较强的适用性和可操作性。关键词:安全策略;完备性;一致性;冗余性;信任度因子弓l言大规模网络环境中的网络安全联动系统.由于联 动设备的种类繁多、数量庞大、功能多样,使得安全策 略在制定和实篪时可能产生冗余、不一致和不完备等 问题。完备性的缺失可能使系统出现某些安全事件找 不到相应的响应策略的现象;一致性的缺失可能导致 策略在制定和实施过程中出现矛盾;策略冗余可能带 来策略集臃肿、复杂、系统运行效率低下等问题。由于 策略之问存在着千丝万缕的复杂关系,新的网络安全 事锌的掇告、安全策路懿至新和联动设备妨更螽等撵 作都可能影口向到系统的正常运行1。】。如果仅仅依

3、靠网络管理员人工完成对这些问题的 分析和检测,工作量将会非常庞大,特别是随着策略规 模的扩大,分析和检测的复杂程度将会急剧增长,使得 依靠人工来完成这项任务变得几乎不可行。因此,必 须建立一套完著的安全策略分析和检测机制.雏护联 动策略的完备性、一致性和冗余性,以保证安全联动系 统的正确、有效运行。l概念及定义首先给出联动系统状态及安全策略的相关定义。 定义l 系统状态:S系统状态是对某一时刻系统 状况的反映,可表示成三元组:Js=(E,R,0。其中,E 是系统库中安全事件的集合,表示系统当前已.知的安 全事件,来源干入侵报警系统、防病毒系统或菇享安全 事件数据库平台:R是推理规则的集合,是安

4、全事件到 安全策略的映翳依据:D是联动设备操作序列熬集合。 每个操作序列记录了一组联动设备的操作C,每个操 作可表示威设备与动作的二元组c=(g,W>,定义2系统运行状态S,:系统运行状态S,: (E,R,0,是对某一时刻系统运行状况的反映。其 中,E是系统运行中安全事件的集合;R,是已采用的 推理规则的集合;0,是已实施的操作序列集合。由定 义可知E,E,尺,R,O,O。定义3安全策略:安全策略是安全事件、推理规 则与操作序列的一组映射。可以表示为P:(,冠。. D,且6,E E,胃,启。D,D。其中某簌安全篱碡备可 以表示为A:【吒,钆,(eIE,k月,E啡“2策略的分析与检测本文从

5、完备性一致性和冗余性三个方面进行详细 的分析和论证,并给出相应的检测方法。2.1完备性检剖定义4完备性:VzE,至少存在一条规则,.使 得e氐,且F E。若策略集满是上述完备性条传。鹦 说该策略集是完备的。对于命题”对于联动系统中的某一策略集尸,E=卿是完备策略震。”可以做如下证明:充分性:根据定义3可知,VeE,3p=(e,r,D P使得e成立,又由条件E,=E可知该策略集满 足完备性条件。必要性:根据完备性条件知V守.均 满足eE乜,因此Ec_E,又由定义知乓C_E,可证锝已 =E。收稿日期:;啷,皓一22基金项目:国家碍技术研究发展计翅J(863课题,2007AAD z2,“4;国防科工

6、委“十一五”预研项目【C/童20061362一06。A142008018396-全国抗恶劣环境计算机第十八届学术年会论文集 中国r西安由以上结论可知,在检测安全策略集的完备性时,可以 直接检测系统状态中的事件集E与策略集中的事件 集E。是否等价来实现。当系统中检测到完备性缺失 时,可以通过增加相应安全策略的方法消除完备性缺 失。2.2一致性检测一致性检测包括策略集的一致性检测和系统运行 状态的一致性检测。定义5策珞一致性:V尹。E(e。,k,口。,玩= (e。,o.P,mn若g。=e。,.=r,而o。o。,则 称P。与P。是不一致的,策略集P有一致性缺陷。 对策略的一致性检测可以消除策略集中策

7、略的二 义性,保证了策略集的一致性。然而,策略的一致性并 不能保证系统运行状态的一致性,策略之间的操作冲 突可能使系统处于不一致的状态¨'.j】。例如对于防 火墙端口规则的操作,如果一条策略的操作序列中存 在封闭139端口的操作,而另一条策略的操作序列中 存在开启139端口的操作。这两条策略所在的策略集 并不违背策略集的一致性定义,然而当两条策略同时 作用与系统运行状态时,会产生不一致的状况,由此引 入系统运行状态一致性的概念。定义6系统运行状态一致性:由定义2知S, P,假设系统当前的一致性运行状态为S,具有操作序 列集0,将0,中所有操作序列的操作提取出来组成 操作集C,

8、。现要实施一新的策略P。,具有操作序列 气,有墓35,若在系统的运行状态迁移过程中,V% =(q,训oI,c,=(q,lt7,C,存在q=q,且彬I 埘,则称系统运行状态s:出现不一致性。系统运行状态的一致性检测发生在系统运行状态 迁移时,若系统运行状态出现不一致,策略P将被禁止 执行,仍保持一致性状态S,;反之,系统运行状态将顺 利迁移至S,。由策略一致性和系统状态一致性的定义可知:策 略集的一致性检测分析的是相同条件下安全策略的唯 一性,消除了策略的二义性;系统运行状态的一致性检 测分析的是策略实施过程中可能出现的操作冲突,消 除了对安全设备操作的二义性。在工程实践中,可以通过建立相应的表

9、格或冲突 检测矩阵实现策略集和系统运行状态的一致性检测。 2.3冗余性检测策略集在系统运行和维护的过程中,会产生一些 重复、过期和错误的策略,为保证策略集的精简,必须 及时将这些冗余策略删除6。1;与此同时,由于问题求 解的多样性,针对相同安全事件也可能出现几种不同 的备选解决策略,这种保障冗余又是系统有效运行所 需要的。因此,在冗余性检测可以通过以下几个方面 进行。1等价冗余当两条策略在相同条件下有相同的结论时,称它 们为等价策略。即Yp。=(e。,k,O。,P。=(e。,rn,o。 P,m#n若e。=e。,rm=k,且o。=o。,则称策略P。与 n是等价的。此时,P。与P。中有一条是多余的

10、,可以 删去。对于策略库中等价策略的检测,只需要对两策 路的条件部分以及结论部分分别进行等价性检测即 可。2失效冗余失效冗余是指策略在添加、修改以及系统状态变 化等过程中产生的错误、过期和失去作用的策略。例 如,当添加或修改一条策略时,新旧策略会产生不一 致,管理员或系统在指定有效策略的同时还需要删除 过期、失效的策略;当系统状态改变时也会产生失效冗 余的情况,例如,系统中某个安全设备的失效会导致和 该设备相关的操作全部失效,致使大量策略成为无效 策略,这些无效策略都需要被系统及时地检测和发现。 对于失效冗余可以从以下两个方面进行检测:a当策略出现不一致性时,指定有效策略并删除 失效策略;b通

11、过设备状态监控机制,定期查询设备状态, 当某一安全设备出现故障时,查找所有策略的操作序 列,找出其中含有该安全设备的策略,标记隔离或者删 除。3保障冗余保障冗余是指对于某件安全事件而言,在没有明 确的解决策略之时,为保证系统最大限度地发挥作用, 允许存在一种或者多种备选的解决策略。由定义5知,此时多条安全策略之间存在不一致性。为解决保障冗余与一致性之间的矛盾,可以引入 策略的信任度因子A,该因子表示系统对策略的信任 度。例如,存在三条安全策略P,=(e,r,D,P:= (2,幺,02,P,=(奶,r3,。3,且有el。乞=岛,3r2= ra,o,o:o,设三条安全策略的信任度因子为A。, A2

12、,A 3且满足A1+A2+A3=1,A1A2A 3。现将定义 5修改为:Vp。=(e。,k,D。,P。=(e。,。,口。P,m n若e。=e。,r。=r。,而o。D。,且A。=A。,则称P。与P。 是不一致的,策略集P具有不一致性。可见,由于信任 度因子A的引入,既维护了策略的一致性,又允许了保 障冗余的存在。信任度因子A的引入不仅解决了策略一致性与保 障冗余之间的矛盾,而且可以帮助系统自动从若干备 选的策略中筛选出最优的策略。以上例的三条策略2008年9月 张焕等:网络安全联动系统中策略的分析与检测 97P。,P:,p,为例,设初始状态时A,>A:>A,假设系统优 先选择信任度因

13、子大的策略,系统可以根据以下算法 选出最优的策略。1选择信任度因子为A,的策略P,经过时限t 后,系统得到反馈R,p。;2若Rsp,表示安全事件完全解决,则使A,=1,A: =0,A,=0,并转8;若安全事件未解决或未完全解、 l决,量化R,pl,并使Al=o,A2=A2+等,A3=A3+竿;3撤销策略p。,选择信任度因子为A:的策略P:, 经过时限t后,系统得到反馈脚:;4若脚:表示安全事件完全解决,则使A:=1,A。 =0,A,=0,并转8;若安全事件未解决或未完全解 决,量化脚2,并使A。=O,A2=0,A3=1;5用相同方法处理策略P3,可得到R,p3;6Rspi=max(脚l,R,p

14、2,脚3,令A=1,i=1,2, 3;7重新选择A;=1的策略Pi,i=l,2,3;8删除A=0的两条策略;3结束语在构建网络安全联动系统安全策略的过程中,不 仅要保证单个策略的有效性,还需要考虑到策略与策 略之间、策略与系统之间的关联性。本文对安全策略 的完备性、一致性和冗余性进行了定义和分析,并针对 这些问题给出了相关的检测方法,能够保证网络安全 联动系统稳定、高效地运行。当系统检查到完备性、一致性和冗余性缺陷时,需 要建立相应的处理机制以排除系统运行的隐患。在下 一步的工作中,还需对策略中的安全事件、操作序列等 内容进行进一步的细化分析,对联动系统策略库结构 和内容的形式化描述也需要更深

15、入的分析和研究。参考文献:1李守鹛,孙红波.信息系统安全策略研究J.电子学报, 2003,31(7:977980.2谢钧,许峰,黄皓.基于可信级别的多级安全策略及其状 态机模型J.软件学报,2004,15(II:17001708. 3Sandhu RS.IIttice.Based access control modelsJ.IEEE Computer,1993,26(11:919.4Emil C Lupu。Morris Sloman.Conflicts in policy lla8ed dis. tributed systems managementJ.IEEE Tram.Soft Engi-neering,1999,25(6:852869.5YaoMin Chen,Yanyan Yang.Policy Management for Net-work based Intrusion Detection and PreventionJ】.Network Operations and Management Sympo,ium,2004,4(1923: 2192