一种基于SFDD 的状态防火墙规则集比对方法.pdfVIP

第 41卷 第 10期 湖 南 大 学 学 报 自然 科 学 版 V01．41．N0．10 2014年 10月 JournalofHunanUniversity NaturalSciences ct．20 14 文章编号 ：1674—2974 2014 10—0103—05 一 种 基 于 SFDD 的 状 态 防 火 墙 规 则 集 比 对 方 法 秦 拯 ，厉怡君 ，欧 露”，AlexX．Liu 1．湖南大学 信息科学与工程学院，湖南 长沙 410082； 2．密歇根州立大学 计算机科学与工程系，密歇根 兰西 48824—1266 摘 要 ：状态防火墙是一种新型防火墙 ，而传统防火墙决策 图 FDD 构造算法并不适用 于状态防火墙的规则集比对．本文在 FDD基础上，提 出一种状态防火墙决策 图 SFDD 构 造算法，将规则集转化成图形化的等价 的SFDD，用于状态防火墙规则集 比对．理论分析和 仿真实验结果表 明，利用SFDD构造算法进行 比对，能有效检测 出规则集之 间的全部不同 点；当状态防火墙的状态部分规则和无状态部分规则条 目数量均达到 3000时，比对过程所 耗 费的平均时间不超过 2S． 关键词 ：网络安全；防火墙规则；访 问控制 中图分类号 ：TP393．08 文献标识码 ：A A New ApproachtoCompareStatefulFirewall RuleSetBasedonSFDD QIN Zheng，LIYi-jun ，OU Lu”，AlexX．Liu 1．SchoolofInformationScienceandEngineering，HunanUniv，Changsha，Hunan 410082，China； 2．DeptofComputerScienceandEngineering。MichiganStateUniv。EastLansing，MI 48824—1266，USA Abstract：Thestatefulfirewallisanew typeoffirewall，andthetraditionalfirewalldecisiondiagrams FDD constructionalgorithm doesnotapplytostatefulfirewallruleset．Thispaperpresentedastateful firewalldecisiondiagrams SFDD constructionalgorithm ，whichtransformsthestatefulfirewallACLsin— toequivalentstatefulfirewalldecisiondiagrams，andisappliedtothestatefulfirewallrulesetcomparison． TheoreticalanalysisandsimulationresultshaveshownthatthemethodcaneffectivelydetectalIthediffer— encesbetweentherulesets．Andwhenthenumberofrulesforboththestatefuland statelesssection is 3000．thetimecostiSlessthan2 Keywords：networksecurity；firewallrules；accesscontrol 防火墙规则集 比对十分重要 ，这是因为其一 ，可 前后的一致性和完整性等等．目前 ，防火墙规则集 以查找出人工配置安全规则与安全需求不一致 的地 比对方法 已经成为研 究热点和难点。卜 ．文献 [1] 方，从而检测出错误的配置；其二 ，通过 比对多个设 提出一种基于规则交集运算的规则集 比较算法 ，将 计组设计的不同的防火墙规则集 ，选取优者 ；其三 ， 规则集 比对转化为多维空间 中的图形 比较 ，利用规 通过对比移植前后的防火墙 的规则集 ，以确保移植 则交集运算 ，判断图形所 占区域和颜色是否一致来 * 收稿 日期 ：2o13-11—23 基金项 目：国家 自然科学基金资助项 目 座机电话号码，座机电话号码，座机电话号码 作者简介：秦 拯 1969一 ，男，湖南祁东人 ，湖南大学教授 ，博士 十通讯联系人 ，E—mail：oulu9676@gmail．CO1TI 104 湖南大学学报 自然科学版 确定规则集是否等价 ；在文献 [2—7]中，AlexX． 第一种情况 ，SnI e， 一 ：跳过边 e，，由于任 Iiu等人首先提出防火墙决策图 FirewallDecision 何一个字段为 F ，满足边 e，的包要么