一种基于动态构建报文技术的策略有效性智能验证方法

摘要

一种基于动态构建报文技术的策略有效性智能验证方法属于网络安全技术领域。本发明的设计思路是，策略有效性验证程序由三部分组成，案例管理模块、案例运行模块、有效性验证模块。案例管理模块主要负责生成验证案例，并控制验证案例的运行；案例运行模块主要负责动态构建报文、报文抽样，并控制报文的发送和接收；有效性验证模块主要根据案例运行结果进行分析，做出安全策略是否有效的判断。策略有效性验证程序运行在一台配置多网卡的主机上，案例运行模块分别控制不同网卡完成报文的发送和接收。本发明通过动态构建报文，完成策略有效性验证，实现安全策略有效性验证从手工到自动化、智能化的转变，有效提高策略有效性验证工作的准确性和效率。

主权项

一种基于动态构建报文技术的策略有效性智能验证方法，其特征在于步骤如下：步骤1：根据安全策略生成有效性验证案例：通过案例管理模块建立案例，用于建立验证案例的元组包括源地址、目的地址、源端口、目的端口、协议、包括允许和拒绝的策略；控制验证案例的运行过程，包括运行、暂停和停止；步骤2：调用案例运行模块，进行报文样本抽样，构建报文并发送给被验证设备，接收通过被验证设备的报文；(1)根据生成的验证案例，完成报文样本抽样；样本抽样算法设计如下：(a)设置最大发包数量M，M取值区间为10000‑50000；(b)抽取样本，保证样本均匀覆盖由协议类型、源地址、目的地址、源端口、目的端口五个过滤域组成的样本空间，抽取策略如下：当样本数n小于最大的发包数量M，则抽取所有n个样本，构建报文；当样本数n大于最大的发包数量M，则按照下列算法计算抽样偏移值，根据偏移值抽取样本，构建报文；设源IP地址解析后为A₁.B₁.C₁.D₁‑A₂.B₂.C₂.D₂，MAX为此IP段的总IP地址数，λ_源为源地址抽样步长，m_源为设置的源报文总数λ_目的为目的地址抽样步长，m_目的为设置的目的报文总数，即计划构建总数为(m_源*m_目的)个报文；为保证样本能够均匀覆盖样本空间，应使(m_源*m_目的)远大于最大发包数量M，然后再进行第二次随机抽样，最终确定M个报文；由源地址段构成的抽样空间的样本最大数为MAX，计算公式为(1)；当IP地址以点分十进制格式表示时，形如A.B.C.D，每位取值从1到255，从最低位D为1开始变化，直至到255后，C位进1，以此类推；所以，可以得到计算合法的IP段所包含的IP总数的公式，即公式(1)；$\mathrm{MAX}=\left[\begin{array}{cccc}{255}^3& {255}^2& 255& 1\end{array}\right]\times \left[\begin{array}{c}{|A}_2-A_1|\\ |B_2-B_1|\\ |C_2-C_1|\\ |D_2-D_1+1|\end{array}\right]={255}^3\times |A_2-A_1|+{255}^2\times |B_2-B_1|+255\times |C_2-C_1|+|D_2-D_1+1|...\left(1\right)$源地址抽样步长计算公式为(2)；经过计算得出步长，取A₁.B₁.C₁.D₁为起始地址，末位D₁依次加步长λ_源，当D₁+nλ_源等于255时，在C₁位进1，当C₁到达255时，B1位进1，当B1到达255时，A1位进1，A1到达255时，算法结束；即抽取的样本依次为A₁.B₁.C₁.D₁、A₁.B₁.C₁.(D₁+λ_源)、A₁.B₁.C₁.(D₁+2λ_源)、……、A₁.B₁.C₁.(D₁+nλ_源)、……、A₂.B₂.C₂.D₂；同理，计算出目的地址的抽样步长λ_目的，并进而得到抽取的样本；通过以上步骤，根据设置的参数值，构建的报文总数为m_源*m_目的当M小于报文总数为m_源*m_目的采取二次抽样，再随机抽取M个报文，用于完成策略有效性验证；(2)构建报文；(3)发送和接收报文；动态构建报文后，发送给被测试设备，并接收被测试设备发送回来的报文；为最大限度保证测试的准确性，设计数据包重发机制，当案例运行模块发现有报文未接收到时，将重发报文，直至达到设置的最大重发次数；步骤3：有效性验证模块根据发送和接收的报文，以及案例的配置，分析策略有效性验证情况，做出是否有效的判断。