法律状态公告日
法律状态信息
法律状态
2017-12-12
授权
授权
2015-05-27
实质审查的生效 IPC(主分类):H04L29/06 申请日:20141214
实质审查的生效
2015-04-29
公开
公开
技术领域
本发明属于网络安全技术领域,是一种基于模拟数据包技术、自动化、智能化的策略 有效性验证方法。
背景技术
随着信息技术的发展,信息成为组织机构的重要资产。尤其是在网络技术飞速发展的 今天,针对信息资产的保护越来越受到重视,多数组织机构都会在网络边界部署安全防护 设备,制定相应的安全策略以实现网络安全防护目标。但是,安全策略的有效性是否符合 预期,则更多依赖于安全技术保障人员的技术水平和职业操守,如何能够实现安全策略有 效性自动化、智能化的验证成为亟需解决的问题。
目前,判断策略有效性的主要方法还是基于人工判断,主要存在以下两点不足:
受技术水平、时间、职业操守等因素影响,有效性验证结果存在着较大的不确定 性;
人工验证的效率低,在技术保障人员资源不足时,无法满足工作需要。
发明内容
本发明就是为了解决上述问题,提出一种基于动态构建报文技术、自动化、智能化的 策略有效性验证方法。结合安全策略设置,制定策略有效性验证案例,通过动态构建报文, 完成策略有效性验证,实现安全策略有效性验证从手工到自动化、智能化的转变,有效提 高策略有效性验证工作的准确性和效率。
本发明的设计思路是,策略有效性验证程序由三部分组成,案例管理模块、案例运行 模块、有效性验证模块。案例管理模块主要负责生成验证案例,并控制验证案例的运行; 案例运行模块主要负责动态构建报文、报文抽样,并控制报文的发送和接收;有效性验证 模块主要根据案例运行结果进行分析,做出安全策略是否有效的判断。策略有效性验证程 序运行在一台配置多网卡的主机上,通过网线与被测试设备的入口和出口相连(如防火墙 设备的内网口、外网口),案例运行模块分别控制不同网卡完成报文的发送和接收。具体 原理如所图1示,具体执行流程如图2所示。
本发明方法的具体步骤如下:
步骤1:根据安全策略配置有效性验证案例;
步骤2:运行验证案例,进行报文样本抽样,构建报文并发送给被验证设备,接收报 文;
步骤3:根据发送和接收的报文,分析策略有效性验证情况,做出安全策略是否有效 的判断。
一种基于动态构建报文技术的策略有效性智能验证方法,其特征在于步骤如下:
步骤1:根据安全策略生成有效性验证案例:
通过案例管理模块建立案例,用于建立验证案例的元组包括源地址、目的地址、源端 口、目的端口、协议、包括允许和拒绝的策略;控制验证案例的运行过程,包括运行、暂 停和停止;
步骤2:调用案例运行模块,进行报文样本抽样,构建报文并发送给被验证设备,接 收通过被验证设备的报文;
(1)根据生成的验证案例,完成报文样本抽样;
样本抽样算法设计如下:
(a)设置最大发包数量M,M取值区间为10000-50000;
(b)抽取样本,保证样本均匀覆盖由协议类型、源地址、目的地址、源端口、目的 端口五个过滤域组成的样本空间,抽取策略如下:
当样本数n小于最大的发包数量M,则抽取所有n个样本,构建报文;
当样本数n大于最大的发包数量M,则按照下列算法计算抽样偏移值,根据偏移值抽
取样本,构建报文;
设源IP地址解析后为A1.B1.C1.D1-A2.B2.C2.D2,MAX为此IP段的总IP地址数,λ源为 源地址抽样步长,m源为设置的源报文总数λ目的为目的地址抽样步长,m目的为设置的目的 报文总数,即计划构建总数为(m源*m目的)个报文;为保证样本能够均匀覆盖样本空间, 应使(m源*m目的)远大于最大发包数量M,然后再进行第二次随机抽样,最终确定M个报 文;
由源地址段构成的抽样空间的样本最大数为MAX,计算公式为(1);当IP地址以点 分十进制格式表示时,形如A.B.C.D,每位取值从1到255,从最低位D为1开始变化,直 至到255后,C位进1,以此类推;所以,可以得到计算合法的IP段所包含的IP总数的 公式,即公式(1);
源地址抽样步长计算公式为(2);
经过计算得出步长,取A1.B1.C1.D1为起始地址,末位D1依次加步长λ源,当D1+nλ源等 于255时,在C1位进1,当C1到达255时,B1位进1,当B1到达255时,A1位进1,A1 到达255时,算法结束;即抽取的样本依次为A1.B1.C1.D1、A1.B1.C1.(D1+λ源)、 A1.B1.C1.(D1+2λ源)、……、A1.B1.C1.(D1+nλ源)、……、A2.B2.C2.D2;
同理,计算出目的地址的抽样步长λ目的,并进而得到抽取的样本;
通过以上步骤,根据设置的参数值,构建的报文总数为m源*m目的当M小于报文总数为 m源*m目的采取二次抽样,再随机抽取M个报文,用于完成策略有效性验证;
1.一种基于动态构建报文技术的策略有效性智能验证方法,其特征在于步骤如下:
步骤1:根据安全策略生成有效性验证案例:
通过案例管理模块建立案例,用于建立验证案例的元组包括源地址、目的地址、源端 口、目的端口、协议、包括允许和拒绝的策略;控制验证案例的运行过程,包括运行、暂 停和停止;
步骤2:调用案例运行模块,进行报文样本抽样,构建报文并发送给被验证设备,接 收通过被验证设备的报文;
(1)根据生成的验证案例,完成报文样本抽样;
样本抽样算法设计如下:
(a)设置最大发包数量M,M取值区间为10000-50000;
(b)抽取样本,保证样本均匀覆盖由协议类型、源地址、目的地址、源端口、目的 端口五个过滤域组成的样本空间,抽取策略如下:
当样本数n小于最大的发包数量M,则抽取所有n个样本,构建报文;
当样本数n大于最大的发包数量M,则按照下列算法计算抽样偏移值,根据偏移值抽
取样本,构建报文;
设源IP地址解析后为A1.B1.C1.D1-A2.B2.C2.D2,MAX为此IP段的总IP地址数,λ源为 源地址抽样步长,m源为设置的源报文总数λ目的为目的地址抽样步长,m目的为设置的目的 报文总数,即计划构建总数为(m源*m目的)个报文;为保证样本能够均匀覆盖样本空间, 应使(m源*m目的)远大于最大发包数量M,然后再进行第二次随机抽样,最终确定M个报 文;
由源地址段构成的抽样空间的样本最大数为MAX,计算公式为(1);当IP地址以点 分十进制格式表示时,形如A.B.C.D,每位取值从1到255,从最低位D为1开始变化,直 至到255后,C位进1,以此类推;所以,可以得到计算合法的IP段所包含的IP总数的 公式,即公式(1);
源地址抽样步长计算公式为(2);
经过计算得出步长,取A1.B1.C1.D1为起始地址,末位D1依次加步长λ源,当D1+nλ源等 于255时,在C1位进1,当C1到达255时,B1位进1,当B1到达255时,A1位进1,A1 到达255时,算法结束;即抽取的样本依次为A1.B1.C1.D1、A1.B1.C1.(D1+λ源)、 A1.B1.C1.(D1+2λ源)、……、A1.B1.C1.(D1+nλ源)、……、A2.B2.C2.D2;
同理,计算出目的地址的抽样步长λ目的,并进而得到抽取的样本;
通过以上步骤,根据设置的参数值,构建的报文总数为m源*m目的当M小于报文总数为 m源*m目的采取二次抽样,再随机抽取M个报文,用于完成策略有效性验证;
(2)构建报文;
(3)发送和接收报文;动态构建报文后,发送给被测试设备,并接收被测试设备发 送回来的报文;为最大限度保证测试的准确性,设计数据包重发机制,当案例运行模块发 现有报文未接收到时,将重发报文,直至达到设置的最大重发次数;
步骤3:有效性验证模块根据发送和接收的报文,以及案例的配置,分析策略有效性 验证情况,做出是否有效的判断。
附图说明
图1本发明原理图
图2本发明流程图
具体实施方式
下面结合流程图,对实施方式详细说明,应该强调的是,下述说明仅仅是示例性的, 而不是为了限制本发明的范围及其应用。本发明结合通用协议(TCP)和验证包过滤规则 有效性进行说明,但同样适用于其他通用或专有协议。
步骤1:根据安全策略生成有效性验证案例(案例管理模块);
案例管理模块实现整个验证过程的管理调度,并实现与用户的信息交互。主要功能包 括构建验证案例、验证流程控制、接收和验证结果等。
(1)建立验证案例。通过案例管理模块建立案例,用于建立验证案例的元组包括源 地址、目的地址、源端口、目的端口、协议、策略(允许、拒绝等)等,地址范围可以根 据需要设置点到点、组到组、段到段。
(2)运行验证案例。控制验证案例的运行过程,包括运行、暂停和停止。
步骤2:调用案例运行模块,进行报文样本抽样,构建报文并发送给被验证设备,接 收通过被验证设备的报文。
案例运行模块实现验证过程中报文的样本抽样、构建、发送和接收,以及发送和接收 同步控制。
(1)根据生成的验证案例,完成报文样本抽样;
报文样本抽样算法是本发明中的难点也是重点,因为完全按照设置的参数构建报文, 往往数量较大,验证过程持续时间较长,抽取少量报文又不能保证样本的有效性。所以既 要保证报文的样本数能够尽量覆盖样本空间,以确保验证的有效性,同时又要兼顾验证的 效率。本发明中的样本抽样算法设计如下:
(a)设置最大发包数量M(根据经验值,取值区间为10000-50000,一般取值20000);
(b)抽取样本,保证样本均匀覆盖由协议类型、源地址、目的地址、源端口、目的 端口五个过滤域组成的样本空间,抽取策略如下:
●样本数n小于最大的发包数量M(以M取值20000为例),则抽取所有n个样本,
构建报文;
●样本数n大于最大的发包数量M,则按照下列算法计算抽样偏移值,根据偏移值抽
取样本,构建报文。
设源IP地址解析后为A1.B1.C1.D1-A2.B2.C2.D2,MAX为此IP段的总IP地址数,λ源为 源地址抽样步长,m源为设置的源报文总数(以m源取值1000为例),λ目的为目的地址抽样 步长,m目的为设置的目的报文总数(以m目的取值1000为例),即计划构建总数为(m源*m目的) 个报文。为保证样本能够均匀覆盖样本空间,应使(m源*m目的)远大于最大发包数量M, 然后再进行第二次随机抽样,最终确定M个报文。
由源地址段构成的抽样空间的样本最大数为MAX,计算公式为(1)。当IP地址以点 分十进制格式表示时,形如A.B.C.D,每位取值从1到255,从最低位D为1开始变化,直 至到255后,C位进1,以此类推。所以,可以得到计算合法的IP段所包含的IP总数的 公式,即公式(1)。
源地址抽样步长计算公式为(2)。
经过计算得出步长,取A1.B1.C1.D1为起始地址,末位D1依次加步长λ源,当D1+nλ源等 于255时,在C1位进1,当C1到达255时,B1位进1,当B1到达255时,A1位进1,A1 到达255时,算法结束。即抽取的样本依次为A1.B1.C1.D1、A1.B1.C1.(D1+λ源)、 A1.B1.C1.(D1+2λ源)、……、A1.B1.C1.(D1+nλ源)、……、A2.B2.C2.D2。
同理,也可计算出目的地址的抽样步长λ目的,并进而得到抽取的样本(本发明以m目的取 值为1000)。
通过以上步骤,根据设置的参数值,构建的报文总数为(m源*m目的)=(1000*1000) =1000000,由于(M=20000)<1000000,所以采取二次抽样,从1000000个报文中再随机 抽取20000个报文,用于完成策略有效性验证。
(2)构建报文。依据抽取的样本数构建验证报文,结合验证案例中设置的各元组信 息,构建验证报文。为了保证发送和接收报文的正确统计分析,构建的报文中还要包含报 文序号、以及报文总数等信息,存储在报文的数据字段部分;
(3)发送和接收报文。动态构建报文后,发送给被测试设备,并接收被测试设备发 送回来的报文。为最大限度保证测试的准确性,设计数据包重发机制,当案例运行模块发 现有报文未接收到时,将重发报文,直至达到设置的最大重发次数(如:三次),之后将 接收情况纳入验证结果判定范围。
步骤3:有效性验证模块根据发送和接收的报文,以及案例的配置,分析策略有效性 验证情况,做出是否有效的判断。
验证结果示例1
(1)配置验证案例
源地址:192.168.1.1-192.168.1.2,源端口:2000-2001,目的地址: 192.168.2.1-192.168.2.2,目的端口:3000-3001,协议:TCP,策略:通过,源网卡: 网卡1,目的网卡:网卡2。
(2)防火墙策略设置
验证策略:“源地址:192.168.1.1,源端口:any,目的地址:192.168.2.1,目的端 口:any,协议:TCP,策略:允许”;
默认策略:“源地址:any,源端口:any,目的地址:any,目的端口:any,协议: TCP,策略:拒绝”。
(4)构建报文组合
表1 构建的报文组合
(5)验证结果
表2 验证结果
从上表可以看出,源地址192.168.1.1到目的地址192.168.2.1的TCP报文验证通过, 与防火墙策略的预期结果“允许”一致;其余组合的报文均未通过,与防火墙策略的预期 结果“拒绝”一致。策略有效性验证程序根据该结果,则验证该安全策略有效,能够有效 发挥安全防护作用。反之,如果TCP报文“源地址192.168.1.2,源端口2000,目的地址 192.168.2.2,目的端口3000”的验证结果显示“通过”,则说明该策略没有达到预期的效 果,可能的原因是防火墙软件故障或者是安全策略之间存在冲突等,提示安全技术人员进 一步维修改设备,或者重新设置安全策略等操作,以确保设备能够正常发挥安全防护作用。
验证结果示例2
(1)配置验证案例
源地址:192.16.0.5-192.16.25.5,源端口:2000,目的地址:192.16.0.5-192.17.0.5, 源端口:3000,协议:TCP,策略:通过,源网卡:网卡1,目的网卡:网卡2。
(2)防火墙策略设置
验证策略:“源地址:192.168.0.5,源端口:any,目的地址:192.168.0.5,目的端 口:any,协议:TCP,策略:允许”;
默认策略:“源地址:any,源端口:any,目的地址:any,目的端口:any,协议: TCP,策略:拒绝”。
(4)构建报文组合
源地址IP总数6375,目的IP总数65025,构建报文总数为:414534375。
设置M=20000,m源=1000,m目的=1000,计算可知:λ源=6,λ目的=65,经第一步抽样可 得出1000000个报文,为了既提高验证效率,又保证验证有效性,进行第二次随机抽样, 抽取20000个报文,用于策略有效性验证。
(5)验证效率比较
经过第一次抽样,验证报文数量由414534375降低到1000000,经过第二次抽样,验 证报文数量进一步降低到20000,试验结果表明,采用本发明设计的抽样算法,使验证效 率提高约90%,并且能够保证本发明提出的策略验证方法的有效性。
机译: 基于事件的动态密码防伪标签有效性的实时验证方法和系统
机译: 一种用于识别眼睛虹膜的眼睛有效性验证方法,包括通过获取装置发出的光束照亮虹膜区域,并通过分析区域来确定眼睛的有效性,其中光束的光学特性随时间变化
机译: 为语音到文本转换提供匿名和安全机制的新颖创新方法。本发明提供了一种通用且可扩展的隐私层,其利用了现有的基于云的自动语音识别(ASR)服务,并且可以适应新兴的语音到文本技术,例如自然语言处理(NLP),语音机器人和其他基于语音的人工语言。智能接口。本发明还允许在不牺牲法律,医学,金融和其他隐私敏感领域的情况下应用最新和最好的语音技术。