一种基于分类的访问控制列表冲突检测系统及方法与流程
本发明属于网络通讯安全领域,具体涉及一种基于分类的访问控制列表冲突检测系统方法。
背景技术:
在网络技术日益发展的信息时代,网络已经成为了人们生活和工作的重要组成部分。而随着网络规模的不断扩大,很容易出现非法攻击、信息泄露、病毒入侵等安全问题,一旦这些安全问题发生,就可能给我们造成巨大的损失。所以,目前网络安全问题也变得越来越重要。访问控制列表通过在路由器的接口上控制是否转发或阻止数据包来过滤网络流量。路由器检查每个数据包并基于访问列表中指定的规则来决定是否转发或丢弃这个包。访问控制列表可以为网络访问提供一个基础层次的安全性。而为了使访问控制列表可以发挥基础层次安全性的作用,需要对访问控制列表进行分析,能够检测访问控制列表之间的冲突,使数据包能够正常的转发。目前,对冲突检测冲突的研究有基于空间的分离算法、基于xacml的策略冲突检测、基于ponder语言的冲突检测方法。但是这些方法需要对规则进行两两之间的顺序比较,时间复杂度比较高。为了降低规则之间的比较次数,本发明采用分类的方式,根据规则的不同维度对访问控制策略进行分类,将可能产生冲突的策略归于一类,以减少策略之间的比较次数。
面对现在复杂的网络环境,网络设备之间是相互联系的,单纯地检测单台网络设备内部访问控制列表的冲突已经毫无意义,因为设备之间访问控制列表的冲突会使某些访问控制规则失效,从而影响报文的正常转发。
技术实现要素:
针对现有技术中的上述不足,本发明提供的一种基于分类的访问控制列表冲突检测系统及方法解决了现有技术中存在的问题。
为了达到上述发明目的,本发明采用的技术方案为:一种基于分类的访问控制列表冲突检测系统,包括访问控制分析装置和若干网络设备,所述访问控制分析装置分别与若干网络设备连接;
所述访问控制分析装置用于网络设备访问控制信息获取模块、网络拓扑收集模块、网络关键路径管理模块、访问控制策略分析与检测模块以及网络关键路径访问控制策略冲突检测模块。
进一步地,所述网络设备访问控制信息模块用于实时收集网络设备上的访问控制策略信息,解析每条访问控制策略信息,按照源地址、目的地址、源端口号、目的端口号以及协议类型保存;
所述网络拓扑收集模块用于实时自动收集网络拓扑结构,将收集的网络拓扑结构建模并保存;
所述网络关键路径管理模块用于设定重点关注的关键路径,将关键路径中相关的网络设备以及接口保存;
所述访问控制策略分析与检测模块用于根据需要进行冲突检测的访问控制列表集合,采用贪心算法并选择局部最优属性对访问控制列表集合进行分类,直至访问控制列表不能被分割或者没有可以分割的属性;
所述网络关键路径访问控制策略冲突检测模块用于获得与关键路径相关的网络设备及接口的访问控制列表信息,调用访问控制策略分析与检测进行网络关键路径访问控制策略的冲突检测。
本发明的有益效果为:
(1)本发明提供了一种基于分类的访问控制列表冲突检测系统,可以对网络设备的访问控制信息进行分类,并检测冲突,保证了网络安全。
(2)本发明有效地减少了比较次数,提高了系统的检测效率,节约了工作时间。
一种使用基于分类的访问控制列表冲突检测系统的方法,包括以下步骤:
s1、实时收集网络拓扑结构,并将网络拓扑结构建模保存;
s2、设定关键路径,实时收集网络拓扑结构中关键路径上的网络设备访问控制策略信息,并解析访问控制策略信息;
s3、对解析后的访问控制策略信息进行分类,得到可能存在冲突的访问控制策略信息表;
s4、对可能存在冲突的访问控制策略信息表进行冲突检测,得到冲突检测结果。
进一步地,所述步骤s2中访问控制策略信息的解析结果包括源地址、目的地址、源端口号、目的端口号和协议类型;所述源地址、目的地址、源端口号和目的端口号为连续属性,所述协议类型为离散属性。
进一步地,所述步骤s3包括以下分步骤:
s3.1、分别设定源地址分类范围、目的地址分类范围、源端口号分类范围和目的端口号分类范围;
s3.2、分别以源地址分类范围、目的地址分类范围、源端口号分类范围、目的端口号分类范围和协议类型进行分类,获取分类结果;
s3.3、选取分类最平均的分类结果作为最终分类结果;
s3.4、判断最终分类结果中是否存在只有一条访问控制策略信息的类别,若是,则判定该类别中访问控制策略信息不存在冲突;否则判断该类别中访问控制策略信息存在冲突,获取可能存在冲突的访问控制策略信息表。
进一步地,所述步骤s3.2获取分类结果的具体方法为:
s3.2.1、通过贪心算法并以每个分割属性进行分类,选取分类最平均的结果进行下一次分类;
s3.2.2、重复步骤s3.2.1直至不能分类,得到分类结果;
所述分割属性包括源地址、目的地址、源端口号、目的端口号和协议类型;
所述分割属性的分类方法具体为:以源地址分类范围、目的地址分类范围、源端口号分类范围或目的端口号分类范围对访问控制策略信息集合进行分类,获取分类结果;将访问控制策略信息集合按协议类型进行分类,获取分类结果。
进一步地,所述步骤s4包括以下步骤:
s4.1、判断可能存在冲突的访问控制策略信息表中两两策略间是否存在属性区间重叠,若是,则进入步骤s4.2,否则对应的两条策略不存在冲突;
s4.2、判断属性区间重叠的两条策略动作是否相同,若是,则两条策略不存在冲突,否则两条策略存在冲突。
本发明的有益效果为:
(1)本发明提供的基于分类的访问控制列表冲突检测方法,高效快捷,计算量低,提高了冲突检测的效率,保证了网络安全。
(2)本发明可以收集用户指定的管理区域中关键路径相关设备的访问控制列表信息,解析访问控制列表信息,并且按照指定的结构存储起来,访问控制策略进行冲突检测。
(3)本装置可以配置设备的访问控制规则,并在规则下发前,检测待下发的规则是否与设备中已存在的规则相冲突。
(4)本发明将待下发的规则匹配到相应的以关键路径为索引的冲突检测分类结果中去,根据分类规则将待下发的访问控制规则划分到叶子节点中,再进行冲突检测,提高了冲突检测的效率。
附图说明
图1为本发明提出的一种基于分类的访问控制列表冲突检测系统示意图。
图2为本发明提出的一种基于分类的访问控制列表冲突检测方法流程图。
具体实施方式
下面对本发明的具体实施方式进行描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
下面结合附图详细说明本发明的实施例。
如图1所示,一种基于分类的访问控制列表冲突检测系统,包括访问控制分析装置和若干网络设备,所述访问控制分析装置分别与若干网络设备连接;
所述访问控制分析装置用于网络设备访问控制信息获取模块、网络拓扑收集模块、网络关键路径管理模块、访问控制策略分析与检测模块以及网络关键路径访问控制策略冲突检测模块。
所述网络设备访问控制信息模块用于实时收集网络设备上的访问控制策略信息,解析每条访问控制策略信息,按照源地址、目的地址、源端口号、目的端口号以及协议类型保存;
所述网络拓扑收集模块用于实时自动收集网络拓扑结构,将收集的网络拓扑结构建模并保存;
所述网络关键路径管理模块用于设定重点关注的关键路径,将关键路径中相关的网络设备以及接口保存;
所述访问控制策略分析与检测模块用于根据需要进行冲突检测的访问控制列表集合,采用贪心算法并选择局部最优属性对访问控制列表集合进行分类,直至访问控制列表不能被分割或者没有可以分割的属性;
所述网络关键路径访问控制策略冲突检测模块用于获得与关键路径相关的网络设备及接口的访问控制列表信息,调用访问控制策略分析与检测进行网络关键路径访问控制策略的冲突检测。
本发明的有益效果为:
(1)本发明提供了一种基于分类的访问控制列表冲突检测系统,可以对网络设备的访问控制信息进行分类,并检测冲突,保证了网络安全。
(2)本发明有效地减少了比较次数,提高了系统的检测效率,节约了工作时间。
如图2所示,一种使用基于分类的访问控制列表冲突检测系统的方法,包括以下步骤:
s1、实时收集网络拓扑结构,并将网络拓扑结构建模保存;
s2、设定关键路径,实时收集网络拓扑结构中关键路径上的网络设备访问控制策略信息,并解析访问控制策略信息;
s3、对解析后的访问控制策略信息进行分类,得到可能存在冲突的访问控制策略信息表;
s4、对可能存在冲突的访问控制策略信息表进行冲突检测,得到冲突检测结果。
所述步骤s2中访问控制策略信息的解析结果包括源地址、目的地址、源端口号、目的端口号和协议类型;所述源地址、目的地址、源端口号和目的端口号为连续属性,所述协议类型为离散属性。
所述步骤s3包括以下分步骤:
s3.1、分别设定源地址分类范围、目的地址分类范围、源端口号分类范围和目的端口号分类范围;
s3.2、分别以源地址分类范围、目的地址分类范围、源端口号分类范围、目的端口号分类范围和协议类型进行分类,获取分类结果;
s3.3、选取分类最平均的分类结果作为最终分类结果;
s3.4、判断最终分类结果中是否存在只有一条访问控制策略信息的类别,若是,则判定该类别中访问控制策略信息不存在冲突;否则判断该类别中访问控制策略信息存在冲突,获取可能存在冲突的访问控制策略信息表。
所述步骤s3.2获取分类结果的具体方法为:
s3.2.1、通过贪心算法并以每个分割属性进行分类,选取分类最平均的结果进行下一次分类;
s3.2.2、重复步骤s3.2.1直至不能分类,得到分类结果;
所述分割属性包括源地址、目的地址、源端口号、目的端口号和协议类型;
所述分割属性的分类方法具体为:以源地址分类范围、目的地址分类范围、源端口号分类范围或目的端口号分类范围对访问控制策略信息集合进行分类,获取分类结果;将访问控制策略信息集合按协议类型进行分类,获取分类结果。
规则集的源地址、目的地址、源端口号、目的端口号、协议类型将作为规则集的分割属性。属性分为连续属性和离散属性,源地址、目的地址、源端口号、目的端口号为连续属性,协议类型为离散属性。对于连续属性,确定所有待检测规则相应属性的范围,按照指定的分割份数将连续属性进行平均等分,再将待检测规则按照其相应的分割属性,将其归类到对应的等分中进行分类;对于离散属性,主要指协议类型属性,根据属性类型将待检测的规则进行分类。
每次分割访问控制列表规则集前,如果随机选取分割属性,可能会造成分割不均匀,这就失去了将规则集进行分类的意义。为了使每次分割相对均匀,采用贪心算法的思想来选择局部最优的分割属性来分割待进行分类的控制列表规则集合。使用目前可分割的属性,采用连续属性和离散属性的分割方法,分别对待分割的控制列表规则集合进行分割,选择分割后每个分类中规则数相对均匀的属性作为本轮的分类属性。
所述步骤s4包括以下步骤:
s4.1、判断可能存在冲突的访问控制策略信息表中两两策略间是否存在属性区间重叠,若是,则进入步骤s4.2,否则对应的两条策略不存在冲突;
s4.2、判断属性区间重叠的两条策略动作是否相同,若是,则两条策略不存在冲突,否则两条策略存在冲突。
本发明的有益效果为:
(1)本发明提供的基于分类的访问控制列表冲突检测方法,高效快捷,计算量低,提高了冲突检测的效率,保证了网络安全。
(2)本发明可以收集用户指定的管理区域中关键路径相关设备的访问控制列表信息,解析访问控制列表信息,并且按照指定的结构存储起来,访问控制策略进行冲突检测。
(3)本装置可以配置设备的访问控制规则,并在规则下发前,检测待下发的规则是否与设备中已存在的规则相冲突。
(4)本发明将待下发的规则匹配到相应的以关键路径为索引的冲突检测分类结果中去,根据分类规则将待下发的访问控制规则划分到叶子节点中,再进行冲突检测,提高了冲突检测的效率。
- 还没有人留言评论。精彩留言会获得点赞!