開放園區(qū)網(wǎng)可信運(yùn)行保障體系關(guān)鍵技術(shù)研究.pdf

1、開放園區(qū)網(wǎng)可信運(yùn)行保障體系是基于可信網(wǎng)絡(luò)的思想提出的，是對可信網(wǎng)絡(luò)接入的擴(kuò)展，目標(biāo)是通過對園區(qū)網(wǎng)中已有的可網(wǎng)管的聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)安全產(chǎn)品以及網(wǎng)絡(luò)管理子系統(tǒng)和網(wǎng)絡(luò)安全子系統(tǒng)進(jìn)行有效地整合和管理，實(shí)現(xiàn)在整個園區(qū)網(wǎng)的范圍內(nèi)對異常網(wǎng)絡(luò)事件進(jìn)行快速地判定和響應(yīng)，從而全面提高園區(qū)網(wǎng)的可用性和可控性。 園區(qū)網(wǎng)可信運(yùn)行保障體系需要突破的三個關(guān)鍵技術(shù)是：網(wǎng)絡(luò)狀態(tài)感知和異常行為挖掘、異常定位和威脅程度評估、自動控制策略響應(yīng)。為保證實(shí)用性，這三個關(guān)鍵技

2、術(shù)的解決要滿足下列條件：其一是必須能夠提供對網(wǎng)絡(luò)的持續(xù)感知和控制能力；其二是對網(wǎng)絡(luò)狀態(tài)的感知立足于挖掘從當(dāng)前聯(lián)網(wǎng)設(shè)備上收集到的運(yùn)行數(shù)據(jù)；其三是在對安全響應(yīng)問題上必須立足于當(dāng)前聯(lián)網(wǎng)設(shè)備的控制能力；其四是整個過程可以自動進(jìn)行，也可以人工參與。 論文首先分析了園區(qū)網(wǎng)可信運(yùn)行保障體系面臨的各種技術(shù)問題和管理問題，提出了可信運(yùn)行保障體系，給出了該體系的組成和相關(guān)的功能要求。基于對目前工業(yè)界和學(xué)術(shù)界研究成果的分析，提出了通過分析網(wǎng)絡(luò)流數(shù)據(jù)來

3、感知網(wǎng)絡(luò)運(yùn)行狀態(tài)的思路——基于網(wǎng)絡(luò)流行為來分析和診斷異常網(wǎng)絡(luò)流。將網(wǎng)絡(luò)流使用的協(xié)議作為網(wǎng)絡(luò)流行為模式研究和分類的主要因素之一，歸納出網(wǎng)絡(luò)通信的十四種網(wǎng)絡(luò)流行為模式，并引入了組合特征值分布的概念(帶寬分布、流數(shù)量分布、包數(shù)量分布)來對網(wǎng)絡(luò)流行為進(jìn)行定性和量化描述。一方面突破了以往工作中主要研究網(wǎng)絡(luò)流特征的不確定性，改而研究網(wǎng)絡(luò)流特征的確定性；另一方面，引入的三個組合特征值分布，將網(wǎng)絡(luò)流的容量特性和概率分布特性結(jié)合起來，使研究結(jié)果不僅適用于

4、檢測容量異常的網(wǎng)絡(luò)流行為，還適用于容量特性正常但概率分布異常的網(wǎng)絡(luò)流行為，擴(kuò)大了檢測范圍，提高了適應(yīng)性。 異常威脅評估是可信運(yùn)行保障體系的一個關(guān)鍵環(huán)節(jié)，既要考慮園區(qū)網(wǎng)動態(tài)運(yùn)行的特點(diǎn)和當(dāng)前的狀態(tài)，還要考慮實(shí)際可操作性。根據(jù)園區(qū)網(wǎng)網(wǎng)絡(luò)管理經(jīng)驗(yàn)，網(wǎng)絡(luò)帶寬擁塞和網(wǎng)絡(luò)設(shè)備資源耗盡是造成網(wǎng)絡(luò)不可用的主要原因，確定了五大類威脅評估因素：網(wǎng)絡(luò)流的帶寬分布、網(wǎng)絡(luò)流的流數(shù)量分布、網(wǎng)絡(luò)流的包數(shù)量分布、關(guān)聯(lián)網(wǎng)絡(luò)設(shè)備的CPU利用率和內(nèi)存利用率。構(gòu)造了一個

5、貝葉斯網(wǎng)絡(luò)模型來評估異常行為網(wǎng)絡(luò)流對網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)設(shè)備資源帶來的影響。貝葉斯邏輯在數(shù)學(xué)上的可靠性使該模型成為一種描述人類思維推理過程的標(biāo)準(zhǔn)模型，同時(shí)貝葉斯概率的特點(diǎn)不僅使評估模型能夠反映評估的連續(xù)性和累積性這兩個重要特征，還能夠在評估過程中將網(wǎng)管人員的推理模式定量地反映出來，能夠比較準(zhǔn)確地反映威脅源的真實(shí)威脅等級。自動控制策略響應(yīng)要解決的幾個主要問題是：根據(jù)威脅評估結(jié)果自動生成控制策略對異常網(wǎng)絡(luò)流行為進(jìn)行控制；將網(wǎng)絡(luò)控制策略自動地部署到

6、具體的網(wǎng)絡(luò)設(shè)備上執(zhí)行；系統(tǒng)自動生成的策略必須能夠在各科，不同的網(wǎng)絡(luò)設(shè)備上執(zhí)行。本文設(shè)計(jì)了一種不依賴于網(wǎng)絡(luò)設(shè)備，但又接近于網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)的統(tǒng)一策略描述語言，同時(shí)根據(jù)網(wǎng)絡(luò)設(shè)備的控制能力設(shè)計(jì)了三大類控制策略規(guī)則：限流策略、ACL阻斷和關(guān)閉端口。統(tǒng)一策略描述語言包含網(wǎng)絡(luò)設(shè)備訪問控制所需的各種數(shù)據(jù)，能夠方便地轉(zhuǎn)化成不同廠商、不同設(shè)備的訪問控制列表。由自動策略生成機(jī)制依據(jù)威脅等級和策略執(zhí)行點(diǎn)設(shè)備的具體控制能力生成統(tǒng)一格式描述的策略，在策略的具體部署過

7、程中，由策略部署機(jī)制在部署之前將統(tǒng)一描述的策略規(guī)則轉(zhuǎn)換成具體設(shè)備的策略配置命令。策略的格式轉(zhuǎn)換采用XML技術(shù)來實(shí)現(xiàn)。將統(tǒng)一描述的策略規(guī)則和具體設(shè)備的策略命令都用XML文件來描述，并事先用XML文檔描述園區(qū)網(wǎng)上各種聯(lián)網(wǎng)設(shè)備的各類策略配置命令格式與統(tǒng)一策略規(guī)則之間的對應(yīng)關(guān)系，利用XSLT技術(shù)就可將統(tǒng)一描述的策略規(guī)則轉(zhuǎn)換成設(shè)備具體的配置命令。增加新的設(shè)備，只需要編寫新的XML文檔，即可實(shí)現(xiàn)策略規(guī)則到策略配置命令的轉(zhuǎn)換。本文提出的方法完全解決了