关键字 |
| 准确性、反常、防火墙、政策规定,管理不善 |
介绍 |
| 防火墙是一个网络的遍历元素控制数据包在网络的边界安全基于一个特定的安全策略。防火墙策略规则的命令过滤规则列表定义匹配的数据包上执行的操作。规则由过滤字段(也称为网络领域)如协议类型、源IP地址、目的地IP地址、源端口和目的端口和一个过滤器行动领域。每个网络领域可能是一个单值或范围的值。 |
| 世界上的网络安全,防火墙策略规则的第一道防御外部网络攻击和威胁,防火墙策略规则的管理已被证明是复杂且容易出错的网络化组织。手动的任务管理、防火墙策略规则变得非常困难和费时的,如果不是不可能的。的一个突出问题是,有多少规则是有用的,现代化。因此,这些规则是在一个不断更新的需要,优化和验证优化防火墙安全[1]。 |
| 可以使用任何领域在IP, UDP和TCP报头在规则过滤部分,然而,实践经验表明,最常用的匹配字段:协议类型、源IP地址、源端口、目的IP地址和目的港。其他字段都是偶尔usefor具体过滤的目的[2][3]。 |
| 规则集的错误被称为异常必须检测并移除任何防火墙规则集的高效工作。五种异常发现和研究即跟踪异常,相关异常,泛化异常、冗余异常,和无关紧要的异常[4]。 |
| 过滤操作要么接受,它允许数据包进入或从安全的网络,或否认,这导致数据包被丢弃。接受或拒绝数据包,通过特定的规则如果数据包报头信息匹配此规则的网络所有字段。否则,下一个规则是用来测试匹配后与他包了。同样,重复这个过程,直到找到一个匹配的规则或默认执行政策行动[5][6]。 |
| 规则集的大小根据不同的类型的组织。通常,规则集是非常大的,因为不同的网络管理员经常修改策略规则根据他们的需求。这些变化可能会导致异常的发生。因为大尺寸的规则集,很难检测到异常通过手动检查一个接一个的规则[10]。 |
| 规则定义为一组标准和一个动作执行时数据包匹配的标准。元素的标准规则包括方向、协议、源IP,源端口,目的IP地址和目的港。因此,一个完整的规则可以定义命令方向,协议,IP源,源端口,目的IP,目的港,行动,每个属性可以被定义为一系列值[7]。 |
防火墙策略的异常规则的概述 |
| 几个相关的工作分类不同类型offirewall政策异常表1 (8、9)。 |
跟踪异常: |
| 前一个或一组规则匹配所有的数据包,也匹配跟踪规则,执行不同的动作时,影子一个规则。在这种情况下,一个规则的所有数据包打算拒绝(接受)可以接受(拒绝)之前的规则(s),因此,跟踪规则永远不会生效。例如,在表2中,R4由R3影子因为R3允许每一个TCP包来自任何港口10.1.1.0/24 192.168.1.0/24的端口25,R4应该是否定的。 |
泛化异常: |
| 规则是一个或一组之前的泛化规则如果数据包匹配的一个子集,这条规则也匹配前面的规则(s),但采取不同的行动。例如,R5的泛化R4在表3。这两个规则表明,所有的数据包从10.1.1.0/24是允许的;除了TCP数据包从10.1.1.0/24到港口,25的192.168.1.0/24值得注意,泛化可能不是一个错误。 |
相关异常: |
| 一个规则是与其他规则,如果一个规则与人相交,但定义了不同的操作。在这种情况下,数据包matchby这些规则的十字路口,可能会允许一个规则,但否认。例如,R4与R5, UDP数据包来自任何10.1.1.0/24港港口53 172.32.1.0/24匹配这些规则的交集。由于R2是前R5,每包在十字路口否认这些规则的R2。然而,如果他们的位置互换,同样的数据包将被允许。 |
冗余异常: |
| 规则是多余的如果有另一个相同或更一般的规则可以有同样的效果。例如,R1是多余的对toR2在表5中,因为所有UDP数据包来自任何10.1.2.0/24港港口53 172.32.1.0/24与R1可以匹配R2也用同样的动作。 |
无关紧要的异常: |
| 防火墙的过滤规则无关如果这条规则不能匹配任何交通可能流过这个防火墙。这种情况存在时的源地址和目的地址字段的规则不匹配任何域可以通过防火墙。换句话说,这个的源地址和目的地址之间的路径规则不经过防火墙。这条规则对防火墙的过滤结果没有影响。 |
相关工作 |
| 摘要[8]作者提出了一系列的技术和算法,提供防火墙策略的自动发现异常现象,以揭示传统防火墙规则冲突和潜在的问题,和anomaly-free政策编辑规则插入,删除,修改。他们实现了一个用户友好的工具称为“防火墙政策顾问”。防火墙政策顾问大大简化了管理的通用的防火墙策略写成过滤规则,同时最小化网络脆弱性由于防火墙规则错误配置。。摘要[11]作者提出了一种新颖的异常管理框架,促进系统的防火墙策略异常检测和解决方法。基于规则的分类机制和基于网格的表征技术,介绍了实现有效和高效的目标异常分析。本文作者[13]提供了一个自动化的过程检测和解决这样的异常。该算法可以集成到政策顾问和编辑工具。本文建立了完整的定义和分析的规则之间的关系。这些技术应该仅适用于规则无异常后应用算法。摘要[4]作者提出了模态逻辑,称为可见性逻辑(重要的),可以用来表达任意模式之间的内部防火墙规则。 A model checker allows one to verify any formula expressed in visibility logic, of which traditional anomalies are merely particular instances, with running times of under one second for 1,500 rules. In this paper [14] the author proposed a novel methodology called rule-based segmentation technique to identify policy anomalies, which is articulated with a grid-based representation. It derives effective solutions to avoid anomalies by providing an intuitive cognitive sense about policy anomaly. In this paper [15] the authors proposed a formal Language for specification of security policy in firewalls, Based on the language, the specified security policy, simple anomalies, total anomalies are translate to propositional logic formulas. Moreover, a tool based on theorem proving is design and implemented for detection of the anomalies in the specified policy. In this paper [16] the author proposed a system of four stages. The rule set Extractor stage generates policy rules for intra or inter firewall system. These randomly generated or user defined rules will be checked by the anomaly detection algorithm in the Rule set Analyser stage. This stage generates the log file for the anomalies detected with the rule numbers and the corrective actions. User can edit the anomalous rules as guided by the analyser stage and a new anomaly free rule set can be achieve,The next stage is the rule set Updater stage, which defines the manual update done due to the policy changes in the organization. This update will again generate some anomalies since it is a manual process so the rule set is again given as input to the Rule set Analyser stage. In this paper [17] the authors presented a flexible algorithm that could be use even for the deployment of policies of very large size. The algorithm called “Enhanced Scanning Deployment”, have started by giving a simple deployment algorithm for an initial policy and target policy T that will allow us to correct the algorithm "scanning deployment". In this paper [18] the authors presented a set of techniques and algorithms, to analyse and manage firewall policy rules. (1) Data mining technique to deduce efficient firewall policy rules by mining its network traffic log based on its frequency. (2) Filtering-Rule Generalization (FRG) to reduce the number of policy rules by generalization and (3) a technique to identify any decaying rule, and a set of few dominant rules to generate a new set of efficient firewall policy rules as a result of these mechanisms. In this paper [19] the authors presented a framework for automatic testing of the firewall configuration enforcement using efficient and flexible policy and traffic generation. In a typical test session, a large set of different policies are generate based on the access-control list (ACL) grammar. According to custom profiles. |
| 最后,在几个相关的作品,作者使用了两种方法,第一种方法是数据挖掘算法来检测异常,第二种方法是数据包分割网格等。在我们的模型中,我们对accuracyin检测异常关注,因为我们认为精度检测异常的主要重要因素我们的检测方法是直接和搜索算法与许多步骤检测。 |
提出的模型 |
| 本研究的主要目的是开发一个模型的异常检测和过滤防火墙策略规则在小型网络为了增加这些异常检测的准确性。 |
| 在我们的模型中提议,创建中的准确性主要和重要的因素,我们的模型对小型网络安全通过异常的检测防火墙策略规则,检测的准确性是异常检测的瓶颈和主要问题。因此,我们要小心在设计我们的模型更准确。 |
| 我们划分为fourparts工作。第一部分设计和创建真实的实验环境,第二部分设计和施工模型第三部分序列函数模型的第四部分解释的序列功能模型。 |
设计与制作真实的实验环境 |
| 在第一阶段,我们设计和创造真正的小型网络环境。网络中心防火墙策略规则控制数据包在内部和外部网络的遍历。网络有许多子网络使用不同的IP网络管理更加复杂,这导致我们测试大量的异常病例和检查异常检测的准确性下面图1所示。 |
| 在表6中,我们写一些规则兼容previousnetwork和许多情况下的四种类型的异常规则,如泛化异常,相关异常,冗余异常和跟踪异常,准备检测,异常。 |
设计和施工的模型: |
| 本研究致力于研究检测异常防火墙策略规则使用四种异常规则。所以,需要一个模型设计有许多处理步骤检测和过滤数据集的异常规则从一组异常和正常的防火墙策略规则。很明显建议模型在图2中,研究方法包括如下: |
| 1。设计界面规则和统计报告。 |
| 2。设计约束对任何新政策规则进入数据集。 |
| 3所示。后处理中所有策略规则标准格式准备处理。 |
| 4所示。选择一些算法适合在过滤异常过程中使用。 |
| 5。设计检测异常之间的新规则和旧的规则集。 |
| 6。存储所有异常独立的数据集的当前结果列表异常。 |
序列的函数模型: |
| 我们的模型有很多核心功能增强所熟知检测异常防火墙策略规则。 |
| 1。修改一个或多个新规则检查和检测异常。 |
| 2。关于旧规则提交查询或搜索。 |
| 3所示。分享新规则分布的过程。 |
| 4所示。分享目前的防火墙规则形式数据集分布的过程。 |
| 5。分配新产品和现有规则和分裂的四个主要部分来检测异常。 |
| 6。后发现异常检测过程的所有部分,如果新规则没有任何异常与旧规则新规则存储在数据集预览和存储。 |
| 7所示。所有新规则存储到当前防火墙策略规则的规则集。 |
| 8。完成所有部分的异常检测后,如果新规则有任何异常与旧规则存储数据预览。 |
| 9。新规则都异常的反馈管理员。 |
模型的实现 |
| 我们在实现我们的模型,使用web应用程序的方法,因为web应用程序是合适的可以在任何操作系统执行,因此我们使用PHP语言编程CodeIgniter框架MVCtechnique旁边,和使用iptables防火墙策略规则处理检测。 |
泛化异常的伪代码: |
| 1。(动作:新规则≠旧规则)和((协议:新规则=旧规则)和(源端口:新规则=旧规则)) |
| 2。目的港:新规则=旧规则- >源IP或目的地IP |
| 3所示。源和目标IP(新规则子集在旧规则(新规则⊂旧规则)或(新规则<旧规则)) |
| 4所示。新的规则和旧规则必须在同一个班,以前所有条件必须成功。 |
相关异常的伪代码: |
| 1。行动:新规则≠旧规则 |
| 2。(协议:新规则老规则)和(源端口:新规则=旧规则) |
| 3所示。目的港:新规则=旧规则 |
| 4所示。源IP:旧规则⊂新规则 |
| 5。(目的地IP:新规则⊂旧规则或源IP:新规则⊂旧规则)和(目的地IP:旧规则⊂新规则) |
| 6。新规则和旧规则必须在同一类或者以前的条件必须成功。 |
伪代码的冗余异常: |
| 1。行动:新规则=旧规则 |
| 2。(协议:新规则=旧规则)和(源端口:新规则=旧规则) |
| 3所示。目的港:新规则=旧规则在源或目标 |
| 4所示。新规则在旧规则子集(新规则⊂旧规则) |
| 5。源和目标IP(新规则< =旧规则) |
| 6。新规则和旧规则必须在同一类或者以前的条件必须成功 |
跟踪异常的伪代码: |
| 1。行动:新规则≠旧规则 |
| 2。协议:新规则=旧规则 |
| 3所示。源端口:新规则=旧规则 |
| 4所示。目的港:新规则=旧规则 |
| 5。(旧规则子集在新规则(旧规则⊂新规则))和(源IP和目的地IP(新规则> =旧规则)) |
| 6。新规则和旧规则必须在同一类或者以前的条件必须成功。 |
实验结果和评价 |
| 在我们的实验中,我们使用防火墙策略规则的集合数据包括四种类型的异常规则,如阴影、泛化、相关性和冗余异常规则。此外,征收的异常如下inTable 7。 |
| 在我们的模型的评估结果;没有标准的基准数据集可用于评估研究模型。然而,一个数学方程常用的图3中。 |
| 去年resultsexperiment followinTable8,在我们的模式检测异常防火墙策略规则,这里我们使用不同的收集数据的异常规则用数学方程在图3中,尝试检测的模型精度与所有不同类型的异常防火墙策略规则。例如:在第一步我们使用两个数字的不同类型的异常规则,如表7所示。结果是100年的,在下一步的实验中,我们增加异常的数量如下表8。所有的结果在100年出现在精度因子检测异常防火墙策略规则。 |
结论和未来的工作 |
| 在本文中,我们提出了一个模型来检测异常防火墙策略规则,模型中扮演一个重要的角色在检测异常防火墙在网络安全策略规则,主要因素是检测的准确性。此外,在检测准确性因素非常敏感和重要操作;模型减少通过网络管理员管理不善,减少时间和精力寻找和筛选异常,这个模型帮助管理员在管理和配置。在早期发现异常之前添加任何新规则的防火墙策略规则。在未来的工作中,我们将设计和创建模型来检测异常防火墙在网络安全策略规则IP6。 |
承认 |
| 我们感谢那些帮助我们完成这篇论文,我们希望在本文中是一个很好的参考另一个研究,所以我们感谢交通部和信息技术——巴勒斯坦,Eng。Nedal Safady和Eng。Fouad AbuAomirthe圈主管。 |
表乍一看 |
|
|
|
|
数据乍一看 |
|
|
|
引用 |
- Golnabi, k, Min,上面;汗,l;Al-Shaer E”,分析使用数据挖掘技术对防火墙策略规则”,网络运营和管理研讨会,2006。提名第2006.10届IEEE /联合会,pp.305 - 315, 2006。
- Al-Shaer,静电的哈米德,第三世,"Modeling and Management of Firewall Policies" Network and Service Management, IEEE Transactions, Vol.1, Issue: 1, pp.2-10, 2008.
- Selvakanmani s”小说在防火墙管理框架政策异常”国际期刊科学研发| 1卷,问题9,pp.1710 - 1715, 2013。
- Khorchani B。,Halle, S. and Villemaire, R. “Firewall anomaly detection with a model checker for visibility logic ” Network perations and Management Symposium (NOMS), 2012 IEEE, pp.466-469,2012.
- y Bartal, a·j·梅耶,k . Nissim A.Wool。Firmato,“一种新型防火墙管理工具箱”,在IEEE研讨会上安全和隐私,pp.17-31, 1999年。
- e . Al-Shaer h·哈米德,r . Boutaba和m·哈桑“冲突分类和分析分布式防火墙的策略,“IEEE在选定地区通讯》杂志上的问题:10日,第23卷,第2084 - 2069页,2005年。
- 阿贝丁M, Nessa年代和汗L,“检测和解决异常的防火墙策略规则”,联合会国际信息处理联合会4127卷,15 - 29,2006页。
- Al-Shaer E。哈米德,H。,"Design and Implementation of Firewall Policy Advisor Tools", Technical Report CTI-techrep0801, School of Computer Science Telecommunications and Information Systems, DePaul University, 2002.
- 哈米德,H。,Al-Shaer E。,“Taxonomy of conflicts in network security policies ", Communications Magazine, IEEE,Vol.44,Issue: 3, pp.134-141, 2006.
- Al-Shaer,一些哈米德,第三世,“Discovery of policy anomalies in distributed firewalls ", INFOCOM 2004. Twenty-third AnnualJoint Conference of the IEEE Computer and Communications Societies, vol.4, pp.2605-2616, 2004.
- HongxinHu, Gail-JoonAhn Ketan Kulkarni“检测和解决防火墙策略异常”,可靠和安全计算、IEEE,卷。2012年9日,页。318 - 31日。
- Chaure r和Shishir k”防火墙异常检测和去除技术——一项调查“国际期刊在新兴技术,研究成果pp.71 - 74, 2010。
- 辛格。,Chauhan A., Singh A.andHarnandan P.” Detection and Resolution of Anomalies in Firewall Policy Rules”, second National Conference in Intelligent Computing & Communication, 2008.
- Srikanth B。,Ramana S. “Firewall Policy Anomaly Detection and Resolution Using Rule Based Approach”, International Journal of Innovative Research in Computer and Communication Engineering, Vol.1, pp.660-667, 2013.
- Rezvani m R和雅利安人。,“Specification, Analysis and Resolution of Anomalies in Firewall Security Policies”, World Applied Sciences Journal 7 (Special Issue of Computer & IT), pp.188-198, 2009.
- Chaure R,“异常检测的实现机制对集中式和分布式防火墙”,国际计算机应用》杂志7卷,5 - 8,2010页。
- Kartit a和El Marraki M。,“An enhanced algorithm for Firewall Policy Deployment”, Multimedia Computing and Systems (ICMCS), 2011 International Conference,pp.1– 4, 2011.
- Al-Shaer E, El-Atawy,沙马T,“自动化Pseudo-Live测试防火墙配置执法”,所选地区通信,IEEE杂志,研究问题:3、pp.302 - 14, 2009年。
|
菜单
