面向防火墙和IDS/IPS协同防御的策略冲突检测算法
为应对分布式、复杂的网络攻击威胁,防火墙和IDS/IPS的协同防御的需求越来越迫切.由于IDS/IPS对入侵判断的不确定等问题的存在,当防火墙策略和IDS/IPS策略中的规则对同样数据包执行的动作矛盾时,会产生冲突.冲突会导致允许非法访问或者阻断合法访问的后果.本文研究面向防火墙和IDS/IPS协同防御的策略冲突检测算法.首先给出了防火墙策略和IDS/IPS策略的语义模型,然后实现了策略冲突的分类,并在此基础上设计基于OBDD(ordered binary decision diagram,有序决策二叉图)的策略冲突检测算法,最后在实际场景下验证了算法的正确性和可扩展性,并分析了冲突的分布比例.
计算机网络 防火墙 协同防御 入侵检测 保护系统 有序决策二叉图
邱松 焦健 张东阳
襄垣和信发电有限公司工程部,山西省太原市030001 北京信息科技大学计算机学院,北京市 100192 华北电力大学计算机学院,河北省保定市071002
国内会议
全国第25届计算机技术与应用学术会议(CACIS·2014)
江苏扬州
中文
31-39
2014-08-22(万方平台首次上网日期,不代表论文的发表时间)