一種網(wǎng)絡安全規(guī)則沖突分析與簡化方法
【技術領域】
[0001] 本發(fā)明涉及網(wǎng)絡安全領域，具體地，涉及一種網(wǎng)絡安全規(guī)則沖突分析與簡化方法。
【背景技術】
[0002] 隨著網(wǎng)絡技術的普及，網(wǎng)絡安全越來越受到各國的重視，尤其在廣泛應用自動化 設備的工業(yè)領域，工業(yè)控制網(wǎng)絡安全已經(jīng)提高到戰(zhàn)略高度。網(wǎng)絡設備之間通過一個或多個 網(wǎng)絡協(xié)議進行數(shù)據(jù)傳輸，如IEC104、Modbus、Profinet、MMS等。安全規(guī)則是一種重要的保護 網(wǎng)絡安全的方式。通過在安全保護設備上部署和實施安全規(guī)則，可以有效強化不同設備的 權限、阻止非法操作、防止信息泄漏。
[0003] 安全規(guī)則由一系列規(guī)則項組成，每一個規(guī)則項包括屬性和應對措施，其中屬性包 括：
[0004] 源地址，其用來描述數(shù)據(jù)包的來源，其可以是某個單個設備的地址（IP地 址，MAC地址，主機名稱等等），也可以是一系列設備地址的集合（192. 168. 2.X， [10. 0. 10. 1, 10. 2. 3. 4])；
[0005] 目標地址，類似于源地址，目標地址用來描述數(shù)據(jù)包的目的地；以及
[0006] 規(guī)則細節(jié)，即規(guī)則的詳細信息，這些信息詳盡的描述了數(shù)據(jù)包的特征，例如【協(xié)議 =Modbus,功能碼=3】。
[0007] 所述應對措施是當數(shù)據(jù)包信息和源地址、目標地址、規(guī)則細節(jié)相匹配時，應該實行 的應對措施。這類措施包括：阻止該數(shù)據(jù)包通過、允許該數(shù)據(jù)包通過、允許但是向用戶報警 等等。
[0008] 安全保護設備依次逐條將安全規(guī)則項與所檢查的數(shù)據(jù)包進行匹配。一旦發(fā)現(xiàn)正確 匹配，則按照規(guī)則項中的應對措施處理該數(shù)據(jù)包。所有次序在匹配項以后的安全規(guī)則項則 會被忽略。
[0009] 如果一個數(shù)據(jù)包可以匹配不止一個規(guī)則項，那么規(guī)則項之間就會存在沖突。值得 注意的是，規(guī)則項之間的沖突并不會影響規(guī)則的實施，由于規(guī)則項與數(shù)據(jù)包是有序匹配的， 一個數(shù)據(jù)包最終只會和次序靠前的規(guī)則項相匹配。規(guī)則項之間的沖突對用戶安全規(guī)則管理 帶來許多負面影響，在擁有很多安全規(guī)則的系統(tǒng)中，不必要的規(guī)則項會增加安全保護設備 的負載，也使規(guī)則之間的邏輯關系更加復雜并難以管理。
[0010] 實際應用過程中，規(guī)則項之間的沖突不可避免。例如許多防火墻的規(guī)則設計中都 定義的默認應對措施。當數(shù)據(jù)包和所有規(guī)則項都不匹配時，安全系統(tǒng)使用默認的設置來處 理該數(shù)據(jù)包。事實上，這種默認的規(guī)則和所有的規(guī)則項都有沖突。

【發(fā)明內(nèi)容】

[0011] 為了克服現(xiàn)有技術的缺陷與不足，本發(fā)明的目的是提供一種網(wǎng)絡安全規(guī)則沖突分 析與簡化方法，基于安全規(guī)則的針對設備和規(guī)則的詳細內(nèi)容，分析規(guī)則項之間的關系，對規(guī) 則沖突提供報警，同時對無用的規(guī)則項自動刪除。本發(fā)明的網(wǎng)絡安全規(guī)則沖突分析與簡化 方法的具體步驟如下：
[0012] 步驟a:定義安全規(guī)則項之間相同屬性的邏輯關系；
[0013] 步驟b:根據(jù)安全規(guī)則項之間各屬性的邏輯關系確定安全規(guī)則項屬性的總體邏輯 關系；
[0014] 步驟c:根據(jù)應對措施定義規(guī)則項之間的沖突關系；
[0015] 步驟d:簡化規(guī)則，不改變原始規(guī)則執(zhí)行效果的基礎上，除去無效的安全規(guī)則項；
[0016] 步驟e:對規(guī)則沖突提供報警。
[0017] 優(yōu)選地，步驟a中，所述安全規(guī)則項之間各屬性的邏輯關系為：
[0018] 等同，被比較的規(guī)則屬性完全相同；
[0019] 包含，被比較的規(guī)則屬性前者嚴格包含后者，同時不是所述的等同關系；
[0020] 被包含，被比較的規(guī)則屬性后者嚴格包含前者，同時不是所述的等同關系；
[0021] 相交，被比較的規(guī)則屬性之間交集不為空，同時不是所述的等同、包含或被包含關 系；
[0022] 獨立，被比較的規(guī)則屬性之間沒有交集。
[0023] 優(yōu)選地，步驟b中，所述定義安全規(guī)則項屬性的總體邏輯關系的步驟如下：
[0024] 1)兩規(guī)則項的所有屬性之間的邏輯關系均為等同，則兩規(guī)則項屬性的整體邏輯關 系為等同；
[0025] 2)如果不滿足上述1)所述的條件，并且兩規(guī)則項之間的某個屬性的邏輯關系為 獨立，則兩規(guī)則項屬性的整體邏輯關系為獨立；
[0026] 3)如果不滿足上述1)、2)所述的條件，并且兩規(guī)則項的所有屬性之間的邏輯關系 為等同或包含，則兩規(guī)則項屬性的整體邏輯關系為包含；
[0027] 4)如果不滿足上述1)、2)和3)所述的條件，并且兩規(guī)則項的所有屬性之間的邏輯 關系為等同或被包含，則兩規(guī)則項屬性的整體邏輯關系為被包含；
[0028]5)如果不滿足上述任一條件，則兩規(guī)則項屬性的整體邏輯關系為相交。
[0029] 優(yōu)選地，步驟c中，兩個規(guī)則項之間的沖突方式取決于應對措施的比較，所述沖突 方式包括以下兩種：
[0030] 重復，指兩個規(guī)則項的應對措施相同；
[0031] 矛盾，指兩個規(guī)則項的應對措施不同。
[0032] 優(yōu)選地，步驟d中，規(guī)則簡化的基本思想為，對于每個規(guī)則項，只提供保留與移出 兩個選項，對于以先后順序被執(zhí)行的兩個規(guī)則項gi，gj:
[0033] 如果兩規(guī)則項屬性的整體邏輯關系為gi包含或等于&，將沒有機會執(zhí)行&，則應 該刪除gj;
[0034] 如果兩規(guī)則項屬性的整體邏輯關系&包含gi，并且兩者之間不存在與gi相關并矛 盾的規(guī)則項，則gj可以取代gi，應該刪除gi ;
[0035] 否則保留兩規(guī)則項。
[0036] 更優(yōu)選地，所述的相關是指，安全規(guī)則項屬性的總體關系為等同、包含、被包含或 相交。
[0037] 本發(fā)明的方法支持網(wǎng)絡安全中深層數(shù)據(jù)包詳細信息的分析，同時還支持安全規(guī)則 項之間的復雜邏輯關系分析。用戶通過分析的結果可以方便的理解復雜規(guī)則項之間的關 系，提高了安全規(guī)則的易用性。根據(jù)規(guī)則項之間的沖突關系簡化用戶的安全規(guī)則，減少不必 要的規(guī)則項數(shù)量，降低安全保護設備的負載，提高網(wǎng)絡系統(tǒng)的茁壯性。
【附圖說明】
[0038] 圖1為本發(fā)明安全規(guī)則的分析方法流程圖；
[0039] 圖2是本發(fā)明安全規(guī)則的簡化方法流程圖。
【具體實施方式】
[0040] 為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白，下面結合附圖及實施例，對 本發(fā)明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅用以解釋本發(fā)明，并不 用于限定本發(fā)明。
[0041] 本發(fā)明利用規(guī)則項中相同屬性之間的邏輯關系，自動分析每一規(guī)則項與其他規(guī)則 項的沖突方式。同時自動解決部分沖突。
[0042] 如圖1所示，規(guī)則沖突分析方法流程為：
[0043] 輸入：用戶規(guī)則G=[gpg2,g3, ? ? ?gm];
[0044] 輸出：規(guī)則沖突列表CT=[ctpct2,ct3,…];
[0045] gi為規(guī)則項i，包含源地址以），目標地址隊），規(guī)則細節(jié)?。┖蛻獙Υ胧ˋ)。
[0046] 叫為沖突i，包含被比較規(guī)則項％)，比較規(guī)則項（隊），規(guī)則屬性之間的邏輯關系 (RAi;j)，以及沖突方式（Ti;J)。
[0047] 步驟一：定義規(guī)則項屬性的總體邏輯關系
[0048] 規(guī)則項之間相同屬性的邏輯關系為以下五種：
[0049] 等同，被比較的規(guī)則屬性完全相同，例如，兩個規(guī)則有完全相同的源地址（與地址 次序無關）；
[0050] 包含，被比較的規(guī)則屬性前者嚴格包含后者，同時不是上述的等同關系，例如， 【192. 168. 1.X】包含【192. 168. 1. 1 】；
[0051] 被包含，與包含相反，被比較的規(guī)則屬性后者嚴格包含前者，同時不是上述的等同 關系；
[0052] 相交，被比較的規(guī)則屬性的交集不為空，同時不是上述的等同、包含或被包含關 系；
[00