專利名稱:可信任主動式策略聯(lián)動方法
技術領域:
本發(fā)明涉及一種基于策略的聯(lián)動方法,具體地說�����,是一種可信任主動式聯(lián)動策略方法�。屬于信息安全領域。
背景技術:
目前大多大型網絡都配有各種安全設備如防火墻����、入侵檢測、病毒防護等����,這些安全產品的開發(fā)都是隨著人們對網絡安全的逐步認識過程中開發(fā)出來的���,也就是開發(fā)安全產品是為了滿足當時網絡安全的需要���。而且當初考慮安全一般也是從單一角度����,比如應付病毒就開發(fā)防病毒產品��,而不是從整個網絡系統(tǒng)和網絡安全風險來考慮��,因而帶有片面性�。根據“木桶理論”,這種各種不同時期單一角度開發(fā)出來的網絡安全產品的簡單堆徹和線性組合存在一些安全產品的“縫間”安全漏洞����,并不能最大程度的實現(xiàn)網絡安全。而且這些安全設備的安全功能實現(xiàn)都要依賴一定的安全策略��。
聯(lián)動策略也叫安全設備的協(xié)同的策略�,安全防護體系由各個模塊組成,可以較好地形成資源整合組成網絡安全體系���,避免了木桶效應的產生�����。同時���,它可以在最大程度上保障用戶利益�,根據用戶需要建設安全的網絡系統(tǒng)���。當網絡改造時��,可以通過模塊的增減完成安全功能的升級���,避免了一體化結構可能造成的功能浪費。經文獻檢索發(fā)現(xiàn)����,根據一個系統(tǒng)中的不同安全機制,科學出版社2003年出版的由張世永主編的“網絡安全原理與應用”一書�,該書第26章413頁指出目前有兩種策略方式實現(xiàn)聯(lián)動(1)利用設備之間的互動功能,實現(xiàn)設備之間的直接聯(lián)動�����,如防火墻和IDS之間的聯(lián)動���。(2)集中采集各種安全事件�,觸發(fā)策略引擎�����,匹配執(zhí)行安全策略規(guī)則��,實現(xiàn)對網絡設備的設置和操控��,實現(xiàn)間接聯(lián)動�����。對于直接聯(lián)動�����,實現(xiàn)功能比較簡單�,而且聯(lián)動規(guī)則只是針對單個設備指定的,沒有綜合考慮整個網絡的狀態(tài)�,因而實現(xiàn)比較簡單,功能有限�。對于間接聯(lián)動,它是一種集中式的管理方式��,通過收集網絡事件�����,動態(tài)監(jiān)視網絡的安全狀況,因而具有一定的宏觀調控能力�����?����?墒悄壳叭肭直O(jiān)測系統(tǒng)的虛警率和誤警率比較高���,安全事件的告警信息不可靠�,因此策略規(guī)則的實施具有一定的風險性�����。
發(fā)明內容
本發(fā)明針對以上兩種聯(lián)動存在的問題�����,提出一種可信任主動式策略聯(lián)動方法��,使其實現(xiàn)對安全事件包括復雜的安全事件的定購和監(jiān)控�����,對接收的告警事件進行關聯(lián)合并,通過貝葉斯網絡并結合安全事件的先驗和后驗概率�����,評估該告警信息的可信任度����,具有較高信任度的安全事件可以觸發(fā)和執(zhí)行相應的聯(lián)動策略規(guī)則��,進而協(xié)調網絡設備使網絡進入新的安全狀態(tài)��,因此該方法降低了聯(lián)動的風險�����。
本發(fā)明是通過以下技術方案實現(xiàn)的�,本發(fā)明方法如下為了實現(xiàn)策略規(guī)則的聯(lián)動,首先通過策略管理器進行策略規(guī)則的部署流程進行策略規(guī)則部署����,部署完畢后,利用事件適配器進行安全事件告警信息的檢測�����,如果有設備的告警信息到達,則事件適配器監(jiān)測并接收該設備的告警信息��,然后進行告警信息的可信任度分析流程得到事件的信任度參數���,如果信任度高于事先規(guī)定的門限值�,則向策略引擎發(fā)信息通知�����,同時將該信息進行封裝成一個告警事件保存等待策略引擎的響應��,如果接收到了策略引擎的響應���,則事件適配器向策略規(guī)則定位器傳遞告警事件����;策略規(guī)則定位器則根據告警事件的信息查找事件索引表�����,得到一組與該事件匹配的策略規(guī)則信息�����;規(guī)則定位器根據策略當前存儲位置信息找到并激活已經部署好了的策略規(guī)則,如果策略規(guī)則不在內存中���,就通知調度器將其從策略庫中調入內存�;然后策略引擎調用策略規(guī)則執(zhí)行器進根據策略條件和響應適配器進行策略條件匹配和策略響應的執(zhí)行����,實現(xiàn)策略規(guī)則的聯(lián)動����。
以下對本發(fā)明作進一步的說明,具體內容如下所述的策略引擎���,由策略規(guī)則定位器�����、策略規(guī)則調度器�、策略規(guī)則執(zhí)行器����、事件�����、條件�����、響應適配器組成����。其中策略規(guī)則定位器���、策略規(guī)則調度器����、策略規(guī)則執(zhí)行器三個子模塊組成了策略引擎的中央控制單元�����,策略驅動的主要是由它們完成��,事件����、條件和響應適配器是策略模塊與被管理對象之間的接口�。
所述的策略庫負責策略的存儲�����,除了一部分策略對象被保存在內存之中���,其它所有的策略對象都存放在策略倉庫�����。策略倉庫可以是關系數據庫��,但由于策略是靜態(tài)信息,提高查尋效率的最佳選擇是LDAP���。
所述的事件適配器是策略模塊與被管對象之間的接口�。
所述的策略管理器由三部分組成策略編輯器�����、策略編譯器���、策略控制器��,用于策略規(guī)則的定制��、編譯和部署以及可視化管理����。策略規(guī)則的部署主要通過策略管理器實現(xiàn)。
本發(fā)明方法涉及到了兩個具體的流程�����,即策略規(guī)則部署流程和可信任分析流程��,具體如下策略規(guī)則的部署流程根據用戶需求在策略編輯器中編輯策略規(guī)則�����;在策略編譯器中首先對新的策略規(guī)則進行基于顏色Petri net(CPN)沖突檢測(沖突檢測過程首先采用CPN表示各種策略規(guī)則��,然后�,計算出該策略規(guī)則CPN的關聯(lián)矩陣和狀態(tài)方程,根據狀態(tài)方程可以獲得各個庫所得狀態(tài)�����,如果某個庫所出現(xiàn)顏色相反的token,則說明有可能存在沖突����,丟棄存在沖突的策略),如果不存在沖突則可確保新的策略規(guī)則與已有的策略規(guī)則集是一致的�。如果策略規(guī)則不沖突則策略編譯器編譯新的策略規(guī)則為Java策略對象,然后部署到策略倉庫中��。
可信任分析工作流程首先要分析該攻擊事件的特征�����,根據這些特征構建該攻擊事件的貝葉斯網模型�。其次,根據該攻擊事件歷史數據庫得出該攻擊事件的各種特征出現(xiàn)的先驗概率�����,通過攻擊訓練或是攻擊歷史庫計算出該攻擊事件的各種特征造成真實攻擊的條件概率����。最后���,根據已經建立的該攻擊事件的貝葉斯網模型以及各種特征的先驗和條件概率����,計算出各種攻擊特征的后驗概率,后驗概率大的攻擊特征作為真實攻擊原因��。如果該安全事件的可信任度大于某個門限����,則說明可以相信真的發(fā)生了該安全事件,然后把它放入安全事件隊列�����,等待策略引擎處理來觸發(fā)策略規(guī)則���,根據策略規(guī)則進行對網絡設備和資源的控制����。
本發(fā)明基于貝葉斯網安全事件可信任增強方法����,在確認安全事件的可信任度的基礎上,只有可信任度大于某一個閥值才能觸發(fā)相應的聯(lián)動規(guī)則�����,因此大大的降低了該聯(lián)動的風險,而且基于CPN的沖突檢測確保了策略規(guī)則的一致性���,也提高了策略聯(lián)動的準確度�。
圖1是可信任主動式策略聯(lián)動方法策略規(guī)則部署流程��。
圖2是可信任主動式策略聯(lián)動方法工作流程��。
具體實施例方式
結合本發(fā)明方法的內容提供以下實施例
聯(lián)動策略引擎布置在一臺PC機上���,該PC可位于網絡的任一位置上���,但必須能夠使策略管理器通過存在的物理網絡如公用數據網訪問到并發(fā)布聯(lián)動策略。同時�����,聯(lián)動策略引擎必須能夠通過存在的物理網絡訪問到LDAP策略庫�;策略管理器部署在網絡的任一位置上,但必須能夠通過存在的物理網絡訪問到策略引擎���。針對用戶的策略聯(lián)動需求構建安全事件的貝葉斯網并依據該貝葉斯網開發(fā)安全事件適配器,然后將安全事件適配器布署在聯(lián)動策略引擎底層����。針對不同的安全事件開發(fā)相應的條件適配器和相應適配器����,然后部署在策略引擎底層���。
可信任主動式策略聯(lián)動方法中策略規(guī)則的部署流程如圖11�����、根據用戶需求在策略編輯器中編輯策略規(guī)則�����;2�、策略編譯器編譯策略規(guī)則�����,包括基于顏色Petri Net的策略規(guī)則沖突檢測���。
3���、發(fā)布策略規(guī)則到策略倉庫中����。
可信任主動式策略聯(lián)動方法工作流程如圖21.事件件適配器輪循探測安全事件告警信息���。
2.根據該事件的貝葉斯網判斷該事件的可信任度���。大于用戶定制閥值的事件為可信任安全事件。并向策略規(guī)則定位器傳遞����;3.策略規(guī)則定位器查找事件索引表,得到一組與該事件匹配的策略規(guī)則信息�����;4.規(guī)則定位器根據策略當前存儲位置信息找到并激活策略規(guī)則����,如果策略規(guī)則不在內存中,就通知調度器將其從策略倉庫中調入內存�����;5.被激活的策略規(guī)則被傳遞給策略規(guī)則執(zhí)行器�,策略規(guī)則執(zhí)行器匹配條件����,如果策略條件滿足則執(zhí)行策略響應����。
本發(fā)明提高了策略聯(lián)動的準確度�����。
權利要求
1.一種可信任主動式聯(lián)動策略方法����,其特征在于,首先通過策略管理器進行策略規(guī)則的部署流程進行策略規(guī)則部署�,部署完畢后,利用事件適配器進行安全事件告警信息的檢測���,如果有設備的告警信息到達�����,則事件適配器監(jiān)測并接收該設備的告警信息����,然后進行告警信息的可信任度分析流程得到事件的信任度參數,如果信任度高于事先規(guī)定的門限值�����,則向策略引擎發(fā)信息通知��,同時將該信息進行封裝成一個告警事件保存等待策略引擎的響應�����,如果接收到了策略引擎的響應�,則事件適配器向策略規(guī)則定位器傳遞告警事件,策略規(guī)則定位器則根據告警事件的信息查找事件索引表�,得到一組與該事件匹配的策略規(guī)則信息,規(guī)則定位器根據策略當前存儲位置信息找到并激活已經部署好了的策略規(guī)則�����,如果策略規(guī)則不在內存中��,就通知調度器將其從策略庫中調入內存��,然后策略引擎調用策略規(guī)則執(zhí)行器進根據策略條件和響應適配器進行策略條件匹配和策略響應的執(zhí)行��,實現(xiàn)策略規(guī)則的聯(lián)動�����。
2.根據權利要求1所述的可信任主動式聯(lián)動策略方法,其特征是��,所述的策略引擎���,由策略規(guī)則定位器、策略規(guī)則調度器���、策略規(guī)則執(zhí)行器����、事件�����、條件�����、響應適配器組成�,其中策略規(guī)則定位器、策略規(guī)則調度器�����、策略規(guī)則執(zhí)行器三個子模塊組成了策略引擎的中央控制單元,策略驅動的主要是由它們完成�,事件、條件和響應適配器是策略模塊與被管理對象之間的接口�。
3.根據權利要求1所述的可信任主動式聯(lián)動策略方法,其特征是����,所述的策略庫負責策略的存儲,除了一部分策略對象被保存在內存之中����,其它所有的策略對象都存放在策略倉庫,策略倉庫是關系數據庫���,由于策略是靜態(tài)信息����,提高查尋效率的最佳選擇是LDAP�����。
4.根據權利要求1所述的可信任主動式聯(lián)動策略方法,其特征是�,所述的事件適配器是策略模塊與被管對象之間的接口。
5.根據權利要求1所述的可信任主動式聯(lián)動策略方法���,其特征是�,所述的策略管理器由三部分組成策略編輯器���、策略編譯器�、策略控制器�����,用于策略規(guī)則的定制�、編譯和部署以及可視化管理����,策略規(guī)則的部署主要通過策略管理器實現(xiàn)。
6.根據權利要求1所述的可信任主動式聯(lián)動策略方法����,其特征是,所述的策略規(guī)則的部署流程具體如下根據用戶需求在策略編輯器中編輯策略規(guī)則��,在策略編譯器中首先對新的策略規(guī)則進行CPN沖突檢測,CPN沖突檢測過程首先采用CPN表示各種策略規(guī)則���,然后�����,計算出該策略規(guī)則CPN的關聯(lián)矩陣和狀態(tài)方程��,根據狀態(tài)方程獲得各個庫所得狀態(tài)�,如果某個庫所出現(xiàn)顏色相反的token���,則認為有可能存在沖突�����,丟棄存在沖突的策略���,確保策略規(guī)則集是一致的,如果策略規(guī)則與已有的規(guī)則集是一致的�����,則策略編譯器編譯新的策略規(guī)則為Java策略對象����,然后部署到策略倉庫中�����。
7.根據權利要求1所述的可信任主動式聯(lián)動策略方法��,其特征是�����,所述的可信任分析工作流程具體如下首先分析該攻擊事件的特征�����,根據這些特征構建該攻擊事件的貝葉斯網模型,其次����,根據該攻擊事件歷史數據庫得出該攻擊事件的各種特征出現(xiàn)的先驗概率,通過攻擊訓練或是攻擊歷史庫計算出該攻擊事件的各種特征造成真實攻擊的條件概率���,最后����,根據已經建立的該攻擊事件的貝葉斯網模型以及各種特征的先驗和條件概率,計算出各種攻擊特征的后驗概率���,后驗概率大的攻擊特征作為真實攻擊原因���,如果該安全事件的可信任度大于某個門限,則認為真的發(fā)生了該安全事件����,然后把它放入安全事件隊列,等待策略引擎處理來觸發(fā)策略規(guī)則�����,根據策略規(guī)則進行對網絡設備和資源的控制�。
全文摘要
一種可信任主動式聯(lián)動策略方法。屬于信息安全領域����。通過策略管理器進行策略規(guī)則的部署流程進行策略規(guī)則部署,利用事件適配器進行安全事件告警信息的檢測���,進行告警信息的可信任度分析流程得到事件的信任度參數��,向策略引擎發(fā)信息通知��,同時等待策略引擎的響應����,事件適配器向策略規(guī)則定位器傳遞告警事件,策略規(guī)則定位器查找事件索引表���,規(guī)則定位器找到并激活已經部署好了的策略規(guī)則��,策略引擎調用策略規(guī)則執(zhí)行器進根據策略條件和響應適配器進行策略條件匹配和策略響應的執(zhí)行�����,實現(xiàn)策略規(guī)則的聯(lián)動�。本發(fā)明通過確認安全事件的可信任度����,只有可信任度大于某一個閥值才能觸發(fā)相應的聯(lián)動規(guī)則,降低了該聯(lián)動的風險�,也提高了策略聯(lián)動的準確度�。
文檔編號H04L29/00GK1556613SQ200310109840
公開日2004年12月22日 申請日期2003年12月30日 優(yōu)先權日2003年12月30日
發(fā)明者李建華, 楊樹堂, 張少俊, 蘇波, 李可 申請人:上海交通大學