计算机网络防御策略的转换一致性验证方法

摘要

计算机网络防御(CND)策略的转换一致性验证方法，步骤为：(1)首先进行策略预处理：对输入的策略描述文件和拓扑描述文件，利用lex/yacc工具生成的词法解析器和语法解析器对其进行解析，得到对于每一类动作处理的数据包范围。对相应的主体、客体进行精确化；(2)再进行措施预处理：对输入的措施描述文件，利用lex/yacc工具生成的词法解析器和语法解析器对其进行解析，确定设备所管理的保护域，然后剔除掉无关的配置规则，并将其规定的动作所处理的数据包范围提取出来；(3)将各类动作的数据包范围表达成逻辑表达式，并对应到相应的安全设备上。利用命题逻辑可满足性判定工具Yices进行求解，遍历所有的数据包范围，得到措施是否存在冗余或缺失。

主权项

计算机网络防御策略的转换一致性验证方法，其特征在于步骤如下：(1)在数据预处理部分，利用Lex、Yacc自动解析计算机网络防御策略描述语言描述的策略文件和防御措施描述语言DMDL描述的措施文件，能够解析出保护型策略、检测型策略和响应型策略以及保护型措施、检测型措施和响应型措施，其中，策略文件中存放着多条策略，措施文件中存放着多条措施；(2)提取步骤(1)中的策略和措施的行为语义，并得出各类行为的数据域元组，并能够给出策略和措施的数据域元组的结构示意图；(3)通过步骤(2)得到策略和措施不同行为的数据域元组之后，能够根据得到策略和措施的数据域元组生成可满足性表达式，输入到可满足性模理论SMT判定工具Yices中，根据模型中定义的可靠性和完备性两个方面来验证一致性；(4)若在步骤(3)中检测出不一致，则进入错误跟踪阶段，这时将采用数据包发生器通过发送与数据域元组对应的数据包，观察数据是否的确是在策略中声明，而在措施中未配置，从而验证一致性分析系统的正确性，并且能够基于策略，给出不满足一致性的措施反例及改进意见。