专利名称:可信任主动式策略联动方法
技术领域:
本发明涉及一种基于策略的联动方法,具体地说,是一种可信任主动式联动策略方法。属于信息安全领域。
背景技术:
目前大多大型网络都配有各种安全设备如防火墙、入侵检测、病毒防护等,这些安全产品的开发都是随着人们对网络安全的逐步认识过程中开发出来的,也就是开发安全产品是为了满足当时网络安全的需要。而且当初考虑安全一般也是从单一角度,比如应付病毒就开发防病毒产品,而不是从整个网络系统和网络安全风险来考虑,因而带有片面性。根据“木桶理论”,这种各种不同时期单一角度开发出来的网络安全产品的简单堆彻和线性组合存在一些安全产品的“缝间”安全漏洞,并不能最大程度的实现网络安全。而且这些安全设备的安全功能实现都要依赖一定的安全策略。
联动策略也叫安全设备的协同的策略,安全防护体系由各个模块组成,可以较好地形成资源整合组成网络安全体系,避免了木桶效应的产生。同时,它可以在最大程度上保障用户利益,根据用户需要建设安全的网络系统。当网络改造时,可以通过模块的增减完成安全功能的升级,避免了一体化结构可能造成的功能浪费。经文献检索发现,根据一个系统中的不同安全机制,科学出版社2003年出版的由张世永主编的“网络安全原理与应用”一书,该书第26章413页指出目前有两种策略方式实现联动(1)利用设备之间的互动功能,实现设备之间的直接联动,如防火墙和IDS之间的联动。(2)集中采集各种安全事件,触发策略引擎,匹配执行安全策略规则,实现对网络设备的设置和操控,实现间接联动。对于直接联动,实现功能比较简单,而且联动规则只是针对单个设备指定的,没有综合考虑整个网络的状态,因而实现比较简单,功能有限。对于间接联动,它是一种集中式的管理方式,通过收集网络事件,动态监视网络的安全状况,因而具有一定的宏观调控能力。可是目前入侵监测系统的虚警率和误警率比较高,安全事件的告警信息不可靠,因此策略规则的实施具有一定的风险性。
发明内容
本发明针对以上两种联动存在的问题,提出一种可信任主动式策略联动方法,使其实现对安全事件包括复杂的安全事件的定购和监控,对接收的告警事件进行关联合并,通过贝叶斯网络并结合安全事件的先验和后验概率,评估该告警信息的可信任度,具有较高信任度的安全事件可以触发和执行相应的联动策略规则,进而协调网络设备使网络进入新的安全状态,因此该方法降低了联动的风险。
本发明是通过以下技术方案实现的,本发明方法如下为了实现策略规则的联动,首先通过策略管理器进行策略规则的部署流程进行策略规则部署,部署完毕后,利用事件适配器进行安全事件告警信息的检测,如果有设备的告警信息到达,则事件适配器监测并接收该设备的告警信息,然后进行告警信息的可信任度分析流程得到事件的信任度参数,如果信任度高于事先规定的门限值,则向策略引擎发信息通知,同时将该信息进行封装成一个告警事件保存等待策略引擎的响应,如果接收到了策略引擎的响应,则事件适配器向策略规则定位器传递告警事件;策略规则定位器则根据告警事件的信息查找事件索引表,得到一组与该事件匹配的策略规则信息;规则定位器根据策略当前存储位置信息找到并激活已经部署好了的策略规则,如果策略规则不在内存中,就通知调度器将其从策略库中调入内存;然后策略引擎调用策略规则执行器进根据策略条件和响应适配器进行策略条件匹配和策略响应的执行,实现策略规则的联动。
以下对本发明作进一步的说明,具体内容如下所述的策略引擎,由策略规则定位器、策略规则调度器、策略规则执行器、事件、条件、响应适配器组成。其中策略规则定位器、策略规则调度器、策略规则执行器三个子模块组成了策略引擎的中央控制单元,策略驱动的主要是由它们完成,事件、条件和响应适配器是策略模块与被管理对象之间的接口。
所述的策略库负责策略的存储,除了一部分策略对象被保存在内存之中,其它所有的策略对象都存放在策略仓库。策略仓库可以是关系数据库,但由于策略是静态信息,提高查寻效率的最佳选择是LDAP。
所述的事件适配器是策略模块与被管对象之间的接口。
所述的策略管理器由三部分组成策略编辑器、策略编译器、策略控制器,用于策略规则的定制、编译和部署以及可视化管理。策略规则的部署主要通过策略管理器实现。
本发明方法涉及到了两个具体的流程,即策略规则部署流程和可信任分析流程,具体如下策略规则的部署流程根据用户需求在策略编辑器中编辑策略规则;在策略编译器中首先对新的策略规则进行基于颜色Petri net(CPN)冲突检测(冲突检测过程首先采用CPN表示各种策略规则,然后,计算出该策略规则CPN的关联矩阵和状态方程,根据状态方程可以获得各个库所得状态,如果某个库所出现颜色相反的token,则说明有可能存在冲突,丢弃存在冲突的策略),如果不存在冲突则可确保新的策略规则与已有的策略规则集是一致的。如果策略规则不冲突则策略编译器编译新的策略规则为Java策略对象,然后部署到策略仓库中。
可信任分析工作流程首先要分析该攻击事件的特征,根据这些特征构建该攻击事件的贝叶斯网模型。其次,根据该攻击事件历史数据库得出该攻击事件的各种特征出现的先验概率,通过攻击训练或是攻击历史库计算出该攻击事件的各种特征造成真实攻击的条件概率。最后,根据已经建立的该攻击事件的贝叶斯网模型以及各种特征的先验和条件概率,计算出各种攻击特征的后验概率,后验概率大的攻击特征作为真实攻击原因。如果该安全事件的可信任度大于某个门限,则说明可以相信真的发生了该安全事件,然后把它放入安全事件队列,等待策略引擎处理来触发策略规则,根据策略规则进行对网络设备和资源的控制。
本发明基于贝叶斯网安全事件可信任增强方法,在确认安全事件的可信任度的基础上,只有可信任度大于某一个阀值才能触发相应的联动规则,因此大大的降低了该联动的风险,而且基于CPN的冲突检测确保了策略规则的一致性,也提高了策略联动的准确度。
图1是可信任主动式策略联动方法策略规则部署流程。
图2是可信任主动式策略联动方法工作流程。
具体实施例方式
结合本发明方法的内容提供以下实施例
联动策略引擎布置在一台PC机上,该PC可位于网络的任一位置上,但必须能够使策略管理器通过存在的物理网络如公用数据网访问到并发布联动策略。同时,联动策略引擎必须能够通过存在的物理网络访问到LDAP策略库;策略管理器部署在网络的任一位置上,但必须能够通过存在的物理网络访问到策略引擎。针对用户的策略联动需求构建安全事件的贝叶斯网并依据该贝叶斯网开发安全事件适配器,然后将安全事件适配器布署在联动策略引擎底层。针对不同的安全事件开发相应的条件适配器和相应适配器,然后部署在策略引擎底层。
可信任主动式策略联动方法中策略规则的部署流程如图11、根据用户需求在策略编辑器中编辑策略规则;2、策略编译器编译策略规则,包括基于颜色Petri Net的策略规则冲突检测。
3、发布策略规则到策略仓库中。
可信任主动式策略联动方法工作流程如图21.事件件适配器轮循探测安全事件告警信息。
2.根据该事件的贝叶斯网判断该事件的可信任度。大于用户定制阀值的事件为可信任安全事件。并向策略规则定位器传递;3.策略规则定位器查找事件索引表,得到一组与该事件匹配的策略规则信息;4.规则定位器根据策略当前存储位置信息找到并激活策略规则,如果策略规则不在内存中,就通知调度器将其从策略仓库中调入内存;5.被激活的策略规则被传递给策略规则执行器,策略规则执行器匹配条件,如果策略条件满足则执行策略响应。
本发明提高了策略联动的准确度。
权利要求
1.一种可信任主动式联动策略方法,其特征在于,首先通过策略管理器进行策略规则的部署流程进行策略规则部署,部署完毕后,利用事件适配器进行安全事件告警信息的检测,如果有设备的告警信息到达,则事件适配器监测并接收该设备的告警信息,然后进行告警信息的可信任度分析流程得到事件的信任度参数,如果信任度高于事先规定的门限值,则向策略引擎发信息通知,同时将该信息进行封装成一个告警事件保存等待策略引擎的响应,如果接收到了策略引擎的响应,则事件适配器向策略规则定位器传递告警事件,策略规则定位器则根据告警事件的信息查找事件索引表,得到一组与该事件匹配的策略规则信息,规则定位器根据策略当前存储位置信息找到并激活已经部署好了的策略规则,如果策略规则不在内存中,就通知调度器将其从策略库中调入内存,然后策略引擎调用策略规则执行器进根据策略条件和响应适配器进行策略条件匹配和策略响应的执行,实现策略规则的联动。
2.根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略引擎,由策略规则定位器、策略规则调度器、策略规则执行器、事件、条件、响应适配器组成,其中策略规则定位器、策略规则调度器、策略规则执行器三个子模块组成了策略引擎的中央控制单元,策略驱动的主要是由它们完成,事件、条件和响应适配器是策略模块与被管理对象之间的接口。
3.根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略库负责策略的存储,除了一部分策略对象被保存在内存之中,其它所有的策略对象都存放在策略仓库,策略仓库是关系数据库,由于策略是静态信息,提高查寻效率的最佳选择是LDAP。
4.根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的事件适配器是策略模块与被管对象之间的接口。
5.根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略管理器由三部分组成策略编辑器、策略编译器、策略控制器,用于策略规则的定制、编译和部署以及可视化管理,策略规则的部署主要通过策略管理器实现。
6.根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的策略规则的部署流程具体如下根据用户需求在策略编辑器中编辑策略规则,在策略编译器中首先对新的策略规则进行CPN冲突检测,CPN冲突检测过程首先采用CPN表示各种策略规则,然后,计算出该策略规则CPN的关联矩阵和状态方程,根据状态方程获得各个库所得状态,如果某个库所出现颜色相反的token,则认为有可能存在冲突,丢弃存在冲突的策略,确保策略规则集是一致的,如果策略规则与已有的规则集是一致的,则策略编译器编译新的策略规则为Java策略对象,然后部署到策略仓库中。
7.根据权利要求1所述的可信任主动式联动策略方法,其特征是,所述的可信任分析工作流程具体如下首先分析该攻击事件的特征,根据这些特征构建该攻击事件的贝叶斯网模型,其次,根据该攻击事件历史数据库得出该攻击事件的各种特征出现的先验概率,通过攻击训练或是攻击历史库计算出该攻击事件的各种特征造成真实攻击的条件概率,最后,根据已经建立的该攻击事件的贝叶斯网模型以及各种特征的先验和条件概率,计算出各种攻击特征的后验概率,后验概率大的攻击特征作为真实攻击原因,如果该安全事件的可信任度大于某个门限,则认为真的发生了该安全事件,然后把它放入安全事件队列,等待策略引擎处理来触发策略规则,根据策略规则进行对网络设备和资源的控制。
全文摘要
一种可信任主动式联动策略方法。属于信息安全领域。通过策略管理器进行策略规则的部署流程进行策略规则部署,利用事件适配器进行安全事件告警信息的检测,进行告警信息的可信任度分析流程得到事件的信任度参数,向策略引擎发信息通知,同时等待策略引擎的响应,事件适配器向策略规则定位器传递告警事件,策略规则定位器查找事件索引表,规则定位器找到并激活已经部署好了的策略规则,策略引擎调用策略规则执行器进根据策略条件和响应适配器进行策略条件匹配和策略响应的执行,实现策略规则的联动。本发明通过确认安全事件的可信任度,只有可信任度大于某一个阀值才能触发相应的联动规则,降低了该联动的风险,也提高了策略联动的准确度。
文档编号H04L29/00GK1556613SQ200310109840
公开日2004年12月22日 申请日期2003年12月30日 优先权日2003年12月30日
发明者李建华, 杨树堂, 张少俊, 苏波, 李可 申请人:上海交通大学