王旭東，陳清萍，李 文，張信明

(1.國家電網 安徽省電力公司，合肥 230061； 2.中國科學技術大學 計算機科學與技術學院，合肥 230027)

(*通信作者電子郵箱xinming@ustc.edu.cn)

基于時間的多層防火墻訪問控制列表策略審計方案

王旭東1，陳清萍1，李 文2，張信明2*

(1.國家電網 安徽省電力公司，合肥 230061； 2.中國科學技術大學 計算機科學與技術學院，合肥 230027)

(*通信作者電子郵箱xinming@ustc.edu.cn)

針對多層防火墻中的訪問控制列表(ACL)策略審計問題，基于時間分析了單個防火墻間及多層防火墻間的策略異常，并根據(jù)防火墻之間的拓撲結構提出了一種基于樹結構的回溯異常檢測算法(ADBA)。首先，解析各個防火墻ACL策略，統(tǒng)一數(shù)據(jù)格式到數(shù)據(jù)庫；然后，根據(jù)防火墻間的拓撲建立樹狀結構并檢測單個防火墻內的策略異常；最后，ADBA利用數(shù)據(jù)庫中的數(shù)據(jù)與樹結構進行異常檢測并記錄異常策略。實驗結果表明，ADBA與基于半同構標記防火墻決策圖(SMFDD)算法相比，ADBA的檢測時間比SMFDD算法減少了28.01%，同時參考時間因素相比SMFDD算法，ADBA能夠減少異常檢測的誤判。故ADBA能有效實施于多層防火墻的ACL策略審計，提高異常檢測的精確性并減少異常檢測時間。

多層防火墻；防火墻規(guī)則；異常檢測；訪問控制列表審計

0 引言

防火墻作為企業(yè)的網絡基石，它是連接著內部網絡與外部網絡之間的網絡安全系統(tǒng)，其中最重要的管理任務是配置正確的防火墻和安全規(guī)則[1]。然而由于防火墻的訪問控制列表 (Access Control List, ACL)策略可能包含大量的規(guī)則，規(guī)則間可能存在沖突導致規(guī)則的順序敏感性，即對同一個數(shù)據(jù)包相同的規(guī)則不同的順序可能產生不同的結果，以及防火墻的策略可能由不同的管理員在不同的時間配置的，這大大增加了防火墻出現(xiàn)問題的概率。隨著防火墻規(guī)則的增加，配置錯誤的數(shù)量也隨之急劇增加[2]，因此為了網絡系統(tǒng)的安全，對防火墻的ACL策略配置的審計至關重要。

為了檢測防火墻的策略規(guī)則沖突，張昭理等[3]提出一種防火墻沖突檢測算法，首先對防火墻規(guī)則間的關系進行建模分類，順序抽取規(guī)則，將該規(guī)則與其前面的規(guī)則進行一一比較，確定規(guī)則間是否存在沖突。殷奕等[4]提出了防火墻規(guī)則間包含關系的解析方法，通過不考慮規(guī)則的動作域簡化分析規(guī)則間的關系，能夠快速有效地分析出規(guī)則間的關系。唐曄[5]提出基于規(guī)則分解的映射的防火墻匹配算法，根據(jù)規(guī)則分解映射和標準維相關的規(guī)則，建立一棵二叉決策樹，該算法支持范圍形式表示的規(guī)則，提升了時空性能。施榮華等[6]在傳統(tǒng)的策略樹的審計方案中對任意兩個規(guī)則的不同域進行策略樹比較，若策略樹路徑存在相交部分，則可能存在異常。盧云龍等[7]提出改進的策略樹審計方案，首先建立包含正常規(guī)則的策略樹，然后將防火墻的每條配置與該決策樹進行比較產生規(guī)則分類，對同類中的規(guī)則進行沖突檢測，提升了審計效率。Liu[8]提出對防火墻規(guī)則建立防火墻策略決策圖(Firewall Decision Diagram， FDD)，消除防火墻間的異常，并用給定的屬性規(guī)則檢測該防火墻是否滿足要求。Karoui等[9]提出使用3個標準來評估和分類檢測到的異常，即定量評價、語義評價和多異常評價以達到異常的準確分類。Liao等[10]提出直接基于有向樹的方法來檢測防火墻中的規(guī)則異常，并根據(jù)有向樹跟蹤異常來自哪個防火墻。

上述方案均是考慮單個防火墻上的規(guī)則間的關系和沖突檢測，但在實際應用中，企業(yè)可能部署多個防火墻將網絡劃分為不同的子網本文稱為多層防火墻，這些子網的訪問權限可能有所不同，防火墻之間的規(guī)則可能存在異常情況，因此有必要對多層防火墻的ACL配置策略進行審計。Alseaer等[11]提出在分布式防火墻中異常策略檢測方法(Inter-Firewall Anomaly Discovery Algorithm， IFADA)，通過異常發(fā)現(xiàn)算法狀態(tài)轉換圖發(fā)現(xiàn)異常，將每條路徑上的所有防火墻兩兩之間的規(guī)則進行對比并記錄異常，但對于不同的路徑可能包含相同的一對防火墻，從而產生冗余的對比。張麗[12]提出變體二叉樹模型，實現(xiàn)分布式防火墻異常規(guī)則的檢測，但無法精確分析具體規(guī)則間的異常。吳軍等[13]提出基于半同構標記防火墻決策圖(Semi-isomorphic Marked Firewall Decision Diagram， SMFDD)實現(xiàn)分布式防火墻規(guī)則異常檢測及優(yōu)化，有效實現(xiàn)2個防火墻之間的規(guī)則異常的檢測，對于給定的路徑兩兩比較防火墻間的異常；在有多條路徑的情況下，防火墻間的對比可能發(fā)生多次，造成一定冗余對比次數(shù)，同時也未考慮時間因素。Thanasegaran等[14]提出基于時間的單個防火墻內規(guī)則的沖突檢測，將時間作為一個條件比較2條規(guī)則是否在某個相同的時間沖突，將規(guī)則的時間域依據(jù)星期幾分為不同的時間段，一定程度上減少了規(guī)則的比較次數(shù)，但仍有不同的規(guī)則跨越多個相同的時間段，帶來一定的冗余對比次數(shù)。

現(xiàn)有的防火墻審計方案主要考慮防火墻內的策略異?；蚍阑饓﹂g的策略異常，并只在單個防火墻沖突檢測中考慮了時間因素，同時忽略了防火墻之間的內在拓撲聯(lián)系，為此本文提出了基于樹的異常檢測回溯算法(Anomaly Detection based on Backtracking Algorithm, ADBA),旨在解決基于時間的多層防火墻的ACL審計問題。

1 防火墻規(guī)則策略及其關系

1.1 防火墻過濾規(guī)則的結構

防火墻ACL策略是由過濾規(guī)則組成的順序鏈表，對經過的每個數(shù)據(jù)包依次與鏈表中過濾規(guī)則的順序匹配決定是否讓其通過防火墻。每條規(guī)則包含以下字段：序號(index)、協(xié)議類型(protocol type)、源IP地址(source IP address)、源端口(source port)、目的IP地址(destination IP address)、目的端口(source port)、有效時間(time)、動作(action)。

本文中采用防火墻規(guī)則是一個八元組Rule={index，protocol，s_ip，s_port，d_ip，d_port，time，action}：

1)index字段表示該規(guī)則在防火墻規(guī)則集的位置；

2)protocol字段表示該數(shù)據(jù)包的傳輸層協(xié)議類型；

3)s_ip和d_ip可以是具體的地址如(10.24.25.8)或是一段IP地址如(10.24.25.*)；

4)s_port和d_port可以是某個特定的端口號，也可以是任意(any)端口；

5)time可以為某天或一段時間，同時能具體到一天的某個時段如(MONDAY，6：00～18:00)；

6)action的值是accept(允許數(shù)據(jù)包通過)或者deny(拒絕數(shù)據(jù)包通過)。

防火墻過濾規(guī)則示例如表1所示。其中:“*”表示有效的任意IP地址，“—”表示所有任意的時間。

表1 防火墻過濾規(guī)則示例

1.2 規(guī)則間關系及類別

給定任意2個規(guī)則Rx和Ry，其域間關系如下所示。

1)index域：<(小于)、>(大于)，如Rx[index]

2)protocol域以及action域：=(相等)、≠(不相等)，如Rx[protocol]

3)s_ip，s_port，d_ip，d_port各個域的關系可分為：=(相等)、≠(不相等)、?(包含于，前者是后者的真子集)、?(包含，后者是前者的真子集)，如Rx[s_ip]=Ry[s_ip]，Rx[s_port]≠Ry[s_port],Rx[d_ip]?Ry[d_ip]，Rx[d_port]?Ry[d_port]。

4)time域：=(相等)、≠(不相等)、?(包含于，前者是后者的真子集)、?(包含，后者是前者的真子集)、∩≠空集(前者與后者相交且不為空)。

根據(jù)規(guī)則間的關系主要考慮{protocol，s_ip，s_port，d_ip，d_port，time}這6個域值間的關系，可將規(guī)則關系分為以下4個類別[3]：

1)無關規(guī)則。規(guī)則Rx、Ry無關時當且僅當至少一個域值不相等或不相交。

2)相等規(guī)則。規(guī)則Rx、Ry相等時當且僅當每個域值均相等。

3)包含規(guī)則。規(guī)則Rx、Ry相交時是除協(xié)議域值相等外，其他域值均為包含(或包含于)關系。

4)關聯(lián)規(guī)則。規(guī)則Rx、Ry關聯(lián)時其協(xié)議域值相等，時間域值相交，其他域值是包含或包含于的關系。

1.3 單個防火墻規(guī)則異常及缺失

規(guī)則異常通常是由于規(guī)則間存在重疊部分，導致防火墻出現(xiàn)漏洞，同時由于管理員在配置規(guī)則時可能存在缺失的情況，導致防火墻不能有效對某些流量進行控制產生巨大的危害。下面給出各類異常定義[7]。

1)屏蔽異常。

在防火墻的訪問控制列表中，如果規(guī)則Rx在規(guī)則Ry之前，且Ry所能匹配的所有的數(shù)據(jù)包都能被Rx匹配，則規(guī)則Ry將會失效。如Rx在Ry之前，Rx[action]≠Ry[action]，但Rx、Ry的其他域相等，則規(guī)則Ry被規(guī)則Rx屏蔽。

2)交叉異常。

如果規(guī)則Rx與Ry動作域不同，但其余的域相交，當2個規(guī)則的順序不同時，可能產生相反的結果。則稱規(guī)則Rx與Ry交叉異常。

3)冗余異常。

如果規(guī)則Rx所匹配的包也能被Ry所匹配，且規(guī)則Rx與Ry采取相同的動作，那么將去掉Ry也不會對防火墻的安全產生影響，則規(guī)則Ry是冗余的規(guī)則。

4)配置缺失及其他異常。

在配置過程中，可能存在管理員配置錯誤，一個本應是小范圍的規(guī)則配置了一個大的范圍(端口為80允許通過配置成了所有端口允許通過)，或對某條規(guī)則未配置的情況。

2 多層防火墻策略審計系統(tǒng)的設計

2.1 多層防火墻策略配置異常

多層防火墻的策略配置異?？煞譃?種：單個防火墻的策略配置異常及防火墻策略間的配置異常，因此在設計多層防火墻策略審計時，本文不僅要對單個防火墻進行配置異常的檢測，也要進行防火墻間策略異常的檢測。

對單個防火墻策略檢測有如前面所述的各種異常，在多層防火墻網絡中，一個數(shù)據(jù)包可能要經過多個防火墻才能到達目的地，本文把接近源地址的稱為上游防火墻，記為Fu；把接近目的地址的防火墻稱為下游防火墻，記為Fd；其中的規(guī)則分別記為Ru、Rd。以往的分布式防火墻并未考慮防火墻之間拓撲的聯(lián)系，總是根據(jù)需要建立多個防火墻間的異常檢測，但現(xiàn)實公司中的防火墻結構有其獨特的多層結構，如一個總公司下面有多個子公司，多層防火墻網絡如圖1所示。文獻[11]中提出2種異常情況如下：當一個數(shù)據(jù)包被上游防火墻允許通過而被下游拒絕時，非法的數(shù)據(jù)包可能到達內部網絡；當一個數(shù)據(jù)包被上游防火墻拒絕而被下游防火墻允許通過時，合法的數(shù)據(jù)包可能被錯誤地屏蔽掉。但在多層防火墻中也存在如下的情況：下游防火墻拒絕的數(shù)據(jù)包已被上游防火墻拒絕時，會產生冗余的配置；對于給定的策略，多層防火墻不能實現(xiàn)該策略，假如允許10.0.1.0/8發(fā)出的數(shù)據(jù)包訪問10.0.0.0/12網段，但是檢測時數(shù)據(jù)包未能到達目的節(jié)點，會導致預定的策略不能實現(xiàn)。下面給出多層防火墻間的異常定義：

1)上游防火墻Fu允許的數(shù)據(jù)包被下游的防火墻Fd丟棄，則出現(xiàn)非法流入異常。

2)上游防火墻Fu拒絕的數(shù)據(jù)包被下游的防火墻Fd接受，則出現(xiàn)屏蔽錯誤。

3)下行防火墻Fd拒絕了已經被上行防火墻Fu拒絕的數(shù)據(jù)包，此時存在冗余異常。

4)如果某個數(shù)據(jù)包本該能夠通過防火墻Fu和Fd，但由于配置缺失導致防火墻執(zhí)行了默認的拒絕動作，導致數(shù)據(jù)包不能通過，此時存在缺失異常。

圖1 多層防火墻網絡示意圖

由于以往的分布式防火墻策略沖突檢測未考慮時間因素，當它們用在基于時間的防火墻策略中時可能會將一個非沖突的策略標記為沖突的策略，如對同一個數(shù)據(jù)包，上游防火墻拒絕它在8:00～18:00通過，而下游的防火墻拒絕它在0:00～6:00通過，不考慮時間因素，傳統(tǒng)的策略沖突檢測會將其判定為冗余異常，但它們是在不同的時間段產生效果，所以這是一種誤判。因此在多層防火墻策略配置沖突檢測時時間也應當作為一個參考因素。在文獻[13]中，由于將規(guī)則所處的時間域分為不同的時間段(周一至周日)，同一規(guī)則可能跨越不同的時間段，如規(guī)則Rx、Ry的時間域均為周一、周二，Rz的時間域為周一，那么規(guī)則Rx、Ry將分別在周一與周二比較一次，因為周一的規(guī)則為Rx、Ry、Rz，不同于周二的Rx、Ry，因此Rx、Ry的比較次數(shù)增加了，本文直接進行時間段的比較，若2條規(guī)則的時間段相交則比較2條規(guī)則是否有異常，否則不比較。

本文利用一種只有一個根的樹結構來表示防火墻規(guī)則的安全策略，稱之為安全策略樹，其中根節(jié)點為表示規(guī)則中的協(xié)議域，葉子節(jié)點表示為規(guī)則中的動作域，其余中間節(jié)點依次表示規(guī)則中的源IP地址、源端口號、目的IP地址、目標端口號以及時間域。節(jié)點的分支表示該域可能的取值，如圖2所示，協(xié)議為TCP的源IP地址為10.0.63.0的目的端口包含80端口、21端口、23端口的數(shù)據(jù)流可以通過，圖中*號表示有效的任意端口、IP地址和時間段。依據(jù)安全策略樹檢測一個規(guī)則是否與安全策略樹上的規(guī)則產生異常。

圖2 安全策略樹

2.2 數(shù)據(jù)庫解析

解析數(shù)據(jù)庫主要通過對一個企業(yè)的各個防火墻解析得到防火墻ACL配置信息，并將這些防火墻的配置信息依據(jù)它們之間的依賴關系構成樹狀結構的數(shù)據(jù)表。數(shù)據(jù)表中包含的內容為：表主鍵、設備標識符、直接下層設備、ACL配置信息。

表主鍵為t_id，它是一個自增長的整型值，無實際意義，標記為每條記錄的ID。

設備標識符為dev_id，它表示為一個防火墻設備的名稱。

直接下層設備為low_layer_dev，它的值是設備標識符，一個設備可能包含多個直接下層設備。

ACL配置信息為cfg_acl，它指向一個ACL策略表，表中包含了該防火墻的ACL配置信息。其格式為如前所述的八元組{index，protocol，s_ip，s_port，d_ip，d_port，time，action}。

2.3 基于樹的異常檢測回溯算法

對防火墻的配置信息進行解析，并將它們之間的相關拓撲通過直接下層設備連接，得到一個關于樹的結構如圖3所示。

在以往的防火墻策略間的策略沖突檢測時，若要檢測0號防火墻與所有的底層間的沖突時，需要將每條路徑上的防火墻策略兩兩分組，執(zhí)行策略配置異常檢測，因此對于圖2中的情況，會有以下結果，對于路徑從Firewall-0到Firewall-j，和路徑Firewall-0到Firewall-k，它們之間的公共路徑Firewall-0到Firewall-2將被計算2次，計算次數(shù)隨著Firewall-2的下層分支的增多而增多，為此本文提出基于樹的異常檢測回溯算法。具體步驟如下：

1)初始化并訪問樹的根節(jié)點root，判斷它是否存在子節(jié)點(直接下層設備)，若存在則檢測它們之間的策略異常情況，并加入這些異常并對子節(jié)點調用回溯異常算法；否則結束。

2)當前節(jié)點若存在未訪問的子節(jié)點，遞歸調用回溯異常檢測算法檢測其與未訪問子節(jié)點間的異常。

3)若當前節(jié)點是非root節(jié)點且不存在子節(jié)點或子節(jié)點為空時，將這一路徑上的異常導出保存至異常記錄，刪除當前節(jié)點與其父節(jié)點間的異常并返回其父節(jié)點，轉至第2)步。

4)若當前節(jié)點是root，且不存在未訪問的子節(jié)點時算法結束。

圖3 多層防火墻的邏輯示意圖

當隨著一條路徑如圖2所示的0-2-j間的策略異常檢測過后，將這條路徑上的異常記錄下來，由于j沒有子節(jié)點，因此算法將退到節(jié)點2上，節(jié)點2中還有未訪問的子節(jié)點k，將繼續(xù)比較節(jié)點k與前面防火墻間的策略異常。此時節(jié)點2與之前的路徑上的節(jié)點間的異常不必再次檢測，節(jié)省一定的時間，隨著節(jié)點深度和層次的增多，時間效率提高的越明顯，假設2個節(jié)點間的檢測時間為O(1)，傳統(tǒng)算法對一個n=(2i-1)個節(jié)點的完全二叉樹所用的時間為O((i-1)2i-1)，i表示二叉樹的層數(shù)，本文采用的算法在路徑上2個節(jié)點間只計算一次，所用時間為O(2i-1)，隨著節(jié)點n的增大，耗時將顯著減少。

2.4 多層防火墻ACL策略審計過程

在分析了防火墻的ACL配置信息后，根據(jù)防火墻的網絡拓撲結構得到多層防火墻的邏輯結構圖并結合異常檢測回溯算法，可以得出多層防火墻ACL策略審計的過程：

1)首先根據(jù)網絡拓撲結構構建出多層防火墻的邏輯結構。

2)對每個防火墻的ACL策略解析并統(tǒng)一格式保存到數(shù)據(jù)庫中。

3)對于多層防火墻中的每個單一防火墻運行單個防火墻異常檢測，確保單個防火墻中沒有異常。

4)對多層防火墻執(zhí)行基于樹的異常檢測回溯算法，檢測防火墻之間的策略異常。

3 實驗結果與分析

3.1 實驗設置

本文使用安徽省國家電網公司及其子公司間的網絡拓撲作為仿真實驗的網絡拓撲，其中國網安徽省電力公司下轄16個市級電力公司，在這16個市級電力公司下面共有72個縣級電力公司，并在NetworkSimulatorversion2(NS2)中構建多層防火墻的場景，將總公司設為根節(jié)點，依照等級將其他公司設置為不同層設備，總體為3層。文獻[15]反映在實際中防火墻的規(guī)則數(shù)量最多為3 000條。本文實驗設置防火墻規(guī)則最多條數(shù)為3 000條。由于缺少防火墻規(guī)則，本文基于拓撲構造了防火墻策略進行測試，其策略更具一般性，并使用不同數(shù)量的防火墻規(guī)則對提出的算法與SMFDD算法作出對比。

3.2 評價標準

本文關注兩個度量作為基于樹的回溯異常檢測算法的評價標準：一是處理時間，顯示算法的執(zhí)行時間，時間越少，算法的執(zhí)行時間效率越高；二是規(guī)則異常數(shù)目，指示在這個系統(tǒng)中存在多少個異常規(guī)則的數(shù)目。

3.3 實驗結果與分析

圖4描述了當多層防火墻網絡中隨著單個防火墻規(guī)則數(shù)目的增長算法的處理時間如何變化，處理時間指的是算法檢測完所有路徑上防火墻間的異常的時間。ADBA能夠顯著地減少異常的檢測時間，當防火墻規(guī)則條目增多時，時間性能的提升更加明顯。這是因為在ADBA中，當防火墻處在不同的路徑上時，這些防火墻間的規(guī)則異常只需檢測一次。而在傳統(tǒng)的SMFDD算法中，對每條路徑上的防火墻間做一次規(guī)則異常檢測。導致在多層防火墻中，某些防火墻同時處在不同的路徑上。造成這些防火墻間的規(guī)則異常檢測冗余次數(shù)增多。ADBA考慮了防火墻間的邏輯結構，能夠有效避免防火墻間的冗余檢測。相比SMFDD算法，本文提出的ADBA平均能夠縮短28.01%的異常檢測時間。

圖4 多層防火墻ACL異常檢測的處理時間

圖5描述了多層防火墻網絡中隨著單個防火墻ACL中規(guī)則數(shù)目的增長算法檢測出的防火墻間的異常規(guī)則的數(shù)目的變化。

圖5 防火墻間的異常數(shù)

隨著單個防火墻規(guī)則數(shù)目的增多，防火墻間的異常規(guī)則數(shù)目也隨之增多。但ADBA檢測異常的個數(shù)要少于SMFDD算法，這是由于ADBA考慮了不同規(guī)則間的時間區(qū)域，2條異常規(guī)則在不同的時間段運行不會被視作規(guī)則異常。而在傳統(tǒng)的SMFDD算法中，沒有考慮時間因素，盡管它們的時間段不同，但是2條規(guī)則卻被判斷成異常的，從而產生了錯誤的異常判斷。相對于SMFDD算法，本文提出的ADBA能夠減少21.60%的規(guī)則異常個數(shù)，提升了規(guī)則異常檢測的準確性。

相比傳統(tǒng)的SMFDD算法，本文提出的ADBA能夠減少規(guī)則異常的檢測時間，同時根據(jù)時間因素能提高異常檢測的準確性。

4 結語

本文針對實際多層網絡中防火墻ACL異常檢測問題，提出基于時間的回溯異常檢測算法的審計方案，根據(jù)網絡的拓撲結構生成相應的防火墻邏輯結構，異常檢測時能夠判斷當前的路徑是否已經檢測過，從而有效地避免相同防火墻間多次檢測的過程；同時在規(guī)則中參考時間因素對異常檢測的影響，有夠提升異常檢測的準確性。實驗結果證明本文提出的ADBA能夠減少異常檢測的時間并提升檢測的準確性。本文考慮了國家電網中上下級網絡間防火墻ACL審計，并未考慮同級間的互相訪問的影響，因此下一步將研究如何將同級間的防火墻考慮到多層防火墻中，實現(xiàn)最優(yōu)的防火墻間的ACL審計策略。

)

[1]RUBINAD,GEERD,RANUMMJ.WebSecuritySourcebook[M].NewYork:JohnWiley&Sons, 1997: 14-15.

[2]YOONMK,CHENS,ZHANGZ.Minimizingthemaximumfirewallrulesetinanetworkwithmultiplefirewalls[J].IEEETransactionsonComputers, 2009, 59(2): 218-230.

[3] 張昭理,洪帆,肖海軍.一種防火墻規(guī)則沖突檢測算法[J].計算機工程與應用,2007,43(15):111-113.(ZHANGSL,HONGF,XIAOHJ.Firewallruleconflictdiscoveryalgorithm[J].ComputerEngineeringandApplications, 2007, 43(15): 111-113.)

[4] 殷奕,汪蕓.防火墻規(guī)則間包含關系的解析方法[J].計算機應用,2015,35(11):3083-3086,3101.(YINY,WANGY.Analysismethodofinclusionrelationsbetweenfirewallrules[J].JournalofComputerApplications, 2015, 35(11): 3083-3086,3101.)

[5] 唐曄.一種基于規(guī)則分解映射的防火墻規(guī)則匹配算法[J].計算機應用,2009,29(11):2969-2971,2976.(TANGY.Rulematchingmappingalgorithmforfirewallbasedonruledecomposionmapping[J].JournalofComputerApplications, 2009, 29(11): 2969-2971,2976.)

[6] 施榮華,莫銳,趙文濤.一種基于沖突檢測的無關聯(lián)規(guī)則集匹配算法[J].計算機工程與科學,2010,32(10):1-4.(SHIRH,MOR,ZHAOWT.Anirrelativerulesetmatchalgorithmbasedoncollisiondetection[J].ComputerEngineeringandScience, 2010, 32(10): 1-4.)

[7] 盧云龍,羅守山,郭玉鵬.基于改進策略樹的防火墻策略審計方案設計與實現(xiàn)[J].信息網絡安全,2014(10):64-69.(LUYL,LUOSS,GUOYP.Thedesignandimplementationoffirewallpolicyauditplanbasedonimprovedstrategytree[J].NetinfoSecurity, 2014(10): 64-69.)

[8]LIUAX.Formalverificationoffirewallpolicies[C]//Proceedingsofthe2008IEEEInternationalConferenceonCommunications.Piscataway,NJ:IEEE, 2008: 1494-1498.

[9]KAROUIK,FTIMAFB,GHEZALAHB.Firewallsanomaliesseverityevaluationandclassification[J].InternationalJournalofSecurity&Networks, 2014, 9(3): 167-176.

[10]LIAOXJ,WANGY,LUH.Ruleanomaliesdetectioninfirewalls[J].KeyEngineeringMaterials, 2011, 474/475/476: 822-827.

[11]ALSHAERES,HAMEDHH.Discoveryofpolicyanomaliesindistributedfirewalls[C]//Proceedingsofthe2004IEEEInternationalConferenceonComputerCommunications,Piscataway,NJ:IEEE, 2004: 2605-2616.

[12] 張麗.分布式防火墻策略異常檢測算法的研究[D].南京：南京理工大學,2007:44-48.(ZHANGL.Theresearchondistributedfirewallpolicyanomalydetectionalgorithm[D].Nanjing:NanjingUniversityofScienceandTechnology, 2007: 44-48.)

[13] 吳軍,鄧寶龍,邵定宏.基于SMFDD實現(xiàn)分布式防火墻異常規(guī)則檢測及優(yōu)化[J].計算機工程與設計,2014,35(11):3741-3746.(WUJ,DENGBL,SHAODH.AnomalydetectionandoptimizationofdistributedfirewallrulesbasedonSMFDD[J].ComputerEngineeringandDesign, 2014, 35(11): 3741-3746.)

[14]THANASEGARANS,TATEIWAY,KATAYAMAY,etal.Designandimplementationofconflictdetectionsystemfortime-basedfirewallpolicies[J].JournalofNextGenerationInformationTechnology, 2011, 2(4)：24-39.

[15]CHENF,LIUAX,HWANGJ,etal.Firststeptowardsautomaticcorrectionoffirewallpolicyfaults[J].ACMTransactionsonAutonomous&AdaptiveSystems, 2011, 7(2): 439-447.

ThisworkispartiallysupportedbytheNationalNaturalScienceFoundationofChina(61672485, 61379130).

WANG Xudong, born in 1966, senior engineer.His research interests include information security, electric power information network.

CHEN Qingping, born in 1974, M.S., senior engineer.His research interests include information security, electric power information network.

LI Wen, born in 1991, M.S.candidate.His research interests include wireless network, smart grid.

ZHANG Xinming, born in 1964.Ph.D., professor.His research interests include wireless network, smart grid.

Time-based strategy audit scheme of access control list in multi-layer firewall

WANG Xudong1, CHEN Qingping1, LI Wen2, ZHANG Xinming2*

(1.AnhuiElectricPowerCompany,StateGrid,HefeiAnhui230061,China;2.SchoolofComputerScienceandTechnology,UniversityofScienceandTechnologyofChina,HefeiAnhui230027,China)

To solve the Access Control List (ACL) strategic audit problem in multi-layer firewalls, the policy anomalies in single firewall and between multi-layer firewalls were analyzed based on time.Then the Anomaly Detection based on Backtracking Algorithm (ADBA) was proposed by constructing the tree structure according to the topology of firewalls.First, the ACL policy of each firewall was analyzed and the data format was unified to the database.Second, the tree structure of firewall was built based on the topology of the firewall and the anomaly would be detected in a single firewall.Finally, the data in the database and the tree structure was used in ADBA to detect and record the abnormal strategy.The experimental results show that compared with the Semi-isomorphic Marked Firewall Decision Diagram (SMFDD) algorithm, the proposed ADBA can reduce the execution time of anomaly detection by 28.01% and reduce the miscalculation of anomaly detection according to the time factor.The ADBA can be implemented effectively at multi-layer firewalls ACL audit to improve detection accuracy and reduce detection time.

multi-layer firewall; firewall rule; anomaly detection; Access Control List (ACL) audit

2016-06-22;

2016-08-06。 基金項目:國家自然科學基金資助項目(61672485,61379130)。

王旭東(1966—)，男，安徽霍山人，高級工程師，主要研究方向：信息安全、電力信息網絡； 陳清萍(1974—)，女，安徽蕪湖人，高級工程師，碩士，主要研究方向：信息安全、電力信息網絡； 李文(1991—)，男，安徽安慶人，碩士研究生，主要研究方向：無線網絡、智能電網；張信明(1964—)，男，安徽天長人，教授，博士，CCF高級會員，主要研究方向：無線網絡、智能電網。

1001-9081(2017)01-0212-05

10.11772/j.issn.1001-9081.2017.01.0212

TP393.08

A