CN112866251B - 一种多域云防火墙安全策略冲突消解方法及装置 - Google Patents

一种多域云防火墙安全策略冲突消解方法及装置 Download PDF

Info

Publication number
CN112866251B
CN112866251B CN202110073766.2A CN202110073766A CN112866251B CN 112866251 B CN112866251 B CN 112866251B CN 202110073766 A CN202110073766 A CN 202110073766A CN 112866251 B CN112866251 B CN 112866251B
Authority
CN
China
Prior art keywords
conflict
redundancy
security
security policy
rules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110073766.2A
Other languages
English (en)
Other versions
CN112866251A (zh
Inventor
张伟哲
凌晨
何慧
方滨兴
刘亚维
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute of Technology
Original Assignee
Harbin Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute of Technology filed Critical Harbin Institute of Technology
Priority to CN202110073766.2A priority Critical patent/CN112866251B/zh
Publication of CN112866251A publication Critical patent/CN112866251A/zh
Application granted granted Critical
Publication of CN112866251B publication Critical patent/CN112866251B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2246Trees, e.g. B+trees
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种多域云防火墙安全策略冲突消解方法及装置,属于网络安全技术领域,用以解决不同云服务域之间的云防火墙由于存在安全规则冗余与冲突而限制其运行效率的问题。本发明的技术要点包括:用包含主体、客体、动作和决策的四元组表示待消解的云防火墙安全策略,并对云防火墙安全策略建立主客体索引树;在主客体索引树基础上,对每个索引下的安全策略检测是否存在冗余或冲突;对检测到的安全策略的冗余与冲突进行消解处理。本发明针对云防火墙安全规则的冗余与冲突进行检测,并对检测到的冗余与冲突进行消解,以达到提升云防火墙运行效率的目的。本发明方法及装置能够有效帮助防火墙管理员检测并消解安全规则冗余和冲突,保证多域云防火墙的高效运行。

Description

一种多域云防火墙安全策略冲突消解方法及装置
技术领域
本发明涉及网络安全技术领域,具体涉及一种多域云防火墙安全策略冲突消解方法及装置。
背景技术
随着云计算技术的发展,各个网络运营商之间也在构建各自的云服务环境,这也形成了多个不同的云服务域,不同的云服务域之间使用云防火墙来满足不同的安全需求。但在云防火墙的规则制定上,由于不同云服务域之间存在较为复杂的通信关联关系,导致云防火墙的安全规则往往会存在大量的安全规则冗余与冲突,尽管这些冗余和冲突能够根据相应的策略覆盖规则在传统网络防火墙上正常运行,但在云防火墙这一计算资源较为有限的环境上,冗余和冲突的数量将会极大的限制云防火墙的运行效率,甚至为攻击者留下安全漏洞。
发明内容
鉴于以上问题,本发明提出一种多域云防火墙安全策略冲突消解方法及装置,用以解决不同云服务域之间的云防火墙由于存在大量的安全规则冗余与冲突而限制云防火墙的运行效率的问题。
根据本发明一方面,提出一种多域云防火墙安全策略冲突消解方法,该方法包括以下步骤:
步骤一、获取待消解的云防火墙安全策略,并用包含主体、客体、动作和决策的四元组表示所述云防火墙安全策略;
步骤二、对所述云防火墙安全策略建立主客体索引树;
步骤三、在所述主客体索引树的基础上,对每个索引下的安全策略检测是否存在冗余或冲突;
步骤四、对检测到的安全策略的冗余与冲突进行消解处理。
进一步地,步骤一中所述主体或所述客体的内容包括数值、区间或字符串。
进一步地,步骤二中所述主客体索引树的第一层索引采用主体索引,第二层索引采用客体索引。
进一步地,步骤二中建立主客体索引树过程中对主体和客体的重叠部分进行扫描,将发生重叠的主体和客体索引进行合并。
进一步地,步骤三中安全策略存在冗余的判断方法为:安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,且决策也相同,则确定为两条安全规则之间存在冗余;其中,所述冗余包括部分冗余和全部冗余。
进一步地,步骤三中安全策略存在冲突的判断方法为:安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,但决策相反,则确定为两条安全规则之间存在冲突;其中,所述冲突包括部分冲突和全部冲突。
进一步地,步骤四中对检测到的安全策略的冗余进行消解处理的方法为直接去除安全规则之间的重叠部分;对检测到的安全策略的冲突进行消解处理的方法包括允许优先、拒绝优先、顺序覆盖与首先应用。
进一步地,所述允许优先为在检测到安全规则冲突时优先保留决策为允许的部分,删除掉其他决策为拒绝的部分;所述拒绝优先为在检测到安全规则冲突时优先保留决策为拒绝的部分,删除掉其他决策为允许的部分;所述顺序覆盖为在检测到安全规则冲突时查看安全规则的顺序,优先保留较新的安全规则;所述首先应用为在检测到安全规则冲突时优先保留排序靠前的安全规则。
进一步地,在步骤四之后,通过增加新的安全规则对格式错误的安全规则进行格式修正。
根据本发明另一方面,提出一种多域云防火墙安全策略冲突消解装置,该装置包括:
获取单元,用于获取待消解的云防火墙安全策略,并用包含主体、客体、动作和决策的四元组表示所述云防火墙安全策略;其中,所述主体或所述客体的内容包括数值、区间或字符串;
索引树建立单元,用于对云防火墙安全策略建立主客体索引树;其中,所述主客体索引树的第一层索引采用主体索引,第二层索引采用客体索引;建立主客体索引树过程中对主体和客体的重叠部分进行扫描,将发生重叠的主体和客体索引进行合并;
安全策略检测单元,用于在主客体索引树的基础上,对每个索引下的安全策略检测是否存在冗余或冲突;其中,是否存在冗余或冲突的判断方法包括,若安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,且决策也相同,则确定为两条安全规则之间存在冗余;所述冗余包括部分冗余和全部冗余;若安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,但决策相反,则确定为两条安全规则之间存在冲突;所述冲突包括部分冲突和全部冲突;
冗余冲突消解单元,用于对安全策略检测单元检测到的安全策略的冗余与冲突进行消解处理;对检测到的安全策略的冗余进行消解处理的方法为直接去除安全规则之间的重叠部分;对检测到的安全策略的冲突进行消解处理的方法包括允许优先、拒绝优先、顺序覆盖与首先应用;其中,所述允许优先为在检测到安全规则冲突时优先保留决策为允许的部分,删除掉其他决策为拒绝的部分;所述拒绝优先为在检测到安全规则冲突时优先保留决策为拒绝的部分,删除掉其他决策为允许的部分;所述顺序覆盖为在检测到安全规则冲突时查看安全规则的顺序,优先保留较新的安全规则;所述首先应用为在检测到安全规则冲突时优先保留排序靠前的安全规则。
本发明的有益技术效果是:
首先,本发明给出了云防火墙的冗余与冲突定义,在冗余冲突消解过程中针对安全规则之间的主体、客体、动作之间的重叠部分进行扫描,并根据决策的差异决策判断其存在冲突或冗余。该过程主要针对数值、区间、字符串这三个主体、客体、动作的具体形式进行检测,分析它们之间的重叠部分,进而确保算法能够扫描到所有可能的冗余与冲突;然后,本发明进一步建立防火墙安全策略的主客体索引树,定位可能出现冗余冲突的安全规则,缩小冗余冲突检测的范围,减少算法的运行时间;主客体索引树也提供了更为清晰的安全规则结构,能够直观展示安全策略的网段划分,方便云防火墙安全策略的维护修改;最后,本发明针对主体、客体、动作相互重叠的安全规则进行修改,删除规则中重叠的部分,完成冗余与冲突消解。为确保消解后的安全规则不改变云防火墙原有的过滤效果,本发明使用了云防火墙常用的运行策略进行安全策略的冲突消解,即允许优先、拒绝优先、顺序覆盖与首先应用,用户可根据云防火墙的运行需要,选择冲突消解策略,冲突消解后的结果则会保持与运行策略一致的过滤效果,同时减少安全策略扫描时间,提升了云防火墙的运行效率。
附图说明
本发明可以通过参考下文中结合附图所给出的描述而得到更好的理解,其中在所有附图中使用了相同或相似的附图标记来表示相同或者相似的部件。所述附图连同下面的详细说明一起包含在本说明书中并且形成本说明书的一部分,而且用来进一步举例说明本发明的优选实施例和解释本发明的原理和优点。
图1为安全策略主客体索引树建立示意图;
图2为安全规则冲突消解过程示意图;
图3为根据本发明实施方式一种多域云防火墙安全策略冲突消解方法的流程示意图;
图4为本发明方法运行时间示意图;
图5为根据本发明实施方式一种多域云防火墙安全策略冲突消解装置的结构示意图。
具体实施方式
在下文中将结合附图对本发明的示范性实施例进行描述。为了清楚和简明起见,在说明书中并未描述实际实施方式的所有特征。然而,应该了解,在开发任何这种实际实施例的过程中必须做出很多特定于实施方式的决定,以便实现开发人员的具体目标。在此,还需要说明的一点是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的装置结构和/或处理步骤,而省略了与本发明关系不大的其他细节。
不同的云服务域之间使用云防火墙来满足不同的安全需求,但是不同云服务域之间存在较为复杂的通信关联关系,导致云防火墙的安全规则往往会存在大量的安全规则冗余与冲突,在云防火墙这一计算资源较为有限的环境上,冗余和冲突的数量将会极大的限制云防火墙的运行效率,甚至为攻击者留下安全漏洞。因此,本发明针对云防火墙安全规则的冗余与冲突进行检测,并在不改变防火墙过滤效果的前提下,针对检测到的冗余与冲突进行消解,以达到提升云防火墙运行效率的目的。
首先,需要针对云防火墙的安全策略进行相应的解析处理,这里使用json接口的形式,接收防火墙管理员发来的完整安全策略信息,json接口主要包括防火墙的名称与基本信息、安全策略的名称与策略内容,而后对接收到的信息进行分析,形成格式规范化的安全策略,方便后续的冗余冲突检测与消解;然后,在冗余与冲突检测中,对防火墙配置的安全规则进行遍历,在两条安全规则参数部分相同的情况下,若规则决策相同,则表示两条安全规则之间存在冗余;若规则决策不同,则表示两条安全规则之间存在冲突;然后,在冗余与冲突消解中,对检测到的安全规则冗余与冲突进行处理,根据防火墙管理员的消解需求,改变其中一条安全规则,使之达到不与其他规则冲突的目的,从而完成冲突消解过程,保证多域云防火墙的高效运行。下面具体说明本发明是如何检测到云防火墙安全规则的冗余与冲突并对其进行消解。
针对云防火墙的基本安全需求,可以将每个防火墙安全规则定义为一个四元组R=(S,O,A,D),其中,S为主体,表示网络通信中的请求发起方;O为客体,表示网络通信中的请求接收方;A为动作,表示网络通信中的具体请求动作;D为决策,表示防火墙针对过滤到的请求所采取的决策,一般允许或拒绝。基于上述的四元组概念,可以将所有的防火墙安全规则处理成统一的形式化描述方式,方便后续的冗余和冲突的检测及消解。
而后,需要对四元组中每个元素的具体情况进行分析,针对主体S和客体O来说,其具体的内容可能分为以下三种情况:数值、区间、字符串,其中,数值通常用于表示某个参数的具体数值,比如端口号等;区间通常用于表示一个宽泛的取值范围,比如IP地址段等;字符串通常用于表示一个文本内容,比如网络通信协议等。根据主客体不同的内容,冗余与冲突检测算法的处理方式也是不同的。
具体实施例一
说明如何建立主客体索引树。
为了更加快速的对安全策略进行冲突与冗余检测,首先对防火墙的安全策略建立主客体索引树,能够快速的将可能发生冲突的安全规则筛选出来,方便后续的冲突与冗余检测过程,降低算法的时间复杂度。这里第一层索引采用主体索引,第二层索引采用客体索引,具体的索引树结构如图1所示。
为方便后续冗余冲突检测以及安全策略的维护修改,主客体索引树也会在MySQL数据库中进行保存,并且开放MySQL数据库接口进行安全策略的增、删、查、改。具体的数据库结构则包含以下几个部分:
1.防火墙名称:用于区分不同防火墙;
2.策略名称:用于区分防火墙内的不同安全策略;
3.主体:每个安全规则的主体部分,包括源地址、源端口等;
4.客体:每个安全规则的客体部分,包括目标地址、目标端口等;
5.动作:每个安全规则的动作部分,包括通信协议等;
6.决策:每个安全规则的决策部分,决策每个访问请求的允许或拒绝;
在主客体索引树的构建过程中,即可完成数据库信息的录入过程,管理员可以直接使用MySQL的通信接口获取到完整的安全策略内容,另外,在完成冗余冲突消解过程后,算法会自动将数据库中的信息进行更新,确保安全策略的一致。
这里需要说明的是,考虑到主体与客体一般采用IP地址加掩码的形式,因此在索引树建立的过程中需要对主客体的重叠部分进行扫描,将发生重叠的主客体索引进行合并,从而确保后续的冗余与冲突检测中可以准确的找到可能存在冗余与冲突的规则集。
具体实施例二
说明针对云防火墙安全规则冗余和冲突的检测方法。
在明确了安全规则的基本定义后,就可以针对安全策略中的冲突与冗余给出相应的定义,明确后续冗余与冲突消解所需要进行的处理。这里冗余的形式化描述为:
Ri=(Si,Oi,Ai,Di),Rj=(Sj,Oj,Aj,Dj),
其中,1≤i,j≤|R|且i≠j。若
Figure GDA0003514326930000061
则规则Ri与Rj之间存在冗余。
可以看出,在冗余检测的过程中,需要分别检查任意两条规则的主体、客体、动作之间是否存在交集部分,在明确了两个规则间的重叠部分后,在决策相同的情况下,则定义为两规则之间存在冗余。比如,在某个多域云安全防火墙的安全策略中,配置了这样两条规则:
Si=192.168.2.0/255.255.255.0 Sj=192.168.0.0/255.255.255.0
Oi=192.168.3.0/255.255.255.0 Oj=192.168.3.0/255.255.255.0
Ai=http Aj=ftp
Di=deny Dj=deny
可以看出,主体、客体、动作存在着交集部分,且决策部分也是相同的,防火墙在策略的执行过程中会存在多余的配置,影响策略的运行效率。具体来说,冗余的存在主要分为以下两种情况:
1)冗余部分只占两条规则的一部分,这时需要将其中一条规则的冗余部分去除;
2)两条规则的其中一条完全与另一条规则冗余,这时需要将这条规则从安全策略中去除。
需要说明的是,安全策略中存在冗余并不会对安全策略的运行效果带来影响,但是会降低安全策略的运行效率,在多域云安全防火墙中,往往需要根据接收到的请求去对安全规则进行逐条匹配,这时冗余的安全规则会延长检查时间。根据上述冗余存在的情况,即可对安全规则中的冗余情况进行消解,保证安全策略的高效运行。
接下来,需要对安全策略中的冲突进行检测,首先需要明确冲突的定义,具体的形式化定义如下:
Ri=(Si,Oi,Ai,Di),Rj=(Sj,Oj,Aj,Dj),
其中,1≤i,j≤|R|且i≠j。若
Figure GDA0003514326930000062
Figure GDA0003514326930000063
则规则Ri与Rj之间存在冲突。
同样,在冲突检测的过程中,需要对规则集进行主体、客体、动作之间的交集部分进行扫描,并对交际部分的决策进行检查,如果存在决策不同的情况,也就是说防火墙对同一个主体、同一客体的特定动作采取了完全不同的决策,这样也就发生了冲突,比如,在某个多域云安全防火墙的安全策略中,配置了这样两条规则:
Si=192.168.1.0/255.255.255.0 Sj=192.168.0.0/255.255.255.0
Oi=192.168.2.0/255.255.255.0 Oj=192.168.2.0/255.255.255.0
Ai=http Aj=ftp
Di=permit Dj=deny
可以看出,主体、客体、动作之间存在着交集部分,然而决策却是相反的,在后续的策略执行中则会产生歧义,冲突消解算法需要针对这样的情况进行处理。具体来说,冲突的存在主要分为以下三种情况:
1)冲突部分只占两条规则的一部分,这时需要按照一定的策略,将冲突部分去除;
2)两条规则的其中一条完全与另一条冲突,这时需要按照一定的策略,去除该条规则或修改另一条规则;
3)两条规则的主体、客体、动作完全一致,但决策不同,这时需要按照一定的策略,去除相应的规则。
具体实施例三
说明针对云防火墙安全规则冗余和冲突的消解方法。
在按照具体实施例一完成了索引树的建立后,即可按照具体实施例二开始冗余与冲突的检测,然后需要对云防火墙安全规则冗余和冲突进行消解。具体来说,冗余与冲突消解算法会通过修改主体、客体、动作的内容,去除掉这三者之间重叠的部分,从而完成冗余与冲突消解过程,去除重叠的过程可以抽象成图2的过程。
如图2所示,A为开始阶段,规则1的主客体覆盖范围与规则2的覆盖范围存在重叠部分,造成了安全规则的冲突或冗余,需要进行冗余与冲突消解,将其转换成B阶段的形式,去除重叠部分,即完成了冗余与冲突的消解过程。
在确定了冗余与冲突消解的具体方法后,即可开始具体的冗余与冲突消解过程。冗余的消解可以直接通过去除安全规则重叠部分来完成,冲突的消解就需要依据一定的冲突消解策略,对上述提到的冲突与冗余情况进行处理,保证安全策略的高效准确执行。这里一般采用的冲突消解策略主要有四种:允许优先、拒绝优先、顺序覆盖与首先应用。允许优先会在检测到安全规则冲突时优先保留决策为允许的部分,删除掉其他决策为拒绝的部分;拒绝优先会在检测到安全规则冲突时优先保留决策为拒绝的部分,删除掉其他决策为允许的部分;顺序覆盖会在检测到安全规则冲突时查看安全规则的顺序,优先保留较新的安全规则;首先应用则会在检测到安全规则冲突时优先保留排序靠前的安全规则。
具体实施例四
说明针对云防火墙安全规则冗余与冲突进行检测并消解的具体流程。
在定义好冗余与冲突消解的具体策略后即可开始冲突消解算法的具体设计。如图3所示,算法首先会扫描整个安全策略,对不同的安全策略建立主客体索引树;而后,在主客体索引树的基础上,针对每个索引下的安全策略检查动作与决策,如果动作存在相等关系,则存在冲突或冗余,需要进行相应的消解处理;而后依据相应的消解策略对主客体进行处理,如果不存在,则继续对其他安全规则进行检查,直到该索引下的所有规则都被检查过。
需要特殊注意的是,在进行冗余与冲突消解的过程中,可能会发生消解后规则的格式错误,比如,IP地址加掩码的主客体形式,在完成主客体修改后可能并不符合相应的IP段表示标准,这就需要进行一定的修改,在具体的实现过程中,可能需要通过增加新安全规则的形式,来达到主客体格式修正的目的。
根据上述算法流程,具体的算法伪代码如下:
Figure GDA0003514326930000081
Figure GDA0003514326930000091
具体实施例五
验证本发明方法的有效性。
首先需要构建测试用的安全策略,其包含一定的冗余与冲突,从而对比出消解前后的安全策略改变;接下来,针对索引树建立、冗余与冲突消解效果、算法运行时间三个方面展示算法的具体性能。
采用如下的安全策略来验证本发明方法的具体效果,具体的安全策略如下:
Figure GDA0003514326930000092
Figure GDA0003514326930000101
上表中,sourceAddress与sourcePort表示请求的源地址与源端口,作为安全规则的主体;destinationAddress表示请求的目标端口,作为安全规则的客体;service表示请求的协议,作为安全规则的动作;accessControl表示防火墙的允许与拒绝决策,0为拒绝,1为允许,作为安全规则的决策。
在定义好测试用的安全规则后即可使用冗余与冲突消解算法,构建安全策略的主客体索引树,为后续的冗余与冲突检测提供基础,具体的索引树如下:
Figure GDA0003514326930000102
在建立好安全策略的主客体索引树后,即可开始安全策略的冗余与冲突消解,算法针对每个索引组合下的安全策略进行扫描,检测其是否发生冗余与冲突,并对发生的冗余与冲突进行消解。本实施例中采用的是拒绝优先策略,会删除掉决策为允许的重叠部分。
然后,对消解后的安全策略进行了一定的分析,具体分析内容如下:
Figure GDA0003514326930000111
从上表中可以看出,消解后的安全策略已不存在冗余与冲突,每个主客体的IP组合内都确保只有一个安全策略,故此,冗余与冲突消解的目的也就达到了。
最后,为了验证算法的时间性能,分别取测试安全策略中的10条、20条、30条进行了时间性能的对比,算法运行时间如图4所示,从图4中可以看出,本发明方法在测试安全策略的运行时间均能维持在0.04s以内,说明本发明能够在不影响正常云防火墙的安全策略配置的前提下,实现安全策略的冗余冲突消解,进一步提升云防火墙的性能。
具体实施例六
本实施例提出一种多域云防火墙安全策略冲突消解装置,如图5所示,该装置包括:
获取单元110,用于获取待消解的云防火墙安全策略,并用包含主体、客体、动作和决策的四元组表示所述云防火墙安全策略;其中,所述主体或所述客体的内容包括数值、区间或字符串;
索引树建立单元120,用于对云防火墙安全策略建立主客体索引树;其中,所述主客体索引树的第一层索引采用主体索引,第二层索引采用客体索引;建立主客体索引树过程中对主体和客体的重叠部分进行扫描,将发生重叠的主体和客体索引进行合并;
安全策略检测单元130,用于在主客体索引树的基础上,对每个索引下的安全策略检测是否存在冗余或冲突;其中,是否存在冗余或冲突的判断方法包括,若安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,且决策也相同,则确定为两条安全规则之间存在冗余;冗余包括部分冗余和全部冗余;若安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,但决策相反,则确定为两条安全规则之间存在冲突;冲突包括部分冲突和全部冲突;
冗余冲突消解单元140,用于对安全策略检测单元检测到的安全策略的冗余与冲突进行消解处理;对检测到的安全策略的冗余进行消解处理的方法为直接去除安全规则之间的重叠部分;对检测到的安全策略的冲突进行消解处理的方法包括允许优先、拒绝优先、顺序覆盖与首先应用;其中,允许优先为在检测到安全规则冲突时优先保留决策为允许的部分,删除掉其他决策为拒绝的部分;拒绝优先为在检测到安全规则冲突时优先保留决策为拒绝的部分,删除掉其他决策为允许的部分;顺序覆盖为在检测到安全规则冲突时查看安全规则的顺序,优先保留较新的安全规则;首先应用为在检测到安全规则冲突时优先保留排序靠前的安全规则。
进一步地,该装置还包括格式修正单元150,用于在对检测到的安全策略的冗余与冲突进行消解处理之后,通过增加新的安全规则对格式错误的安全规则进行格式修正。
本实施例所述一种多域云防火墙安全策略冲突消解装置的功能可以由前述一种多域云防火墙安全策略冲突消解方法说明,因此本实施例未详述部分,可参见以上方法实施例,在此不再赘述。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。

Claims (8)

1.一种多域云防火墙安全策略冲突消解方法,其特征在于,包括以下步骤:
步骤一、获取待消解的云防火墙安全策略,并用包含主体、客体、动作和决策的四元组表示所述云防火墙安全策略;
步骤二、对所述云防火墙安全策略建立主客体索引树;
步骤三、在所述主客体索引树的基础上,对每个索引下的安全策略检测是否存在冗余或冲突;
步骤四、对检测到的安全策略的冗余与冲突进行消解处理;对检测到的安全策略的冗余进行消解处理的方法为直接去除安全规则之间的重叠部分;对检测到的安全策略的冲突进行消解处理的方法包括允许优先、拒绝优先、顺序覆盖与首先应用;其中,所述允许优先为在检测到安全规则冲突时优先保留决策为允许的部分,删除掉其他决策为拒绝的部分;所述拒绝优先为在检测到安全规则冲突时优先保留决策为拒绝的部分,删除掉其他决策为允许的部分;所述顺序覆盖为在检测到安全规则冲突时查看安全规则的顺序,优先保留较新的安全规则;所述首先应用为在检测到安全规则冲突时优先保留排序靠前的安全规则。
2.根据权利要求1所述的一种多域云防火墙安全策略冲突消解方法,其特征在于,步骤一中所述主体或所述客体的内容包括数值、区间或字符串。
3.根据权利要求1或2所述的一种多域云防火墙安全策略冲突消解方法,其特征在于,步骤二中所述主客体索引树的第一层索引采用主体索引,第二层索引采用客体索引。
4.根据权利要求3所述的一种多域云防火墙安全策略冲突消解方法,其特征在于,步骤二中建立主客体索引树过程中对主体和客体的重叠部分进行扫描,将发生重叠的主体和客体索引进行合并。
5.根据权利要求1所述的一种多域云防火墙安全策略冲突消解方法,其特征在于,步骤三中安全策略存在冗余的判断方法为:安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,且决策也相同,则确定为两条安全规则之间存在冗余;其中,所述冗余包括部分冗余和全部冗余。
6.根据权利要求1所述的一种多域云防火墙安全策略冲突消解方法,其特征在于,步骤三中安全策略存在冲突的判断方法为:安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,但决策相反,则确定为两条安全规则之间存在冲突;其中,所述冲突包括部分冲突和全部冲突。
7.根据权利要求1所述的一种多域云防火墙安全策略冲突消解方法,其特征在于,在步骤四之后,通过增加新的安全规则对格式错误的安全规则进行格式修正。
8.一种多域云防火墙安全策略冲突消解装置,其特征在于,包括:
获取单元,用于获取待消解的云防火墙安全策略,并用包含主体、客体、动作和决策的四元组表示所述云防火墙安全策略;其中,所述主体或所述客体的内容包括数值、区间或字符串;
索引树建立单元,用于对云防火墙安全策略建立主客体索引树;其中,所述主客体索引树的第一层索引采用主体索引,第二层索引采用客体索引;建立主客体索引树过程中对主体和客体的重叠部分进行扫描,将发生重叠的主体和客体索引进行合并;
安全策略检测单元,用于在主客体索引树的基础上,对每个索引下的安全策略检测是否存在冗余或冲突;其中,是否存在冗余或冲突的判断方法包括,若安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,且决策也相同,则确定为两条安全规则之间存在冗余,所述冗余包括部分冗余和全部冗余;若安全策略中任意两条安全规则的主体、客体、动作之间均存在交集部分,但决策相反,则确定为两条安全规则之间存在冲突,所述冲突包括部分冲突和全部冲突;
冗余冲突消解单元,用于对安全策略检测单元检测到的安全策略的冗余与冲突进行消解处理;对检测到的安全策略的冗余进行消解处理的方法为直接去除安全规则之间的重叠部分;对检测到的安全策略的冲突进行消解处理的方法包括允许优先、拒绝优先、顺序覆盖与首先应用;其中,所述允许优先为在检测到安全规则冲突时优先保留决策为允许的部分,删除掉其他决策为拒绝的部分;所述拒绝优先为在检测到安全规则冲突时优先保留决策为拒绝的部分,删除掉其他决策为允许的部分;所述顺序覆盖为在检测到安全规则冲突时查看安全规则的顺序,优先保留较新的安全规则;所述首先应用为在检测到安全规则冲突时优先保留排序靠前的安全规则。
CN202110073766.2A 2021-01-20 2021-01-20 一种多域云防火墙安全策略冲突消解方法及装置 Active CN112866251B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110073766.2A CN112866251B (zh) 2021-01-20 2021-01-20 一种多域云防火墙安全策略冲突消解方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110073766.2A CN112866251B (zh) 2021-01-20 2021-01-20 一种多域云防火墙安全策略冲突消解方法及装置

Publications (2)

Publication Number Publication Date
CN112866251A CN112866251A (zh) 2021-05-28
CN112866251B true CN112866251B (zh) 2022-04-19

Family

ID=76007523

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110073766.2A Active CN112866251B (zh) 2021-01-20 2021-01-20 一种多域云防火墙安全策略冲突消解方法及装置

Country Status (1)

Country Link
CN (1) CN112866251B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115514506A (zh) * 2021-06-07 2022-12-23 中移物联网有限公司 云平台资源管理方法、装置及可读存储介质
CN114039853B (zh) * 2021-11-15 2024-02-09 天融信雄安网络安全技术有限公司 一种检测安全策略的方法、装置、存储介质和电子设备
CN114745208A (zh) * 2022-06-10 2022-07-12 深圳市永达电子信息股份有限公司 一种防火墙访问控制列表的异常检测与修正方法
CN115842664A (zh) * 2022-11-23 2023-03-24 紫光云技术有限公司 一种公有云网络流量安全的实现方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102760076A (zh) * 2012-06-05 2012-10-31 华为技术有限公司 一种系统的策略冲突处理方法及策略冲突处理系统
CN103258007A (zh) * 2013-04-16 2013-08-21 中国科学院地理科学与资源研究所 一种利用冲突检测机制的地图标注方法及装置
CN103905468A (zh) * 2014-04-23 2014-07-02 西安电子科技大学 网络访问控制系统中xacml框架扩展系统及方法
CN103905464A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 基于形式化方法的网络安全策略验证系统及方法
CN106656591A (zh) * 2016-12-15 2017-05-10 西安电子科技大学 一种软件定义网络中多应用间的规则冲突检测与消除方法
CN110224977A (zh) * 2019-04-30 2019-09-10 南瑞集团有限公司 一种协同防御策略冲突消解方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8010991B2 (en) * 2007-01-29 2011-08-30 Cisco Technology, Inc. Policy resolution in an entitlement management system
US10033702B2 (en) * 2015-08-05 2018-07-24 Intralinks, Inc. Systems and methods of secure data exchange
US10866963B2 (en) * 2017-12-28 2020-12-15 Dropbox, Inc. File system authentication

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102760076A (zh) * 2012-06-05 2012-10-31 华为技术有限公司 一种系统的策略冲突处理方法及策略冲突处理系统
CN103258007A (zh) * 2013-04-16 2013-08-21 中国科学院地理科学与资源研究所 一种利用冲突检测机制的地图标注方法及装置
CN103905464A (zh) * 2014-04-21 2014-07-02 西安电子科技大学 基于形式化方法的网络安全策略验证系统及方法
CN103905468A (zh) * 2014-04-23 2014-07-02 西安电子科技大学 网络访问控制系统中xacml框架扩展系统及方法
CN106656591A (zh) * 2016-12-15 2017-05-10 西安电子科技大学 一种软件定义网络中多应用间的规则冲突检测与消除方法
CN110224977A (zh) * 2019-04-30 2019-09-10 南瑞集团有限公司 一种协同防御策略冲突消解方法及系统

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
A Method of Conflict Detection for Security Policy Based on B+ Tree;Xueting Luo,Yueming Lu;《2019 IEEE Fourth International Conference on Data Science in Cyberspace (DSC)》;20191205;全文 *
一种XACML规则冲突及冗余分析方法;王雅哲等;《计算机学报》;20090315(第03期);全文 *
一种防火墙规则冲突检测方法研究;陈思思等;《信息网络安全》;20181010(第10期);全文 *
多级跨域访问控制管理相关技术研究;刘江;《中国优秀硕士学位论文全文数据库信息科技辑》;20140228;全文 *
空间访问控制研究综述;陈驰等;《网络新媒体技术》;20150115(第01期);全文 *

Also Published As

Publication number Publication date
CN112866251A (zh) 2021-05-28

Similar Documents

Publication Publication Date Title
CN112866251B (zh) 一种多域云防火墙安全策略冲突消解方法及装置
US7596809B2 (en) System security approaches using multiple processing units
US7614085B2 (en) Method for the automatic setting and updating of a security policy
EP2760158B1 (en) Policy processing method and network device
CN114077741B (zh) 软件供应链安全检测方法和装置、电子设备及存储介质
CN102271053A (zh) 自动化迁移中的网络重配置的方法和系统
CN109286511B (zh) 数据处理的方法及装置
CN110414236A (zh) 一种恶意进程的检测方法及装置
CN108667776B (zh) 一种网络业务诊断方法
RU2587429C2 (ru) Система и способ оценки надежности правила категоризации
CN107196871B (zh) 一种基于别名规约树的流规则冲突检测方法及系统
CN109753819B (zh) 一种访问控制策略的处理方法和装置
CN105429996B (zh) 一种智能发现和定位地址转换设备的方法
CN111030887B (zh) web服务器发现方法、装置和电子设备
CN114499922A (zh) 一种智能化的零信任动态授权方法
US8689327B2 (en) Method for characterization of a computer program part
CN114866338B (zh) 网络安全检测方法、装置及电子设备
CN103593614B (zh) 一种未知病毒检索方法
CN115908045A (zh) 应用于电力系统配电网的动态链路访问管控方法及装置
CN114547628A (zh) 漏洞检测方法及装置
CN114205146A (zh) 一种多源异构安全日志的处理方法及装置
US20120324569A1 (en) Rule compilation in a firewall
CN109474452B (zh) 自动识别b/s僵尸网络后台的方法、系统及存储介质
Clincy et al. Detection of anomaly in firewall rule-sets
CN105915513A (zh) 云系统中组合服务的恶意服务提供者的查找方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant