[发明专利]一种网络安全规则冲突分析与简化方法

说明书

技术领域

本发明涉及网络安全领域，具体地，涉及一种网络安全规则冲突分析与简化方法。

背景技术

随着网络技术的普及，网络安全越来越受到各国的重视，尤其在广泛应用自动化设备的工业领域，工业控制网络安全已经提高到战略高度。网络设备之间通过一个或多个网络协议进行数据传输，如IEC104、Modbus、Profinet、MMS等。安全规则是一种重要的保护网络安全的方式。通过在安全保护设备上部署和实施安全规则，可以有效强化不同设备的权限、阻止非法操作、防止信息泄漏。

安全规则由一系列规则项组成，每一个规则项包括属性和应对措施，其中属性包括：

源地址，其用来描述数据包的来源，其可以是某个单个设备的地址(IP地址，MAC地址，主机名称等等)，也可以是一系列设备地址的集合(192.168.2.×，[10.0.10.1,10.2.3.4])；

目标地址，类似于源地址，目标地址用来描述数据包的目的地；以及

规则细节，即规则的详细信息，这些信息详尽的描述了数据包的特征，例如【协议＝Modbus，功能码＝3】。

所述应对措施是当数据包信息和源地址、目标地址、规则细节相匹配时，应该实行的应对措施。这类措施包括：阻止该数据包通过、允许该数据包通过、允许但是向用户报警等等。

安全保护设备依次逐条将安全规则项与所检查的数据包进行匹配。一旦发现正确匹配，则按照规则项中的应对措施处理该数据包。所有次序在匹配项以后的安全规则项则会被忽略。

如果一个数据包可以匹配不止一个规则项，那么规则项之间就会存在冲突。值得注意的是，规则项之间的冲突并不会影响规则的实施，由于规则项与数据包是有序匹配的，一个数据包最终只会和次序靠前的规则项相匹配。规则项之间的冲突对用户安全规则管理带来许多负面影响，在拥有很多安全规则的系统中，不必要的规则项会增加安全保护设备的负载，也使规则之间的逻辑关系更加复杂并难以管理。

实际应用过程中，规则项之间的冲突不可避免。例如许多防火墙的规则设计中都定义的默认应对措施。当数据包和所有规则项都不匹配时，安全系统使用默认的设置来处理该数据包。事实上，这种默认的规则和所有的规则项都有冲突。

发明内容

为了克服现有技术的缺陷与不足，本发明的目的是提供一种网络安全规则冲突分析与简化方法，基于安全规则的针对设备和规则的详细内容，分析规则项之间的关系，对规则冲突提供报警，同时对无用的规则项自动删除。本发明的网络安全规则冲突分析与简化方法的具体步骤如下：

步骤a：定义安全规则项之间相同属性的逻辑关系；

步骤b：根据安全规则项之间各属性的逻辑关系确定安全规则项属性的总体逻辑关系；

步骤c：根据应对措施定义规则项之间的冲突关系；

步骤d：简化规则，不改变原始规则执行效果的基础上，除去无效的安全规则项；

步骤e：对规则冲突提供报警。

优选地，步骤a中，所述安全规则项之间各属性的逻辑关系为：

等同，被比较的规则属性完全相同；

包含，被比较的规则属性前者严格包含后者，同时不是所述的等同关系；

被包含，被比较的规则属性后者严格包含前者，同时不是所述的等同关系；

相交，被比较的规则属性之间交集不为空，同时不是所述的等同、包含或被包含关系；

独立，被比较的规则属性之间没有交集。

优选地，步骤b中，所述定义安全规则项属性的总体逻辑关系的步骤如下：

1)两规则项的所有属性之间的逻辑关系均为等同，则两规则项属性的整体逻辑关系为等同；

2)如果不满足上述1)所述的条件，并且两规则项之间的某个属性的逻辑关系为独立，则两规则项属性的整体逻辑关系为独立；

3)如果不满足上述1)、2)所述的条件，并且两规则项的所有属性之间的逻辑关系为等同或包含，则两规则项属性的整体逻辑关系为包含；

4)如果不满足上述1)、2)和3)所述的条件，并且两规则项的所有属性之间的逻辑关系为等同或被包含，则两规则项属性的整体逻辑关系为被包含；

5)如果不满足上述任一条件，则两规则项属性的整体逻辑关系为相交。

优选地，步骤c中，两个规则项之间的冲突方式取决于应对措施的比较，所述冲突方式包括以下两种：

重复，指两个规则项的应对措施相同；

矛盾，指两个规则项的应对措施不同。