CN106453387B - 基于Hicuts算法的安全策略冲突检测及消除方法 - Google Patents

基于Hicuts算法的安全策略冲突检测及消除方法 Download PDF

Info

Publication number
CN106453387B
CN106453387B CN201610989694.5A CN201610989694A CN106453387B CN 106453387 B CN106453387 B CN 106453387B CN 201610989694 A CN201610989694 A CN 201610989694A CN 106453387 B CN106453387 B CN 106453387B
Authority
CN
China
Prior art keywords
rule
dimension
conflict
collision detection
rules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610989694.5A
Other languages
English (en)
Other versions
CN106453387A (zh
Inventor
黄鹂声
吴世洲
马绍良
邱晓彤
卜国卿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
University of Electronic Science and Technology of China
Original Assignee
COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS, University of Electronic Science and Technology of China filed Critical COMPUTER APPLICATION RESEARCH INST CHINA ACADEMY OF ENGINEERING PHYSICS
Publication of CN106453387A publication Critical patent/CN106453387A/zh
Application granted granted Critical
Publication of CN106453387B publication Critical patent/CN106453387B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于Hicuts算法的安全策略冲突检测及消除方法。本发明的冲突检测方法包括:使用Hicuts算法的分类方式,对安全策略的规则进行分类,生成一颗关于规则的分类决策树;对分类决策树的同一叶子结点的规则进行冲突检测,得到冲突检测结果。本发明的消除方法为:对冲突检测结果中存在冲突的规则进行修改,消除冲突。本发明用于网络安全策略中规则之间冲突的检测与消解,其实现的复杂度为o(n),极大地提高了冲突检测与消除的效率。

Description

基于Hicuts算法的安全策略冲突检测及消除方法
技术领域
本发明涉及网络安全策略中规则之间冲突的检测与消解,更确切地说是基于Hicuts算法,对安全设备中的安全策略进行冲突检测和消解的方法。
背景技术
在网络管理中,规则是由多个维度的条件和对应动作构成。安全策略是安全设备中所有规则的集合,安全设备依赖该集合来决定在某个条件下应该执行的动作。基于安全策略的网络管理方式已经在网络管理领域广泛地使用。在防火墙中,存在若干的策略规则来检测出入防火墙的数据包。例如,五元组R<源IP地址,目的IP地址,源端口,目的端口,协议>和动作(deny或者allow)可以构成一条规则。五元组R<202.115.60/24,202.115.91.8,ANY,80,TCP>和对应动作deny构成的规则意思是:当有源IP地址为202.115.60/24,源端口为ANY,目的IP地址为202.115.91.8,目的端口为80,并且协议为TCP的数据包到达安全设备时,采取丢弃的动作。然而,网络管理员在配置规则的时候,不能完全保证策略之间没有冲突,即:两条或多条策略的条件部分同时满足,而动作却不能同时执行。例如:五元组R<202.115.60/24,202.115.91.8,ANY,80,TCP>和对应动作deny组成的规则A与五元组R<202.115.60.4,202.115.91.8,ANY,80,HTTP>和对应动作allow组成的规则B是相互冲突的规则,因为规则B完全是规则A的子集,而对应的动作却不一样。在分布式情形下,需要在大量安全设备间配置规则,因此更容易产生冲突。安全策略中规则的正确性和一致性对于信息安全来说极其重要。如果规则的执行与否依赖于规则的排序,那么,一些规则将会被隐藏,将会导致系统中存在漏洞而造成黑客入侵等安全事故。
综上所述,对安全策略的规则进行检测,是非常有必要的。目前,对安全策略的规则检测有以下几种方法:
1、基于多维空间的策略冲突检测。利用多维空间方法进行冲突检测时,将所有策略条件部分的每一种属性即每一项维度看作是多维空间中的一个轴,即一维。这样每条策略的条件部分对应多维空间中的一块区域,如果有两条或多条策略在多维空间中的区域有重叠,就会存在一个潜在的冲突,这时要看它们的动作部分是否可以同时执行。
2、基于Ponder和角色的策略冲突检测。角色同组织内的一个职位有关,以角色而不是以个人的形式制定策略,个人可以加入或离开某个角色。在基于策略的管理系统中,引起执行动作的策略与授权做这个动作的策略在系统中可以彼此独立存在,但是若只存在其中一个与动作相关的策略,则这个动作不会执行。这样要执行一个管理动作,则必须有一个管理者是两条策略的主体:引起执行动作的命令策略和授权执行动作的授权策略。在Ponder语言中,对策略进行分析和冲突检测的策略描述模板为:
Identifier mode[trigger]subject‘{‘action‘}’target[constraint][exception][parent][child][xref]
基于角色的访问控制方法指出:只有两条策略的主体和对象有重叠才可能存在冲突,因此要对策略冲突进行语言分析,首先要分析策略之间的对象重叠,这是产生冲突的必要条件。
3、基于半格的策略冲突检测与消解。基于半格的策略冲突消解思想依赖于两个关键点:一是用集合的方法处理策略的条件;二是在策略发生冲突时用半格代数结构进行执行动作的选择。半格可以被看作是一个偏序集,并可以用图来表示。当检测到两个策略规则的条件集合有交集而它们指定的动作集合不相同时就发生了冲突,检测到策略冲突后可通过选择执行一个新的动作来解决。并得出结论:如果一个动作集合是半格,则发生冲突时一定能找到一个新的动作解决冲突。
4、基于PDL的策略冲突检测与消解。PDL策略系统把动作冲突描述成对动作限制的违背,而对动作违背的捕捉也就是策略冲突的检测。独立于策略,还存在着强加到动作历史上的限制,这些限制对于系统来说不确定的或者是完全正确的。所以,动作冲突就可以被当作对动作限制的违背来发现。
在上述的策略冲突与消解的方法中,都存在一个问题,就是其算法的复杂度比较高。例如:在基于多维空间的策略冲突检测中,最坏的复杂度达到o(nk+1)。因此,对安全策略中大量的规则进行冲突检测和消解时,上述的方法都不具有实践性。
发明内容
本发明的发明目的在于:为了降低策略冲突检测与消解方法的复杂度,提高处理效率,本发明提出了一种基于Hicuts算法的策略冲突检测及消解方法。
本发明的基于Hicuts算法的安全策略冲突检测方法,包括下列步骤:
步骤A:使用Hicuts算法的分类思想,对安全策略的规则进行分类,生成一颗关于规则的分类决策树;
步骤B:对分类决策树的同一叶子结点的规则进行冲突检测,得到冲突检测结果。
仅对同一叶子结点中的所有规则进行冲突检测,可以有效降低计算量,降低冲突检测复杂度。
进一步的,步骤A具体包括:
步骤A1:对规则的所有维度,若维度能表示成区间的形式,则定义为连续型维度,否则定义为非连续型维度,如五元组R<源IP地址,目的IP地址,源端口,目的端口,协议>中,维度“源IP地址”,“目的IP地址”,“源端口”,“目的端口”都是连续型维度,而“协议”为非连续型维度;
确定所有维度的维度范围,对于连续型维度,维度范围为能取到的最小值到最大值的区间;对于非连续型维度,维度范围为所有可取元素的集合,例如维度“源端口”最小为21,最大为1000-5000,则此维度的维度范围是21-5000,维度“协议”可取的元素包括IP、TCP、UDP、SCTP、HTTP,则对应的维度范围是{IP、TCP、UDP、SCTP、HTTP};
对于非连续型维度,若维度范围中的元素间存在包含关系,则定义为复合型维度;
步骤A2:若存在复合型维度,则对复合型维度进行预处理:基于维度范围中的元素间的包含关系,将复合型维度的复合型元素分解为本元素与其父元素的元素集合;其中复合型元素的定义为:元素A包含于元素B,则称元素A为复合型元素,且元素B称为元素A的父元素;例如,维度范围{IP、TCP、UDP、SCTP、HTTP}中,HTTP,TCP,IP依次是被包含关系,若规则中的维度“协议”的元素集合中存在元素TCP,则将该复合型元素TCP分解为本元素与其所有父元素的元素集合:HTTP/TCP;若维度“协议”的集合中存在元素IP,则将该复合型元素IP分解为本元素与其所有父元素的元素集合:HTTP/TCP/IP。
步骤A3:基于维度进行切割,生成分类决策树:
A3-1:初始化分类决策的根结点,将待检测的所有规则切割到根结点;
A3-2:随机选择一个非复合型维度进行第一切割处理:基于维度范围和预设子女结点数目np将当前非复合型维度的维度范围均分为np个切割范围;基于当前非复合型维度的元素与各切割范围的交集,将规则数目大于预设阈值binth的结点的规则切割到不同的子女结点;
A3-3:判断叶子结点的规则数目是否大于阈值binth,若是,则继续执行步骤A3-2直到所有非复合型维度均执行一次第一切割处理;
A3-4:若所有非复合型维度均执行一次第一切割处理后,叶子结点的规则数目大于阈值binth,则基于当前叶子结点的所有规则对维度范围进行更新后继续执行步骤A3-2,直到叶子结点的规则数目小于或等于阈值binth;
A3-5:对未执行分割处理的复合型维度进行第二切割处理:对步骤A3-3得到的同一叶子结点的所有规则,将同一复合型维度的元素集合间存在交集的规则切割到当前叶子结点的同一子女结点。
在步骤A中对规则中的每个非复合型维度进行第一切割处理的过程中,两个规则(规则1和规则2)可能出现下面4种情况:
(1)两个规则中,各自的维度区间都处于当前切割范围,但两个规则的维度区间不相交,此时规则1和规则2不冲突。例如:规则1的“目的端口”维度区间为21-60,规则2的“目的端口”维度区间为70-139,切割范围为50-100;
(2)两个规则中,各自的维度区间都处于当前切割范围,并且两个规则的维度区间相交,此时规则1和规则2冲突。例如:规则2的“目的端口”维度区间为21-90,规则2的“目的端口”维度区间为56-139,切割范围为50-100;
(3)两个规则中,各自的维度区间都不处于当前切割区间,此时规则1和规则2不冲突。例如:规则1的“目的端口”维度区间为21-35,规则2的“目的端口”维度区间为110-139,切割范围为50-100;
(4)两个规则中的一个规则的该维度区间处于当前切割区间,另一个没有处于当前的切割区间,此时规则1和规则2不冲突。例如规则1的目的“目的端口”维度为21-39,规则2的“目的端口”维度区间为56-139,切割范围为50-100。
因此,如果有两个规则处于同一叶子结点中,则这两个规则可能存在冲突;如果两个规则不处于同一叶子中,则这两个规则一定不会存在冲突,即可以依据叶子结点里的规则来检测冲突:仅对规则数目大于1的叶子结点进行冲突检测,若同一叶子结点的各规则间的动作不一致,则继续比较各规则的同一维度的元素是否存在冲突,若是,则存在冲突规则。
基于上述冲突检测方法,本发明还公开了一种基于Hicuts算法的安全策略冲突消除方法,包括下列步骤:
首先,根据本发明的冲突检测方法得到冲突检测结果;然后对冲突检测结果中存在冲突的规则进行修改,消除冲突。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、首先,通过对规则的各个维度进行等距切割,可以把规则中可能存在冲突的规则切割到同一个结点上;其次,分类策略树的生成过程实质是对策略中规则分类的过程,对规则中维度每切割一次,就是对不满足binth条件的结点中的规则再分类,生成分类决策树的整个过程需要比较的次数小于规则总数与决策树层数之积。故生成分类决策树的复杂度为o(n),大大低于已有的冲突查找方法的复杂度。另外,通过分析叶子结点中规则来判断规则是否冲突,实质上只对叶子结点中规则的比较,比较次数不大于预设的binth,故其复杂度为o(1)。综上所述,本发明的冲突检测的复杂度为o(n)。
2、本发明中通过对复合型维度进行预处理,对其复合型元素进行分解后,对复合型维度的切割提供了依据,实现方便、有效地对复合型元素的维度进行切割;同时,在切割处理时优先对非复合型维度进行第一切割处理,使切割更高效;并且在叶子结点满足binth后才对复合型维度进行第二切割处理,确保了子女结点中的规则数不大于binth。
附图说明
图1是具体实施方式的流程图;
图2是具体实施方式的维度切割示例。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合实施方式和附图,对本发明作进一步地详细描述。
本发明基于Hicuts算法的分类方式,生成一棵关于安全策略中所有规则的分类决策树;根据生成的分类决策树,通过分析叶子结点中的规则来判断规则是否冲突,得到冲突检测结果。再对冲突检测结果中的冲突规则进行修改,消除冲突。以表1所示的安全策略的规则为例对本发明的具体实现过程进行描述:
表1
规则 源IP地址 目的IP地址 源端口 目的端口 协议 行为
1 202.115.60.* 202.115.91.8 ANY 80 TCP allow
2 202.115.60.5 202.115.91.9 139 4040 TCP allow
3 202.115.60.* 202.115.91.20 60 61 UDP deny
4 202.115.60.6 202.115.91.18 8080 3535 IP allow
5 202.115.60.30 202.115.91.11 8080 <100 TCP allow
6 202.115.60.4 202.115.91.8 ANY 80 HTTP deny
7 202.115.60.5 202.115.91.9 8080 2055 UDP allow
8 202.115.60.9 202.115.91.22 8080 62 TCP allow
9 202.115.60.* 202.115.91.34 8080 80 HTTP deny
10 202.115.60.3 202.115.91.15 8080 1416 SCTP allow
表1的源IP地址中,符号“*”表示0~255之间的任意数。
参见图1,本发明在生成分类决策树及进行冲突检测与消除时包括下列步骤:
步骤S1:确定表1所示的10条规则中各维度的范围:
源IP地址:202.115.60.0-202.115.60.255,目的IP地址:202.115.91.8-202.115.91.34,源端口:0-65535,目的端口:0-4040,协议(复合型):IP、TCP、UDP、SCTP、HTTP;步骤S2:预处理规则中的复合型维度。根据步骤S1中求出的规则中复合型维度的维度及元素之间的包含关系,把规则中所有复合型元素分解为本身与其所有父元素的集合,得到如表2所示的分解结果。
表2
以表1中的第6条规则(五元组R<202.115.60.4,202.115.91.8,ANY,80,HTTP>)为例,因为10条规则中维度“协议”的元素集合中存在元素TCP和IP,并且HTTP,TCP,IP依次是被包含关系,所以该五元组处理为R<202.115.60.4,202.115.91.8,ANY,80,HTTP/TCP/IP>。
步骤S3:基于维度进行切割,生成分类决策树(此步骤中需要预先设定叶子结点中最大的规则数目binth和一个节点最多可以容纳的子女结点数目np,假设binth=3,np=3):
S3-1:初始化分类决策的根结点root,将表2所示的10条规则切割到根结点,如图2所示;
S3-2:随机选择一个非复合型维度进行第一切割处理:基于维度范围和np将当前非复合型维度的维度范围均分为np个切割范围;基于当前非复合型维度的元素与各切割范围的交集,将规则数目大于预设阈值binth的结点的规则切割到不同的子女结点;
S3-3:判断叶子结点的规则数目是否大于阈值binth,若是,则继续执行步骤S3-2直到所有非复合型维度均执行一次第一切割处理;
参见图2,首先选择维度“源IP地址”进行第一切割处理,即根据维度“源IP地址”对根结点进行切割。维度“源IP地址”的维度范围是202.115.60.0-202.115.60.255,且np=3,因此将当前维度范围均分为3个切割范围:202.115.60.0-202.115.60.85、202.115.60.86-202.115.60.191、202.115.60.192-202.115.60.255;接着把规则中源IP地址与范围202.115.60.0-202.115.60.85有交集的规则切割到root的第一个子女结点(规则1,2,3,4,5,6,7,8,9,10);把所有规则中源IP地址与范围202.115.60.86-202.115.60.191有交集的规则切割到root的第二个子女结点(规则1,3,9);把所有规则中源IP地址与范围202.115.60.192-202.115.60.255有交集的规则切割到root的第三个结点(规则1,3,9)。至此对于维度“源IP地址”的切割完毕。
然后,再选择一个非复合型维度进行第一切割处理,切割的对象是规则数目大于binth的叶子结点。在图2中选择“目的IP地址”对叶子结点(包含规则1,2,3,4,5,6,7,8,9,10)进行切割。基于维度“目的IP地址”的维度范围:202.115.91.8-202.115.91.34,将规则1~10中目的IP地址与范围202.115.91.8-202.115.91.17有交集的规则切割到当前结点的第一个子女结点(规则1,2,5,6,7);将规则1~10中目的IP地址与范围202.115.91.18-202.115.91.26有交集的规则切割到当前结点的第二个子女结点(规则3,4,8,10);将规则1~10中目的IP地址与范围202.115.91.27-202.115.91.34有交集的规则切割到当前结点第三个子女结点(规则9)。
接着对维度“源端口”,“目的端口”分别进行第一切割处理后,满足当前所有叶子结点的规则数目均小于3,则执行步骤S3-4;
步骤S3-4:对复合型维度“协议”进行切割。由于所有非复合型元素均是元素“IP”的子元素,故没有产生进一步切割的效果,切割结束。最终生成了图2所示的分类决策树。
步骤:S4:在生成分类决策树后,通过分析分类决策树的同一叶子结点中的规则来确定安全策略的规则是否存在冲突,具体方法是:检查所有叶子结点,若叶子结点的规则数目大于1,且规则对应的动作不一致,则这些规则可能存在冲突,进而可以通过该叶子结点所有规则中对应维度的元素来判断是否存在冲突,如果存在冲突,则可以修改规则来消解冲突。
在图2中,分类决策树中的含有规则(1,5,6)、(1,3,9)、(3,8,10)的叶子结点行为不同,所以上述叶子结点的规则之间可能存在冲突。进一步对可能存在冲突的叶子结点进行比较,确定规则1和规则6存在冲突,则可以删除或者修改存在冲突的规则1或者6来消解冲突。
以上所述,仅为本发明的具体实施方式,本说明书中所公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换;所公开的所有特征、或所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以任何方式组合。

Claims (2)

1.基于Hicuts算法的安全策略冲突检测方法,其特征在于,包括下列步骤:
步骤A:使用Hicuts算法的分类方式,对安全策略的规则进行分类,生成一颗关于规则的分类决策树,其中规则包括五元组和动作:
步骤A1:对规则的所有维度,若维度能表示成区间的形式,则定义为连续型维度,否则定义为非连续型维度;
确定所有维度的维度范围,对于连续型维度,维度范围为能取到的最小值到最大值的区间;对于非连续型维度,维度范围为所有可取元素的集合;
对于非连续型维度,若维度范围中的元素间存在包含关系,则定义为复合型维度;
步骤A2:若存在复合型维度,则对复合型维度进行预处理:基于维度范围中的元素间的包含关系,将复合型维度的复合型元素分解为本元素与其所有父元素的元素集合;
其中复合型元素的定义为:元素A包含于元素B,则称元素A为复合型元素,且元素B称为元素A的父元素;
步骤A3:基于维度进行切割,生成分类决策树:
A3-1:初始化分类决策的根结点,将待检测的所有规则切割到根结点;
A3-2:随机选择一个非复合型维度进行第一切割处理:基于维度范围和预设子女结点数目np将当前非复合型维度的维度范围均分为np个切割范围;基于当前非复合型维度的元素与各切割范围的交集,将规则数目大于预设阈值binth的结点的规则切割到不同的子女结点;
A3-3:判断叶子结点的规则数目是否大于阈值binth,若是,则继续执行步骤A3-2直到所有非复合型维度均执行一次第一切割处理;
A3-4:若所有非复合型维度均执行一次第一切割处理后,叶子结点的规则数目大于阈值binth,则基于当前叶子结点的所有规则对维度范围进行更新后继续执行步骤A3-2,直到叶子结点的规则数目小于或等于阈值binth;
A3-5:对未执行分割处理的复合型维度进行第二切割处理:对步骤A3-3得到的同一叶子结点的所有规则,将同一复合型维度的元素集合间存在交集的规则切割到当前叶子结点的同一子女结点;
步骤B:对分类决策树的同一叶子结点的规则进行冲突检测,得到冲突检测结果:
仅对规则数目大于1的叶子结点进行冲突检测,若同一叶子结点的各规则间的动作不一致,则继续比较各规则的同一维度的元素是否存在冲突,若是,则存在冲突规则。
2.基于Hicuts算法的安全策略冲突消除方法,其特征在于,包括下列步骤:
根据权利要求1所述的基于Hicuts算法的安全策略冲突检测方法得到冲突检测结果;
对冲突检测结果中存在冲突的规则进行修改,消除冲突。
CN201610989694.5A 2016-07-28 2016-11-10 基于Hicuts算法的安全策略冲突检测及消除方法 Active CN106453387B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201610602355 2016-07-28
CN2016106023557 2016-07-28

Publications (2)

Publication Number Publication Date
CN106453387A CN106453387A (zh) 2017-02-22
CN106453387B true CN106453387B (zh) 2019-08-13

Family

ID=58208322

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610989694.5A Active CN106453387B (zh) 2016-07-28 2016-11-10 基于Hicuts算法的安全策略冲突检测及消除方法

Country Status (1)

Country Link
CN (1) CN106453387B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110505190A (zh) * 2018-05-18 2019-11-26 深信服科技股份有限公司 微分段的部署方法、安全设备、存储介质及装置
CN109302409A (zh) * 2018-10-31 2019-02-01 锐捷网络股份有限公司 Acl访问控制策略的分析方法、装置、设备及存储介质
CN109542601B (zh) * 2018-11-20 2020-12-29 杭州迪普科技股份有限公司 策略编译方法、装置、电子设备及计算机存储介质
CN117834298B (zh) * 2024-03-04 2024-04-30 北京中关村实验室 基于偏序关系的路由源信息冲突判定方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1992673A (zh) * 2005-12-31 2007-07-04 华为技术有限公司 一种高速路由器及防火墙中实现快速分组流识别的方法
CN102281196A (zh) * 2011-08-11 2011-12-14 中兴通讯股份有限公司 决策树生成方法及设备、基于决策树报文分类方法及设备
CN104113516A (zh) * 2013-04-19 2014-10-22 中国移动通信集团设计院有限公司 一种识别防火墙的规则冲突的方法和终端
CN105743871A (zh) * 2014-12-12 2016-07-06 国家电网公司 一种基于判定树的防火墙策略冲突检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1992673A (zh) * 2005-12-31 2007-07-04 华为技术有限公司 一种高速路由器及防火墙中实现快速分组流识别的方法
CN102281196A (zh) * 2011-08-11 2011-12-14 中兴通讯股份有限公司 决策树生成方法及设备、基于决策树报文分类方法及设备
CN104113516A (zh) * 2013-04-19 2014-10-22 中国移动通信集团设计院有限公司 一种识别防火墙的规则冲突的方法和终端
CN105743871A (zh) * 2014-12-12 2016-07-06 国家电网公司 一种基于判定树的防火墙策略冲突检测方法

Also Published As

Publication number Publication date
CN106453387A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106453387B (zh) 基于Hicuts算法的安全策略冲突检测及消除方法
Staniford-Chen et al. GrIDS-a graph based intrusion detection system for large networks
Hu et al. Anomaly discovery and resolution in web access control policies
Anuar et al. Identifying false alarm for network intrusion detection system using hybrid data mining and decision tree
CN112738015A (zh) 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
Lahre et al. Analyze different approaches for ids using kdd 99 data set
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
Aung et al. An analysis of K-means algorithm based network intrusion detection system
CN111756692B (zh) 一种网络安全防护方法及系统
RU148692U1 (ru) Система мониторинга событий компьютерной безопасности
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及系统
Ebrahimi et al. Automatic attack scenario discovering based on a new alert correlation method
Al-Araji et al. Attack prediction to enhance attack path discovery using improved attack graph
Fang et al. Checking intra-switch conflicts of rules during preprocessing of network verification in SDN
Sulaiman et al. Big data analytic of intrusion detection system
Meng et al. An evaluation of single character frequency-based exclusive signature matching in distinct IDS environments
Kadam et al. Various approaches for intrusion detection system: an overview
Murthy et al. Hybrid intelligent intrusion detection system using bayesian and genetic algorithm (baga): comparitive study
Sinadskiy et al. Formal Model and Algorithm for Zero Knowledge Complex Network Traffic Analysis
Jaisankar et al. Intelligent intrusion detection system using fuzzy rough set based C4. 5 algorithm
CN109286605B (zh) 一种基于大数据的业务行为路径监控方法及装置
CN112887316A (zh) 一种基于分类的访问控制列表冲突检测系统及方法
Jebur et al. Enhanced solutions for misuse network intrusion detection system using sga and ssga
JP2005293509A (ja) 不正通信の自動設定侵入検知装置、方法および記録媒体
Mees et al. Multi-agent system for apt detection

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Huang Lisheng

Inventor after: Wu Shizhou

Inventor after: Ma Shaoliang

Inventor after: Qiu Xiaotong

Inventor after: Bo Guoqing

Inventor before: Huang Lisheng

Inventor before: Wu Shizhou

Inventor before: Ma Shaoliang

Inventor before: Qiu Xiaotong

Inventor before: Bo Guoqing

CB03 Change of inventor or designer information
GR01 Patent grant
GR01 Patent grant