IPsec策略的冲突检测与协调

IPsec为信息在没有安全保护的网络中传递提供安全机制.但由于各种安全设备的安全策略描述不同,IPsec并没有被广泛采用.在分析各种异构网络和不同类型的通讯实体对通信安全要求的基础上,给出其IPsec安全策略的统一描述格式,以能够使各种安全设备、网络协调工作.在此条件下,给出设备、网络间策略冲突的简洁,高效的检测算法.最后,提出了一种策略协调算法,此算法能够提高网络的通信效率,并能够消除某些策略的冲突.     

网络安全综合监控平台中安全策略的研究

通过分析网络安全综合监控平台中安全策略的特点和要求,给出了安全策略的一般性定义和描述,研究了策略的完整性、正确性、一致性要求,以及策略冲突的处理原则.在基于规则的专家系统推理引擎基础上,为网络安全综合监控平台建立一种基于规则引擎的安全策略处理机制,描述了规则引擎的推理和使用步骤.该机制能够分离安全策略的管理决策逻辑和技术决策逻辑,具有较强的策略冲突解决能力.应用证明了该系统具有较强的鲁棒性和适应性.     

基于语义相似度的静态安全策略一致性检测

安全策略语义是人类控制安全行为意志的表达。针对策略语义在定义和转换过程中存在的冲突等问题,提出一种基于语义相似度的静态安全策略一致性检测模型与算法。首先建立策略领域本体并提取特征因子,给出基于本体中概念特征的语义相似度计算方法;继而以防火墙安全策略为例建立实例检测模型,运用静态安全策略一致性检测算法对冲突策略进行标记处理,并保证最终的策略规则库的一致性。实验结果表明,该算法具有较好的检测效果,为解决安全策略在定义、制定和映射等阶段的冲突提供了一种可行的途径。     

IPSec安全策略冲突分析技术的研究

IPSec为网络安全提供了丰富的安全保护模式和操作,但其策略配置是非常复杂和易出错的一项工作.采用安全策略形式化模型和有序两元判定图表(OBDD)方法对在企业网络中不同IPSec设备间的策略间冲突进行分类和分析,开发了一组在IPSec策略配置过程中发现策略间冲突问题的技术.并通过开发的安全策略测试工具软件包的运行分析证明了该方法模型在发现和解决不同IPSec设备间的策略间冲突问题的有效性.     

新书上架

编写信息安全策略定价:28元确定组织的安全策略是一个组织实现安全管理和技术措施的前提,否则所有的安全措施都将无的放矢。本书以通俗的语言描述了什么是安全策略、怎样编写安全策略以及策略的维护周期,并给出了许多安全策略的样板。     

IPSec安全策略自动生成机制的研究

IPSec是一个策略驱动的安全机制,只有当安全策略被正确定义和配置时才能保证IPSec的功能被正确执行。如何正确地生成IPSec策略并避免策略冲突,在实际应用中依然存在复杂性。在讨论了IPSec策略配置过程中可能出现的冲突及相应的解决方法之后,给出了一个自动生成零冲突IPSec策略的算法,并与文献中的其他方法进行了比较。     

网络安全策略求精一致性检测和冲突消解机制的研究

通过对基于策略的网络安全管理的研究,分析了现有网络安全策略冲突检测和消解方法存在的不足.基于策略求精的思想和安全策略冲突分类技术,建立基于策略的网络管理安全级模型,并用扩展的XACML语言加以描述.根据策略行为间的关系,采用知识推理技术,动态分层地对相应安全级策略进行一致性自动检测和实时冲突消解,使其具有良好的可重用性...     

基于模糊负反馈算法的可演化安全策略研究

在分析现有访问控制策略研究的基础上,基于模糊负反馈算法,创建一个安全策略可演化的访问控制系统。通过对角色、权限以及安全策略的模糊化处理及分析。给出安全策略的描述方法,定义安全偏序关系。并在此基础上给出安全策略调整的方法,探讨算法调整时机。对用户的访问权限进行判断。在此基础上引入控制论的负反馈原理,对安全策略进行求精、演化,并通过实验初步验证算法的效果。     

异构信息系统下安全策略协同的设计与形式化语言描述

在异构的信息系统中,为了保障信息的安全,都会采用相应强度的访问控制技术和策略。为了在异构信息系统之间,能够有效地共享资源,就需要在异构系统间实现安全策略的协同。给出了一个基于票据的安全策略协同模型,用形式化的语言对其进行了描述,并完成了对票据权限的计算     

基于描述逻辑的XACML策略研究

针对XACML策略间的语义表示、冲突等问题,提出基于描述逻辑的形式化方法,对XACML策略的目标、规则、规则组合算法和策略冲突消解算法进行形式化处理,并给出基于描述逻辑的规则间冲突检测方案.分析结果表明,该形式化方法便于XACML策略的扩展,并且增强了XACML的语义表达能力和推理能力.     

基于描述逻辑的策略冲突检测方法研究及实现

采用基于策略的方法对安全管理、服务质量等进行监管,已经得到广泛应用。本文提供了一种基于描述逻辑的策略建模方式,将策略定义为两种类型,即授权策略和义务策略;建立策略相关的概念,结合概念之间的关系得到基于描述逻辑的策略模型。策略冲突会导致不一致的系统行为,是策略分析最重要的内容。本文深入研究了不同类型的策略 略冲突,在所建立的模型基础上提出了一套基于描述逻辑的策略冲突检测方法,并使用推理机Racer举例验证了这种检测方法。     

网管系统策略冲突解决的结果中存在的问题及检测与解决方法

当前，多种方法被用来解决网管系统中的策略冲突，不同方法有不同的应用范围，因此，通常需要综合应用多种方法来解决策略之间的冲突．各种方法解决策略冲突解决的过程是相对独立的，其策略冲突解决的结果也是相对独立的．在解决策略冲突的过程中，难以考虑到已经存在的策略冲突解决结果．因此。不同的策略冲突解决方法的结果之间可能存在冲突．分析了网管系统中多策略冲突解决方法的结果中可能存在的冲突，提出了检测及解决这些冲突的方法，并给出了实验结果及结论．     

关于网络安全管理中的策略冲突检测与解决

本文通过对策略冲突进行系统研究,找到其中的主要因素,按照“策略冲突发生时策略的状态”和“策略冲突发生时策略作用对象之间的关系”给出了策略冲突的两种分类,通过这两种分类解决了“何时检测冲突”和“如何检测冲突”的问题.而后进一步阐述了如何应用冲突数据库来判别策略冲突类型的方法.     

一种防火墙规则冲突检测算法

在入侵检测系统和状态检测防火墙等应用中,规则冲突检测及冲突解析算法是影响安全性及服务质量的关键。首先对防火墙过滤规则之间的关系进行了建模和分类。然后在过滤规则关系分类的基础上提出了一种冲突检测算法。该算法能够自动检测、发现规则冲突和潜在的问题,并且能够对防火墙过滤规则进行无冲突的插入、删除和修改。实现该算法的工具软件能够显著简化防火墙策略的管理和消除防火墙的规则冲突。     

基于网元的策略冲突解决方法

策略冲突的解决是基于策略的网络管理系统正常运行的前提之一。论文提出了一种基于网元的策略冲突解决方法,以网元为单位构造策略优先级关系矩阵,用以解决与该网元相关的策略冲突问题。该方法避免了大矩阵的计算处理,从而减少了基于策略的网络管理系统的计算成本。经实验验证,该方法可以有效地解决基于策略的网络管理系统中存在的策略冲突问题。     

RBAC策略冲突及其检测算法的研究

针对RBAC模型在实施职责分离、最小特权等安全原则时引起的冲突问题,形式化定义5种RBAC策略冲突类型,分析策略冲突产生的原因,提出一种完整的策略冲突检测算法并进行仿真测试。结果表明,该算法能够有效检测定义的各类策略冲突,为RBAC策略冲突检测实施提供基础。     

一种新的动态策略冲突检测模型

策略是关于系统行为管理的规则的集合.策略的冲突检测是策略广泛应用所要面对的重要问题之一.本文结合目前策略冲突检测算法的研究现状,提出了采用规范化技术和潜在冲突策略库相结合的方法构建了一种新的策略冲突检测模型.该模型可以有效提高策略的检测效率,避免由于运行时策略的检测而引起网络性能的大幅抖动.     

基于OpenFlow的软件定义网络流规则冲突检测系统

在软件定义网络(SDN)中,各类网络应用的独立开发以及多用户的网络管理可能导致下发至交换设备的流规则发生冲突,而控制平面与转发平面的分离使得交换设备缺乏策略分析能力,无法独立检测内部的流规则冲突.针对这一问题,提出一种流规则冲突检测系统和检测算法.首先,通过监听、捕获控制平面与转发平面之间的OpenFlow报文,获取即...     

基于后悔值的多Agent冲突博弈强化学习模型

对于冲突博弈,研究了一种理性保守的行为选择方法,即最小化最坏情况下Agent的后悔值.在该方法下,Agent当前的行为策略在未来可能造成的损失最小,并且在没有任何其他Agent信息的条件下,能够得到Nash均衡混合策略.基于后悔值提出了多Agent复杂环境下冲突博弈的强化学习模型以及算法实现.该模型中通过引入交叉熵距离建立信念更新过程,进一步优化了冲突博弈时的行为选择策略.基于Markov重复博弈模型验证了算法的收敛性,分析了信念与最优策略的关系.此外,与MMDP(multi-agent markov decision process)下Q学习扩展算法相比,该算法在很大程度上减少了冲突发生的次数,增强了Agent行为的协调性,并且提高了系统的性能,有利于维持系统的稳定.