一种DAAC网络防泄漏设计.docVIP

一种DAAC网络防泄漏设计摘要:相对于传统的网络访问控制方法会遗漏网络设备间反映网络安全状态的传递信息,本文设计了一种动态AAC网络防泄漏技术,基于网络流量分布式分析推理完成网络的安全管理。通过实验研究表明该种方法能够很好的解决网络的安全信息的转换,达到防泄漏的可能 关键词:动态网络访问控制 防泄漏 错误鉴别 DOI:10.3969/j.issn.1672-8289.2010.10.049 1 前言 网络发展到现在,各部门或多或少都通过网络办公或交流。网络的防泄漏随着成为各部门重点关心的问题。传统的网络防泄露方法是在网络的上层来负责(如应用层IDS)访问控制和监控。并过于信任内部网的一些设备,从而极易造成复杂的和错误配置信息并导致不可靠的安全策略 为了克服上述问题,人们开始提出各种方法来适应其需要。本文中介绍的自适应访问控制方法(Adaptive Access Control, AAC)就是对当今网络防泄漏的一种研究,利用AAC的自适应特点产生动态的、细力度的内部网访问控制策略并自动的进行错误鉴别、分析,以达到有效地保护内部网络设备的安全及整个网络系统的安全 2 AAC的相关研究背景 在介绍本文设计的动态访问控制方法之前,先来看下内部网络中的访问控制和监控管理所遇到的问题和基于可编程交换机的访问控制技术 2.1 访问控制和监控 内部网络往往是大型的、异构的、和不可管的。网络的管理者为了内网的安全常陷入人为复杂的管理问题中,同时也必须面对不同的网络设备被攻击或处于不安全状态的情况。这种访问控制和监控方式是低效的、和不灵活的。新的网络访问控制应该动态自适应的以减轻网络管理者的管理负担 2.2 基于可编程交换机的访问控制技术 该种技术利用可编程的交换机在交换机内部设置访问控制规则,可以实现在OSI的低层有效地对数据流进行访问控制、监控。目前使用的技术是一个管理架构:包括一个可编程的支持OpenFlow协议的交换机和一个中心控制器。利用OpenFlow协议在交换机中设置数据流表条目信息来管理访问控制,同时在一个安全通道上,交换机和中心控制器通信来控制交换机的操作行为 3 自适应访问控制方法的设计 本文提到的AAC由一个策略规范框架、分布式网络监控策略和一种基于可编程交换机的动态规范制定策略 3.1策略规范框架 已有的访问控制框架会为每个安全类分配一个网络设备。因此AAC中的访问控制是动态的,基于某个网络设备的安全类和状态,AAC允许网络操作者制定不同的安全防漏功能。如当某个网络设备进入不安全状态时,AAC能够基于某个定制好的高层的安全策略,去指导交换机处理内部网络数据流。本文中重点介绍访问控制框架的设计,而非策略语言制定 相对于传统的方法,AAC的策略规范框架提供了大量的更加细力度的访问控制。在内部网中,属于相同安全组的网络设备属于同一个虚拟局域网,在相同虚拟局域网中的数据流会接受相同的策略。另外,由于虚拟局域网的标识符只有12bits,一个网络所能配置的虚拟局域网数目最多为212个。在一个网络中运用AAC细力度的策略,不会有速度的影响 3.2 分布式的网络监控策略 AAC改变传统基于网络设备的安全防漏策略,由网络本身检测网络安全任务。后文的实验仿真表明,基于网络流量的分布式分析推理能很好的完成主要的和基本的网络管理任务。如处于不安全状态的网络设备、垃圾邮件过滤、网络性能下降诱因检测等 AAC的分布式网络监控策略流程:网络单元转发有关网络流量信息的报告给专门进行信息分析和推理的中心服务器;中心服务器根据网络流量报告进行分析和推理,如发现网络信息泄漏相关的信息,则发送警告信息给系统 传统的监控系统也是基于各个主机的网络行为、性能等进行推理并发起警告信息的。但是,传统的监控系统遗漏了网络设备之间的联系行为的信息,而这些信息恰恰放映出大量不同类型的网络安全问题。AAC通过分布式网络监控策略可有效避免这些隐患,达到防御大量的网络攻击 3.3 一种基于可编程交换机的动态规范制定策略 不同于传统的内部网络防漏系统完全弱化了对低层流量控制的监控,AAC允许交换机基于不同的输入信息动态地映射客户。警报系统为了控制流量,首先会发送信息给系统控制器,紧接着,通过标准的、基于OpenFlow的交换机接口系统控制器控制交换机的行为以控制流量 通过分布式的推理的警告系统与可编程交换机的结合和通过可以处理系统中网络设备状态和安全类差别性流量的网络设备,AAC实现了动态的访问控制。相对于传统的人工网络配置方式常常会导致映射在一个虚拟局域网中的网络设备数目过载,和导致大量的人工操作的干预,AAC能够避免这些问题 4 自适应访问控制策略的错误鉴别和分析