[发明专利]一种针对不同网络安全功能的安全规则管理系统及方法

说明书

本发明公开一种针对不同网络安全功能的安全规则管理系统，该系统包括安全规则管理模块，用于网络管理员使用与功能无关的规则描述语言进行可视化安全规则配置，然后通过安全控制器自动翻译成特定安全功能对应的安全配置信息，分离安全规则的配置过程与实际部署过程，从而实现不同网络安全功能的安全规则统一配置；以及多个安全功能节点，基于所述的安全配置信息解析安全规则并写入对应安全功能实例的配置文件，使安全规则生效。本发明进一步公开了一种针对不同网络安全功能的安全规则管理方法。

技术领域

本发明涉及网络安全规则管理领域，更具体地，涉及一种针对不同网络安全功能的安全规则管理系统及方法。

背景技术

随着互联网的高速发展与普及，网络用户对于安全服务的需求愈加灵活与多样。而传统网络安全服务静态僵化的部署方式，已无法适应动态可变的安全需求。提出软件定义网络(SDN，Software-Defined Networking)，实现网络功能可编程，以满足动态可变的用户需求，同时，得益于虚拟化技术的发展，提出网络功能虚拟化(NFV，Network FunctionsVirtualization)，将不同网络功能组件虚拟化，提高资源利用率的同时，也便于网络资源的灵活调度。因此，基于软件定义网络和网络功能虚拟化技术，提出虚拟化的按需安全服务组合架构，将网络用户所需的安全功能有序、动态组合，令多种安全功能协同为网络用户提供安全保障。

为实现面向用户需求的安全服务组合，需要同时考虑安全功能的排列方式与安全规则的协同方式。然而，现有网络安全服务协作研究大多集中于安全功能的排列顺序与网络资源分配之间的权衡关系，并未讨论安全规则协同对实际安全效果的影响。事实上，安全规则的错配一直是网络管理亟待解决的问题。例如，在传统防火墙规则配置过程中，由于规则配置方式的复杂性和规则条目的数量繁多，导致网络管理员难以避免较高的错配概率。Ehab Al-Shaer等人研究发现，即使专业的网络管理员，仍然会出现10％以上的错配条目，因而在实际的策略配置过程中，往往需要浪费大量的人力、物力进行错误排查。此外，针对当今用户灵活多变的安全服务需求，网络管理员需要进行更加动态且支持多样化功能的安全规则配置，仍采用传统安全规则配置方式势必引发更加严重的错配问题，无法满足用户的安全需求。

近年来，学术界和工业界已意识到安全规则配置问题对网络安全的重要影响，其中最具代表性的研究是国际互联网工程任务组中(IETF，The Internet Engineering TaskForce)的网络安全功能接口(I2NSF,Interface to Network Security Functions)工作组提出的安全功能接口框架。该框架首次提出了统一不同厂商生产的安全设备接口，以降低网络安全管理员对安全设备的维护管理难度，从而提高安全功能的部署效率。然而，迄今为止，尚未见到针对复杂网络环境下，多种不同安全功能的规则进行统一管理的有效实施方案。考虑多种安全规则配置方式的复杂性与现有安全规则配置过程的易错性，解耦安全规则配置过程与具体安全功能的配置方式势在必行。

因此，需要提供一种针对不同网络安全功能的安全规则管理系统及方法，以实现一种相对简单与自动化的安全规则配置流程，降低网络管理员配置安全规则的难度，从而有效减少网络管理员配置安全规则时产生错配的概率。

发明内容

本发明的一个目的在于提供一种针对不同网络安全功能的安全规则管理方法，将网络安全管理员的安全规则配置过程与实际安全规则部署过程解耦，实现多种安全规则的逻辑统一管理。

本发明的另一个目的在于提供一种针对不同网络安全功能的安全规则管理系统，实现网络安全管理员可配置与具体功能无关的安全规则，并通过该系统将规则翻译为特定安全功能可读取的安全配置，从而降低配置难度，提高配置效率与准确性。

为达到上述目的，一方面，本发明的一个实施例提供一种针对不同网络完全功能的安全规则管理方法，包括

一种针对不同网络安全功能的安全规则管理方法，包括