防火墙规则的泛化方法译文要点讲解.docVIP

防火墙规则的泛化方法 摘要--现代防火墙越来越复杂，并且在他们的规则集中可能存在着异常。安全日志数据，比如防火墙日志和由入侵检测系统生成的日志，可以为已有的防火墙规则集的更新和添加提供有效信息。在这篇文章里，我们将着重介绍防火墙规则生成中一种有效机制的发展，并提出一种称为特殊域名规则生成算法（DSRG）的计算程序。该算法集成域特定的网络配置信息以帮助基于安全日志数据防火墙规则的泛化。这些广义的规则能够有助于异常检测或者被用做已有规则集的添加项。 关键词：规则泛化，防火墙，安全 Ⅰ、引言 防火墙是一种在网络流量中作为边界滤波技术广泛使用的流行安全机制。防火墙基本上是以规则为基础的访问控制系统，处理基于组织安全政策的网络流量的输入和输出。虽然过去的几十年里防火墙的基础机制并没有发生变化，但是由于网络流量的复杂性和攻击不断增加，防火墙规则在范围和管理两方面更加复杂。2009年一项近期研究表明今天的防火墙规则集可能包括上千种规则。管理规则对于很多大的机构来说是复杂的、易出错的、代价高的。 在这篇文章中，我们将着重介绍防火墙规则泛化中的一种有效机制的发展。在许多机构里，有必要采取一种规则集使之能够有效并及时反映近期的网络流量模式。许多情况下，仅仅依赖内部进程而与实际网络配置数据无关的这种规则集是不能得以发展的。造成的后果是即使采用规则优化技术，防火墙规则集可能会过时、配置不当、结果不一致。这项研究是基于假设正确的网络配置和安全日志在包级别（比如：从入侵检测系统、系统事件或网络流量日志中获取到的）提供必要的附加信息以助于当前防火墙规则集的一致性和异常检查。此方法不是为了替换全部防火墙规则集，而是更倾向于为使规则集成为最新的而使用附加信息修改现有规则集。研究重点是涉及到防火墙规则泛化问题。 已经有使用机器学习和数据挖掘方法来处理规则泛化问题的方法，该研究是扩展过滤规则生成方法（FRG），它是在防火墙日志中基于聚集算法生成防火墙规则中最小数的方法[2]。过滤规则泛化方法的问题是它提供的是一种粗略泛化技术。尽管这种泛化可能是正确的因为该泛化是基于有限的网络日志数据（注意对于任一种防火墙系统观测所有合法的和不合法的网络流量几乎是不可能的），在很多情况下这种泛化是不正确的。在我们的方法中，我们提出了根据如网络管理员这样的领域专家分配的参数来泛化防火墙规则。该方法被称为特定域名规则泛化方法（DSRG）。在该方法中，泛化为终端用户提供交互式进程去调试基于感知的网络特性的参数，会更有效。 文章分为以下几个章节。第2节提供在文献上相关工作的简要概述。第3节是对FRG算法的评价，说明它不能很好的执行的原因。第4节介绍我们的特定域名规则泛化（DSRG）算法，以及一些相关论述。第6节介绍该研究的成果和未来工作。 Ⅱ 相关工作 大量文献致力于防火墙规则的有效管理。研究课题的范围从实用方法如检测和解决规则异常[3、4、5]、优化规则集[6]到正规方法验证防火墙规则的有效性[7]。防火墙规则集管理与基于签名的入侵检测系统也有一些相似之处，类似于已经使用的优化和泛化技术[8、9、10]。一些研究工作与我们密切相关。FRG算法是一种基于决策树的方法，适用于相同的防火墙规则泛化领域[2]。FRG和DSRG最大的区别是用于泛化的属性层次的定义。我们的方法是更细粒度的，可以根据网络的具体配置。我们使用一种不同的泛化机制，这种泛化机制与用于根源分析的入侵检测系统产生的警报泛化有一些相似之处[9、10、]。我们的方法和[9、10]中方法不同之处在于，我们研究的是不同（尽管相关）的问题区域并且网络属性的泛化层次有不同的定义。 Ⅲ 基于过滤规则泛化（FRG）算法的规则泛化 此节开始讲述规则泛化问题，介绍FRG算法。 规则泛化问题 防火墙中的基本组成部分是规则集，规则集实质上是一个用于执行访问控制策略的知识库。防火墙规则r可以定义如下： r:{协议、命令、源IP、源端口、目的IP、目的端口}→执行 该规则的条件部分是一组条件属性。条件集合通常由6个元素组成，它对应于一个IP数据包报头，还表示这是否是输入输出流量的一部分。规则集通常是由若干规则组成。规则的执行部分通常是拒绝和允许，表示网络流量是否应该被允许在限定情况下传输[2、4]。 许多情况下，通配符（例如，带有一个“*”标志或端口号域的一个IP地址代表“任何”）被广泛用于防火墙规则。例如，172.0.1.*表示的IP地址的范围是到55.通配符以紧凑的方式提供了定义大量的相似防火墙规则的方法。另一种增加防火墙规则的表现是使用无类别域间路由代理（CIDR），它允许任意字长的前缀分配来分离IP地址的子网部分和主机部分。 May 31 17:53:51 utd52075 kernel: ACC