CN113949655A - 一种基于形式化验证的网络可达性求解方法 - Google Patents

一种基于形式化验证的网络可达性求解方法 Download PDF

Info

Publication number
CN113949655A
CN113949655A CN202111197817.9A CN202111197817A CN113949655A CN 113949655 A CN113949655 A CN 113949655A CN 202111197817 A CN202111197817 A CN 202111197817A CN 113949655 A CN113949655 A CN 113949655A
Authority
CN
China
Prior art keywords
model
formal
reachability
network
solving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111197817.9A
Other languages
English (en)
Other versions
CN113949655B (zh
Inventor
常瑞
赵永望
张卓若
王聪
李荣泰
任奎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202111197817.9A priority Critical patent/CN113949655B/zh
Publication of CN113949655A publication Critical patent/CN113949655A/zh
Application granted granted Critical
Publication of CN113949655B publication Critical patent/CN113949655B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于形式化验证的网络可达性求解方法,该方法对网络可达性问题进行抽象建模,通过语义等价性基于集合进行具体建模和精化,并通过逻辑等价性转换实现网络可达性求解方法,形式化验证能够确保该方法可正确有效地求解网络模型的可达性问题。本发明借助形式验证工具,通过数学推理确保了可达性求解方法的正确性和逻辑完备性。相比于传统的用例覆盖测试方案,本发明基于形式化验证方法保证了网络可达性方法的正确性和有效性。

Description

一种基于形式化验证的网络可达性求解方法
技术领域
本发明涉及形式化方法领域,尤其涉及一种基于形式化验证的网络可达性求解方法。
背景技术
随着大数据和云端技术的发展,互联网企业向用户提供了众多云服务,个人用户和企业用户能够在云服务器上构建私有云,对网络中的配置实现自主化配置。而在这种虚拟私有云的环境下,用户对其部署的网络服务具有较高的安全性需求,自主化设计的网络配置和规则需要满足用户的实际需求,以防存在用户设置黑名单内的主机能够访问部署的网络的情况等。
网络可达性是指在某个网络上,主机A能够到达主机B,当且仅当存在一条物理路径,可以找到一种数据包(如,IP,TCP,UDP等)从A发出,能满足网络中所有途径主机的安全组、访问控制列表(Access Control List)等所有规则限制类实体对于IP或端口或协议的限制,并到达主机B。对网络可达性求解结果的分析,能够清晰地表示出当前用户配置的网络下的访问权限情况,以助于用户了解相应的配置是否符合需求,确保网络的配置的安全性。
本发明的目的为使用形式化验证的方法对网络可达性求解算法进行正确性验证。
当前网络可达性检测领域存在的问题如下:
(1)常见的网络可达性检验使用网络测试等传统方法。但这些测试方法通常采用枚举的方式,能够检测出的错误有限,耗费的资源较多和时间较长,也难以对错误的配置进行精确的分类和总结,难以切实保证实际的配置安全性需求。
(2)随着近年来形式化验证延展性和建模能力的进一步提高,越来越多的研究学者将形式化技术运用到了网络领域中。通过使用形式化验证方法对不同网络层进行抽象的建模,以完备严格的数学证明手段和验证工具来确保网络配置的正确性,能够较好地解决枚举测试网络的缺陷。然而,形式化验证在网络领域的应用仍处于起步阶段,在应用范围、验证算法时间复杂度、求解器性能等方面具有局限性。具体包括:
(a)目前,形式化方法在解决网络领域问题上仍缺乏广泛的应用,很多网络领域的配置模型或冲突检测趋向于解决某一种类型的配置问题,如路由选择中的错误配置和某些特定协议和规则的校验;
(b)验证算法具有较高的时间复杂度,有待优化;
(c)求解器的功能具有局限性,即使某一种求解器在某种问题上的解决方案可行,但在其他问题上可能无法有很好的解决方案。
(3)网络本身的复杂性和多样性对网络可达性求解提出了性能和扩展性要求。当前网络通常具有复杂的网络结构,包含众多具备不同属性的实体对象,各实体之间具有多层嵌套和复杂的连通关系;不同网络环境下的组成部分、协议和路由规则都有所不同,而多种规则限制类实体能够生成对数据包的包头字段生成不同限制条件。在用形式化方法对网络结构进行验证前,需要考虑网络中涵盖的所有对象特征以完成网络模型的构建。有效的网络模型能够化简网络验证的复杂性,提供更高效的网络验证手段。
针对上述问题,本发明需要同时兼顾网络结构建模和验证算法两个方面,得到经过形式化验证的高效可达性求解算法,确保在当前包含多种实体、协议、规则的网络模型下正确可靠地进行可达性求解。同时,用户通过将返回结果与其预期结果进行对比,也可对当前网络环境配置的正确性进行一些判断——若两点可达,则返回满足可达条件的数据包和从起点到终点的路径,用以确保网络环境下的配置安全。
发明内容
本发明的目的在于针对现有技术的不足,提出了一种基于形式化验证的网络可达性求解方法。
本发明的目的是通过以下技术方案来实现的:一种基于形式化验证的网络可达性求解方法,包括如下步骤:
(1)建立网络模型:依据网络模型设计文档,采用形式化描述语言对网络模型各实体信息以及不同实体之间的关联关系进行描述,构建网络模型;
(2)基于网络模型定义可达性语义:通过形式化语言来定义步骤(1)中的网络模型的可达性,建立形式化语义模型;通过所述形式化语义模型对网络模型的可达性进行求解,包括两点之间可达性、某点可访问的所有节点集合、所有可访问某点的节点集合三种情况的求解,该求解结果即为网络模型的可达性语义;
(3)基于集合的求解算法抽象层建模:针对网络中涵盖的所有对象特征,基于数据包集合求交对网络可达性进行求解,得到抽象层形式化模型;
(4)对网络模型进行可达性求解:通过步骤(3)得到的抽象层形式化模型对步骤(1)得到的网络模型进行可达性求解,包括两点之间可达性、某节点可访问的所有节点集合、所有可访问某点的集合三种情况的求解结果;
(5)证明步骤(4)中得到的可达性求解结果和步骤(2)中得到的可达性语义之间的等价性,若两者不等价,则对所述抽象层模型进行修正直至所述形式化语义模型及抽象层形式化模型得到的可达性结果等价,若满足,则进入步骤(6);
(6)基于集合的求解算法具体层建模,该具体层的求解算法是对步骤(3)得到的抽象层形式化模型的精化,具体层通过使用更具体的数据结构表示,并加入了额外的变量,得到具体层形式化模型;
(7)证明步骤(6)得到的具体层形式化模型是步骤(3)得到的抽象层形式化模型的一个精化:即将步骤(3)的抽象层的形式化模型作为待验证的性质,将步骤(6)实现的具体层的形式化模型作为待验证对象,如果具体层的形式化模型为抽象层形式化模型的精化,则当前基于集合的求解算法验证通过,否则根据具体层形式化模型不为抽象层形式化模型精化的部分,调整基于集合的求解算法具体层模型代码,直至具体层形式化模型为抽象层形式化模型的精化,则转入下一步骤;
(8)通过Isabelle/HOL工具所提供的将形式化语言自动转化为可执行代码的方法,将步骤(7)得到的已完成验证的基于集合的求解算法具体层导出为可执行代码;
(9)得到可靠高效的求解算法:即对步骤(8)得到的可执行代码进行逻辑等价性转换,使用C++高级程序语言实现基于集合的求解算法,并通过时间复杂度和空间复杂度的优化,实现对网络模型可达性问题的高效求解。
进一步地,所述步骤(1)中网络模型满足需求规格说明文档中的功能需求,即满足网络模型中个实体的数据结构表示、所要实现的功能、功能期望性质。
进一步地,所述步骤(4)中可达性求解结果为,针对两点之间可达性情况,返回是否可达的结果、可满足的数据包集合以及两点间的路径;针对某节点可访问的所有节点集合、所有可访问某点的集合两种情况,得到满足该条件的节点集合及每个节点对应的可到达的数据包集合。
进一步地,所述步骤(5)中可达性语义等价性表示为,针对两点间可达性情况,A、B两点在形式化语义模型中可达当且仅当抽象求解算法模型的求解结果可达;针对多点间可达性情况,两个模型得到完全相同的满足条件的节点集合和对应数据包集合。
进一步地,所述步骤(8)中可执行代码包括Scala,Haskell,ML等。
本发明的有益效果:本发明针对业界亟待解决的网络可达的安全性问题,提供了一种高可信可达性求解算法。该求解算法具有较低的时间和空间复杂度,且在形式验证工具Isabelle中通过数学推理来证明求解算法的可达性结果和原有网络模型的可达性语义的等价性,确保了其正确性和逻辑完备性。现有研究中,尚未有对求解算法的可达性与网络可达性的等价证明的相关内容。相比于传统的测试用例覆盖方案,本发明对网络模型安全性做出更为显著有效的形式化验证。本发明基于定理证明的形式化方法,不限制于有穷状态空间或某种类型的待验证性质,因此可适用于描述较大规模的网络,能够同时验证多种性质,具有较高的可扩展性和可复用性。
附图说明
图1是基于形式化方法的网络可达性验证流程图;
图2是优选实例中VPC包含的部分实体对象及属性图。
具体实施方式
虚拟私有云(Virtual Private Cloud,以下简称VPC),为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,能够提升用户云上资源的安全性,简化用户的网络部署。为使本发明的目的和效果更加清晰,下面将以VPC作为网络环境实例,根据附图和优选实施例详细描述本发明具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
结合图1和图2,本发明实施例提供了一种基于形式化验证的虚拟私有云网络可达性求解方法,包括如下步骤:
(1)建立虚拟私有云网络模型:即依据虚拟私有云网络模型设计文档,采用形式化描述语言对虚拟私有云网络模型各实体对象的数据结构、属性字段以及不同实体之间的关联关系进行描述,构建网络模型。
如图2所示,不同实体共同构成虚拟私有云网络模型(VpcNet),虚拟私有云网络模型包含的各实体对象的数据结构、属性字段以及不同实体间的关联关系组成实体信息。
所述采用形式化描述语言对虚拟私有云网络模型各实体对象的数据结构、属性字段以及不同实体之间的关联关系进行描述,构建网络模型具体为:
(a)虚拟私有云(VPC):每个包含1-n个子网、1个虚拟路由表;不同VPC之间可以通过对等连接进行互通;
(b)子网:子网上附加0-n个访问控制列表(AclGroup),内部包含0-n个网卡;
(c)访问控制列表(AclGroup),能够同时作用于多个子网上,包含多条ACL规则(AclRule);ACL规则有出、入两个方向,包含对允许或拒绝通过的数据包的包头字段——源端口、目的端口、源地址、目的地址、协议的限制条件;
(d)安全组:能够同时作用于多个网卡上,包含多条安全组规则(SecurityRule);安全组规则有出、入两个方向,包含对允许通过的数据包的包头字段——远端端口、远端IP地址、协议的限制条件;
(e)路由表:包含其所连接的VPC信息及多条路由规则;路由规则按照最长前缀策略进行数据包的路由转发,包含目的CIDR和下一跳信息;
(f)网卡:包含其所连接的弹性公网IP、安全组信息;
(g)弹性公网IP:和网卡一一绑定;
(h)对等连接:一个对等连接连通两个不同的VPC。
VPC网络模型满足需求规格说明文档中的功能需求,即满足网络模型中个实体的数据结构表示、所要实现的功能、功能期望性质。
(2)基于网络模型定义可达性语义:通过形式化语言来定义步骤(1)中的网络模型的可达性,建立形式化语义模型;通过所述形式化语义模型对网络模型的可达性进行求解,包括两点之间可达性、某点可访问的所有节点集合、所有可访问某点的节点集合三种情况的求解,该求解结果即为网络模型的可达性语义;
根据步骤(1)中虚拟私有云网络的实体信息,并综合安全组、访问控制列表和路由表的规则对可达性的限制,可表述网络可达性的语义。网络可达性的语义即为对虚拟私有云网络模型中可达性的求解结果,包括两点之间可达性、某点可访问的所有节点集合、所有可访问某点的节点集合三种情况。
(a)求解两点之间可达性的情况:即查询两个节点之间是否可以互通。两个节点在VPC中所处的位置可以分为三种情况,即(1)两节点处于不同VPC中,(2)两节点处于相同VPC但不同子网中,(3)两节点处于相同VPC、同一子网中。
(b)求解所有可访问某节点的节点集合的情况:例如,目前有一台保存重要数据的服务器A期望只有内部网络可以访问,由于管理员的疏忽,A的某端口可以被远程访问,检查A是否可被公网访问;
(c)求解某节点可访问的所有节点集合的情况:例如,某勒索病毒能够感染某端口,目前确认一台服务器已经感染该病毒,确定这台服务器可以感染的面积。
(3)基于集合的求解算法抽象层建模:针对网络中涵盖的所有对象特征,基于数据包集合求交对网络可达性进行求解,得到抽象层形式化模型;
(4)对网络模型进行可达性求解:通过步骤(3)得到的抽象层形式化模型对步骤(1)得到的网络模型进行可达性求解,包括两点之间可达性、某节点可访问的所有节点集合、所有可访问某点的集合三种情况的求解结果;
以两点之间可达性的求解为例,给定起始点和终点以及两点分别对应的网卡和协议范围,将连接两点的路径上所经过的安全组、ACL和路由表各自对数据包的限制规则求交集,能够得到整条路径最终允许通过的数据包集合,如果该集合不为空,则表示两点间存在允许通过的数据包,即两点可达。可达性求解结果为,针对两点之间可达性情况,返回是否可达的结果、可满足的数据包集合以及两点间的路径;针对某节点可访问的所有节点集合、所有可访问某点的集合两种情况,得到满足该条件的节点集合及每个节点对应的可到达的数据包集合。
(5)证明步骤(4)中得到的可达性求解结果和步骤(2)中得到的可达性语义之间的等价性,若两者不等价,则对所述抽象层模型进行修正直至所述形式化语义模型及抽象层形式化模型得到的可达性结果等价,若满足,则进入步骤(6);
可达性语义等价性表示为,针对两点间可达性情况,A、B两点在形式化语义模型中可达当且仅当抽象求解算法模型的求解结果可达;针对多点间可达性情况,两个模型得到完全相同的满足条件的节点集合和对应数据包集合。
等价性证明思想:采用分层思想,即先分别证明每个规则限制类实体(访问控制列表、安全组、路由器)在VPC网络模型中和基于集合求交的求解算法模型中允许通过的数据包集合相同,然后将所有结果整合,证明语义层面的两点可达与算法层面两点可达结果相等,即:
(a)针对两点间可达性情况证明在VPC网络模型中任意给出A、B两点,其在VPC形式化语义模型中可达当且仅当抽象求解算法的求解结果为可达。
(b)针对求解某节点可访问的所有节点集合、所有可访问某点的集合两种情况,证明形式化语义模型及抽象求解算法模型中返回的查询结果为完全相同的节点集合;
(6)基于集合的求解算法具体层建模,该具体层的求解算法是对步骤(3)得到的抽象层形式化模型的精化,具体层通过使用更具体的数据结构表示,并加入了额外的变量,得到具体层形式化模型。
(7)证明步骤(6)得到的具体层形式化模型是步骤(3)得到的抽象层形式化模型的一个精化:即将步骤(3)的抽象层的形式化模型作为待验证的性质,将步骤(6)实现的具体层的形式化模型作为待验证对象,如果具体层的形式化模型为抽象层形式化模型的精化,则当前基于集合的求解算法验证通过,否则根据具体层形式化模型不为抽象层形式化模型精化的部分,调整基于集合的求解算法具体层模型代码,直至具体层形式化模型为抽象层形式化模型的精化,则转入下一步骤。
精华证明思想:将抽象层的形式化模型作为待验证的性质,将具体层形式化模型作为待验证对象,如果具体层的形式化模型为抽象层形式化模型的精化,则当前基于集合的可达性求解算法验证通过,否则根据具体层形式化模型不为抽象层形式化模型精化的部分,调整基于集合的求解算法具体层模型代码,直至具体层形式化模型为抽象层形式化模型的精化。
(8)通过Isabelle/HOL工具所提供的将形式化语言自动转化为可执行代码的方法,将步骤(7)得到的已完成验证的基于集合的求解算法具体层导出为可执行代码。
Isabelle/HOL的代码生成方法具体可分为如下四个步骤:
(a)通过规约工具或用户的显式证明,从一个Isabelle理论文件中生成一系列原始的代码等式(raw code equations);
(b)使用预处理程序对原始代码等式进行定理转换产生一个结构化的代码等式集合;
(c)将该代码等式翻译为抽象的中间语言,包含四种表述:data(数据类型)、fun(代码方程)、class和inst(类型、类)。
(d)将该抽象的中间程序序列化为Scala,Haskell或ML等目标语言的可执行代码包括,该步骤只会产生具体语法的差别,但不会在本质上改变程序,能够确保转化前后可达性语义不变。
(9)得到可靠高效的求解算法:即对步骤(8)得到的可执行代码进行逻辑等价性转换,使用C++高级程序语言实现基于集合的求解算法,并经过时间复杂度和空间复杂度的优化得到原型工具,并实现对网络模型可达性问题的高效求解。使用该原型工具,针对不同规模的网络测试数据对网络可达性问题进行求解,测试结果体现了该原型工具的高效性和高可扩展性。具体数据如下:
表1:VPC网络测试数据规模
Figure BDA0003303831270000071
表2:VPC网络可达性测试算法求解时间
Figure BDA0003303831270000072
Figure BDA0003303831270000081
本领域普通技术人员可以理解,以上所述仅为发明的优选实例而已,并不用于限制发明,尽管参照前述实例对发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内,所做的修改、等同替换等均应包含在发明的保护范围之内。

Claims (5)

1.一种基于形式化验证的网络可达性求解方法,其特征在于,包括如下步骤:
(1)建立网络模型:依据网络模型设计文档,采用形式化描述语言对网络模型各实体信息以及不同实体之间的关联关系进行描述,构建网络模型;
(2)基于网络模型定义可达性语义:通过形式化语言来定义步骤(1)中的网络模型的可达性,建立形式化语义模型;通过所述形式化语义模型对网络模型的可达性进行求解,包括两点之间可达性、某点可访问的所有节点集合、所有可访问某点的节点集合三种情况的求解,该求解结果即为网络模型的可达性语义;
(3)基于集合的求解算法抽象层建模:针对网络中涵盖的所有对象特征,基于数据包集合求交对网络可达性进行求解,得到抽象层形式化模型;
(4)对网络模型进行可达性求解:通过步骤(3)得到的抽象层形式化模型对步骤(1)得到的网络模型进行可达性求解,包括两点之间可达性、某节点可访问的所有节点集合、所有可访问某点的集合三种情况的求解结果;
(5)证明步骤(4)中得到的可达性求解结果和步骤(2)中得到的可达性语义之间的等价性,若两者不等价,则对所述抽象层模型进行修正直至所述形式化语义模型及抽象层形式化模型得到的可达性结果等价,若满足,则进入步骤(6);
(6)基于集合的求解算法具体层建模,该具体层的求解算法是对步骤(3)得到的抽象层形式化模型的精化,具体层通过使用更具体的数据结构表示,并加入了额外的变量,得到具体层形式化模型;
(7)证明步骤(6)得到的具体层形式化模型是步骤(3)得到的抽象层形式化模型的一个精化:即将步骤(3)的抽象层的形式化模型作为待验证的性质,将步骤(6)实现的具体层的形式化模型作为待验证对象,如果具体层的形式化模型为抽象层形式化模型的精化,则当前基于集合的求解算法验证通过,否则根据具体层形式化模型不为抽象层形式化模型精化的部分,调整基于集合的求解算法具体层模型代码,直至具体层形式化模型为抽象层形式化模型的精化,则转入下一步骤;
(8)通过Isabelle/HOL工具所提供的将形式化语言自动转化为可执行代码的方法,将步骤(7)得到的已完成验证的基于集合的求解算法具体层导出为可执行代码;
(9)得到可靠高效的求解算法:即对步骤(8)得到的可执行代码进行逻辑等价性转换,使用C++高级程序语言实现基于集合的求解算法,并通过时间复杂度和空间复杂度的优化,实现对网络模型可达性问题的高效求解。
2.根据权利要求1所述的一种基于形式化验证的网络可达性求解方法,其特征在于,所述步骤(1)中网络模型满足需求规格说明文档中的功能需求,即满足网络模型中个实体的数据结构表示、所要实现的功能、功能期望性质。
3.根据权利要求1所述的一种基于形式化验证的网络可达性求解方法,其特征在于,所述步骤(4)中可达性求解结果为,针对两点之间可达性情况,返回是否可达的结果、可满足的数据包集合以及两点间的路径;针对某节点可访问的所有节点集合、所有可访问某点的集合两种情况,得到满足该条件的节点集合及每个节点对应的可到达的数据包集合。
4.根据权利要求1所述的一种基于形式化验证的网络可达性求解方法,其特征在于,所述步骤(5)中可达性语义等价性表示为,针对两点间可达性情况,A、B两点在形式化语义模型中可达当且仅当抽象求解算法模型的求解结果可达;针对多点间可达性情况,两个模型得到完全相同的满足条件的节点集合和对应数据包集合。
5.根据权利要求1所述的一种基于形式化验证的网络可达性求解方法,其特征在于,所述步骤(8)中可执行代码包括Scala,Haskell,ML等。
CN202111197817.9A 2021-10-14 2021-10-14 一种基于形式化验证的网络可达性求解方法 Active CN113949655B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111197817.9A CN113949655B (zh) 2021-10-14 2021-10-14 一种基于形式化验证的网络可达性求解方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111197817.9A CN113949655B (zh) 2021-10-14 2021-10-14 一种基于形式化验证的网络可达性求解方法

Publications (2)

Publication Number Publication Date
CN113949655A true CN113949655A (zh) 2022-01-18
CN113949655B CN113949655B (zh) 2023-03-31

Family

ID=79330449

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111197817.9A Active CN113949655B (zh) 2021-10-14 2021-10-14 一种基于形式化验证的网络可达性求解方法

Country Status (1)

Country Link
CN (1) CN113949655B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103970653A (zh) * 2014-04-29 2014-08-06 南京邮电大学 一种传感器网软件可达性验证方法
CN104135397A (zh) * 2014-07-01 2014-11-05 浙江工业大学 面向无线传感网安全协议设计与实现的形式化验证方法
US20160344772A1 (en) * 2015-05-22 2016-11-24 Brian Quentin Monahan Modelling network to assess security properties
CN110543412A (zh) * 2019-05-27 2019-12-06 上海工业控制安全创新科技有限公司 一种基于神经网络可达性的汽车电子功能安全评估方法
CN111490893A (zh) * 2019-01-29 2020-08-04 华为技术有限公司 一种网络转发模型的建立方法、装置及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103970653A (zh) * 2014-04-29 2014-08-06 南京邮电大学 一种传感器网软件可达性验证方法
CN104135397A (zh) * 2014-07-01 2014-11-05 浙江工业大学 面向无线传感网安全协议设计与实现的形式化验证方法
US20160344772A1 (en) * 2015-05-22 2016-11-24 Brian Quentin Monahan Modelling network to assess security properties
CN111490893A (zh) * 2019-01-29 2020-08-04 华为技术有限公司 一种网络转发模型的建立方法、装置及系统
CN110543412A (zh) * 2019-05-27 2019-12-06 上海工业控制安全创新科技有限公司 一种基于神经网络可达性的汽车电子功能安全评估方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
DANIELE BRINGHENTI等: "Improving the Formal Verification of Reachability Policies in Virtualized Networks", 《IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT》 *
R. DRECHSLER; D. GROSSE: "Reachability analysis for formal verification of SystemC", 《PROCEEDINGS EUROMICRO SYMPOSIUM ON DIGITAL SYSTEM DESIGN. ARCHITECTURES, METHODS AND TOOLS》 *
ZICONG GAO; WEIYU DONG; RUI CHANG; CHENGWEI AI: "The Stacked Seq2seq-attention Model for Protocol Fuzzing", 《2019 IEEE 7TH INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND NETWORK TECHNOLOGY (ICCSNT)》 *
蒲天银等: "计算机网络环境下可达性研究关键技术分析", 《湖南科技大学学报(自然科学版)》 *
黄吴丹等: "路由协议的自动形式化验证方法研究", 《计算机技术与发展》 *

Also Published As

Publication number Publication date
CN113949655B (zh) 2023-03-31

Similar Documents

Publication Publication Date Title
US9270704B2 (en) Modeling network devices for behavior analysis
CN105991521B (zh) 网络风险评估方法和装置
Panda et al. Verifying isolation properties in the presence of middleboxes
Hussain et al. Graph-based policy change detection and implementation in SDN
CN111193640B (zh) 采用策略分解和符号执行的有状态数据平面故障检测方法
CN116601928A (zh) 用于分布式网络验证的方法和系统
Basile et al. Inter‐function anomaly analysis for correct SDN/NFV deployment
Meena et al. HyPASS: Design of hybrid-SDN prevention of attacks of source spoofing with host discovery and address validation
Chavez et al. Network randomization and dynamic defense for critical infrastructure systems
Prashar et al. Blockchain‐Based Automated System for Identification and Storage of Networks
Ma et al. GraphNEI: A GNN-based network entity identification method for IP geolocation
Samak et al. Firecracker: A framework for inferring firewall policies using smart probing
CN113949655B (zh) 一种基于形式化验证的网络可达性求解方法
CN114145002B (zh) 网络验证系统的可达矩阵
Zhang et al. An effective method to generate attack graph
Matsumoto et al. Automatic verification of firewall configuration with respect to security policy requirements
WO2023060513A1 (zh) 一种基于形式化验证的网络可达性求解算法
Yang et al. IoT botnet detection with feature reconstruction and interval optimization
US11757768B1 (en) Determining flow paths of packets through nodes of a network
Raghunathan et al. ACORN: Network Control Plane Abstraction using Route Nondeterminism.
CN116368778A (zh) 使用基于层次结构的模型进行网络验证的方法和系统
Zhang et al. Toward comprehensive network verification: Practices, challenges and beyond
Abramov et al. Automated method for constructing of network traffic filtering rules
Khummanee et al. The Policy Mapping Algorithm for High-speed Firewall Policy Verifying.
Jaggard et al. Representing network trust and using it to improve anonymous communication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant