一种基于动态构建报文技术的策略有效性智能验证方法

摘要

一种基于动态构建报文技术的策略有效性智能验证方法属于网络安全技术领域。本发明的设计思路是，策略有效性验证程序由三部分组成，案例管理模块、案例运行模块、有效性验证模块。案例管理模块主要负责生成验证案例，并控制验证案例的运行；案例运行模块主要负责动态构建报文、报文抽样，并控制报文的发送和接收；有效性验证模块主要根据案例运行结果进行分析，做出安全策略是否有效的判断。策略有效性验证程序运行在一台配置多网卡的主机上，案例运行模块分别控制不同网卡完成报文的发送和接收。本发明通过动态构建报文，完成策略有效性验证，实现安全策略有效性验证从手工到自动化、智能化的转变，有效提高策略有效性验证工作的准确性和效率。

说明书

技术领域

本发明属于网络安全技术领域，是一种基于模拟数据包技术、自动化、智能化的策略 有效性验证方法。

背景技术

随着信息技术的发展，信息成为组织机构的重要资产。尤其是在网络技术飞速发展的 今天，针对信息资产的保护越来越受到重视，多数组织机构都会在网络边界部署安全防护 设备，制定相应的安全策略以实现网络安全防护目标。但是，安全策略的有效性是否符合 预期，则更多依赖于安全技术保障人员的技术水平和职业操守，如何能够实现安全策略有 效性自动化、智能化的验证成为亟需解决的问题。

目前，判断策略有效性的主要方法还是基于人工判断，主要存在以下两点不足：

受技术水平、时间、职业操守等因素影响，有效性验证结果存在着较大的不确定 性；

人工验证的效率低，在技术保障人员资源不足时，无法满足工作需要。

发明内容

本发明就是为了解决上述问题，提出一种基于动态构建报文技术、自动化、智能化的 策略有效性验证方法。结合安全策略设置，制定策略有效性验证案例，通过动态构建报文， 完成策略有效性验证，实现安全策略有效性验证从手工到自动化、智能化的转变，有效提 高策略有效性验证工作的准确性和效率。

本发明的设计思路是，策略有效性验证程序由三部分组成，案例管理模块、案例运行 模块、有效性验证模块。案例管理模块主要负责生成验证案例，并控制验证案例的运行； 案例运行模块主要负责动态构建报文、报文抽样，并控制报文的发送和接收；有效性验证 模块主要根据案例运行结果进行分析，做出安全策略是否有效的判断。策略有效性验证程 序运行在一台配置多网卡的主机上，通过网线与被测试设备的入口和出口相连(如防火墙 设备的内网口、外网口)，案例运行模块分别控制不同网卡完成报文的发送和接收。具体 原理如所图1示，具体执行流程如图2所示。

本发明方法的具体步骤如下：

步骤1：根据安全策略配置有效性验证案例；

步骤2：运行验证案例，进行报文样本抽样，构建报文并发送给被验证设备，接收报 文；

步骤3：根据发送和接收的报文，分析策略有效性验证情况，做出安全策略是否有效 的判断。

一种基于动态构建报文技术的策略有效性智能验证方法，其特征在于步骤如下：

步骤1：根据安全策略生成有效性验证案例：

通过案例管理模块建立案例，用于建立验证案例的元组包括源地址、目的地址、源端 口、目的端口、协议、包括允许和拒绝的策略；控制验证案例的运行过程，包括运行、暂 停和停止；

步骤2：调用案例运行模块，进行报文样本抽样，构建报文并发送给被验证设备，接 收通过被验证设备的报文；

(1)根据生成的验证案例，完成报文样本抽样；

样本抽样算法设计如下：

(a)设置最大发包数量M，M取值区间为10000-50000；

(b)抽取样本，保证样本均匀覆盖由协议类型、源地址、目的地址、源端口、目的 端口五个过滤域组成的样本空间，抽取策略如下：

当样本数n小于最大的发包数量M，则抽取所有n个样本，构建报文；

当样本数n大于最大的发包数量M，则按照下列算法计算抽样偏移值，根据偏移值抽

取样本，构建报文；

设源IP地址解析后为A₁.B₁.C₁.D₁-A₂.B₂.C₂.D₂，MAX为此IP段的总IP地址数，λ_源为 源地址抽样步长，m_源为设置的源报文总数λ_目的为目的地址抽样步长，m_目的为设置的目的 报文总数，即计划构建总数为(m_源*m_目的)个报文；为保证样本能够均匀覆盖样本空间， 应使(m_源*m_目的)远大于最大发包数量M，然后再进行第二次随机抽样，最终确定M个报 文；

由源地址段构成的抽样空间的样本最大数为MAX，计算公式为(1)；当IP地址以点 分十进制格式表示时，形如A.B.C.D，每位取值从1到255，从最低位D为1开始变化，直 至到255后，C位进1，以此类推；所以，可以得到计算合法的IP段所包含的IP总数的 公式，即公式(1)；

$\mathrm{MAX}=\left(\begin{array}{cccc}{255}^3& {255}^2& 255& 1\end{array}\right)\times \left(\begin{array}{c}|A_2-A_1|\\ |B_2-B_1|\\ |C_2-C_1|\\ |D_2-D_1+1|\end{array}\right)={255}^3\times |A_2-A_1|+{255}^2\times |B_2-B_1|+255\times |C_2-C_1|+|D_2-D_1+1|······\left(1\right)$

源地址抽样步长计算公式为(2)；

经过计算得出步长，取A₁.B₁.C₁.D₁为起始地址，末位D₁依次加步长λ_源，当D₁+nλ_源等 于255时，在C₁位进1，当C₁到达255时，B1位进1，当B1到达255时，A1位进1，A1 到达255时，算法结束；即抽取的样本依次为A₁.B₁.C₁.D₁、A₁.B₁.C₁.(D₁+λ_源)、 A₁.B₁.C₁.(D₁+2λ_源)、……、A₁.B₁.C₁.(D₁+nλ_源)、……、A₂.B₂.C₂.D₂；

同理，计算出目的地址的抽样步长λ_目的，并进而得到抽取的样本；

通过以上步骤，根据设置的参数值，构建的报文总数为m_源*m_目的当M小于报文总数为 m_源*m_目的采取二次抽样，再随机抽取M个报文，用于完成策略有效性验证；

1.一种基于动态构建报文技术的策略有效性智能验证方法，其特征在于步骤如下：

步骤1：根据安全策略生成有效性验证案例：

通过案例管理模块建立案例，用于建立验证案例的元组包括源地址、目的地址、源端 口、目的端口、协议、包括允许和拒绝的策略；控制验证案例的运行过程，包括运行、暂 停和停止；

步骤2：调用案例运行模块，进行报文样本抽样，构建报文并发送给被验证设备，接 收通过被验证设备的报文；

(1)根据生成的验证案例，完成报文样本抽样；

样本抽样算法设计如下：

(a)设置最大发包数量M，M取值区间为10000-50000；

(b)抽取样本，保证样本均匀覆盖由协议类型、源地址、目的地址、源端口、目的 端口五个过滤域组成的样本空间，抽取策略如下：

当样本数n小于最大的发包数量M，则抽取所有n个样本，构建报文；

当样本数n大于最大的发包数量M，则按照下列算法计算抽样偏移值，根据偏移值抽

取样本，构建报文；

设源IP地址解析后为A₁.B₁.C₁.D₁-A₂.B₂.C₂.D₂，MAX为此IP段的总IP地址数，λ_源为 源地址抽样步长，m_源为设置的源报文总数λ_目的为目的地址抽样步长，m_目的为设置的目的 报文总数，即计划构建总数为(m_源*m_目的)个报文；为保证样本能够均匀覆盖样本空间， 应使(m_源*m_目的)远大于最大发包数量M，然后再进行第二次随机抽样，最终确定M个报 文；

由源地址段构成的抽样空间的样本最大数为MAX，计算公式为(1)；当IP地址以点 分十进制格式表示时，形如A.B.C.D，每位取值从1到255，从最低位D为1开始变化，直 至到255后，C位进1，以此类推；所以，可以得到计算合法的IP段所包含的IP总数的 公式，即公式(1)；

$\mathrm{MAX}=\left(\begin{array}{cccc}{255}^3& {255}^2& 255& 1\end{array}\right)\times \left(\begin{array}{c}|A_2-A_1|\\ |B_2-B_1|\\ |C_2-C_1|\\ |D_2-D_1+1|\end{array}\right)={255}^3\times |A_2-A_1|+{255}^2\times |B_2-B_1|+255\times |C_2-C_1|+|D_2-D_1+1|······\left(1\right)$

源地址抽样步长计算公式为(2)；

经过计算得出步长，取A₁.B₁.C₁.D₁为起始地址，末位D₁依次加步长λ_源，当D₁+nλ_源等 于255时，在C₁位进1，当C₁到达255时，B1位进1，当B1到达255时，A1位进1，A1 到达255时，算法结束；即抽取的样本依次为A₁.B₁.C₁.D₁、A₁.B₁.C₁.(D₁+λ_源)、 A₁.B₁.C₁.(D₁+2λ_源)、……、A₁.B₁.C₁.(D₁+nλ_源)、……、A₂.B₂.C₂.D₂；

同理，计算出目的地址的抽样步长λ_目的，并进而得到抽取的样本；

通过以上步骤，根据设置的参数值，构建的报文总数为m_源*m_目的当M小于报文总数为 m_源*m_目的采取二次抽样，再随机抽取M个报文，用于完成策略有效性验证；

(2)构建报文；

(3)发送和接收报文；动态构建报文后，发送给被测试设备，并接收被测试设备发 送回来的报文；为最大限度保证测试的准确性，设计数据包重发机制，当案例运行模块发 现有报文未接收到时，将重发报文，直至达到设置的最大重发次数；

步骤3：有效性验证模块根据发送和接收的报文，以及案例的配置，分析策略有效性 验证情况，做出是否有效的判断。

附图说明

图1本发明原理图

图2本发明流程图

具体实施方式

下面结合流程图，对实施方式详细说明，应该强调的是，下述说明仅仅是示例性的， 而不是为了限制本发明的范围及其应用。本发明结合通用协议(TCP)和验证包过滤规则 有效性进行说明，但同样适用于其他通用或专有协议。

步骤1：根据安全策略生成有效性验证案例(案例管理模块)；

案例管理模块实现整个验证过程的管理调度，并实现与用户的信息交互。主要功能包 括构建验证案例、验证流程控制、接收和验证结果等。

(1)建立验证案例。通过案例管理模块建立案例，用于建立验证案例的元组包括源 地址、目的地址、源端口、目的端口、协议、策略(允许、拒绝等)等，地址范围可以根 据需要设置点到点、组到组、段到段。

(2)运行验证案例。控制验证案例的运行过程，包括运行、暂停和停止。

步骤2：调用案例运行模块，进行报文样本抽样，构建报文并发送给被验证设备，接 收通过被验证设备的报文。

案例运行模块实现验证过程中报文的样本抽样、构建、发送和接收，以及发送和接收 同步控制。

(1)根据生成的验证案例，完成报文样本抽样；

报文样本抽样算法是本发明中的难点也是重点，因为完全按照设置的参数构建报文， 往往数量较大，验证过程持续时间较长，抽取少量报文又不能保证样本的有效性。所以既 要保证报文的样本数能够尽量覆盖样本空间，以确保验证的有效性，同时又要兼顾验证的 效率。本发明中的样本抽样算法设计如下：

(a)设置最大发包数量M(根据经验值，取值区间为10000-50000，一般取值20000)；

(b)抽取样本，保证样本均匀覆盖由协议类型、源地址、目的地址、源端口、目的 端口五个过滤域组成的样本空间，抽取策略如下：

●样本数n小于最大的发包数量M(以M取值20000为例)，则抽取所有n个样本，

构建报文；

●样本数n大于最大的发包数量M，则按照下列算法计算抽样偏移值，根据偏移值抽

取样本，构建报文。

设源IP地址解析后为A₁.B₁.C₁.D₁-A₂.B₂.C₂.D₂，MAX为此IP段的总IP地址数，λ_源为 源地址抽样步长，m_源为设置的源报文总数(以m_源取值1000为例)，λ_目的为目的地址抽样 步长，m_目的为设置的目的报文总数(以m_目的取值1000为例)，即计划构建总数为(m_源*m_目的) 个报文。为保证样本能够均匀覆盖样本空间，应使(m_源*m_目的)远大于最大发包数量M， 然后再进行第二次随机抽样，最终确定M个报文。

由源地址段构成的抽样空间的样本最大数为MAX，计算公式为(1)。当IP地址以点 分十进制格式表示时，形如A.B.C.D，每位取值从1到255，从最低位D为1开始变化，直 至到255后，C位进1，以此类推。所以，可以得到计算合法的IP段所包含的IP总数的 公式，即公式(1)。

$\mathrm{MAX}=\left(\begin{array}{cccc}{255}^3& {255}^2& 255& 1\end{array}\right)\times \left(\begin{array}{c}|A_2-A_1|\\ |B_2-B_1|\\ |C_2-C_1|\\ |D_2-D_1+1|\end{array}\right)={255}^3\times |A_2-A_1|+{255}^2\times |B_2-B_1|+255\times |C_2-C_1|+|D_2-D_1+1|······\left(1\right)$

源地址抽样步长计算公式为(2)。

经过计算得出步长，取A₁.B₁.C₁.D₁为起始地址，末位D₁依次加步长λ_源，当D₁+nλ_源等 于255时，在C₁位进1，当C₁到达255时，B1位进1，当B1到达255时，A1位进1，A1 到达255时，算法结束。即抽取的样本依次为A₁.B₁.C₁.D₁、A₁.B₁.C₁.(D₁+λ_源)、 A₁.B₁.C₁.(D₁+2λ_源)、……、A₁.B₁.C₁.(D₁+nλ_源)、……、A₂.B₂.C₂.D₂。

同理，也可计算出目的地址的抽样步长λ_目的，并进而得到抽取的样本(本发明以m_目的取 值为1000)。

通过以上步骤，根据设置的参数值，构建的报文总数为(m_源*m_目的)＝(1000*1000) ＝1000000，由于(M＝20000)<1000000，所以采取二次抽样，从1000000个报文中再随机 抽取20000个报文，用于完成策略有效性验证。

(2)构建报文。依据抽取的样本数构建验证报文，结合验证案例中设置的各元组信 息，构建验证报文。为了保证发送和接收报文的正确统计分析，构建的报文中还要包含报 文序号、以及报文总数等信息，存储在报文的数据字段部分；

(3)发送和接收报文。动态构建报文后，发送给被测试设备，并接收被测试设备发 送回来的报文。为最大限度保证测试的准确性，设计数据包重发机制，当案例运行模块发 现有报文未接收到时，将重发报文，直至达到设置的最大重发次数(如：三次)，之后将 接收情况纳入验证结果判定范围。

步骤3：有效性验证模块根据发送和接收的报文，以及案例的配置，分析策略有效性 验证情况，做出是否有效的判断。

验证结果示例1

(1)配置验证案例

源地址：192.168.1.1-192.168.1.2，源端口：2000-2001，目的地址： 192.168.2.1-192.168.2.2，目的端口：3000-3001，协议：TCP，策略：通过，源网卡： 网卡1，目的网卡：网卡2。

(2)防火墙策略设置

验证策略：“源地址：192.168.1.1，源端口：any，目的地址：192.168.2.1，目的端 口：any，协议：TCP，策略：允许”；

默认策略：“源地址：any，源端口：any，目的地址：any，目的端口：any，协议： TCP，策略：拒绝”。

(4)构建报文组合

表1 构建的报文组合

报文序号 协议 源地址 源端口 目的地址 目的端口 1 TCP 192.168.1.1 2000 192.168.2.1 3000 2 TCP 192.168.1.1 2000 192.168.2.1 3001 3 TCP 192.168.1.1 2000 192.168.2.2 3000 4 TCP 192.168.1.1 2000 192.168.2.2 3001 5 TCP 192.168.1.1 2001 192.168.2.1 3000 6 TCP 192.168.1.1 2001 192.168.2.1 3001 7 TCP 192.168.1.1 2001 192.168.2.2 3000 8 TCP 192.168.1.1 2001 192.168.2.2 3001 9 TCP 192.168.1.2 2000 192.168.2.1 3000 10 TCP 192.168.1.2 2000 192.168.2.1 3001 11 TCP 192.168.1.2 2000 192.168.2.2 3000 12 TCP 192.168.1.2 2000 192.168.2.2 3001 13 TCP 192.168.1.2 2001 192.168.2.1 3000 14 TCP 192.168.1.2 2001 192.168.2.1 3001 15 TCP 192.168.1.2 2001 192.168.2.2 3000 16 TCP 192.168.1.2 2001 192.168.2.2 3001

(5)验证结果

表2 验证结果

从上表可以看出，源地址192.168.1.1到目的地址192.168.2.1的TCP报文验证通过， 与防火墙策略的预期结果“允许”一致；其余组合的报文均未通过，与防火墙策略的预期 结果“拒绝”一致。策略有效性验证程序根据该结果，则验证该安全策略有效，能够有效 发挥安全防护作用。反之，如果TCP报文“源地址192.168.1.2，源端口2000，目的地址 192.168.2.2，目的端口3000”的验证结果显示“通过”，则说明该策略没有达到预期的效 果，可能的原因是防火墙软件故障或者是安全策略之间存在冲突等，提示安全技术人员进 一步维修改设备，或者重新设置安全策略等操作，以确保设备能够正常发挥安全防护作用。

验证结果示例2

(1)配置验证案例

源地址：192.16.0.5-192.16.25.5，源端口：2000，目的地址：192.16.0.5-192.17.0.5， 源端口：3000，协议：TCP，策略：通过，源网卡：网卡1，目的网卡：网卡2。

(2)防火墙策略设置

验证策略：“源地址：192.168.0.5，源端口：any，目的地址：192.168.0.5，目的端 口：any，协议：TCP，策略：允许”；

默认策略：“源地址：any，源端口：any，目的地址：any，目的端口：any，协议： TCP，策略：拒绝”。

(4)构建报文组合

源地址IP总数6375，目的IP总数65025，构建报文总数为：414534375。

设置M＝20000，m_源＝1000，m_目的＝1000，计算可知：λ_源＝6，λ_目的＝65，经第一步抽样可 得出1000000个报文，为了既提高验证效率，又保证验证有效性，进行第二次随机抽样， 抽取20000个报文，用于策略有效性验证。

(5)验证效率比较

经过第一次抽样，验证报文数量由414534375降低到1000000，经过第二次抽样，验 证报文数量进一步降低到20000，试验结果表明，采用本发明设计的抽样算法，使验证效 率提高约90％，并且能够保证本发明提出的策略验证方法的有效性。