网络安全设备联动策略的研究与应用.pdf

国内图书分类号： 学校代码：10079
国际图书分类号： 密级：公开
硕士学位论文
网络安全设备联动策略的研究与应用
硕士研究生：冯志伟
导师：程晓荣教授
申请学位：工学硕士
学科：计算机科学与技术
专业：计算机应用技术
所在学院：控制与计算机工程学院
答辩日期：2014 年 3 月
授予学位单位：华北电力大学
Classified Index:
:
Thesis for the Master Degree
Research and Application on Network Security
Device Linkage Policy
Candidate： Feng Zhiwei
Supervisor： Xiaorong
School： School of Control and Computer
Engineering
Date of Defence： March, 2014
Degree-Conferring-Institution： North China Electric Power University
摘要
基于策略的网络安全设备联动管理能够保证系统内的安全设备协同工作，有
效地整合系统资源，提高安全事件的检测精度和处理效率，从而应对日趋复杂多
变的网络安全威胁，成为动态安全设备管理模型的核心。本文立足于 IETF 制定
的策略管理框架和安全设备联动体系模型，深入研究了联动策略的描述、验证、
搜索与执行这几个方面的问题。
首先，在联动策略的定义与描述方面，根据子网内安全设备的协同性，按照
子网划分安全域，将联动策略定义为安全域、触发条件和执行规则集三元组。触
发条件代表系统捕获的安全事件威胁，而规则集代表系统执行策略需要采取的一
系列配置动作集。
其次，在联动策略的验证方面。安全事件的处理过程即为安全域内各类联动
设备相关进程的启动过程。以联动设备进程的开启或关闭状态作为状态结点，令
导致状态结点变迁的安全事件作为边，构造出针对特定子网的有向图状态变迁模
型，使得规则集中的一个执行动作对应有向图中的一次状态变迁。通过有向图的
深度优先遍历，考察各个状态结点的变迁路径，完成联动策略的正确性、完整性、
一致性、冗余性和可执行性验证。
第三，在联动策略的查询方面。同样将联动策略的查询问题转化为有向图的
遍历问题，为保证高频率安全事件能够被优先检索，在构造有向图邻接表时考虑
事件的发生频率。将有向图按照终止结点的数量划分为若干个子图，将安全事件
频率转化为路径的耗散值，运用 AOE 网中的事件最迟发生时间定义启发函数，
通过 A*搜索算法在 Closed 表中完成状态结点的排序，综合各个子图的重排序结
点重新构建邻接表。
最后，在联动策略执行方面。通过 SSH 协议实现对安全设备的远程配置，
保证了策略执行的安全性，实现了不同设备 SSH 版本的兼容性。
通过实验分析，本文提出的策略验证算法在复杂度上优于现有的一些方法，
具有良好的执行效率，同时本文的策略查询方法能够有效地对高频率事件作出响
应。结合通过 SSH 协议远程配置安全设备的方法，应用本文描述的方法能够完
成基于策略的网络安全设备联动系统的构建，有效地应对各类安全威胁。
关键词：网络安全；安全设备联动策略；状态有向图；启发式搜索；SSH 协议