[发明专利]面向分布式访问控制策略的配置弱点分析方法和系统

说明书

本发明提供了面向分布式访问控制策略的配置弱点分析方法和系统。本发明通过对分布在不同网络设备上的网络地址服务信息、数据流动策略和访问控制策略信息进行广泛收集的基础上，通过对网络安全目标、网络数据流动拓扑图和访问控制策略进行形式化定义，基于语义形式化定义构建目标网络的网络数据流动拓扑图；利用面向分布式访问控制策略的配置弱点分析方法，发现分布在不同设备上的访问控制策略中存在的配置弱点，从而达到发现网络配置中存在的安全弱点，提升网络安全防护能力的目的。

技术领域

本发明涉及通信网络安全技术领域，具体设计一种基于语义形式化描述的分布式访问控制策略弱点分析方法。

背景技术

随着网络技术和信息化技术的不断发展，网络空间已经成为继“陆海空天”之后的第五大战略空间，网络空间安全已经成为保障国计民生的重要支撑，越来越受到广泛的重视。

随着网络安全防护技术的不断发展，安全访问控制技术做为安全防护的基本保证，被广泛使用在网络上的交换机、路由器、防火墙、负载均衡设备等不同的网络设备或安全设备上，这些设备可以以VLAN隔离、路由隔离、基于IP地址的访问控制策略、基于URL的访问控制策略等多种形式，来实现对网络的安全隔离，共同维护网络整体的安全目标。

日常的网络安全管理工作，实际上是一项十分复杂繁琐的工作，其中一项重要的工作，就是根据网络的整体安全目标和整体安全目标，生成于分布在各个安全设备上的访问控制策略，在传统方式中，这些访问控制策略一般独立生成，相互之间缺乏协同，致使由于安全策略制定不合理，而使得网络安全整体安全目标无法得到保障。

发明内容

本发明旨在针对目前分布在各个安全设备上的访问控制策略一般独立生成，相互之间缺乏协同，致使由于安全策略制定不合理，而使得网络安全整体安全目标无法得到保障的技术问题，提供一种

面向分布式访问控制策略的配置弱点分析方法和系统。

本发明采用以下技术方案。

一方面，本发明提供面向分布式访问控制策略的配置弱点分析方法，包括以下步骤：

从底层的网络设备上获得到网络配置；对获得到的网络设备配置进行解析，得到网络地址服务信息、数据流动策略和访问控制策略信息，并对其进行形式化描述，包括对IP地址、IP地址区间、端口号、端口号区间、协议以及选项的形式化定义、对区间的运算定义、访问控制规则的形式化定义以及网络安全目标形式化定义；

基于语义形式化定义构建目标网络的网络数据流动拓扑图；

利用分布式访问控制策略弱点分析算法，得到可能的安全配置弱点。

进一步地，所述IP地址区间被定义为二元组ip₁,ip₂，其中ip₁,ip₂∈IPADDR且ip₁ip₂，IPADDR为IP地址的集合，在IP地址集合IPADDR上定义五个二元关系“”、“＝”、“”、“≥”和“≤”，分别表示两个IP地址的大小关系，如果一个以点分十进制表示的IP地址ip₁，，在去掉“.”后形成的数字大于另一个以点分十进制表示的IP地址ip₂在去掉“.”后形成的数字，则有ip₁ip₂，如果两个数字相等，则认为ip₁＝ip₂，如果前者小于后者，则有ip₁ip₂。在端口号集合PORT上，同样定义五个二元关系“”、“＝”、“”、“≥”和“≤”，分别表示两个端口号对应整数的大小关系，端口号区间被定义为二元组(p₁,p₂)，其中p₁,p₂∈PORT且且p₁≤p₂。