一種基于動(dòng)態(tài)構(gòu)建報(bào)文技術(shù)的策略有效性智能驗(yàn)證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，是一種基于模擬數(shù)據(jù)包技術(shù)、自動(dòng)化、智能化的策 略有效性驗(yàn)證方法。
【背景技術(shù)】
[0002] 隨著信息技術(shù)的發(fā)展，信息成為組織機(jī)構(gòu)的重要資產(chǎn)。尤其是在網(wǎng)絡(luò)技術(shù)飛速發(fā) 展的今天，針對(duì)信息資產(chǎn)的保護(hù)越來(lái)越受到重視，多數(shù)組織機(jī)構(gòu)都會(huì)在網(wǎng)絡(luò)邊界部署安全 防護(hù)設(shè)備，制定相應(yīng)的安全策略以實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)目標(biāo)。但是，安全策略的有效性是否符 合預(yù)期，則更多依賴于安全技術(shù)保障人員的技術(shù)水平和職業(yè)操守，如何能夠?qū)崿F(xiàn)安全策略 有效性自動(dòng)化、智能化的驗(yàn)證成為亟需解決的問題。
[0003] 目前，判斷策略有效性的主要方法還是基于人工判斷，主要存在以下兩點(diǎn)不足：
[0004] >受技術(shù)水平、時(shí)間、職業(yè)操守等因素影響，有效性驗(yàn)證結(jié)果存在著較大的不確定 性；
[0005] >人工驗(yàn)證的效率低，在技術(shù)保障人員資源不足時(shí)，無(wú)法滿足工作需要。

【發(fā)明內(nèi)容】

[0006] 本發(fā)明就是為了解決上述問題，提出一種基于動(dòng)態(tài)構(gòu)建報(bào)文技術(shù)、自動(dòng)化、智能化 的策略有效性驗(yàn)證方法。結(jié)合安全策略設(shè)置，制定策略有效性驗(yàn)證案例，通過動(dòng)態(tài)構(gòu)建報(bào) 文，完成策略有效性驗(yàn)證，實(shí)現(xiàn)安全策略有效性驗(yàn)證從手工到自動(dòng)化、智能化的轉(zhuǎn)變，有效 提高策略有效性驗(yàn)證工作的準(zhǔn)確性和效率。
[0007] 本發(fā)明的設(shè)計(jì)思路是，策略有效性驗(yàn)證程序由三部分組成，案例管理模塊、案例運(yùn) 行模塊、有效性驗(yàn)證模塊。案例管理模塊主要負(fù)責(zé)生成驗(yàn)證案例，并控制驗(yàn)證案例的運(yùn)行； 案例運(yùn)行模塊主要負(fù)責(zé)動(dòng)態(tài)構(gòu)建報(bào)文、報(bào)文抽樣，并控制報(bào)文的發(fā)送和接收；有效性驗(yàn)證模 塊主要根據(jù)案例運(yùn)行結(jié)果進(jìn)行分析，做出安全策略是否有效的判斷。策略有效性驗(yàn)證程序 運(yùn)行在一臺(tái)配置多網(wǎng)卡的主機(jī)上，通過網(wǎng)線與被測(cè)試設(shè)備的入口和出口相連（如防火墻設(shè) 備的內(nèi)網(wǎng)口、外網(wǎng)口），案例運(yùn)行模塊分別控制不同網(wǎng)卡完成報(bào)文的發(fā)送和接收。具體原理 如所圖1示，具體執(zhí)行流程如圖2所示。
[0008] 本發(fā)明方法的具體步驟如下：
[0009] 步驟1 :根據(jù)安全策略配置有效性驗(yàn)證案例；
[0010] 步驟2 :運(yùn)行驗(yàn)證案例，進(jìn)行報(bào)文樣本抽樣，構(gòu)建報(bào)文并發(fā)送給被驗(yàn)證設(shè)備，接收 報(bào)文；
[0011] 步驟3 :根據(jù)發(fā)送和接收的報(bào)文，分析策略有效性驗(yàn)證情況，做出安全策略是否有 效的判斷。
[0012] 一種基于動(dòng)態(tài)構(gòu)建報(bào)文技術(shù)的策略有效性智能驗(yàn)證方法，其特征在于步驟如下：
[0013] 步驟1 :根據(jù)安全策略生成有效性驗(yàn)證案例：
[0014] 通過案例管理模塊建立案例，用于建立驗(yàn)證案例的元組包括源地址、目的地址、源 端口、目的端口、協(xié)議、包括允許和拒絕的策略；控制驗(yàn)證案例的運(yùn)行過程，包括運(yùn)行、暫停 和停止；
[0015] 步驟2 :調(diào)用案例運(yùn)行模塊，進(jìn)行報(bào)文樣本抽樣，構(gòu)建報(bào)文并發(fā)送給被驗(yàn)證設(shè)備， 接收通過被驗(yàn)證設(shè)備的報(bào)文；
[0016] (1)根據(jù)生成的驗(yàn)證案例，完成報(bào)文樣本抽樣；
[0017] 樣本抽樣算法設(shè)計(jì)如下：
[0018] (a)設(shè)置最大發(fā)包數(shù)量M，M取值區(qū)間為10000-50000 ;
[0019] (b)抽取樣本，保證樣本均勻覆蓋由協(xié)議類型、源地址、目的地址、源端口、目的端 口五個(gè)過濾域組成的樣本空間，抽取策略如下：
[0020] 當(dāng)樣本數(shù)η小于最大的發(fā)包數(shù)量M，則抽取所有η個(gè)樣本，構(gòu)建報(bào)文；
[0021] 當(dāng)樣本數(shù)η大于最大的發(fā)包數(shù)量Μ，則按照下列算法計(jì)算抽樣偏移值，根據(jù)偏移值 抽
[0022] 取樣本，構(gòu)建報(bào)文；
[0023] 設(shè)源IP地址解析后為A1. B1. C1. D1-A2. B2. C2. D2, MAX為此IP段的總IP地址數(shù)，λ s為源地址抽樣步長(zhǎng)，1%為設(shè)置的源報(bào)文總數(shù)λ _為目的地址抽樣步長(zhǎng)，m_為設(shè)置的目 的報(bào)文總數(shù)，即計(jì)劃構(gòu)建總數(shù)為個(gè)報(bào)文；為保證樣本能夠均勻覆蓋樣本空間，應(yīng) 使（m s )遠(yuǎn)大于最大發(fā)包數(shù)量M，然后再進(jìn)行第二次隨機(jī)抽樣，最終確定M個(gè)報(bào)文；
[0024] 由源地址段構(gòu)成的抽樣空間的樣本最大數(shù)為MAX，計(jì)算公式為（1);當(dāng)IP地址以點(diǎn) 分十進(jìn)制格式表示時(shí)，形如A. B. C. D，每位取值從1到255,從最低位D為1開始變化，直至 到255后，C位進(jìn)1，以此類推；所以，可以得到計(jì)算合法的IP段所包含的IP總數(shù)的公式，即 公式（1);
[0025]
【主權(quán)項(xiàng)】
1. 一種基于動(dòng)態(tài)構(gòu)建報(bào)文技術(shù)的策略有效性智能驗(yàn)證方法，其特征在于步驟如下： 步驟1:根據(jù)安全策略生成有效性驗(yàn)證案例： 通過案例管理模塊建立案例，用于建立驗(yàn)證案例的元組包括源地址、目的地址、源端 口、目的端口、協(xié)議、包括允許和拒絕的策略；控制驗(yàn)證案例的運(yùn)行過程，包括運(yùn)行、暫停和 停止； 步驟2:調(diào)用案例運(yùn)行模塊，進(jìn)行報(bào)文樣本抽樣，構(gòu)建報(bào)文并發(fā)送給被驗(yàn)證設(shè)備，接收 通過被驗(yàn)證設(shè)備的報(bào)文； (1) 根據(jù)生成的驗(yàn)證案例，完成報(bào)文樣本抽樣； 樣本抽樣算法設(shè)計(jì)如下： (a) 設(shè)置最大發(fā)包數(shù)量M，M取值區(qū)間為10000-50000 ; (b) 抽取樣本，保證樣本均勻覆蓋由協(xié)議類型、源地址、目的地址、源端口、目的端口五 個(gè)過濾域組成的樣本空間，抽取策略如下： 當(dāng)樣本數(shù)n小于最大的發(fā)包數(shù)量M，則抽取所有n個(gè)樣本，構(gòu)建報(bào)文； 當(dāng)樣本數(shù)n大于最大的發(fā)包數(shù)量M，則按照下列算法計(jì)算抽樣偏移值，根據(jù) 偏移值抽取樣本，構(gòu)建報(bào)文； 設(shè)源IP地址解析后為A。Bp DrA2. B2. C2. D2，MAX為此IP段的總IP地址數(shù)，X源為源 地址抽樣步長(zhǎng)，i%為設(shè)置的源報(bào)文總數(shù)Xgw為目的地址抽樣步長(zhǎng)，m_為設(shè)置的目的報(bào)文 總數(shù)，即計(jì)劃構(gòu)建總數(shù)為個(gè)報(bào)文；為保證樣本能夠均勻覆蓋樣本空間，應(yīng)使（ms w )遠(yuǎn)大于最大發(fā)包數(shù)量M，然后再進(jìn)行第二次隨機(jī)抽樣，最終確定M個(gè)報(bào)文； 由源地址段構(gòu)成的抽樣空間的樣本最大數(shù)為MAX，計(jì)算公式為（1);當(dāng)IP地址以點(diǎn)分 十進(jìn)制格式表示時(shí)，形如A.B.C.D，每位取值從1到255,從最低位D為1開始變化，直至到 255后，C位進(jìn)1，以此類推；所以，可以得到計(jì)算合法的IP段所包含的IP總數(shù)的公式，即公 式⑴；
源地址抽樣步長(zhǎng)計(jì)算公式為（2);
經(jīng)過計(jì)算得出步長(zhǎng)，取ApBpDi為起始地址，末位Di依次加步長(zhǎng)A||，當(dāng)〇1+11人||等 于255時(shí)，在Q位進(jìn)1，當(dāng)Ci到達(dá)255時(shí)，B1位進(jìn)1，當(dāng)B1到達(dá)255時(shí)，A1位進(jìn)1，A1到達(dá) 255時(shí)，算法結(jié)束；即抽取的樣本依次為A!.BpDpA!.Bp仇+人源）、A!.Bp仇+2入 源）、......、A!. B!. C!. (Dj+n入源）、......、A2. B2. C2. D2; 同理，計(jì)算出目的地址的抽樣步長(zhǎng)A 并進(jìn)而得到抽取的樣本； 通過以上步驟，根據(jù)設(shè)置的參數(shù)值，構(gòu)建的報(bào)文總數(shù)為1% 當(dāng)M小于報(bào)文總數(shù)為m 采取二次抽樣，再隨機(jī)抽取M個(gè)報(bào)文，用于完成策略有效性驗(yàn)證； (2) 構(gòu)建報(bào)文； (3)發(fā)送和接收?qǐng)?bào)文；動(dòng)態(tài)構(gòu)建報(bào)文后，發(fā)送給被測(cè)試設(shè)備，并接收被測(cè)試設(shè)備發(fā)送回 來(lái)的報(bào)文；為最大限度保證測(cè)試的準(zhǔn)確性，設(shè)計(jì)數(shù)據(jù)包重發(fā)機(jī)制，當(dāng)案例運(yùn)行模塊發(fā)現(xiàn)有報(bào) 文未接收到時(shí)，將重發(fā)報(bào)文，直至達(dá)到設(shè)置的最大重發(fā)次數(shù)； 步驟3 :有效性驗(yàn)證模塊根據(jù)發(fā)送和接收的報(bào)文，以及案例的配置，分析策略有效性驗(yàn) 證情況，做出是否有效的判斷。
【專利摘要】一種基于動(dòng)態(tài)構(gòu)建報(bào)文技術(shù)的策略有效性智能驗(yàn)證方法屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明的設(shè)計(jì)思路是，策略有效性驗(yàn)證程序由三部分組成，案例管理模塊、案例運(yùn)行模塊、有效性驗(yàn)證模塊。案例管理模塊主要負(fù)責(zé)生成驗(yàn)證案例，并控制驗(yàn)證案例的運(yùn)行；案例運(yùn)行模塊主要負(fù)責(zé)動(dòng)態(tài)構(gòu)建報(bào)文、報(bào)文抽樣，并控制報(bào)文的發(fā)送和接收；有效性驗(yàn)證模塊主要根據(jù)案例運(yùn)行結(jié)果進(jìn)行分析，做出安全策略是否有效的判斷。策略有效性驗(yàn)證程序運(yùn)行在一臺(tái)配置多網(wǎng)卡的主機(jī)上，案例運(yùn)行模塊分別控制不同網(wǎng)卡完成報(bào)文的發(fā)送和接收。本發(fā)明通過動(dòng)態(tài)構(gòu)建報(bào)文，完成策略有效性驗(yàn)證，實(shí)現(xiàn)安全策略有效性驗(yàn)證從手工到自動(dòng)化、智能化的轉(zhuǎn)變，有效提高策略有效性驗(yàn)證工作的準(zhǔn)確性和效率。
【IPC分類】H04L29-06
【公開號(hào)】CN104580157
【申請(qǐng)?zhí)枴緾N201410767686
【發(fā)明人】王潤(rùn)高, 王澤玉, 郭麗娜, 高景生, 劉汝州, 劉剛, 孫宇, 孫寶貴, 石波
【申請(qǐng)人】中國(guó)航天科工集團(tuán)第二研究院七〇六所
【公開日】2015年4月29日
【申請(qǐng)日】2014年12月14日