Skip to main content

策略部署

(Policy Enforcement)#

课题介绍#

网络安全策略定义了网络区域隔离、攻击检测和动态响应的逻辑,是网络安全的关键依托。网络安全策略部署,是将全局安全策略转化为安全设备执行逻辑的过程。近年来,软件定义网络(Software-Defined Networking,SDN)和网络功能虚拟化(Network Function Virtualization,NFV)技术不断发展,在数据中心网络、运营商网络等大规模分布式网络的典型应用场景下,安全策略部署的对象由单点扩展为全网,安全策略部署的规模和复杂度也持续增长。传统安全策略部署由管理员依靠经验进行人工操作的方式在复杂安全策略支持、部署效率和正确性等方面越来越难以适应虚拟化、动态化的场景。因此,在软件定义的架构下,研究设计高速、可扩展的网络安全策略部署理论与方法,可以推进网络安全管理的创新和应用,加速软件定义网络和网络功能虚拟化的落地,具有重要的理论意义和应用价值。

研究内容#

1)策略分析#

  1. 研究目标
  • 研究网络安全策略表示结构,设计对应结构的高效布尔运算。
  1. 研究方法
  • 依据计算几何理论建模,分析安全策略以及安全策略所包含的安全规则。定义规则间和策略间的布尔运算,分析相关运算的代数性质。进一步通过引入空间索引结构,如搜索树、Bitmap,加速策略间布尔运算。

2)策略分配#

  1. 研究目标
  • 研究满足资源优化配置的多约束多优化目标的安全策略分配方法。
  1. 研究方法
  • 将分配问题建模为集合覆盖问题,分配方法需要通过划分策略空间,选择策略不同部署点以及对应的部署策略。将分配问题建模为优化问题,采用强化学习方法来决策部署点位置。策略分配需要满足复杂安全策略自身约束,如服务功能序列的功能保序性(服务链约束),同时考虑多种网络资源的约束,如转发设备规则容量、网络链路带宽和安全设备处理能力、部署节点的处理能力。考虑多种资源优化目标,如提高计算资源利用率、实现链路流量负载均衡、减小网络系统总体时延。提出了基于强化学习的网络策略分配方法。

3)策略校验#

  1. 研究目标
  • 研究网络安全策略正确性,设计通用可扩展的安全策略校验方法。
  1. 研究方法
  • 形式化描述安全策略的正确性,涉及数据平面执行逻辑与控制平面的语义一致性,以及数据平面网络不变量的约束。以策略分析的策略布尔运算为基础,层次化求解策略校验问题。将全网校验问题转化为可达矩阵的计算,面向路径或原子化规则进行问题分解与求解,并进一步实现黑洞、环路检测,同时记录历史信息,完成增量更新。将控制平面校验增量化,提出了一种基于图算法的控制平面增量校验算法。
  • 将数据平面校验模块化,提出了一种数据平面校验工具开发和定制框架。

项目合作:#

  • 2022.02 - 2023.02 教育部中国高校产学研创新基金
  • 2019.01 - 2022.12 国家自然科学基金面上项目资助
  • 2017.06 - 2018.06 华为公司委托开发合作