CN109274539A - 基于遗传算法的网络安全配置自动生成系统 - Google Patents

基于遗传算法的网络安全配置自动生成系统 Download PDF

Info

Publication number
CN109274539A
CN109274539A CN201811350174.5A CN201811350174A CN109274539A CN 109274539 A CN109274539 A CN 109274539A CN 201811350174 A CN201811350174 A CN 201811350174A CN 109274539 A CN109274539 A CN 109274539A
Authority
CN
China
Prior art keywords
network
information
configuration
individual
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811350174.5A
Other languages
English (en)
Other versions
CN109274539B (zh
Inventor
白玮
潘志松
郭世泽
陈哲
王彩铃
王陈雨
夏士明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Army Engineering University of PLA
Original Assignee
Army Engineering University of PLA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Army Engineering University of PLA filed Critical Army Engineering University of PLA
Priority to CN201811350174.5A priority Critical patent/CN109274539B/zh
Publication of CN109274539A publication Critical patent/CN109274539A/zh
Application granted granted Critical
Publication of CN109274539B publication Critical patent/CN109274539B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于遗传算法的网络安全配置自动生成系统,包括:从网络的多域配置提取相应的语义信息,得到网络多域实体、实体关系和安全策略信息的网络多域配置语义分析模块;集中存储和管理网络多域内的实体信息、实体关系信息和安全策略信息,负责对其正确性进行校验的网络多域信息管理模块;根据该规则从用户初始权限,推断实际权限的用户实际权限推断模块;根据输入的用户应得权限矩阵和用户初始权限矩阵,自动寻找相应的网络安全设备最优配置,输出该配置及相应的用户实际权限矩阵的安全配置自动生成模块。本发明对网络中的安全设备进行自动化配置,避免网络中潜在的策略冲突和配置错误,有效减少网络攻击面,提高网络的安全防护水平。

Description

基于遗传算法的网络安全配置自动生成系统
技术领域
本发明涉及一种网络安全配置自动生成技术,具体涉及一种基于遗传算法的、面向网络运维脆弱性的安全配置自动生成的方法。
背景技术
基于之前专利的分析可以发现,不同的网络配置可以引入不同的网络运维脆弱性,那么如何在己方的网络中优化安全策略,是各级各类网络管理员关心的首要问题。在传统的网络安全设备配置中,管理员需要手动对分布在网络中的各种安全设备进行手动配置,协同多个访问控制列表,共同实施网络高层安全策略,由于受到学识和工具的影响,致使网络管理员经常会有意无意地出现策略冲突或配置错误,从而大大增强了网络的安全风险,所以需要有一种能够自动优化网络安全配置的方法,实现对于全网安全设备的统一管理和集中配置,使得网络运维脆弱性降到最低。
随着网络规模的不断扩大,需要同时协同工作的访问控制列表不断增多,上述情况的出现更加普遍,依赖于管理员人工的方式,已经难以协同多个亟需研究网络安全配置自动生成的方法,自动根据网络多域配置的语义信息,自动化生成网络安全设备配置,规避潜在的网络安全风险,满足网络安全防护体系建设的需求。专利201810991421.3提出了一种根据网络空间多域信息计算用户实际权限的方式,该方法通过提取网络空间多域配置的语义信息,根据预设的权限转换规则得到用户在当前配置下的实际权限。本发明在其基础上,提出了一种基于遗传算法的安全配置自动生成算法,实现网络安全配置从人工生成向自动生成的转变。
通过多域信息表示图以及上文对网络运维配置脆弱性的分析可知,网络安全防护策略作为网络有效运行的一个因素,其选取的恰当与否严重影响着网络运行的脆弱性。由此可见,安全防护策略的选取是一个优化问题,寻求最优的安全配置就是找到使网络运行脆弱性最小的安全配置组合。
本发明的创新点主要表现在,使用遗传算法根据网络高层安全策略,为分散在网络中的各种安全设备找到最优的网络安全配置,转变现有网络安全设备配置依赖管理员手动生成,难以规避潜在的网络安全风险的问题,提出了一种网络安全设备配置自动生成的方法,能够有效计算网络中面临的风险,并给出相应的最优网络安全设备配置,从而有效降低网络中因设备配置错误而造成的网络风险。
发明内容
1、发明目的。
本发明为了提高网络安全防护的有效性和针对性,针对网络运维脆弱性最小化的目标,提出了一种基于遗传算法的网络安全配置自动生成系统,解决网络中的安全配置的自动生成问题,实现安全风险的最小化。
2、本发明所采用的技术方案。
本发明提出了一种基于遗传算法的网络安全配置自动生成系统,包括:从网络的多域配置提取相应的语义信息,得到相应的网络多域实体、实体关系和安全策略信息的网络多域配置语义分析模块;
集中存储和管理网络多域内的实体信息、实体关系信息和安全策略信息,负责对其正确性进行校验的网络多域信息管理模块;
维护权限转移规则,并根据该规则从用户初始权限出发,推断出相应的用户实际权限的用户实际权限推断模块;
根据输入的用户应得权限矩阵和用户初始权限矩阵,自动寻找相应的网络安全设备最优配置,并输出该配置及相应的用户实际权限矩阵的安全配置自动生成模块。
更进一步,所述的网络多域配置语义分析模块得到的信息包括:
多域实体信息,共包含空间、设备、端口、服务、文件、信息和用户等7种实体;
多域实体关系信息,共分为包含关系、连接关系、依赖关系和支配关系4类13种实体关系;
多域安全防护策略信息,主要包括物理域安全策略、网络域安全策略和信息域安全策略等3类5种安全策略;
对网络多域配置进行语义分析,主要通过人工的方式进行,通过人工的方式分析相应的信息系统配置策略,得到相应的语义信息。
更进一步,网络多域信息管理模块:对网络多域实体信息、实体关系信息和安全策略信息进行存储,并提供相应的增、删、改、查接口供管理员使用。
更进一步,用户实际权限推断模块:
用户实际权限推断模块主要是在得到相应的网络多域信息的基础上,利用相应的权限转换规则,从用户初始权限矩阵PI出发,得到相应的用户实际权限矩阵PD。
更进一步,安全配置自动生成模块:网络安全设备配置位置,应用遗传算法寻找最优的网络安全设备配置模块具体为:
(1)网络安全配置编码;
(2)适应度函数和遗传算子确定;
(3)种群初始化;
(4)执行遗传算子生成新种群;
(5)输出最优个体。
更进一步,网络安全配置编码:
首先需要对安全配置进行编码,用四元组<pf,pt,n,v>来表示,其中pf,pt∈P,n∈N,v∈V,表示从端口pf流向端口pt的链路上,允许源地址为n,目的服务为v的数据流通过;如果对于链路<pf,pt>,其通过的网络数据流中所有可能的源地址的数量为nft,所有可能的目的服务数量为vft,则网络上所有可能配置的访问控制列表的数量为如果将该访问控制列表是否被配置用0/1来表示,则网络上所有的访问控制列表的状态可以构成一个长度为W的数值串,该数值串可以作为描述当前网络安全配置的染色体,作为优化种群中的一个个体,其中每一个数值即是构成该染色体的基因。
更进一步,适应度函数和遗传算子确定:
适应度函数,评价个体优劣的一个标准,在当前网络安全配置s下,从用户初始权限矩阵PI(s)出发,相应的用户实际矩阵为PF(s),而配置的目标权限矩阵为PD(s)
则相应的适应度函数定义为:
其中代表矩阵的F2范数;Mpq表示在PF(s)中值为p,而在PD(s)中值为q的元素的个数;通过遗传算法,寻找使得该值最大,也就是网络运行脆弱性最小的安全配置组合;
交叉算子,交叉算子用交叉概率0≤ρc≤1描述,表示如何从两个双亲串中通过复制选定位产生两个新的后代,本发明中采用均匀交叉的方式,即首先产生一个与个体长度相同的交叉模板向量,其每一个分量为1或者0,其中值为1的分量占总模板长度的比例为ρc,最后对于选定的两个父代个体p1和p2,随机产生一个在此基础上生成两个新的个体p1'和p2';具体交叉方法为:当交叉模板向量的第i位为0时,表示个体p1'该位上的基因值继承p1的基因值,个体p2'该位上的基因值继承p2的基因值;当交叉模板向量的第i位为1时,表示个体p1'该位上的基因值继承p2的基因值,个体p2'该位上的基因值继承p1的基因值;
变异算子,变异算子以变异概率0≤ρm≤1描述,表示如何在个体上进行变异操作,本发明采用基本位变异的方法来进行变异运算,即对于一个个体的所有基因位置,以概率ρm来判断该位置的基因是否需要变异,如果需要变异,则将该位置对应的值取反,即0置为1,或1置为0;
更进一步,种群初始化:
产生一个初始种群,即产生M个初始个体,根据网络安全配置编码规则,每一个网络安全配置,均对应一个独特的二进制数值串,反之,每一个二级制数值串,也均能够映射到一个网络安全配置上;所以,在种群初始化时,只需要随机产生M个独立的个体,即能够满足相关要求;
在初始化个体时,引入参数0≤z≤1,表示一个染色体中基因为1的比例,即网络安全设备上配置为允许通过的访问控制列表的比例,z值越大,设备上允许通过的数据流的种类越多。
更进一步,执行遗传算子生成新种群:
a.根据构建的适应度函数,计算初始化种群中所有个体的适应度,其中个体i的适应度表示为f(i);
b.执行选择操作,为种群中的每一个个体i赋予一个被抽中的概率并按照这个概率选取两个父代个体;
c.执行交叉操作,以概率ρe对两个个体进行交叉,不需要交叉时,生成两个与父代相同的新后代;对于需要交叉的父体,每一个基因分别以概率ρc进行交叉,产生两个新后代;
d.执行变异操作,以概率ρm对新产生的后代进行随机位取反操作,并加入新种群中;
e.重复b-d步,直至生成M个个体为止。
更进一步,输出最优个体:
判断当前种群生成代数,如果不大于预设代数G,则重复进行执行遗传算子生成新种群的操作,否则计算当前种群内所有个体的适应度函数,输出适应度函数最大的个体,即为找到的最优个体。
3、本发明所产生的技术效果。
(1)本发明提出了一种网络安全配置自动生成系统,该系统针对目前网络安全设备配置主要依托于人工、缺乏自动化配置方法的问题,开创性地将最小化网络运维脆弱性作为优化目标,解决了网络安全配置优劣度量的问题,并以遗传算法作为核心算法,构建了相应的网络安全配置自动生成系统,从而实现了网络安全配置的自动生成,有效推进了网络运维管理的自动化。
(2)本发明在利用遗传算法生成网络安全配置时,引入种群初始化超参数z,代表初始化配置中允许数据流通过的比例,试验结果表明,该参数的选择对于生成安全配置结果有着巨大的影响,选择较小的z值,能够大大提升安全配置自动生成速度。
(3)本发明能够直接应用到企业网络的安全配置自动生成上,能够与现有的网络管理工具相结合,对企业网络中的安全设备进行自动化配置,从而避免网络中潜在的策略冲突和配置错误,有效减少我方网络攻击面,提高我方网络的安全防护水平。
附图说明
图1为基于遗传算法的网络安全配置自动生成的整体框架图。
图2为本发明算法流程图。
图3为模拟实验环境示意图。
图4为实验结果示意图。
具体实施方式
实施例
本发基于遗传算法的网络安全配置自动生成的整体框架如图1所示,框架的输入是用户应得权限矩阵PD和用户初始权限矩阵PI,输出是网络安全设备配置和在该配置下的用户实际权限矩阵PF。用户应得权限矩阵PF、用户初始权限矩阵PI和用户实际权限矩阵PF均为一个M×N的矩阵,其中M为用户个数,N为网络服务权限个数。用户应得权限矩阵表明的是网络安全配置的目标,即根据网络安全策略,用户是否应该拥有该权限,其中PD(ui,pj)=1代表用户应该拥有该权限,PD(ui,pj)=0代表用户不应该拥有该权限;用户初始权限矩阵表明的是网络的初始状态下用户拥有的权限,其中PI(ui,pj)=1代表用户在初始状态拥有该权限,PI(ui,pj)=0代表用户在初始状态不拥有该权限,一般来说,在初始权限矩阵中,用户只拥有空间进入权和信息知晓权,而其他权限均是这两个权限的衍生权限;用户实际权限矩阵表明的是在当年网络配置的情况下,用户最终拥有的权限,其中PF(ui,pj)=1代表用户实际拥有该权限,PF(ui,pj)=0代表用户最终不会拥有该权限。网络安全设备配置以三元组形式表示,即:DEVConfig={(pf,pt,ACL*)|pf,pt∈P},表示在从端口pf流向端口pt的数据流上添加访问控制列表集合ACL*,其中P表示设备接口的集合,访问控制列表集合ACL*表示访问控制列表集合的闭包。访问控制列表集合ACL的元素可以用二元组来表示,即:ACL={(n,v)|n∈N,v∈V},其中N代表网络地址,V代表网络服务,即允许源地址为n,目的服务为v的网络流量通过。
该框架主要包含四个功能模块,分别是网络多域配置语义分析模块、网络多域信息管理模块、用户实际权限推断模块和安全配置自动生成模块。网络多域配置语义分析模块主要负责从网络的多域配置提取相应的语义信息,得到相应的网络多域实体、实体关系和安全策略信息;网络多域信息管理模块主要负责集中存储和管理网络多域内的实体信息、实体关系信息和安全策略信息,负责对其正确性进行校验;用户实际权限推断模块主要负责维护权限转移规则,并根据该规则从用户初始权限出发,推断出相应的用户实际权限;安全配置自动生成模块主要负责根据输入的用户应得权限矩阵和用户初始权限矩阵,自动寻找相应的网络安全设备最优配置,并输出该配置及相应的用户实际权限矩阵。
1、网络多域配置语义分析
网络多域配置语义分析模块主要负责从网络的多域配置提取相应的语义信息,得到网络多域实体和实体关系信息。需要得到的信息主要包括:多域实体信息,共包含空间、设备、端口、服务、文件、信息和用户等7种实体;多域实体关系信息,共分为包含关系、连接关系、依赖关系和支配关系等4类13种实体关系;多域安全防护策略信息,主要包括物理域安全策略、网络域安全策略和信息域安全策略等3类5种安全策略。对网络多域配置进行语义分析,主要通过人工的方式进行,通过人工的方式分析相应的信息系统配置策略,得到相应的语义信息。
2、网络多域信息管理
网络多域信息管理模块主要负责对网络多域实体信息、实体关系信息和安全策略信息进行存储,并提供相应的增、删、改、查接口供管理员使用。
3、用户实际权限推断
用户实际权限推断模块主要是在得到相应的网络多域信息的基础上,利用相应的权限转换规则,从用户初始权限矩阵PI出发,得到相应的用户实际权限矩阵PF。
4、安全配置自动生成
安全配置自动生成模块是该框架的核心模块,主要根据网络安全设备配置位置,应用遗传算法寻找最优的网络安全设备配置。具体算法如下:
(1)网络安全配置编码
在安全配置自动生成过程中,由于优化目标是希望找到最优化的安全配置,其首先需要对安全配置进行编码,建立相应的“基因”和“染色体”。对于网络上任意的访问控制列表,可以用四元组<pf,pt,n,v>来表示,其中pf,pt∈P,n∈N,v∈V,表示从端口pf流向端口pt的链路上,允许源地址为n,目的服务为v的数据流通过;如果对于链路<pf,pt>,其通过的网络数据流中所有可能的源地址的数量为nft,所有可能的目的服务数量为vft,则网络上所有可能配置的访问控制列表的数量为如果将该访问控制列表是否被配置用0/1来表示,则网络上所有的访问控制列表的状态可以构成一个长度为W的数值串,该数值串可以作为描述当前网络安全配置的染色体,作为优化种群中的一个个体,其中每一个数值即是构成该染色体的基因。
(2)适应度函数和遗传算子确定
适应度函数。在利用遗传算法进行网络安全策略优化时,需要确定相应的适应度函数和遗传算子。所谓的适应度函数,是评价个体优劣的一个标准,在当前网络安全配置s下,从用户初始权限矩阵PI(s)出发,相应的用户实际矩阵为PF(s),而配置的目标权限矩阵为PD(s),则相应的适应度函数定义为:
其中代表矩阵的F2范数;Mpq表示在PF(s)中值为p,而在PD(s)中值为q的元素的个数。通过遗传算法,寻找使得该值最大,也就是网络运行脆弱性最小的安全配置组合。
交叉算子,交叉算子用交叉概率0≤ρc≤1描述,表示如何从两个双亲串中通过复制选定位产生两个新的后代,本发明中采用均匀交叉的方式,即首先产生一个与个体长度相同的交叉模板向量,其每一个分量为1或者0,其中值为1的分量占总模板长度的比例为ρc,最后对于选定的两个父代个体p1和p2,随机产生一个在此基础上生成两个新的个体p1'和p2'。具体交叉方法为:当交叉模板向量的第i位为0时,表示个体p1'该位上的基因值继承p1的基因值,个体p2'该位上的基因值继承p2的基因值;当交叉模板向量的第i位为1时,表示个体p1'该位上的基因值继承p2的基因值,个体p2'该位上的基因值继承p1的基因值;
变异算子,变异算子以变异概率0≤ρm≤1描述,表示如何在个体上进行变异操作,本发明采用基本位变异的方法来进行变异运算,即对于一个个体的所有基因位置,以概率ρm来判断该位置的基因是否需要变异,如果需要变异,则将该位置对应的值取反,即0置为1,或1置为0。
(3)种群初始化
利用遗传算法进行安全策略优化的基本思想是通过一个种群的不断进化来得到使目标函数最优的个体的过程,即最优解。因此,在算法进行迭代优化前,首先要产生一个初始种群,即产生M个初始个体,根据网络安全配置编码规则,每一个网络安全配置,均对应一个独特的二进制数值串,反之,每一个二级制数值串,也均能够映射到一个网络安全配置上;所以,在种群初始化时,只需要随机产生M个独立的个体,即能够满足相关要求;
在初始化个体时,引入参数0≤z≤1,表示一个染色体中基因为1的比例,即网络安全设备上配置为允许通过的访问控制列表的比例,z值越大,设备上允许通过的数据流的种类越多。
(4)执行遗传算子生成新种群
执行遗传算子生成新种群的方式主要包括:
a.根据构建的适应度函数,计算初始化种群中所有个体的适应度,其中个体j的适应度表示为f(i);
b.执行选择操作,为种群中的每一个个体i赋予一个被抽中的概率并按照这个概率选取两个父代个体;
c.执行交叉操作,以概率ρe对两个个体进行交叉,不需要交叉时,生成两个与父代相同的新后代;对于需要交叉的父体,每一个基因分别以概率ρc进行交叉,产生两个新后代;
d.执行变异操作,以概率ρm对新产生的后代进行随机位取反操作,并加入新种群中;
e.重复b-d步,直至生成M个个体为止。
(5)输出最优个体
判断当前种群生成代数,如果不大于预设代数G,则重复进行执行遗传算子生成新种群的操作,否则计算当前种群内所有个体的适应度函数,输出适应度函数最大的个体,即为找到的最优个体。
本发明提出的网络安全配置自动生成系统,其主要步骤如图2所示,主要包含分析提取网络多域信息、建立用户权限相关矩阵、对安全策略进行编码、生成初始种群、执行遗传算子生成下一代、输出最优网络安全配置等步骤。
具体实施例
该环境是对某校网络空间的一个简化,其中包含路由器、交换机、服务器、门禁系统和终端,图3展示的是各个设备的空间分布和物理连接关系。所有的设备分布在3个楼宇,8个房间内,T1、T2和T3放置在楼宇1的房间1-1中,交换机1放置在房间1-2中,门禁机1放置在楼宇1的大堂(房间1-3)中;T4和T5放置在楼宇2的房间2-1中,交换机2放置在房间2-2中,门禁机2放置在楼宇2的大堂(房间2-3)中;路由器、防火墙、入侵防御系统和所有服务器均放置在楼宇3的3-1房间中,门禁机3放置在楼宇3的大堂(房间3-2)中。
网络中共有27个服务,web服务器和内部web服务器分别在80口上提供web服务;OA服务器在80端口上提供OA服务,不同的用户使用不同的用户名和密码进行登陆(不同用户的服务在建模时,被视为不同的服务);FTP服务器在端口21上提供FTP服务,用于所有的网络管理员共享相应的信息;数据库服务器在1433端口上提供相应的数据库服务,为web服务和OA服务提供底层支持;门禁服务器在端口8080上提供相应的认证服务,用于所有门禁机认证用户。除了这些服务,每个设备均提供相应的管理服务,所有终端和服务器均开启远程桌面(端口3389),所有服务器和路由器提供ssh服务,防火墙和IPS提供基于web的管理服务。
网络空间内有6个文件实体和42个信息实体。6个文件实体表示ftp服务器上的文件,门禁服务器上的文件,数据库文件、内部web服务器上的文件,以及web服务器和OA服务器上的配置文件。42个信息实体主要包括不同服务的用户密码,门禁机上的用户认证信息,存储在OA服务器里的机密信息,存储在数据库中的加密信息,以及相应的加密密钥。
在网络中包含5个用户,分别为Alice,Bob,Charles,David和Eric,Alice,Bob,Charles是普通用户,分别使用终端T1,T2和T3来访问web Server、OA Server和Inner webServer,但同时Charles负责Inner web Server的管理工作。David和Eric是网络管理员,他们分别使用终端T4和T5管理各种设备,David主要负责网络设备的管理,Eric主要负责安全设备和服务器设备的管理。依照这个原则,管理员预先设置了相应的物理域、信息域防护策略,因篇幅所限,更多细节不再赘述。
在此基础上,利用本发明提出的方法,自动对防火墙的安全策略进行生成,生成的访问控制规则主要部署两个位置:端口firewall_e0到端口firewall_e1的链路上,以及端口firewall_e1到端口firewall_e0的链路上。主要过程如下:
1.对网络上的多域信息进行分析。可以提取出158个实体,393个实体关系,以及部署在12条边上15个安全防护策略(10个物理安全防护策略,5个信息安全防护策略);
2.根据业务实际需求,建立相应的用户初始权限矩阵PI和用户应得权限矩阵PD;
3.对网络中的安全策略进行编码。通过分析多域实体,发现在防火墙左侧可能的源地址为22个,可能的服务为22个,右侧可能的源地址为18个,服务为25个(同一个服务可能运行在不同端口上),则在边“firewall_e0到firewall_e1”可能存在22×25=550个可能的访问控制策略,边“firewall_e1到firewall_e0”可能存在18×22=396个可能的访问控制策略,所以总共可以执行946个独立策略,所以每个个体用一个长度为946的二进制数字串表示,分别用0或1来表示在边上设置或不设置相应的安全策略。
4.生成初始种群。首先确定参数z,然后根据z的取值初始化种群,共初始化生成包含M个个体的种群。
5.执行遗传算子生成下一代。首先根据构建的适应度函数,计算初始化种群中所有个体的适应度,其中个体i的适应度表示为f(i);然后执行选择操作,为种群中的每一个个体i赋予一个被抽中的概率并按照这个概率选取两个父代个体,之后执行交叉操作,以概率ρe对两个个体进行交叉,不需要交叉时,生成两个与父代相同的新后代,对于需要交叉的父体,每一个基因分别以概率ρc进行交叉,产生两个新后代;之后执行变异操作,以概率0≤ρm≤1对新产生的后代进行随机位取反操作。反复执行上述操作,直至生成M个后代个体,构成新种群。
6、反复生成种群G代,之后计算所有的个体的适应度,输出最优的个体。
在实验中,我们首先对该网络安全策略进行人工配置,计算相应配置s0的适应度函数Fitness(s0)=0.291,然后按照本发明的方式,取M=100,G=50,ρc=0.8,ρe=0.5,ρm=0.1,然后z的取值分别为0.05、0.1、0.2、0.3、0.4、0.5、0.6、0.7、0.8,得到实验结果如图4所示,可以看到该算法能够通过个体的不断更新迭代,不断找到更优的网络配置;最优网络配置的寻找时间随着z值的不断增加而逐渐增加,表示网络配置在允许通过的数据流类型较少时,其网络运维脆弱性较小,符合基本常识;实验中找到的最优配置s*的适应度函数为Fitness(s*)=0.298,高于人工配置的策略,表明本发明的方法具有良好的实用性。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (10)

1.一种基于遗传算法的网络安全配置自动生成系统,其特征在于包括:
从网络的多域配置提取相应的语义信息,得到相应的网络多域实体、实体关系和安全策略信息的网络多域配置语义分析模块;
集中存储和管理网络多域内的实体信息、实体关系信息和安全策略信息,负责对其正确性进行校验的网络多域信息管理模块;
维护权限转移规则,并根据该规则从用户初始权限出发,推断出相应的用户实际权限的用户实际权限推断模块;
根据输入的用户应得权限矩阵和用户初始权限矩阵,自动寻找相应的网络安全设备最优配置,并输出该配置及相应的用户实际权限矩阵的安全配置自动生成模块。
2.根据权利要求1所述的基于遗传算法的网络安全配置自动生成系统,其特征在于所述的网络多域配置语义分析模块得到的信息包括:
多域实体信息,共包含空间、设备、端口、服务、文件、信息和用户等7种实体;
多域实体关系信息,共分为包含关系、连接关系、依赖关系和支配关系4类13种实体关系;
多域安全防护策略信息,主要包括物理域安全策略、网络域安全策略和信息域安全策略等3类5种安全策略;
对网络多域配置进行语义分析,主要通过人工的方式进行,通过人工的方式分析相应的信息系统配置策略,得到相应的语义信息。
3.根据权利要求1所述的基于遗传算法的网络安全配置自动生成系统,其特征在于网络多域信息管理模块:对网络多域实体信息、实体关系信息和安全策略信息进行存储,并提供相应的增、删、改、查接口供管理员使用。
4.根据权利要求1所述的基于遗传算法的网络安全配置自动生成系统,其特征在于用户实际权限推断模块:
用户实际权限推断模块主要是在得到相应的网络多域信息的基础上,利用相应的权限转换规则,从用户初始权限矩阵PI出发,得到相应的用户实际权限矩阵PD。
5.根据权利要求1所述的基于遗传算法的网络安全配置自动生成系统,其特征在于安全配置自动生成模块:网络安全设备配置位置,应用遗传算法寻找最优的网络安全设备配置模块具体为:
(1)网络安全配置编码;
(2)适应度函数和遗传算子确定;
(3)种群初始化;
(4)执行遗传算子生成新种群;
(5)输出最优个体。
6.根据权利要求5所述的基于遗传算法的网络安全配置自动生成系统,其特征在网络安全配置编码:
首先需要对安全配置进行编码,用四元组<pf,pt,n,v>来表示,其中pf,pt∈P,n∈N,v∈V,表示从端口pf流向端口pt的链路上,允许源地址为n,目的服务为v的数据流通过;如果对于链路<pf,pt>,其通过的网络数据流中所有可能的源地址的数量为nft,所有可能的目的服务数量为vft,则网络上所有可能配置的访问控制列表的数量为如果将该访问控制列表是否被配置用0/1来表示,则网络上所有的访问控制列表的状态可以构成一个长度为W的数值串,该数值串可以作为描述当前网络安全配置的染色体,作为优化种群中的一个个体,其中每一个数值即是构成该染色体的基因。
7.根据权利要求5所述的基于遗传算法的网络安全配置自动生成系统,其特征在于适应度函数和遗传算子确定:
适应度函数,评价个体优劣的一个标准,在当前网络安全配置s下,从用户初始权限矩阵PI(s)出发,相应的用户实际矩阵为PF(s),而配置的目标权限矩阵为PD(s)
则相应的适应度函数定义为:
其中代表矩阵的F2范数;Mpq表示在PF(s)中值为p,而在PD(s)中值为q的元素的个数;通过遗传算法,寻找使得该值最大,也就是网络运行脆弱性最小的安全配置组合;
交叉算子,交叉算子用交叉概率0≤ρc≤1描述,表示如何从两个双亲串中通过复制选定位产生两个新的后代,本发明中采用均匀交叉的方式,即首先产生一个与个体长度相同的交叉模板向量,其每一个分量为1或者0,其中值为1的分量占总模板长度的比例为ρc,最后对于选定的两个父代个体p1和p2,随机产生一个在此基础上生成两个新的个体p1'和p2';具体交叉方法为:当交叉模板向量的第i位为0时,表示个体p1'该位上的基因值继承p1的基因值,个体p2'该位上的基因值继承p2的基因值;当交叉模板向量的第i位为1时,表示个体p1'该位上的基因值继承p2的基因值,个体p2'该位上的基因值继承p1的基因值;
变异算子,变异算子以变异概率0≤ρm≤1描述,表示如何在个体上进行变异操作,本发明采用基本位变异的方法来进行变异运算,即对于一个个体的所有基因位置,以概率ρm来判断该位置的基因是否需要变异,如果需要变异,则将该位置对应的值取反,即0置为1,或1置为0。
8.根据权利要求5所述的基于遗传算法的网络安全配置自动生成系统,其特征在于种群初始化:
产生一个初始种群,即产生M个初始个体,根据网络安全配置编码规则,每一个网络安全配置,均对应一个独特的二进制数值串,反之,每一个二级制数值串,也均能够映射到一个网络安全配置上;所以,在种群初始化时,只需要随机产生M个独立的个体,即能够满足相关要求;
在初始化个体时,引入参数0≤z≤1,表示一个染色体中基因为1的比例,即网络安全设备上配置为允许通过的访问控制列表的比例,z值越大,设备上允许通过的数据流的种类越多。
9.根据权利要求5所述的基于遗传算法的网络安全配置自动生成系统,其特征在于执行遗传算子生成新种群:
a.根据构建的适应度函数,计算初始化种群中所有个体的适应度,其中个体i的适应度表示为f(i);
b.执行选择操作,为种群中的每一个个体i赋予一个被抽中的概率并按照这个概率选取两个父代个体;
c.执行交叉操作,以概率ρe对两个个体进行交叉,不需要交叉时,生成两个与父代相同的新后代;对于需要交叉的父体,每一个基因分别以概率ρc进行交叉,产生两个新后代;
d.执行变异操作,以概率ρm对新产生的后代进行随机位取反操作,并加入新种群中;
e.重复b-d步,直至生成M个个体为止。
10.根据权利要求5所述的基于遗传算法的网络安全配置自动生成系统,其特征在输出最优个体:
判断当前种群生成代数,如果不大于预设代数G,则重复进行执行遗传算子生成新种群的操作,否则计算当前种群内所有个体的适应度函数,输出适应度函数最大的个体,即为找到的最优个体。
CN201811350174.5A 2018-11-14 2018-11-14 基于遗传算法的网络安全配置自动生成系统 Active CN109274539B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811350174.5A CN109274539B (zh) 2018-11-14 2018-11-14 基于遗传算法的网络安全配置自动生成系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811350174.5A CN109274539B (zh) 2018-11-14 2018-11-14 基于遗传算法的网络安全配置自动生成系统

Publications (2)

Publication Number Publication Date
CN109274539A true CN109274539A (zh) 2019-01-25
CN109274539B CN109274539B (zh) 2019-08-13

Family

ID=65193616

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811350174.5A Active CN109274539B (zh) 2018-11-14 2018-11-14 基于遗传算法的网络安全配置自动生成系统

Country Status (1)

Country Link
CN (1) CN109274539B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039843A (zh) * 2020-07-24 2020-12-04 中国人民解放军陆军工程大学 基于矩阵补全的用户多域权限联合估计方法
CN113852608A (zh) * 2021-09-02 2021-12-28 中国人民解放军63891部队 一种基于基因式的防火墙规则异常处理优化方法
CN114070655A (zh) * 2022-01-18 2022-02-18 北京领御中安科技有限公司 网络流量检测规则生成方法及装置、电子设备、存储介质
CN115150152A (zh) * 2022-06-30 2022-10-04 中国人民解放军陆军工程大学 基于权限依赖图缩减的网络用户实际权限快速推理方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1311880A (zh) * 1998-07-31 2001-09-05 特许科技有限公司 采用人造神经网络和遗传算法的高速公路事件自动检测系统
US20060265324A1 (en) * 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods
CN101145219A (zh) * 2007-07-20 2008-03-19 周远成 使用遗传算法进行资源配置子系统
CN101854337A (zh) * 2009-04-03 2010-10-06 深圳大学 基于安全和服务质量对网络进行优化控制的系统及方法
CN102098306A (zh) * 2011-01-27 2011-06-15 北京信安天元科技有限公司 基于关联矩阵的网络攻击路径分析方法
CN102204170A (zh) * 2008-10-31 2011-09-28 惠普开发有限公司 用于网络入侵检测的方法和设备
CN103581188A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势预测方法及系统
CN103903073A (zh) * 2014-04-23 2014-07-02 河海大学 一种含分布式电源及储能的微电网优化规划方法及系统
CN107222491A (zh) * 2017-06-22 2017-09-29 北京工业大学 一种基于工业控制网络变种攻击的入侵检测规则创建方法
CN107294775A (zh) * 2017-06-08 2017-10-24 国网江西省电力公司信息通信分公司 基于层次分析法和遗传算法的通信网优化方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1311880A (zh) * 1998-07-31 2001-09-05 特许科技有限公司 采用人造神经网络和遗传算法的高速公路事件自动检测系统
US20060265324A1 (en) * 2005-05-18 2006-11-23 Alcatel Security risk analysis systems and methods
CN101145219A (zh) * 2007-07-20 2008-03-19 周远成 使用遗传算法进行资源配置子系统
CN102204170A (zh) * 2008-10-31 2011-09-28 惠普开发有限公司 用于网络入侵检测的方法和设备
CN101854337A (zh) * 2009-04-03 2010-10-06 深圳大学 基于安全和服务质量对网络进行优化控制的系统及方法
CN102098306A (zh) * 2011-01-27 2011-06-15 北京信安天元科技有限公司 基于关联矩阵的网络攻击路径分析方法
CN103581188A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势预测方法及系统
CN103903073A (zh) * 2014-04-23 2014-07-02 河海大学 一种含分布式电源及储能的微电网优化规划方法及系统
CN107294775A (zh) * 2017-06-08 2017-10-24 国网江西省电力公司信息通信分公司 基于层次分析法和遗传算法的通信网优化方法
CN107222491A (zh) * 2017-06-22 2017-09-29 北京工业大学 一种基于工业控制网络变种攻击的入侵检测规则创建方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ALIREZA TAMJIDYAMCHOLO: "Information Security Risk Reduction Based on Genetic Algorithm", 《IEEE》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112039843A (zh) * 2020-07-24 2020-12-04 中国人民解放军陆军工程大学 基于矩阵补全的用户多域权限联合估计方法
CN112039843B (zh) * 2020-07-24 2024-02-02 中国人民解放军陆军工程大学 基于矩阵补全的用户多域权限联合估计方法
CN113852608A (zh) * 2021-09-02 2021-12-28 中国人民解放军63891部队 一种基于基因式的防火墙规则异常处理优化方法
CN113852608B (zh) * 2021-09-02 2024-03-19 中国人民解放军63891部队 一种基于基因式的防火墙规则异常处理优化方法
CN114070655A (zh) * 2022-01-18 2022-02-18 北京领御中安科技有限公司 网络流量检测规则生成方法及装置、电子设备、存储介质
CN115150152A (zh) * 2022-06-30 2022-10-04 中国人民解放军陆军工程大学 基于权限依赖图缩减的网络用户实际权限快速推理方法
CN115150152B (zh) * 2022-06-30 2024-04-26 中国人民解放军陆军工程大学 基于权限依赖图缩减的网络用户实际权限快速推理方法

Also Published As

Publication number Publication date
CN109274539B (zh) 2019-08-13

Similar Documents

Publication Publication Date Title
CN109274539B (zh) 基于遗传算法的网络安全配置自动生成系统
Kesarwani et al. Development of trust based access control models using fuzzy logic in cloud computing
Abusorrah et al. Minimax-regret robust defensive strategy against false data injection attacks
CN104683362B (zh) 一种细粒度隐私安全的访问控制系统及其访问控制方法
Tapas et al. Experimenting with smart contracts for access control and delegation in IoT
CN109302310B (zh) 一种网络运维脆弱性分析方法
CN110046890A (zh) 一种区块链权限管理系统及方法
Fraga et al. A taxonomy of trust and reputation system attacks
Hana E-government cloud computing proposed model: Egyptian E_Government Cloud Computing
Smirnov et al. Context-based access control model for smart space
Zhang et al. A graph‐theoretic approach to stability of neutral stochastic coupled oscillators network with time‐varying delayed coupling
CN106487770A (zh) 鉴权方法及鉴权装置
CN108366068A (zh) 一种软件定义网络下基于策略语言的云端网络资源管理控制系统
Bhogal et al. A review on big data security and handling
Zhang et al. Tag-Based Trust Evaluation In Zero Trust Architecture
Sanjeevi et al. The improved DROP security based on hard AI problem in cloud
Khalil et al. IoT-MAAC: Multiple attribute access control for IoT environments
Chatterjee et al. An efficient fine grained access control scheme based on attributes for enterprise class applications
Shi et al. Continuous trust evaluation of power equipment and users based on risk measurement
Nguyen et al. ADSynth: Synthesizing Realistic Active Directory Attack Graphs
Namane et al. Grid and cloud computing security: A comparative survey
Pampattiwar et al. CBSOACH: design of an efficient consortium blockchain-based selective ownership and access control model with vulnerability resistance using hybrid decision engine
Yahya et al. Multi-organizational access control model based on mobile agents for cloud computing
Groš Complex systems and risk management
Rathi et al. Rule based trust evaluation using fuzzy logic in cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Bai Wei

Inventor after: Pan Zhisong

Inventor after: Guo Shize

Inventor after: Chen Zhe

Inventor after: Wang Cailing

Inventor after: Wang Chenyu

Inventor after: Xia Shiming

Inventor before: Bai Wei

Inventor before: Pan Zhisong

Inventor before: Guo Shize

Inventor before: Chen Zhe

Inventor before: Wang Cailing

Inventor before: Wang Chenyu

Inventor before: Xia Shiming