防火墙策略异常检测与处理

发布时间：2019-03-20 20:30

【摘要】：防火墙是最广泛部署的安全机制之一,其有效性取决于网络过滤策略的配置。如今,防火墙策略异常检测与处理技术已经普遍应用于现实场景中。在防火墙中存在异常策略时,系统会对异常策略进行风险评估并自动化解决冲突。该技术的应用大大提高了防火墙的稳定性和安全性。在互联网的高速发展的形势下,对防火墙的安全性要求不断提高,防火墙策略异常检测与处理技术成为一个研究热点。由于防火墙中的策略数量十分庞大,策略之间的关系十分复杂,依靠人工手段解决冲突基本是不可能的。因此,人们逐渐采用自动化的技术来处理异常。现在的异常检测技术已经可以准确的检测出异常策略,但是异常处理的效果仍然不尽如人意。当评估一条异常规则的动作存在偏差时,往往会导致多条规则异常。与此同时,在检测与处理方法的效率上也亟待提高。在以往的方法中,处理异常通常采取分治的方法,将规则集合划分为多个子集,每个子集包含几十乃至上百条规则,随后进行风险评估从而处理子集中的异常。这种方式在评估出现偏差时会造成规则影响域变小,产生严重的安全漏洞。同时,在过去的方法中评估异常处理效果的标准过于宽松,无法准确的评估方法的处理效果导致处理后的规则冲突仍然比较严重。为了解决上述问题,本文中我们设计了高效的异常检测算法用于检测异常规则并保留有效信息,提出了基于异常域的异常处理算法,利用异常检测算法保存的有效信息来优化后续的异常处理过程。我们首先将规则的异常域保存标记,而后在异常处理阶段构建风险评估模型来评估异常域的风险等级,并针对模型参数进行优化,从而提高异常处理的准确率,同时利用检测阶段保存的有效信息,加快异常处理的进程,提高处理效率,并在不影响其他策略的前提下处理异常规则,提高系统的稳定性和可维护性。我们与Hongxin Hu,Haris等人的方法进行了对比实验,实验结果表明本文方法显著的降低了异常域的影响范围,验证了本文方法的优越性。
[Abstract]:Firewall is one of the most widely deployed security mechanisms, and its effectiveness depends on the configuration of network filtering policies. Nowadays, firewall policy anomaly detection and processing technology has been widely used in real world. When an exception policy exists in a firewall, the system assesses the risk of the exception policy and automates conflict resolution. The application of this technology greatly improves the stability and security of the firewall. With the rapid development of Internet, the security requirements of firewall are increasing constantly, and firewall policy anomaly detection and processing technology has become a hot research topic. Because the number of policies in firewall is very large and the relationship between policies is very complex, it is impossible to solve conflicts by manual means. As a result, people are gradually using automated technology to handle exceptions. At present, the anomaly detection technology can detect the anomaly strategy accurately, but the effect of exception handling is still not satisfactory. When there is a deviation in the evaluation of an exception rule, it often results in multiple rule anomalies. At the same time, the efficiency of detection and processing methods also need to be improved. In previous methods, the rule set is divided into several subsets, each subset contains dozens or even hundreds of rules, and then risk assessment is carried out to deal with the exceptions in the subset. This approach can result in a smaller rule impact domain and a serious security vulnerability when there is a bias in the assessment. At the same time, the criteria for evaluating the effect of exception handling in the past methods are too loose, and the rule conflicts after processing are still serious due to the inability to accurately evaluate the effect of the methods. In order to solve the above problems, we design an efficient anomaly detection algorithm to detect anomaly rules and retain valid information, and propose an exception handling algorithm based on anomaly domain. The efficient information saved by the anomaly detection algorithm is used to optimize the subsequent exception handling process. We first store the exception domain marker of the rule, and then construct a risk assessment model in the exception handling phase to evaluate the risk level of the anomaly domain, and optimize the model parameters to improve the accuracy of exception handling. At the same time, the effective information stored in the detection phase is used to speed up the process of exception handling, improve the processing efficiency, and deal with the exception rules without affecting other strategies, so as to improve the stability and maintainability of the system. Compared with Hongxin Hu,Haris 's method, the experimental results show that this method can significantly reduce the influence range of the anomaly domain, and verify the superiority of the proposed method.
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 王卫平;陈文惠;李哲鹏;陈华平;;防火墙策略不一致性检测算法[J];中国科学院研究生院学报;2007年03期

2 刘军军;梁建武;;一种基于决策树的防火墙策略描述方法[J];微计算机信息;2008年33期

3 ;好砖砌牢墙——谈防火墙策略[J];每周电脑报;1996年01期

4 ;如何让你的网络更安全[J];信息安全与通信保密;2004年09期

5 蒋俊锋;陈兵;葛广超;;嵌入式防火墙策略分发机制的研究[J];仪器仪表用户;2006年01期

6 张文兰,孙忠;网络规划中防火墙策略与设置[J];中国西部科技;2003年05期

7 贺武征;;理解ISA Server 2004规则的构建和理解[J];科学大众(科学教育);2013年05期

8 胡斌彦;;一体化网关式防火墙策略设置分析[J];中国教育技术装备;2009年27期

9 狄春江;;浅析ISA SERVER 2004访问规则策略[J];计算机与网络;2007年01期

10 岳红超;;智能化推动网络安全控制的精细化管理[J];中国金融电脑;2013年11期

相关会议论文 前5条

1 杨波;王海洋;董继润;;基于复合事件规则的主动数据库动态分析模型[A];第十六届全国数据库学术会议论文集[C];1999年

2 陈文亮;朱靖波;吕学强;姚天顺;;词性标注规则的获取和优化[A];第一届学生计算语言学研讨会论文集[C];2002年

3 左维松;昝红英;张坤丽;吴云芳;;规则和统计相结合的情感分析研究[A];第五届全国信息检索学术会议论文集[C];2009年

4 海然;谢小权;;基于多要素融合的风险评估模型的设计[A];全国计算机安全学术交流会论文集（第二十二卷）[C];2007年

5 薛晔;黄崇福;;自然灾害风险评估模型的研究进展[A];中国灾害防御协会风险分析专业委员会第二届年会论文集（二）[C];2006年

相关重要报纸文章 前8条

1 沈生;防火墙并非万全之策[N];中国计算机报;2003年

2 《网络世界》评测实验室 董培欣;核心防护 万兆安全[N];网络世界;2009年

3 陈伟康;用ISA 2004净化企业办公环境[N];中国电脑教育报;2005年

4 雅慧;分支机构同样要安全[N];中国计算机报;2003年

5 《网络世界》评测实验室 董培欣;防火墙的“高富帅”[N];网络世界;2012年

6 ;让我们的网络更安全[N];中国电脑教育报;2004年

7 ;保障网络内外安全连接[N];网络世界;2003年

8 本报记者 姜姝;真相:刚需Wi-Fi为何在高校不好用?[N];中国信息化周报;2014年

相关博士学位论文 前6条

1 杨永福;“规则”的分析与建构：制度的社会网络基础[D];武汉理工大学;2003年

2 齐庆磊;软件定义网络中规则管理关键技术研究[D];北京邮电大学;2017年

3 郭凯;最优利率规则：一般理论与应用[D];东北财经大学;2007年

4 戴明;长三角地区船联网信息感知与交互关键技术研究[D];长安大学;2016年

5 张万军;基于大数据的个人信用风险评估模型研究[D];对外经济贸易大学;2016年

6 熊伟;基于空间ECA模型的空间数据库主动规则技术研究[D];国防科学技术大学;2005年

相关硕士学位论文 前10条

1 刘军军;基于决策树的防火墙策略算法研究[D];中南大学;2009年

2 肖淇;云环境下防火墙策略冲突检测及消解方法研究[D];湖南大学;2013年

3 王薇;状态防火墙策略查询技术研究[D];湖南大学;2011年

4 孙立琴;防火墙策略冲突检测及可视化[D];上海交通大学;2011年

5 范光远;防火墙策略配置审计系统审计方案的分析与设计[D];北京邮电大学;2013年

6 李晓静;Ponder语言研究及在防火墙策略管理中的应用[D];解放军信息工程大学;2005年

7 张左敏;自稳定型入侵检测响应系统[D];山东大学;2008年

8 伍要田;网络可达性测试及其工具的研究与实现[D];湖南大学;2012年

9 杨泽雪;主动规则的终止性分析[D];哈尔滨理工大学;2006年

10 潘R，

本文编号：2444603