基于時(shí)間的多層防火墻訪問(wèn)控制列表策略審計(jì)方案

王旭東，陳清萍，李 文，張信明

(1.國(guó)家電網(wǎng) 安徽省電力公司，合肥 230061； 2.中國(guó)科學(xué)技術(shù)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，合肥 230027)

(*通信作者電子郵箱xinming@ustc.edu.cn)

基于時(shí)間的多層防火墻訪問(wèn)控制列表策略審計(jì)方案

王旭東1，陳清萍1，李 文2，張信明2*

(1.國(guó)家電網(wǎng) 安徽省電力公司，合肥 230061； 2.中國(guó)科學(xué)技術(shù)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，合肥 230027)

(*通信作者電子郵箱xinming@ustc.edu.cn)

針對(duì)多層防火墻中的訪問(wèn)控制列表(ACL)策略審計(jì)問(wèn)題，基于時(shí)間分析了單個(gè)防火墻間及多層防火墻間的策略異常，并根據(jù)防火墻之間的拓?fù)浣Y(jié)構(gòu)提出了一種基于樹結(jié)構(gòu)的回溯異常檢測(cè)算法(ADBA)。首先，解析各個(gè)防火墻ACL策略，統(tǒng)一數(shù)據(jù)格式到數(shù)據(jù)庫(kù)；然后，根據(jù)防火墻間的拓?fù)浣錉罱Y(jié)構(gòu)并檢測(cè)單個(gè)防火墻內(nèi)的策略異常；最后，ADBA利用數(shù)據(jù)庫(kù)中的數(shù)據(jù)與樹結(jié)構(gòu)進(jìn)行異常檢測(cè)并記錄異常策略。實(shí)驗(yàn)結(jié)果表明，ADBA與基于半同構(gòu)標(biāo)記防火墻決策圖(SMFDD)算法相比，ADBA的檢測(cè)時(shí)間比SMFDD算法減少了28.01%，同時(shí)參考時(shí)間因素相比SMFDD算法，ADBA能夠減少異常檢測(cè)的誤判。故ADBA能有效實(shí)施于多層防火墻的ACL策略審計(jì)，提高異常檢測(cè)的精確性并減少異常檢測(cè)時(shí)間。

多層防火墻；防火墻規(guī)則；異常檢測(cè)；訪問(wèn)控制列表審計(jì)

0 引言

防火墻作為企業(yè)的網(wǎng)絡(luò)基石，它是連接著內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，其中最重要的管理任務(wù)是配置正確的防火墻和安全規(guī)則[1]。然而由于防火墻的訪問(wèn)控制列表 (Access Control List, ACL)策略可能包含大量的規(guī)則，規(guī)則間可能存在沖突導(dǎo)致規(guī)則的順序敏感性，即對(duì)同一個(gè)數(shù)據(jù)包相同的規(guī)則不同的順序可能產(chǎn)生不同的結(jié)果，以及防火墻的策略可能由不同的管理員在不同的時(shí)間配置的，這大大增加了防火墻出現(xiàn)問(wèn)題的概率。隨著防火墻規(guī)則的增加，配置錯(cuò)誤的數(shù)量也隨之急劇增加[2]，因此為了網(wǎng)絡(luò)系統(tǒng)的安全，對(duì)防火墻的ACL策略配置的審計(jì)至關(guān)重要。

為了檢測(cè)防火墻的策略規(guī)則沖突，張昭理等[3]提出一種防火墻沖突檢測(cè)算法，首先對(duì)防火墻規(guī)則間的關(guān)系進(jìn)行建模分類，順序抽取規(guī)則，將該規(guī)則與其前面的規(guī)則進(jìn)行一一比較，確定規(guī)則間是否存在沖突。殷奕等[4]提出了防火墻規(guī)則間包含關(guān)系的解析方法，通過(guò)不考慮規(guī)則的動(dòng)作域簡(jiǎn)化分析規(guī)則間的關(guān)系，能夠快速有效地分析出規(guī)則間的關(guān)系。唐曄[5]提出基于規(guī)則分解的映射的防火墻匹配算法，根據(jù)規(guī)則分解映射和標(biāo)準(zhǔn)維相關(guān)的規(guī)則，建立一棵二叉決策樹，該算法支持范圍形式表示的規(guī)則，提升了時(shí)空性能。施榮華等[6]在傳統(tǒng)的策略樹的審計(jì)方案中對(duì)任意兩個(gè)規(guī)則的不同域進(jìn)行策略樹比較，若策略樹路徑存在相交部分，則可能存在異常。盧云龍等[7]提出改進(jìn)的策略樹審計(jì)方案，首先建立包含正常規(guī)則的策略樹，然后將防火墻的每條配置與該決策樹進(jìn)行比較產(chǎn)生規(guī)則分類，對(duì)同類中的規(guī)則進(jìn)行沖突檢測(cè)，提升了審計(jì)效率。Liu[8]提出對(duì)防火墻規(guī)則建立防火墻策略決策圖(Firewall Decision Diagram， FDD)，消除防火墻間的異常，并用給定的屬性規(guī)則檢測(cè)該防火墻是否滿足要求。Karoui等[9]提出使用3個(gè)標(biāo)準(zhǔn)來(lái)評(píng)估和分類檢測(cè)到的異常，即定量評(píng)價(jià)、語(yǔ)義評(píng)價(jià)和多異常評(píng)價(jià)以達(dá)到異常的準(zhǔn)確分類。Liao等[10]提出直接基于有向樹的方法來(lái)檢測(cè)防火墻中的規(guī)則異常，并根據(jù)有向樹跟蹤異常來(lái)自哪個(gè)防火墻。

上述方案均是考慮單個(gè)防火墻上的規(guī)則間的關(guān)系和沖突檢測(cè)，但在實(shí)際應(yīng)用中，企業(yè)可能部署多個(gè)防火墻將網(wǎng)絡(luò)劃分為不同的子網(wǎng)本文稱為多層防火墻，這些子網(wǎng)的訪問(wèn)權(quán)限可能有所不同，防火墻之間的規(guī)則可能存在異常情況，因此有必要對(duì)多層防火墻的ACL配置策略進(jìn)行審計(jì)。Alseaer等[11]提出在分布式防火墻中異常策略檢測(cè)方法(Inter-Firewall Anomaly Discovery Algorithm， IFADA)，通過(guò)異常發(fā)現(xiàn)算法狀態(tài)轉(zhuǎn)換圖發(fā)現(xiàn)異常，將每條路徑上的所有防火墻兩兩之間的規(guī)則進(jìn)行對(duì)比并記錄異常，但對(duì)于不同的路徑可能包含相同的一對(duì)防火墻，從而產(chǎn)生冗余的對(duì)比。張麗[12]提出變體二叉樹模型，實(shí)現(xiàn)分布式防火墻異常規(guī)則的檢測(cè)，但無(wú)法精確分析具體規(guī)則間的異常。吳軍等[13]提出基于半同構(gòu)標(biāo)記防火墻決策圖(Semi-isomorphic Marked Firewall Decision Diagram， SMFDD)實(shí)現(xiàn)分布式防火墻規(guī)則異常檢測(cè)及優(yōu)化，有效實(shí)現(xiàn)2個(gè)防火墻之間的規(guī)則異常的檢測(cè)，對(duì)于給定的路徑兩兩比較防火墻間的異常；在有多條路徑的情況下，防火墻間的對(duì)比可能發(fā)生多次，造成一定冗余對(duì)比次數(shù)，同時(shí)也未考慮時(shí)間因素。Thanasegaran等[14]提出基于時(shí)間的單個(gè)防火墻內(nèi)規(guī)則的沖突檢測(cè)，將時(shí)間作為一個(gè)條件比較2條規(guī)則是否在某個(gè)相同的時(shí)間沖突，將規(guī)則的時(shí)間域依據(jù)星期幾分為不同的時(shí)間段，一定程度上減少了規(guī)則的比較次數(shù)，但仍有不同的規(guī)則跨越多個(gè)相同的時(shí)間段，帶來(lái)一定的冗余對(duì)比次數(shù)。

現(xiàn)有的防火墻審計(jì)方案主要考慮防火墻內(nèi)的策略異?；蚍阑饓﹂g的策略異常，并只在單個(gè)防火墻沖突檢測(cè)中考慮了時(shí)間因素，同時(shí)忽略了防火墻之間的內(nèi)在拓?fù)渎?lián)系，為此本文提出了基于樹的異常檢測(cè)回溯算法(Anomaly Detection based on Backtracking Algorithm, ADBA),旨在解決基于時(shí)間的多層防火墻的ACL審計(jì)問(wèn)題。

1 防火墻規(guī)則策略及其關(guān)系

1.1 防火墻過(guò)濾規(guī)則的結(jié)構(gòu)

防火墻ACL策略是由過(guò)濾規(guī)則組成的順序鏈表，對(duì)經(jīng)過(guò)的每個(gè)數(shù)據(jù)包依次與鏈表中過(guò)濾規(guī)則的順序匹配決定是否讓其通過(guò)防火墻。每條規(guī)則包含以下字段：序號(hào)(index)、協(xié)議類型(protocol type)、源IP地址(source IP address)、源端口(source port)、目的IP地址(destination IP address)、目的端口(source port)、有效時(shí)間(time)、動(dòng)作(action)。

本文中采用防火墻規(guī)則是一個(gè)八元組Rule={index，protocol，s_ip，s_port，d_ip，d_port，time，action}：

1)index字段表示該規(guī)則在防火墻規(guī)則集的位置；

2)protocol字段表示該數(shù)據(jù)包的傳輸層協(xié)議類型；

3)s_ip和d_ip可以是具體的地址如(10.24.25.8)或是一段IP地址如(10.24.25.*)；

4)s_port和d_port可以是某個(gè)特定的端口號(hào)，也可以是任意(any)端口；

5)time可以為某天或一段時(shí)間，同時(shí)能具體到一天的某個(gè)時(shí)段如(MONDAY，6：00～18:00)；

6)action的值是accept(允許數(shù)據(jù)包通過(guò))或者deny(拒絕數(shù)據(jù)包通過(guò))。

防火墻過(guò)濾規(guī)則示例如表1所示。其中:“*”表示有效的任意IP地址，“—”表示所有任意的時(shí)間。

表1 防火墻過(guò)濾規(guī)則示例

1.2 規(guī)則間關(guān)系及類別

給定任意2個(gè)規(guī)則Rx和Ry，其域間關(guān)系如下所示。

1)index域：<(小于)、>(大于)，如Rx[index]

2)protocol域以及action域：=(相等)、≠(不相等)，如Rx[protocol]

3)s_ip，s_port，d_ip，d_port各個(gè)域的關(guān)系可分為：=(相等)、≠(不相等)、?(包含于，前者是后者的真子集)、?(包含，后者是前者的真子集)，如Rx[s_ip]=Ry[s_ip]，Rx[s_port]≠Ry[s_port],Rx[d_ip]?Ry[d_ip]，Rx[d_port]?Ry[d_port]。

4)time域：=(相等)、≠(不相等)、?(包含于，前者是后者的真子集)、?(包含，后者是前者的真子集)、∩≠空集(前者與后者相交且不為空)。

根據(jù)規(guī)則間的關(guān)系主要考慮{protocol，s_ip，s_port，d_ip，d_port，time}這6個(gè)域值間的關(guān)系，可將規(guī)則關(guān)系分為以下4個(gè)類別[3]：

1)無(wú)關(guān)規(guī)則。規(guī)則Rx、Ry無(wú)關(guān)時(shí)當(dāng)且僅當(dāng)至少一個(gè)域值不相等或不相交。

2)相等規(guī)則。規(guī)則Rx、Ry相等時(shí)當(dāng)且僅當(dāng)每個(gè)域值均相等。

3)包含規(guī)則。規(guī)則Rx、Ry相交時(shí)是除協(xié)議域值相等外，其他域值均為包含(或包含于)關(guān)系。

4)關(guān)聯(lián)規(guī)則。規(guī)則Rx、Ry關(guān)聯(lián)時(shí)其協(xié)議域值相等，時(shí)間域值相交，其他域值是包含或包含于的關(guān)系。

1.3 單個(gè)防火墻規(guī)則異常及缺失

規(guī)則異常通常是由于規(guī)則間存在重疊部分，導(dǎo)致防火墻出現(xiàn)漏洞，同時(shí)由于管理員在配置規(guī)則時(shí)可能存在缺失的情況，導(dǎo)致防火墻不能有效對(duì)某些流量進(jìn)行控制產(chǎn)生巨大的危害。下面給出各類異常定義[7]。

1)屏蔽異常。

在防火墻的訪問(wèn)控制列表中，如果規(guī)則Rx在規(guī)則Ry之前，且Ry所能匹配的所有的數(shù)據(jù)包都能被Rx匹配，則規(guī)則Ry將會(huì)失效。如Rx在Ry之前，Rx[action]≠Ry[action]，但Rx、Ry的其他域相等，則規(guī)則Ry被規(guī)則Rx屏蔽。

2)交叉異常。

如果規(guī)則Rx與Ry動(dòng)作域不同，但其余的域相交，當(dāng)2個(gè)規(guī)則的順序不同時(shí)，可能產(chǎn)生相反的結(jié)果。則稱規(guī)則Rx與Ry交叉異常。

3)冗余異常。

如果規(guī)則Rx所匹配的包也能被Ry所匹配，且規(guī)則Rx與Ry采取相同的動(dòng)作，那么將去掉Ry也不會(huì)對(duì)防火墻的安全產(chǎn)生影響，則規(guī)則Ry是冗余的規(guī)則。

4)配置缺失及其他異常。

在配置過(guò)程中，可能存在管理員配置錯(cuò)誤，一個(gè)本應(yīng)是小范圍的規(guī)則配置了一個(gè)大的范圍(端口為80允許通過(guò)配置成了所有端口允許通過(guò))，或?qū)δ硹l規(guī)則未配置的情況。

2 多層防火墻策略審計(jì)系統(tǒng)的設(shè)計(jì)

2.1 多層防火墻策略配置異常

多層防火墻的策略配置異?？煞譃?種：?jiǎn)蝹€(gè)防火墻的策略配置異常及防火墻策略間的配置異常，因此在設(shè)計(jì)多層防火墻策略審計(jì)時(shí)，本文不僅要對(duì)單個(gè)防火墻進(jìn)行配置異常的檢測(cè)，也要進(jìn)行防火墻間策略異常的檢測(cè)。

對(duì)單個(gè)防火墻策略檢測(cè)有如前面所述的各種異常，在多層防火墻網(wǎng)絡(luò)中，一個(gè)數(shù)據(jù)包可能要經(jīng)過(guò)多個(gè)防火墻才能到達(dá)目的地，本文把接近源地址的稱為上游防火墻，記為Fu；把接近目的地址的防火墻稱為下游防火墻，記為Fd；其中的規(guī)則分別記為Ru、Rd。以往的分布式防火墻并未考慮防火墻之間拓?fù)涞穆?lián)系，總是根據(jù)需要建立多個(gè)防火墻間的異常檢測(cè)，但現(xiàn)實(shí)公司中的防火墻結(jié)構(gòu)有其獨(dú)特的多層結(jié)構(gòu)，如一個(gè)總公司下面有多個(gè)子公司，多層防火墻網(wǎng)絡(luò)如圖1所示。文獻(xiàn)[11]中提出2種異常情況如下：當(dāng)一個(gè)數(shù)據(jù)包被上游防火墻允許通過(guò)而被下游拒絕時(shí)，非法的數(shù)據(jù)包可能到達(dá)內(nèi)部網(wǎng)絡(luò)；當(dāng)一個(gè)數(shù)據(jù)包被上游防火墻拒絕而被下游防火墻允許通過(guò)時(shí)，合法的數(shù)據(jù)包可能被錯(cuò)誤地屏蔽掉。但在多層防火墻中也存在如下的情況：下游防火墻拒絕的數(shù)據(jù)包已被上游防火墻拒絕時(shí)，會(huì)產(chǎn)生冗余的配置；對(duì)于給定的策略，多層防火墻不能實(shí)現(xiàn)該策略，假如允許10.0.1.0/8發(fā)出的數(shù)據(jù)包訪問(wèn)10.0.0.0/12網(wǎng)段，但是檢測(cè)時(shí)數(shù)據(jù)包未能到達(dá)目的節(jié)點(diǎn)，會(huì)導(dǎo)致預(yù)定的策略不能實(shí)現(xiàn)。下面給出多層防火墻間的異常定義：

1)上游防火墻Fu允許的數(shù)據(jù)包被下游的防火墻Fd丟棄，則出現(xiàn)非法流入異常。

2)上游防火墻Fu拒絕的數(shù)據(jù)包被下游的防火墻Fd接受，則出現(xiàn)屏蔽錯(cuò)誤。

3)下行防火墻Fd拒絕了已經(jīng)被上行防火墻Fu拒絕的數(shù)據(jù)包，此時(shí)存在冗余異常。

4)如果某個(gè)數(shù)據(jù)包本該能夠通過(guò)防火墻Fu和Fd，但由于配置缺失導(dǎo)致防火墻執(zhí)行了默認(rèn)的拒絕動(dòng)作，導(dǎo)致數(shù)據(jù)包不能通過(guò)，此時(shí)存在缺失異常。

圖1 多層防火墻網(wǎng)絡(luò)示意圖

由于以往的分布式防火墻策略沖突檢測(cè)未考慮時(shí)間因素，當(dāng)它們用在基于時(shí)間的防火墻策略中時(shí)可能會(huì)將一個(gè)非沖突的策略標(biāo)記為沖突的策略，如對(duì)同一個(gè)數(shù)據(jù)包，上游防火墻拒絕它在8:00～18:00通過(guò)，而下游的防火墻拒絕它在0:00～6:00通過(guò)，不考慮時(shí)間因素，傳統(tǒng)的策略沖突檢測(cè)會(huì)將其判定為冗余異常，但它們是在不同的時(shí)間段產(chǎn)生效果，所以這是一種誤判。因此在多層防火墻策略配置沖突檢測(cè)時(shí)時(shí)間也應(yīng)當(dāng)作為一個(gè)參考因素。在文獻(xiàn)[13]中，由于將規(guī)則所處的時(shí)間域分為不同的時(shí)間段(周一至周日)，同一規(guī)則可能跨越不同的時(shí)間段，如規(guī)則Rx、Ry的時(shí)間域均為周一、周二，Rz的時(shí)間域?yàn)橹芤唬敲匆?guī)則Rx、Ry將分別在周一與周二比較一次，因?yàn)橹芤坏囊?guī)則為Rx、Ry、Rz，不同于周二的Rx、Ry，因此Rx、Ry的比較次數(shù)增加了，本文直接進(jìn)行時(shí)間段的比較，若2條規(guī)則的時(shí)間段相交則比較2條規(guī)則是否有異常，否則不比較。

本文利用一種只有一個(gè)根的樹結(jié)構(gòu)來(lái)表示防火墻規(guī)則的安全策略，稱之為安全策略樹，其中根節(jié)點(diǎn)為表示規(guī)則中的協(xié)議域，葉子節(jié)點(diǎn)表示為規(guī)則中的動(dòng)作域，其余中間節(jié)點(diǎn)依次表示規(guī)則中的源IP地址、源端口號(hào)、目的IP地址、目標(biāo)端口號(hào)以及時(shí)間域。節(jié)點(diǎn)的分支表示該域可能的取值，如圖2所示，協(xié)議為TCP的源IP地址為10.0.63.0的目的端口包含80端口、21端口、23端口的數(shù)據(jù)流可以通過(guò)，圖中*號(hào)表示有效的任意端口、IP地址和時(shí)間段。依據(jù)安全策略樹檢測(cè)一個(gè)規(guī)則是否與安全策略樹上的規(guī)則產(chǎn)生異常。

圖2 安全策略樹

2.2 數(shù)據(jù)庫(kù)解析

解析數(shù)據(jù)庫(kù)主要通過(guò)對(duì)一個(gè)企業(yè)的各個(gè)防火墻解析得到防火墻ACL配置信息，并將這些防火墻的配置信息依據(jù)它們之間的依賴關(guān)系構(gòu)成樹狀結(jié)構(gòu)的數(shù)據(jù)表。數(shù)據(jù)表中包含的內(nèi)容為：表主鍵、設(shè)備標(biāo)識(shí)符、直接下層設(shè)備、ACL配置信息。

表主鍵為t_id，它是一個(gè)自增長(zhǎng)的整型值，無(wú)實(shí)際意義，標(biāo)記為每條記錄的ID。

設(shè)備標(biāo)識(shí)符為dev_id，它表示為一個(gè)防火墻設(shè)備的名稱。

直接下層設(shè)備為low_layer_dev，它的值是設(shè)備標(biāo)識(shí)符，一個(gè)設(shè)備可能包含多個(gè)直接下層設(shè)備。

ACL配置信息為cfg_acl，它指向一個(gè)ACL策略表，表中包含了該防火墻的ACL配置信息。其格式為如前所述的八元組{index，protocol，s_ip，s_port，d_ip，d_port，time，action}。

2.3 基于樹的異常檢測(cè)回溯算法

對(duì)防火墻的配置信息進(jìn)行解析，并將它們之間的相關(guān)拓?fù)渫ㄟ^(guò)直接下層設(shè)備連接，得到一個(gè)關(guān)于樹的結(jié)構(gòu)如圖3所示。

在以往的防火墻策略間的策略沖突檢測(cè)時(shí)，若要檢測(cè)0號(hào)防火墻與所有的底層間的沖突時(shí)，需要將每條路徑上的防火墻策略兩兩分組，執(zhí)行策略配置異常檢測(cè)，因此對(duì)于圖2中的情況，會(huì)有以下結(jié)果，對(duì)于路徑從Firewall-0到Firewall-j，和路徑Firewall-0到Firewall-k，它們之間的公共路徑Firewall-0到Firewall-2將被計(jì)算2次，計(jì)算次數(shù)隨著Firewall-2的下層分支的增多而增多，為此本文提出基于樹的異常檢測(cè)回溯算法。具體步驟如下：

1)初始化并訪問(wèn)樹的根節(jié)點(diǎn)root，判斷它是否存在子節(jié)點(diǎn)(直接下層設(shè)備)，若存在則檢測(cè)它們之間的策略異常情況，并加入這些異常并對(duì)子節(jié)點(diǎn)調(diào)用回溯異常算法；否則結(jié)束。

2)當(dāng)前節(jié)點(diǎn)若存在未訪問(wèn)的子節(jié)點(diǎn)，遞歸調(diào)用回溯異常檢測(cè)算法檢測(cè)其與未訪問(wèn)子節(jié)點(diǎn)間的異常。

3)若當(dāng)前節(jié)點(diǎn)是非root節(jié)點(diǎn)且不存在子節(jié)點(diǎn)或子節(jié)點(diǎn)為空時(shí)，將這一路徑上的異常導(dǎo)出保存至異常記錄，刪除當(dāng)前節(jié)點(diǎn)與其父節(jié)點(diǎn)間的異常并返回其父節(jié)點(diǎn)，轉(zhuǎn)至第2)步。

4)若當(dāng)前節(jié)點(diǎn)是root，且不存在未訪問(wèn)的子節(jié)點(diǎn)時(shí)算法結(jié)束。

圖3 多層防火墻的邏輯示意圖

當(dāng)隨著一條路徑如圖2所示的0-2-j間的策略異常檢測(cè)過(guò)后，將這條路徑上的異常記錄下來(lái)，由于j沒有子節(jié)點(diǎn)，因此算法將退到節(jié)點(diǎn)2上，節(jié)點(diǎn)2中還有未訪問(wèn)的子節(jié)點(diǎn)k，將繼續(xù)比較節(jié)點(diǎn)k與前面防火墻間的策略異常。此時(shí)節(jié)點(diǎn)2與之前的路徑上的節(jié)點(diǎn)間的異常不必再次檢測(cè)，節(jié)省一定的時(shí)間，隨著節(jié)點(diǎn)深度和層次的增多，時(shí)間效率提高的越明顯，假設(shè)2個(gè)節(jié)點(diǎn)間的檢測(cè)時(shí)間為O(1)，傳統(tǒng)算法對(duì)一個(gè)n=(2i-1)個(gè)節(jié)點(diǎn)的完全二叉樹所用的時(shí)間為O((i-1)2i-1)，i表示二叉樹的層數(shù)，本文采用的算法在路徑上2個(gè)節(jié)點(diǎn)間只計(jì)算一次，所用時(shí)間為O(2i-1)，隨著節(jié)點(diǎn)n的增大，耗時(shí)將顯著減少。

2.4 多層防火墻ACL策略審計(jì)過(guò)程

在分析了防火墻的ACL配置信息后，根據(jù)防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)得到多層防火墻的邏輯結(jié)構(gòu)圖并結(jié)合異常檢測(cè)回溯算法，可以得出多層防火墻ACL策略審計(jì)的過(guò)程：

1)首先根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建出多層防火墻的邏輯結(jié)構(gòu)。

2)對(duì)每個(gè)防火墻的ACL策略解析并統(tǒng)一格式保存到數(shù)據(jù)庫(kù)中。

3)對(duì)于多層防火墻中的每個(gè)單一防火墻運(yùn)行單個(gè)防火墻異常檢測(cè)，確保單個(gè)防火墻中沒有異常。

4)對(duì)多層防火墻執(zhí)行基于樹的異常檢測(cè)回溯算法，檢測(cè)防火墻之間的策略異常。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)設(shè)置

本文使用安徽省國(guó)家電網(wǎng)公司及其子公司間的網(wǎng)絡(luò)拓?fù)渥鳛榉抡鎸?shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)洌渲袊?guó)網(wǎng)安徽省電力公司下轄16個(gè)市級(jí)電力公司，在這16個(gè)市級(jí)電力公司下面共有72個(gè)縣級(jí)電力公司，并在NetworkSimulatorversion2(NS2)中構(gòu)建多層防火墻的場(chǎng)景，將總公司設(shè)為根節(jié)點(diǎn)，依照等級(jí)將其他公司設(shè)置為不同層設(shè)備，總體為3層。文獻(xiàn)[15]反映在實(shí)際中防火墻的規(guī)則數(shù)量最多為3 000條。本文實(shí)驗(yàn)設(shè)置防火墻規(guī)則最多條數(shù)為3 000條。由于缺少防火墻規(guī)則，本文基于拓?fù)錁?gòu)造了防火墻策略進(jìn)行測(cè)試，其策略更具一般性，并使用不同數(shù)量的防火墻規(guī)則對(duì)提出的算法與SMFDD算法作出對(duì)比。

3.2 評(píng)價(jià)標(biāo)準(zhǔn)

本文關(guān)注兩個(gè)度量作為基于樹的回溯異常檢測(cè)算法的評(píng)價(jià)標(biāo)準(zhǔn)：一是處理時(shí)間，顯示算法的執(zhí)行時(shí)間，時(shí)間越少，算法的執(zhí)行時(shí)間效率越高；二是規(guī)則異常數(shù)目，指示在這個(gè)系統(tǒng)中存在多少個(gè)異常規(guī)則的數(shù)目。

3.3 實(shí)驗(yàn)結(jié)果與分析

圖4描述了當(dāng)多層防火墻網(wǎng)絡(luò)中隨著單個(gè)防火墻規(guī)則數(shù)目的增長(zhǎng)算法的處理時(shí)間如何變化，處理時(shí)間指的是算法檢測(cè)完所有路徑上防火墻間的異常的時(shí)間。ADBA能夠顯著地減少異常的檢測(cè)時(shí)間，當(dāng)防火墻規(guī)則條目增多時(shí)，時(shí)間性能的提升更加明顯。這是因?yàn)樵贏DBA中，當(dāng)防火墻處在不同的路徑上時(shí)，這些防火墻間的規(guī)則異常只需檢測(cè)一次。而在傳統(tǒng)的SMFDD算法中，對(duì)每條路徑上的防火墻間做一次規(guī)則異常檢測(cè)。導(dǎo)致在多層防火墻中，某些防火墻同時(shí)處在不同的路徑上。造成這些防火墻間的規(guī)則異常檢測(cè)冗余次數(shù)增多。ADBA考慮了防火墻間的邏輯結(jié)構(gòu)，能夠有效避免防火墻間的冗余檢測(cè)。相比SMFDD算法，本文提出的ADBA平均能夠縮短28.01%的異常檢測(cè)時(shí)間。

圖4 多層防火墻ACL異常檢測(cè)的處理時(shí)間

圖5描述了多層防火墻網(wǎng)絡(luò)中隨著單個(gè)防火墻ACL中規(guī)則數(shù)目的增長(zhǎng)算法檢測(cè)出的防火墻間的異常規(guī)則的數(shù)目的變化。

圖5 防火墻間的異常數(shù)

隨著單個(gè)防火墻規(guī)則數(shù)目的增多，防火墻間的異常規(guī)則數(shù)目也隨之增多。但ADBA檢測(cè)異常的個(gè)數(shù)要少于SMFDD算法，這是由于ADBA考慮了不同規(guī)則間的時(shí)間區(qū)域，2條異常規(guī)則在不同的時(shí)間段運(yùn)行不會(huì)被視作規(guī)則異常。而在傳統(tǒng)的SMFDD算法中，沒有考慮時(shí)間因素，盡管它們的時(shí)間段不同，但是2條規(guī)則卻被判斷成異常的，從而產(chǎn)生了錯(cuò)誤的異常判斷。相對(duì)于SMFDD算法，本文提出的ADBA能夠減少21.60%的規(guī)則異常個(gè)數(shù)，提升了規(guī)則異常檢測(cè)的準(zhǔn)確性。

相比傳統(tǒng)的SMFDD算法，本文提出的ADBA能夠減少規(guī)則異常的檢測(cè)時(shí)間，同時(shí)根據(jù)時(shí)間因素能提高異常檢測(cè)的準(zhǔn)確性。

4 結(jié)語(yǔ)

本文針對(duì)實(shí)際多層網(wǎng)絡(luò)中防火墻ACL異常檢測(cè)問(wèn)題，提出基于時(shí)間的回溯異常檢測(cè)算法的審計(jì)方案，根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)生成相應(yīng)的防火墻邏輯結(jié)構(gòu)，異常檢測(cè)時(shí)能夠判斷當(dāng)前的路徑是否已經(jīng)檢測(cè)過(guò)，從而有效地避免相同防火墻間多次檢測(cè)的過(guò)程；同時(shí)在規(guī)則中參考時(shí)間因素對(duì)異常檢測(cè)的影響，有夠提升異常檢測(cè)的準(zhǔn)確性。實(shí)驗(yàn)結(jié)果證明本文提出的ADBA能夠減少異常檢測(cè)的時(shí)間并提升檢測(cè)的準(zhǔn)確性。本文考慮了國(guó)家電網(wǎng)中上下級(jí)網(wǎng)絡(luò)間防火墻ACL審計(jì)，并未考慮同級(jí)間的互相訪問(wèn)的影響，因此下一步將研究如何將同級(jí)間的防火墻考慮到多層防火墻中，實(shí)現(xiàn)最優(yōu)的防火墻間的ACL審計(jì)策略。

)

[1]RUBINAD,GEERD,RANUMMJ.WebSecuritySourcebook[M].NewYork:JohnWiley&Sons, 1997: 14-15.

[2]YOONMK,CHENS,ZHANGZ.Minimizingthemaximumfirewallrulesetinanetworkwithmultiplefirewalls[J].IEEETransactionsonComputers, 2009, 59(2): 218-230.

[3] 張昭理,洪帆,肖海軍.一種防火墻規(guī)則沖突檢測(cè)算法[J].計(jì)算機(jī)工程與應(yīng)用,2007,43(15):111-113.(ZHANGSL,HONGF,XIAOHJ.Firewallruleconflictdiscoveryalgorithm[J].ComputerEngineeringandApplications, 2007, 43(15): 111-113.)

[4] 殷奕,汪蕓.防火墻規(guī)則間包含關(guān)系的解析方法[J].計(jì)算機(jī)應(yīng)用,2015,35(11):3083-3086,3101.(YINY,WANGY.Analysismethodofinclusionrelationsbetweenfirewallrules[J].JournalofComputerApplications, 2015, 35(11): 3083-3086,3101.)

[5] 唐曄.一種基于規(guī)則分解映射的防火墻規(guī)則匹配算法[J].計(jì)算機(jī)應(yīng)用,2009,29(11):2969-2971,2976.(TANGY.Rulematchingmappingalgorithmforfirewallbasedonruledecomposionmapping[J].JournalofComputerApplications, 2009, 29(11): 2969-2971,2976.)

[6] 施榮華,莫銳,趙文濤.一種基于沖突檢測(cè)的無(wú)關(guān)聯(lián)規(guī)則集匹配算法[J].計(jì)算機(jī)工程與科學(xué),2010,32(10):1-4.(SHIRH,MOR,ZHAOWT.Anirrelativerulesetmatchalgorithmbasedoncollisiondetection[J].ComputerEngineeringandScience, 2010, 32(10): 1-4.)

[7] 盧云龍,羅守山,郭玉鵬.基于改進(jìn)策略樹的防火墻策略審計(jì)方案設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2014(10):64-69.(LUYL,LUOSS,GUOYP.Thedesignandimplementationoffirewallpolicyauditplanbasedonimprovedstrategytree[J].NetinfoSecurity, 2014(10): 64-69.)

[8]LIUAX.Formalverificationoffirewallpolicies[C]//Proceedingsofthe2008IEEEInternationalConferenceonCommunications.Piscataway,NJ:IEEE, 2008: 1494-1498.

[9]KAROUIK,FTIMAFB,GHEZALAHB.Firewallsanomaliesseverityevaluationandclassification[J].InternationalJournalofSecurity&Networks, 2014, 9(3): 167-176.

[10]LIAOXJ,WANGY,LUH.Ruleanomaliesdetectioninfirewalls[J].KeyEngineeringMaterials, 2011, 474/475/476: 822-827.

[11]ALSHAERES,HAMEDHH.Discoveryofpolicyanomaliesindistributedfirewalls[C]//Proceedingsofthe2004IEEEInternationalConferenceonComputerCommunications,Piscataway,NJ:IEEE, 2004: 2605-2616.

[12] 張麗.分布式防火墻策略異常檢測(cè)算法的研究[D].南京：南京理工大學(xué),2007:44-48.(ZHANGL.Theresearchondistributedfirewallpolicyanomalydetectionalgorithm[D].Nanjing:NanjingUniversityofScienceandTechnology, 2007: 44-48.)

[13] 吳軍,鄧寶龍,邵定宏.基于SMFDD實(shí)現(xiàn)分布式防火墻異常規(guī)則檢測(cè)及優(yōu)化[J].計(jì)算機(jī)工程與設(shè)計(jì),2014,35(11):3741-3746.(WUJ,DENGBL,SHAODH.AnomalydetectionandoptimizationofdistributedfirewallrulesbasedonSMFDD[J].ComputerEngineeringandDesign, 2014, 35(11): 3741-3746.)

[14]THANASEGARANS,TATEIWAY,KATAYAMAY,etal.Designandimplementationofconflictdetectionsystemfortime-basedfirewallpolicies[J].JournalofNextGenerationInformationTechnology, 2011, 2(4)：24-39.

[15]CHENF,LIUAX,HWANGJ,etal.Firststeptowardsautomaticcorrectionoffirewallpolicyfaults[J].ACMTransactionsonAutonomous&AdaptiveSystems, 2011, 7(2): 439-447.

ThisworkispartiallysupportedbytheNationalNaturalScienceFoundationofChina(61672485, 61379130).

WANG Xudong, born in 1966, senior engineer.His research interests include information security, electric power information network.

CHEN Qingping, born in 1974, M.S., senior engineer.His research interests include information security, electric power information network.

LI Wen, born in 1991, M.S.candidate.His research interests include wireless network, smart grid.

ZHANG Xinming, born in 1964.Ph.D., professor.His research interests include wireless network, smart grid.

Time-based strategy audit scheme of access control list in multi-layer firewall

WANG Xudong1, CHEN Qingping1, LI Wen2, ZHANG Xinming2*

(1.AnhuiElectricPowerCompany,StateGrid,HefeiAnhui230061,China;2.SchoolofComputerScienceandTechnology,UniversityofScienceandTechnologyofChina,HefeiAnhui230027,China)

To solve the Access Control List (ACL) strategic audit problem in multi-layer firewalls, the policy anomalies in single firewall and between multi-layer firewalls were analyzed based on time.Then the Anomaly Detection based on Backtracking Algorithm (ADBA) was proposed by constructing the tree structure according to the topology of firewalls.First, the ACL policy of each firewall was analyzed and the data format was unified to the database.Second, the tree structure of firewall was built based on the topology of the firewall and the anomaly would be detected in a single firewall.Finally, the data in the database and the tree structure was used in ADBA to detect and record the abnormal strategy.The experimental results show that compared with the Semi-isomorphic Marked Firewall Decision Diagram (SMFDD) algorithm, the proposed ADBA can reduce the execution time of anomaly detection by 28.01% and reduce the miscalculation of anomaly detection according to the time factor.The ADBA can be implemented effectively at multi-layer firewalls ACL audit to improve detection accuracy and reduce detection time.

multi-layer firewall; firewall rule; anomaly detection; Access Control List (ACL) audit

2016-06-22;

2016-08-06。 基金項(xiàng)目:國(guó)家自然科學(xué)基金資助項(xiàng)目(61672485,61379130)。

王旭東(1966—)，男，安徽霍山人，高級(jí)工程師，主要研究方向：信息安全、電力信息網(wǎng)絡(luò)； 陳清萍(1974—)，女，安徽蕪湖人，高級(jí)工程師，碩士，主要研究方向：信息安全、電力信息網(wǎng)絡(luò)； 李文(1991—)，男，安徽安慶人，碩士研究生，主要研究方向：無(wú)線網(wǎng)絡(luò)、智能電網(wǎng)；張信明(1964—)，男，安徽天長(zhǎng)人，教授，博士，CCF高級(jí)會(huì)員，主要研究方向：無(wú)線網(wǎng)絡(luò)、智能電網(wǎng)。

1001-9081(2017)01-0212-05

10.11772/j.issn.1001-9081.2017.01.0212

TP393.08

A