网络安全设备联动策略的研究与应用.pdf

Classified Index: : Thesis for the Master DegreeResearch and Application work Security Device Linkage PolicyCandidate:FengZhiweiSupervisor: XiaorongSchool:School of Control and Computer EngineeringDate of Defence:March, 2014Degree-Conferring-Institution:North China Electric Power University华北电力大学硕士学位论文原创性声明本人郑重声明:此处所提交的硕士学位论文《网络安全设备联动策略的研究与应用》,是本人在导师指导下,在华北电力大学攻读硕士学位期间独立进行研究工作所取得的成果。据本人所知,论文中除已注明部分外不包含他人已发表或撰写过的研究成果。对本文的研究工作做出重要贡献的个人和集体,均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。作者签名:日期:年月日华北电力大学硕士学位论文使用授权书《网络安全设备联动策略的研究与应用》系本人在华北电力大学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归华北电力大学所有,本论文的研究内容不得以其它单位的名义发表。本人完全了解华北电力大学关于保存、使用学位论文的规定,同意学校保留并向有关部门送交论文的复印件和电子版本,允许论文被查阅和借阅。本人授权华北电力大学,可以采用影印、缩印或其他复制手段保存论文,可以公布论文的全部或部分内容。本学位论文属于(请在以上相应方框内打“√”):保密□,在年解密后适用本授权书不保密□作者签名:日期:年月日导师签名:日期:年月日华北电力大学硕士学位论文1I摘要基于策略的网络安全设备联动管理能够保证系统内的安全设备协同工作,有效地整合系统资源,提高安全事件的检测精度和处理效率,从而应对日趋复杂多变的网络安全威胁,成为动态安全设备管理模型的核心。本文立足于IETF制定的策略管理框架和安全设备联动体系模型,深入研究了联动策略的描述、验证、搜索与执行这几个方面的问题。首先,在联动策略的定义与描述方面,根据子网内安全设备的协同性,按照子网划分安全域,将联动策略定义为安全域、触发条件和执行规则集三元组。触发条件代表系统捕获的安全事件威胁,而规则集代表系统执行策略需要采取的一系列配置动作集。其次,在联动策略的验证方面。安全事件的处理过程即为安全域内各类联动设备相关进程的启动过程。以联动设备进程的开启或关闭状态作为状态结点,令导致状态结点变迁的安全事件作为边,构造出针对特定子网的有向图状态变迁模型,使得规则集中的一个执行动作对应有向图中的一次状态变迁。通过有向图的深度优先遍历,考察各个状态结点的变迁路径,完成联动策略的正确性、完整性、一致性、冗余性和可执行性验证。第三,在联动策略的查询方面。同样将联动策略的查询问题转化为有向图的遍历问题,为保证高频率安全事件能够被优先检索,在构造有向图邻接表时考虑事件的发生频率。将有向图按照终止结点的数量划分为若干个子图,将安全事件频率转化为路径的耗散值,运用AOE网中的事件最迟发生时间定义启发函数,通过A*搜索算法在Closed表中完成状态结点的排序,综合各个子图的重排序结点重新构建邻接表。最后,在联动策略执行方面。通过SSH协议实现对安全设备的远程配置,保证了策略执行的安全性,实现了不同设备SSH版本的兼容性。通过实验分析,本文提出的策略验证算法在复杂度上优于现有的一些方法,具有良好的执行效率,同时本文的策略查询方法能够有效地对高频率事件作出响应。结合通过SSH协议远程配置安全设备的方法,应用本文描述的方法能够完成基于策略的网络安全设备联动系统的构建,有效地应对各类安全威胁。关键词:网络安全;安全设备联动策略;状态有向图;启发式搜索;SSH协议华北电力大学硕士学位论文IIAbstractThe linkage management of network security devices based on policy makes sure of that the security devices work together, so that the system resources are integrated effectively. It improves the detective accuracy and efficiency of secur