关键字 |
| 准确性、异常、防火墙、策略规则、管理不善 |
介绍 |
| 防火墙是一种网络元素,它基于特定的安全策略控制包在安全网络边界上的遍历。防火墙策略规则是一组有序的过滤规则,这些规则定义了对匹配数据包执行的操作。规则由协议类型、源IP地址、目的IP地址、源端口、目的端口等过滤字段(也称为网络字段)和过滤动作字段组成。每个网络字段可以是单个值或值的范围。 |
| 在网络安全领域,防火墙策略规则是防御外部网络攻击和威胁的第一道防线,对于网络组织来说,防火墙策略规则的管理非常复杂且容易出错。手动管理防火墙策略规则的任务变得非常困难和耗时,如果不是不可能的话。其中一个突出的问题是,这些规则在多大程度上是有用的、最新的。因此,这些规则需要不断更新、调优和验证,以优化防火墙安全性[1]。 |
| 在规则过滤部分,可以使用IP、UDP或TCP头中的任何字段,但实践经验表明,最常用的匹配字段是:协议类型、源IP地址、源端口、目的IP地址和目的端口。其他一些字段偶尔用于特定的过滤目的。 |
| 规则集中的错误被称为异常,为了任何防火墙的有效工作,必须从规则集中检测和删除这些错误。发现并研究了5种类型的异常,即阴影异常、相关性异常、概化异常、冗余异常和不相关性异常[4]。 |
| 过滤操作是接受(允许数据包进入或从安全网络通过)或拒绝(导致数据包被丢弃)。如果报文头信息符合特定规则的所有网络字段,则报文被接受或拒绝。否则,使用下面的规则再次测试与他的数据包的匹配。类似地,此过程将重复进行,直到找到匹配规则或执行默认策略动作[5][6]。 |
| 规则集的大小因组织类型而异。通常情况下,由于不同的网络管理员经常根据自己的需求修改策略规则,所以规则集非常大。这些变化可能导致异常的发生。由于规则集规模较大,手动逐个检查规则[10]很难发现异常。 |
| 规则被定义为一组标准和数据包匹配标准时要执行的操作。规则的判据包括方向、协议、源IP、源端口、目的IP和目的端口。因此,一条完整的规则可以由顺序方向、协议、源IP、源端口、目的IP、目的端口、动作定义,每个属性可以定义为一个值范围[7]。 |
防火墙策略规则异常概述 |
| 一些相关工作在表1中对不同类型的防火墙策略异常进行了分类[8,9]。 |
跟踪异常: |
| 前面的一条或一组规则匹配所有数据包,这些数据包也匹配遮蔽规则,当它们执行不同的操作时,可以遮蔽规则。在这种情况下,一条规则想要拒绝(接受)的所有数据包都可能被之前的规则接受(拒绝),因此阴影规则将永远不会生效。例如,在表2中,R4是R3的阴影,因为R3允许来自任何10.1.1.0/24端口的TCP数据包到192.168.1.0/24端口25,而R4应该是拒绝的。 |
泛化异常: |
| 一条规则是一条或一组前规则的泛化,即该规则匹配的报文的一个子集也被前规则匹配,但动作不同。例如,R5是表3中R4的泛化。这两条规则表示允许来自10.1.1.0/24的所有报文通过;除了从10.1.1.0/24到端口的TCP数据包,值得注意的是,概化可能不是一个错误。 |
相关异常: |
| 一个规则是与其他规则相关的,如果一个规则与其他规则交叉,但定义了不同的操作。在这种情况下,通过这些规则的交集匹配的数据包可能会被一条规则允许,而被其他规则拒绝。例如R4和R5对应,所有从10.1.1.0/24任意端口到172.32.1.0/24的53端口的UDP报文都匹配这两条规则的交集。由于R2是R5的前一条规则,所以在这两条规则交点内的所有数据包都被R2拒绝。但是,如果它们的位置是交换的,则允许相同的数据包。 |
冗余异常: |
| 如果存在另一个具有相同效果的相同或更一般的规则,则该规则是冗余的。例如,R1相对于表5中的toR2是冗余的,因为所有从10.1.2.0/24的任意端口发送到与R1匹配的172.32.1.0/24的53端口的UDP报文都可以以相同的动作匹配R2。 |
无关紧要的异常: |
| 如果防火墙中的过滤规则不能匹配任何可能流经此防火墙的流量,则该规则是不相关的。当规则的源地址和目的地址字段都不匹配任何可以通过此防火墙访问的域时,就会出现这种情况。也就是说,该规则的源地址和目的地址之间的路径不经过防火墙。此规则对此防火墙的过滤结果没有影响。 |
相关工作 |
| 在本文[8]中,作者提出了一组技术和算法,用于自动发现防火墙策略异常,以揭示遗留防火墙中的规则冲突和潜在问题,以及用于插入、删除和修改规则的无异常策略编辑。他们实现了一个用户友好的工具,叫做“防火墙策略顾问”。防火墙策略顾问极大地简化了作为过滤规则编写的任何通用防火墙策略的管理,同时最大限度地减少了由于防火墙规则配置错误造成的网络漏洞。在本文[11]中,作者提出了一个新的异常管理框架,便于系统地检测和解决防火墙策略异常。引入了基于规则的分割机制和基于网格的表示技术,实现了有效的异常分析。在本文[13]中,作者提出了一种自动检测和解决此类异常的过程。该算法可以集成到策略顾问和编辑工具中。本文对规则之间的关系进行了完整的定义和分析。这些技术必须在规则通过应用算法摆脱异常后才能应用。在本文[4]中,作者提出了一种模态逻辑,称为可见性逻辑(VL),它可用于表示防火墙内规则之间的任意模式。 A model checker allows one to verify any formula expressed in visibility logic, of which traditional anomalies are merely particular instances, with running times of under one second for 1,500 rules. In this paper [14] the author proposed a novel methodology called rule-based segmentation technique to identify policy anomalies, which is articulated with a grid-based representation. It derives effective solutions to avoid anomalies by providing an intuitive cognitive sense about policy anomaly. In this paper [15] the authors proposed a formal Language for specification of security policy in firewalls, Based on the language, the specified security policy, simple anomalies, total anomalies are translate to propositional logic formulas. Moreover, a tool based on theorem proving is design and implemented for detection of the anomalies in the specified policy. In this paper [16] the author proposed a system of four stages. The rule set Extractor stage generates policy rules for intra or inter firewall system. These randomly generated or user defined rules will be checked by the anomaly detection algorithm in the Rule set Analyser stage. This stage generates the log file for the anomalies detected with the rule numbers and the corrective actions. User can edit the anomalous rules as guided by the analyser stage and a new anomaly free rule set can be achieve,The next stage is the rule set Updater stage, which defines the manual update done due to the policy changes in the organization. This update will again generate some anomalies since it is a manual process so the rule set is again given as input to the Rule set Analyser stage. In this paper [17] the authors presented a flexible algorithm that could be use even for the deployment of policies of very large size. The algorithm called “Enhanced Scanning Deployment”, have started by giving a simple deployment algorithm for an initial policy and target policy T that will allow us to correct the algorithm "scanning deployment". In this paper [18] the authors presented a set of techniques and algorithms, to analyse and manage firewall policy rules. (1) Data mining technique to deduce efficient firewall policy rules by mining its network traffic log based on its frequency. (2) Filtering-Rule Generalization (FRG) to reduce the number of policy rules by generalization and (3) a technique to identify any decaying rule, and a set of few dominant rules to generate a new set of efficient firewall policy rules as a result of these mechanisms. In this paper [19] the authors presented a framework for automatic testing of the firewall configuration enforcement using efficient and flexible policy and traffic generation. In a typical test session, a large set of different policies are generate based on the access-control list (ACL) grammar. According to custom profiles. |
| 最后,在一些相关工作中,作者采用了两种方法,第一种方法是数据挖掘算法进行异常检测,第二种方法是分组分割网格等。在我们的模型中,我们关注异常检测的准确性,因为我们认为精度是异常检测的主要因素,所以我们的检测方法是直接搜索算法,检测步骤多。 |
提出的模型 |
| 本研究的主要目的是建立一种小型网络中防火墙策略规则异常检测与过滤的模型,以提高检测异常的准确性。 |
| 在我们的模型建议中,准确性是创建模型中主要和重要的因素,我们的模型通过对小网络安全异常防火墙策略规则的检测,检测的准确性是检测异常的瓶颈和主要问题。因此,我们要小心地设计我们的模型,使其更准确。 |
| 我们把工作分成四部分。第一部分为实验环境的设计与创建,第二部分为模型的设计与构建,第三部分为模型的序列功能,第四部分为模型的序列功能说明。 |
设计和创建真实的实验环境 |
| 在第一阶段,我们设计并创建了真实的小型网络环境。网络有中央防火墙策略规则来控制报文在外部网络和内部网络的遍历。该网络有很多子网,使用不同级别的IP网络管理起来更加复杂,这导致我们测试了大量的异常情况,并检查检测异常的准确性,如下图1所示。 |
| 在表6中,我们编写了一些与之前的网络兼容的规则,并有许多情况下的四种类型的异常规则,如概化异常,相关异常,冗余异常和阴影异常,以备检测,和异常。 |
模型设计与施工: |
| 本文主要研究利用四种异常规则对防火墙策略规则进行异常检测。因此,需要设计一个具有多个处理步骤的模型,用于从具有异常和正常防火墙策略规则的数据集集合中检测和过滤异常规则。如图2所示,提案模型清晰可见,研究方法包括如下: |
| 1.设计规则报告和统计界面。 |
| 2.任何新策略规则进入数据集的设计约束。 |
| 3.以标准格式重新处理所有策略规则,以便处理。 |
| 4.选择了一些适用于异常处理滤波的算法。 |
| 5.设计异常检测的规则介于数据集的新规则和旧规则之间。 |
| 6.将所有异常存储在当前异常结果列表的独立数据集中。 |
模型序列函数为: |
| 该模型具有许多核心功能,可以提高防火墙策略规则异常检测的准确性。 |
| 1.修改一条或多条新规则,检查和发现异常情况。 |
| 2.提交对旧规则的查询或搜索。 |
| 3.将新规则分享给分发流程。 |
| 4.将防火墙数据集的当前规则共享给分发过程。 |
| 5.将新规则和当前规则分配到四个主要部分,以检测异常。 |
| 6.在检测到异常检测过程中的各个部分后,如果新规则与旧规则没有任何异常,则将新规则存储在数据集中进行预览和存储。 |
| 7.将所有新规则存储到防火墙策略规则的当前规则数据集中。 |
| 8.完成对各部分的异常检测后,如果新规则有任何异常,用旧规则存储的数据集进行预览。 |
| 9.所有新规则对管理员的反馈都有异常。 |
模型的实现 |
| 在实现我们的模型时,我们采用了web应用程序的方法,因为web应用程序适合在任何操作系统中执行,因此我们使用了PHP CodeIgniter框架编程语言和mvcs技术,并使用iptables防火墙策略规则进行处理检测。 |
概化异常伪代码: |
| 1.(动作:新规则≠旧规则)And((协议:新规则=旧规则)And(源端口:新规则=旧规则)) |
| 2.目的端口:新规则=旧规则->源IP或目的IP |
| 3.源和目的IP(旧规则中的新规则子集(新规则⊂旧规则)或(新规则<旧规则)) |
| 4.新规则和旧规则必须在同一个类中,并且所有先前的条件必须为成功。 |
关联异常伪代码: |
| 1.动作:新规则≠旧规则 |
| 2.(协议:新规则与旧规则相同)和(源端口:新规则=旧规则) |
| 3.目的端口:新规则=旧规则 |
| 4.源IP:旧规则新规则 |
| 5.(目的IP:新规则⊂旧规则OR源IP:新规则旧规则)和(目的IP:旧规则新规则) |
| 6.新规则和旧规则必须在同一个类中,并且所有先前的条件必须是成功的。 |
冗余异常伪代码: |
| 1.操作:新规则=旧规则 |
| 2.q .(协议:新规则=旧规则)和(源端口:新规则=旧规则) |
| 3.目的端口:新规则=旧规则源端或目的端 |
| 4.旧规则中的新规则子集(新规则⊂旧规则) |
| 5.源IP和目的IP(新规则<=旧规则) |
| 6.新规则和旧规则必须在同一个类中,并且所有先前的条件必须是成功的 |
遮蔽异常的伪代码: |
| 1.动作:新规则≠旧规则 |
| 2.协议:新规则=旧规则 |
| 3.源端口:新规则=旧规则 |
| 4.目的端口:新规则=旧规则 |
| 5.(新规则中的旧规则子集(旧规则⊂新规则))和(源IP和目标IP(新规则>=旧规则)) |
| 6.新规则和旧规则必须在同一个类中,并且所有先前的条件必须是成功的。 |
实验结果及评价 |
| 在我们的实验中,我们使用的防火墙策略规则的收集数据包括四种类型的异常规则,如阴影、泛化、相关和冗余异常规则。此外,异常的收集情况如表7所示。 |
| 在评估模型结果时;没有标准的基准数据集来评估研究模型。然而,图3中常用的数学方程。 |
| 如表8所示,最后实验结果在我们的模式下检测了异常防火墙策略规则,这里我们使用不同的异常规则采集数据集使用图3中的数学方程,来尝试该模型在检测所有不同类型异常防火墙策略规则的准确性。例如:在第一步中,我们使用了来自异常规则的所有不同类型的两个数字,如表7所示。目前的结果是100个,在下一步的实验中,我们增加了异常数,如表8所示。所有结果100在目前的检测异常防火墙策略规则的准确性因素。 |
结论及未来工作 |
| 本文提出了一种防火墙策略规则异常检测模型,该模型在网络安全中对防火墙策略规则异常检测起着重要作用,其主要因素是检测的准确性。此外,精度因素在检测操作中是非常敏感和重要的;该模型减少了网络管理员的管理失误,减少了发现和过滤异常的时间和精力,帮助管理员进行管理和配置。在防火墙策略规则中添加新规则前,及早发现异常情况。在未来的工作中,我们将设计和创建用于检测网络安全中具有IP6的防火墙策略规则的异常模型。 |
鸣谢 |
| 感谢他们的帮助,我们完成了这篇论文,我们希望这篇论文对其他研究有很好的参考作用,因此我们感谢通信和信息技术部-巴勒斯坦,英国。内达尔·萨法迪和英格。Fouad abuaomira圈监制。 |
表格一览 |
|
|
|
|
数字一览 |
|
|
|
参考文献 |
- 戈纳比,K., Min, R.K.;汗,l;Al-Shaer, E,“使用数据挖掘技术分析防火墙策略规则”,网络运营与管理研讨会,2006。机械工程学报,2006。
- Al-Shaer,静电的哈米德,第三世,"Modeling and Management of Firewall Policies" Network and Service Management, IEEE Transactions, Vol.1, Issue: 1, pp.2-10, 2008.
- “防火墙策略异常的一种新型管理框架”,《国际科研与发展杂志》第1卷第9期,pp.1710-1715,2013。
- Khorchani, B., Halle, S.和Villemaire, R.“防火墙异常检测与可见性逻辑的模型检查器”网络与管理研讨会,2012 IEEE, pp.466-469,2012。
- Y.巴塔尔,A. J.梅尔,K.尼西姆和A.伍尔。Firmato,“一种新颖的防火墙管理工具包”,在IEEE安全和隐私研讨会上,第17-31页,1999。
- E. Al-Shaer, H. Hamed, R. Boutaba,和M. Hasan,“分布式防火墙策略的冲突分类和分析”,IEEE通信选定领域杂志,第23卷,第10期,第2069-2084页,2005。
- 刘国强,刘国强,“防火墙策略规则异常检测与解决”,计算机工程学报,Vol. 29, pp. 1 - 6, 2006。
- Al-Shaer, E., Hamed, H.,“防火墙策略顾问工具的设计与实现”,技术报告CTI-techrep0801,德保罗大学计算机科学电信与信息系统学院,2002。
- Hamed, H., Al-Shaer, E.,“网络安全政策中的冲突分类学”,通信杂志,IEEE,卷。44,第3期,页134-141,2006。
- Al-Shaer, e.e., Hamed, h.h.,“分布式防火墙中策略异常的发现”,INFOCOM 2004。第23届IEEE计算机与通信学会联合会议,vol.4, pp.2605-2616, 2004。
- 胡洪欣,Gail-JoonAhn和Ketan Kulkarni,“检测和解决防火墙策略异常”,可靠和安全计算,IEEE学报,卷。9,页318 - 31,2012。
- 赵建平,刘建平,“防火墙异常检测与消除技术综述”,《网络学报》,vol.1, pp.71-74, 2010。
- Singh A., Chauhan A., Singh A.和harnandan P.“防火墙策略规则中的异常检测和解决”,第二届全国智能计算与通信会议,2008。
- 王晓峰,王晓峰,“基于规则的防火墙策略异常检测与解决方法”,计算机工程学报,Vol.1, pp. 666 -667, 2013。
- 李志军,“防火墙安全策略异常的分析与解决”,《计算机与信息技术》,2009年第4期。
- 赵文杰,“一种基于分布式防火墙的异常检测机制的实现”,计算机应用,vol. 7, pp. 5-8, 2010。
- kart A.和El Marraki M.,“防火墙策略部署的增强算法”,多媒体计算与系统(ICMCS), 2011年国际会议,pp。1 - 4, 2011。
- Al-Shaer E, El-Atawy A,和Samak T,“防火墙配置强制的自动伪实时测试”,通信选择领域,IEEE杂志,第27卷,第3期,第302 - 14页,2009。
|
菜单
