一种分布式防火墙规则冲突的检测算法

为解决分布式防火墙中因规则冲突而导致策略异常问题,提出了一种基于XML的DFW策略异常的发现算法;该算法在分布式防火墙系统中,对于处在不同防火墙策略中的每条规则,设计一棵单根结点的树来表示分布式防火墙策略,即策略树(Policy Tree),然后通过集合全部的策略树,完成防火墙之间策略异常的发现过程;通过对算法的模拟运行,发现该算法在速度性能和可伸缩性方面较其他算法有很大的改进。     

一种防火墙规则冲突检测算法

在入侵检测系统和状态检测防火墙等应用中,规则冲突检测及冲突解析算法是影响安全性及服务质量的关键。首先对防火墙过滤规则之间的关系进行了建模和分类。然后在过滤规则关系分类的基础上提出了一种冲突检测算法。该算法能够自动检测、发现规则冲突和潜在的问题,并且能够对防火墙过滤规则进行无冲突的插入、删除和修改。实现该算法的工具软件能够显著简化防火墙策略的管理和消除防火墙的规则冲突。     

Trie+结构函数式建模、机械化验证及其应用

Trie结构是一种使用搜索关键字来组织信息的搜索树,可用于高效地存储和搜索字符串集合.T.Nipkow给出了实现Trie的Isabelle建模与验证,然而其Trie在存储和操作时存在大量的冗余,导致空间利用率不高,且仅考虑英文单模式下查找.为此,本文基于索引即键值的思想提出的Trie+结构,相较于传统的索引与键值分开存储的结构能减少50%的存储空间,大大提高了空间利用率.并且,对Trie+结构的查找、插入、删除等操作给出了函数式建模及其严格的机械化验证,保证操作的正确性和可靠性.进一步,首次提出一种匹配算法的通用验证规约,旨在解决一系列的匹配算法正确性验证问题.最后,基于Trie+结构与匹配算法通用验证规约,建模和验证了函数式中英文混合多模式匹配算法,发现并解决了现有研究中的基于完全哈希Trie的多模式匹配算法的模式串前缀终止的Bug.所提的Trie+结构以及验证规约在提高Trie结构空间利用率和验证匹配算法中,有一定的理论和应用价值.     

双数组Trie树算法优化及其应用研究

本文对双数组Trie树(Double-Array Trie)算法提出了一种优化策略,即在采用Trie树构造数组的过程中,优先处理分支结点数更多的结点。这种优化策略可以在保证该算法数据查找效率不变的同时,进一步减少数据稀疏,提高空间利用率。我们基于该优化算法实现了一个词典管理程序,并与利用其他索引机制的词典进行了实验对比。实验结果表明,利用优化的双数组Trie树算法的词典不仅在查询速度上优于用其他索引机制的词典,而且存储数据的空间占用也比较小。     

基于SMFDD实现分布式防火墙异常规则检测及优化

为提高分布式防火墙异常规则的检测效率并优化异常规则,提出基于半同构标记防火墙决策图(SMFDD)的分布式防火墙异常规则检测算法与异常规则优化算法。异常规则检测算法在保持原始规则完整性、一致性、紧凑性的基础上,消除独立防火墙规则间异常;通过SMFDD之间的比较操作,提高异常规则的检测效率。异常规则优化算法根据SMFDD之间逻辑操作,定位引起规则异常的重叠或交叉域,修正分布式防火墙规则间异常,优化防火墙规则。仿真结果表明,当防火墙含有一定规则时,异常规则检测算法可以提高分布式防火墙规则间异常检测效率,异常优化算法能够快速优化异常规则。     

基于WBEM的防火墙策略异常检测系统

面对网络规模的无限量扩大以及新型攻击的不断出现，企业开始采用多级防火墙机制加强对整个网络的安全保护。然而这种保护机制同时向人们提出了如何保证策略与策略之间无异常的问题。因此，从防火墙底层的规则入手，主要针对防火墙的包过滤规则，定义了规则之间可能存在的异常，同时提出相应的检测算法以及基于WBEM架构的异常检测系统，在解决策略异常问题的同时实现防火墙策略整体上的对外一致性。     

基于时间的多层防火墙访问控制列表策略审计方案

针对多层防火墙中的访问控制列表（ACL）策略审计问题,基于时间分析了单个防火墙间及多层防火墙间的策略异常,并根据防火墙之间的拓扑结构提出了一种基于树结构的回溯异常检测算法（ADBA）。首先,解析各个防火墙ACL策略,统一数据格式到数据库;然后,根据防火墙间的拓扑建立树状结构并检测单个防火墙内的策略异常;最后,ADBA利用数据库中的数据与树结构进行异常检测并记录异常策略。实验结果表明,ADBA与基于半同构标记防火墙决策图（SMFDD）算法相比,ADBA的检测时间比SMFDD算法减少了28.01%,同时参考时间因素相比SMFDD算法,ADBA能够减少异常检测的误判。故ADBA能有效实施于多层防火墙的ACL策略审计,提高异常检测的精确性并减少异常检测时间。     

基于DFSQL实现分布式防火墙策略异常检测与分析

分布式防火墙在保护网络安全方面发挥着重要作用,但是由于分布式防火墙规则之间的异常,给网络带来了安全隐患.理解并且分析分布式防火墙的功能及存在的异常是必要的但又困难的.因此,文章中引入DFSQL分布式防火墙策略异常查询结构性描述语言,并给出一种适用于分布式防火墙规则异常检测算法,通过仿真实验证明算法的正确性和执行效率.     

基于无冲突哈希Trie树的IP分类算法的研究

随着计算机网络的快速发展，IP分类算法被广泛地应用于路由器、防火墙和流量计费等软件中。本文在基于无冲突哈希Trie树的快速IP分类算法的基础上给出了一组哈希函数，进一步增强了算法的灵活性。     

多防火墙技术在企业网络安全中的研究及应用

当防火墙的规则集规模增加的时候,防火墙的复杂性被认为是增加的。实证研究表明,随着规则集的增大,防火墙配置错误的数量在急剧增加,而防火墙的性能会降低。当设计一个安全敏感的网络时,为了减少防火墙规则集的规模,关键是仔细构建网络拓扑及其路由结构,它有助于降低安全漏洞的机会,避免性能瓶颈。针对如何在网络的拓扑设计和构建路由表操作期间的最小化最大多防火墙规则集,提出一个启发式的解决方案。运用仿真对算法的实效性进行证明。仿真试验结果显示,该算法相比于别类算法降低了多防火墙规则集的规模。     

一种快速的防火墙规则冲突检测算法*

针对目前常用的冲突检测算法效率低下这一实际情况,提出了一种高效的冲突检测算法FRCD.该算法为每一维规则分量构造两棵二叉树,使得检测速度大大加快.实验表明,其检测速度快于常见算法.     

Practical firewall policy inspection using anomaly detection and its visualization

Due to the increasing cyber threats, firewall has become the one of the core elements in network security. The effectiveness of firewall security is dependent on providing policy management techniques. For this reason, it is highly required to have an automatic tool that is real applicable to running firewalls and it should help administrators use in easy. This paper represents a first step toward a practically applicable tool called Firewall Policy Checker for firewall policy inspection based on four anomaly types. It also focuses on detecting dangerous services such as telnet, ftp and so on which many administrators set as time goes and detecting illegal servers. In addition, this tool supports a large number of rules with the high speed using efficient N-ary tree module. The experimental results using real organizations’ rules are introduced. Finally, this paper illustrates an easy 3D visualization even for non experts.     

一种基于位向量交集运算的规则冲突检测算法

无论从报文分类算法自身还是从安全角度,规则冲突检测都是一个重要的研究课题.而目前常用的冲突检测算法效率较低.针对这一情况,在ASBV算法基础之上,提出了一种高效的冲突检测算法DBBV.同ASBV算法类似,DBBV算法也采用了分治思想和位向量技术.但与ASBV算法不同,在每一维规则分量处理过程中,DBBV算法只需要进行一次位向量交集运算,而ASBV算法需要进行多次位向量并集运算;DBBV算法支持以范围形式表示的规则集,而ASBV算法只支持以前缀形式表示的规则集.对DBBV算法的正确性进行了证明,测试表明其检测速度快于ASBV算法.     

Firewall policy verification and troubleshooting

Firewalls are important elements of enterprise security and have been the most widely adopted technology for protecting private networks. The quality of protection provided by a firewall mainly depends on the quality of its policy (i.e., configuration). However, due to the lack of tools for verifying and troubleshooting firewall policies, most firewalls on the Internet have policy errors. A firewall policy can error either create security holes that will allow malicious traffic to sneak into a private network or block legitimate traffic disrupting normal traffic, which in turn could lead to diestrous consequences.We propose a firewall verification and troubleshooting tool in this paper. Our tool takes as input a firewall policy and a given property, then outputs whether the policy satisfies the property. Furthermore, in the case that a firewall policy does not satisfy the property, our tool outputs which rules cause the verification failure. This provides firewall administrators a basis for how to fix the policy errors.Despite of the importance of verifying firewall policies and finding troublesome rules, they have not been explored in previous work. Due to the complex nature of firewall policies, designing algorithms for such a verification and troubleshooting tool is challenging. In this paper, we designed and implemented a verification and troubleshooting algorithm using decision diagrams, and tested it on both real-life firewall policies and synthetic firewall policies of large sizes. The performance of the algorithm is sufficiently high that they can practically be used in the iterative process of firewall policy design, verification, and maintenance. The firewall policy troubleshooting algorithm proposed in this paper is not limited to firewalls. Rather, they can be potentially applied to other rule-based systems as well.     

基于入侵检测的分布式防火墙系统

提出了一种新型的基于入侵检测的分布式、自适应防火墙系统。这种分布式防火墙系统采用主防火墙和主机防火墙构成的分布式结构,并由中央决策与控制器处理来自入侵检测功能模块的反馈信息,实现自适应的安全策略,因此可以有效克服传统防火墙的缺陷,防范内部攻击,提供一致的安全策略,同时避免了单点失败以及成为系统瓶颈。     

基于语义相似度的静态安全策略一致性检测

安全策略语义是人类控制安全行为意志的表达。针对策略语义在定义和转换过程中存在的冲突等问题,提出一种基于语义相似度的静态安全策略一致性检测模型与算法。首先建立策略领域本体并提取特征因子,给出基于本体中概念特征的语义相似度计算方法;继而以防火墙安全策略为例建立实例检测模型,运用静态安全策略一致性检测算法对冲突策略进行标记处理,并保证最终的策略规则库的一致性。实验结果表明,该算法具有较好的检测效果,为解决安全策略在定义、制定和映射等阶段的冲突提供了一种可行的途径。     

基于描述逻辑的策略冲突检测方法研究及实现

采用基于策略的方法对安全管理、服务质量等进行监管,已经得到广泛应用。本文提供了一种基于描述逻辑的策略建模方式,将策略定义为两种类型,即授权策略和义务策略;建立策略相关的概念,结合概念之间的关系得到基于描述逻辑的策略模型。策略冲突会导致不一致的系统行为,是策略分析最重要的内容。本文深入研究了不同类型的策略 略冲突,在所建立的模型基础上提出了一套基于描述逻辑的策略冲突检测方法,并使用推理机Racer举例验证了这种检测方法。     

一种基于MapReduce的防火墙策略冲突并行化检测及消解模型

防火墙在网络安全中起到很重要的作用,其中防火墙策略中的规则决定了网络数据包被“允许”或被“拒绝”进出网络。对于大型网络来说,由于规则太多,管理者很难保证其中不出现冲突,因此策略中规则冲突的检测及解决成为了保证网络安全的重要方面。提出了一种基于MapReduce模型的防火墙策略冲突检测解决算法,它对由基于规则的分段技术得到的片段进行自定义的排序,之后将其转化为规则的形式来代替原来的规则进行数据包的过滤。片段间两两不相交且匹配的包只执行一种动作,从而消除了冲突。     

关于网络安全管理中的策略冲突检测与解决

本文通过对策略冲突进行系统研究,找到其中的主要因素,按照“策略冲突发生时策略的状态”和“策略冲突发生时策略作用对象之间的关系”给出了策略冲突的两种分类,通过这两种分类解决了“何时检测冲突”和“如何检测冲突”的问题.而后进一步阐述了如何应用冲突数据库来判别策略冲突类型的方法.