收藏本站
《武汉大学》 2010年
收藏 | 手机打开
二维码
手机客户端打开本文

基于答案集程序的防火墙策略分析方法

邓文俊  
【摘要】: 防火墙是最常用的安全技术产品之一,其作用是阻断外部攻击进入内部网络。使用防火墙,最重要的是正确配置防火墙策略。可是,防火墙策略的语义不明问题,导致配置防火墙策略是一项既繁琐又易出错的工作。人为配置错误造成安全隐患,留下安全漏洞。 针对配置防火墙策略的语义不明问题,本文提出了防火墙策略分析方法,包括:策略查询方法、策略比较方法和策略验证方法。 本文总结了策略理解难的两个原因:规则次序敏感和使用环境复杂。对此,本文提出使用答案集程序查询防火墙策略的方法。首先,答案集程序支持非单调推理,能处理规则次序敏感问题;其次,答案集程序有很强的知识表达能力,能描述防火墙的使用环境。策略查询方法将防火墙策略和网络拓扑表示为答案集程序,并计算其语义。然后,将语义中的谓词转化为关系模型,存入数据库供管理员查询。该方法不仅能查询单防火墙策略,也能查询分级防火墙策略;不仅能查询单规则链策略,也能查询多规则链策略;不仅能单数据包查询,也能全局查询。 本文论述了比较防火墙策略的三个目的:检测一致性、学习、检查更新效果,并提出了两个比较问题:单防火墙策略比较和路由路径比较。前者比较两个或多个防火墙策略的异同;后者比较两个网络节点间所有路由路径上访问控制策略的异同。在策略查询方法基础上,策略比较方法增加比较策略和路由路径的推理规则。通过该规则,策略比较方法不仅能查找策略不同,而且能定位造成不同的规则;不仅能查找路由路径的不同,而且能依次列出路径上的节点。 防火墙策略与安全策略的关系是代码与设计的关系,因此,它们之间的一致性问题是管理员最关心的问题。本文指出该问题的本质是语义等价问题,即防火墙策略和网络拓扑共同作用的访问控制语义是否等于安全策略的访问控制语义。在策略查询方法和策略比较方法的基础上,本文提出了策略验证方法。该方法将安全策略、防火墙策略和网络拓扑都用答案集程序表示,通过推理规则,比较两者访问控制策略语义的区别,验证两者的一致性。 最后,本文总结了分析方法的缺陷和需要改进的地方,展望了将来的研究。
【学位授予单位】:武汉大学
【学位级别】:博士
【学位授予年份】:2010
【分类号】:TP393.08

手机知网App
【参考文献】
中国期刊全文数据库 前2条
1 赵启斌,梁京章;防火墙过滤规则异常的研究[J];计算机工程;2005年12期
2 王晓薇,李锋;防火墙包过滤规则正确性的研究[J];沈阳师范大学学报(自然科学版);2003年03期
中国博士学位论文全文数据库 前3条
1 郭方方;集群防火墙系统的研究[D];哈尔滨工程大学;2006年
2 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
3 李春艳;分级防火墙系统中动态访问控制技术研究[D];哈尔滨工程大学;2004年
【共引文献】
中国期刊全文数据库 前2条
1 赵丽丽,孙吉贵;归纳逻辑程序设计综述[J];吉林大学学报(信息科学版);2005年S2期
2 薛云皎;钱乐秋;彭鑫;徐如志;;智能主体在构件检索中的知识处理研究[J];计算机工程与应用;2006年08期
中国重要会议论文全文数据库 前2条
1 Wang Yi-Song Zhou Chan Zhan Ying (Department of Computer Science, Guizhou University, Guiyang 550025) (Department of Information and Communication, Guizhou University, Guiyang 550025);分层的扩充修正程序(英文)[A];2005年全国理论计算机科学学术年会论文集[C];2005年
2 赵丽丽;孙吉贵;;归纳逻辑程序设计综述[A];2005全国计算机程序设计类课程教学研讨会论文集[C];2005年
中国博士学位论文全文数据库 前7条
1 黄河;语义Web中知识服务的研究[D];中国科学院研究生院(计算技术研究所);2006年
2 许中卫;基于双向搜索的ILP算法构建汉语语义自动切分系统[D];安徽大学;2006年
3 鲁松;自然语言处理中词相关性知识无导获取和均衡分类器构建[D];中国科学院研究生院(计算技术研究所);2001年
4 薛云皎;基于智能主体的分布式构件库相关技术研究[D];复旦大学;2006年
5 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
6 王以松;逻辑程序的相容性与环公式研究[D];贵州大学;2007年
7 周勇;逻辑程序及其在安全协议验证中的应用[D];南京航空航天大学;2006年
中国硕士学位论文全文数据库 前10条
1 饶维;基于Linux的以太网综合型主机防火墙的研究与实现[D];浙江大学;2004年
2 沈国海;基于语义网络的Web挖掘研究[D];合肥工业大学;2004年
3 黄洪涛;逻辑程序非基有限失败的语义[D];吉林大学;2004年
4 高泽胜;基于NDIS-HOOK与SPI的个人防火墙研究与设计[D];西南交通大学;2004年
5 谢红梅;有序逻辑程序的回答集语义研究[D];南京航空航天大学;2005年
6 陈潇潇;基于Linux的虚拟主机信息监控系统的设计与实现[D];哈尔滨理工大学;2005年
7 凌萍;多关系数据的支持向量聚类的设计与实现[D];吉林大学;2006年
8 赵丽丽;归纳逻辑程序设计在数据挖掘中的应用[D];吉林大学;2006年
9 何可;基于IPV6的硬件防火墙的设计与研究[D];电子科技大学;2006年
10 王玉刚;解析防火墙规则的专家系统的研究与实现[D];山东大学;2006年
【二级参考文献】
中国期刊全文数据库 前10条
1 李鑫;季振洲;刘韦辰;胡铭曾;;防火墙过滤规则集冲突检测算法[J];北京邮电大学学报;2006年04期
2 张德明;Internet安全——包过滤与防火墙技术[J];重庆邮电学院学报(自然科学版);1999年04期
3 阎波,李广军;一种状态检测防火墙的攻击防御机制[J];电子科技大学学报;2005年04期
4 钱伟中,王蔚然,袁宏春;分布式防火墙环境的边界防御系统[J];电子科技大学学报;2005年04期
5 王伟,曹元大;分布式防火墙关键技术研究[J];大连理工大学学报;2003年S1期
6 艾军;防火墙体系结构及功能分析[J];电脑知识与技术;2004年08期
7 刘更楼,丁常福,姜建国;基于状态检测的防火墙系统研究[J];航空计算技术;2004年01期
8 徐凌宇,杜庆东,赵海;一种基于互信息的特征跃迁示例学习法[J];计算机研究与发展;2001年06期
9 冯东雷,张勇,白英彩;线速数据包输入处理技术[J];计算机研究与发展;2002年01期
10 冯东雷,张勇,白英彩;一种高性能包分类渐增式更新算法[J];计算机研究与发展;2003年03期
【相似文献】
中国期刊全文数据库 前10条
1 王培森;;用网卡集成防火墙来实现终端至终端的移动安全[J];办公自动化;2003年06期
2 ;系统管理员嘉年华——LISA 2010之二 防火墙策略管理[J];中国教育网络;2011年Z1期
3 董德春;防火墙与校园网的安全性[J];曲靖师范学院学报;2001年06期
4 杨玉东;刘保连;;网络防火墙的远程控制及其在校园网中的应用[J];河海大学常州分校学报;2005年04期
5 狄春江;;浅析ISA SERVER 2004访问规则策略[J];计算机与网络;2007年01期
6 刘军军;梁建武;;一种基于决策树的防火墙策略描述方法[J];微计算机信息;2008年33期
7 孙泽东;张璐;罗军舟;;NP防火墙中异常策略检测的研究与实现[J];南京邮电大学学报(自然科学版);2009年03期
8 ;Web安全百问百答(3)[J];信息安全与通信保密;2010年09期
9 马天蔚;;面向高端用户——东方龙马副总经理张谦谈防火墙策略[J];每周电脑报;2000年19期
10 陈加皓;;网络防火墙远程控制及关键技术应用研究[J];淮阴工学院学报;2009年03期
中国重要会议论文全文数据库 前10条
1 游凯;;NetScreen防火墙策略与冗余配置指南[A];四川省通信学会2008年学术年会论文集[C];2008年
2 周泉;;浅析防火墙的使用及维护[A];煤矿自动化与信息化——第19届全国煤矿自动化与信息化学术会议暨中国矿业大学(北京)百年校庆学术会议论文集[C];2009年
3 陈俊辉;王轶;;ISA2004中对internet访问的控制[A];2007第二届全国广播电视技术论文集2(下)[C];2007年
4 耿翕;崔之祜;;网络防火墙技术的应用及分析[A];第十九次全国计算机安全学术交流会论文集[C];2004年
5 项锐;毛玉明;;在Linux下快速构建防火墙研究[A];2006中国西部青年通信学术会议论文集[C];2006年
6 刘海韬;周忠华;彭智朝;;基于Web Services的分布式防火墙策略共享研究[A];2006年全国开放式分布与并行计算学术会议论文集(二)[C];2006年
7 李玮;候整风;;防火墙配置中规则异常研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
8 张震;;DMZ与内网安全关联性分析[A];中国通信学会第六届学术年会论文集(中)[C];2009年
9 顾军;;网络技术在大型综合体育赛事网络制播业务中的应用与技术特点——中央电视台北京奥运会基础网络系统设计与应用概述[A];2009中国电影电视技术学会影视技术文集[C];2010年
10 招英;;胜利宽带网的安全分析[A];山东省石油学会油田电力、通信及自动化技术研讨会优秀工程技术论文集[C];2009年
中国重要报纸全文数据库 前10条
1 本报记者 韩勖;竞速下一代防火墙[N];计算机世界;2011年
2 《网络世界》评测实验室 董培欣;核心防护 万兆安全[N];网络世界;2009年
3 陈伟康;用ISA 2004净化企业办公环境[N];中国电脑教育报;2005年
4 ;让我们的网络更安全[N];中国电脑教育报;2004年
5 沈生;防火墙并非万全之策[N];中国计算机报;2003年
6 ;艾泰科技HiPER 4240NB[N];中国计算机报;2006年
7 河北经贸大学 王春海晋州政务服务中心 张慧韬;服务器保护需要严防内外[N];中国计算机报;2008年
8 ;从安全需求考量ISA 2006新特性[N];网络世界;2008年
9 河北 寒江钓叟;安全防范的重点在内部[N];中国电脑教育报;2006年
10 本报记者 赵晓涛;端点安全的技术之战[N];网络世界;2007年
中国博士学位论文全文数据库 前7条
1 邓文俊;基于答案集程序的防火墙策略分析方法[D];武汉大学;2010年
2 陈兵;嵌入式防火墙及其关键技术研究[D];南京航空航天大学;2008年
3 陈文惠;防火墙系统策略配置研究[D];中国科学技术大学;2007年
4 马健丽;信息系统安全功能符合性检验关键技术研究[D];北京邮电大学;2010年
5 吴蓓;安全策略转换关键技术研究[D];解放军信息工程大学;2010年
6 梅芳;基于策略的移动网络自主管理机制研究[D];吉林大学;2010年
7 焦素云;基于概念格的动态策略存取模型[D];吉林大学;2011年
中国硕士学位论文全文数据库 前10条
1 欧露;高吞吐量协作防火墙的双向去冗余方法[D];湖南大学;2012年
2 王博;基于蜜网的主动安全策略防火墙[D];北京邮电大学;2010年
3 孙立琴;防火墙策略冲突检测及可视化[D];上海交通大学;2011年
4 王薇;状态防火墙策略查询技术研究[D];湖南大学;2011年
5 周长林;防火墙规则集优化设计研究[D];哈尔滨工程大学;2010年
6 任展锐;防火墙安全策略配置关键技术研究[D];国防科学技术大学;2011年
7 黄晗辉;防火墙规则的异常检测及优化研究[D];重庆大学;2010年
8 张弛;基于Netfilter的数据库防火墙的研究与实现[D];华中科技大学;2011年
9 张春胜;嵌入式防火墙的研究与实现[D];西安电子科技大学;2008年
10 何启军;Ipv6下基于流过滤技术的防火墙的研究和设计[D];电子科技大学;2012年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026