[发明专利]一种基于判定树的防火墙策略冲突检测方法

说明书

本发明涉及一种基于判定树的防火墙策略冲突检测方法，该方法包括：对防火墙规则集中各条规则进行判定树转化，采用树型数据结构进行存储，每条策略对应树中唯一的一条路径。本发明提供的技术方案解决了现有基于判定树的防火墙策略冲突检测方法的不足，降低其时间复杂度，大大提高了冲突检测的效率。

技术领域

本发明涉及网络安全技术领域，具体讲涉及一种基于判定树的防火墙策略冲突检测方法。

背景技术

知识经济与信息资源共享的时代，互联网蓬勃发展，与社会生活的各个方面日益密切。随之而来的威胁是不可避免的，相关技术也越来越高明。因而网络安全的维护显得尤为重要，防火墙的设置便是一种有效的计算机网络安全维护措施。

防火墙是网络系统的组成部分，它通过明确的安全策略对试图进入内部安全网络外界不安全数据包进行控制，它可以选择性的阻隔不良信息以及对外界站点设置访问权限，在有访问时，系统自动进行访问权限审核，识别不良网站和病毒，最大程度限制黑客侵入网络，从而限制某些网络活动，最终达到保护系统安全的目的。防火墙策略实际上就是过滤规则的有序链表，每一条过滤规则由若干个网络域构成，这些域理论上可以是IP包、TCP包、UDP包头中出现的任何域，实际经验表明通常只要匹配通信协议类型(protocol)、源IP地址(source IP address)、源端口(source port)、目标IP地址(destination IPaddress)、目标端口(destination port)、动作(action)这六个域。

防火墙策略一般由几十条到上千条规则组成。防火墙中的规则是由管理人员根据需求及自身的经验来制定的，在规则数目较少时，制定出一个合理的策略并不困难，对规则的维护也相对简单，但是当规则不断地增加时，人为制定安全策略难免出现一些疏漏，此时就无法保证防火墙的高效运作，甚至可能出现安全问题，也就是说仅靠经验是不足以应付数目庞大的规则的。就是说防火墙规则维护的复杂性可能会降低防火墙安全的有效性，正因为此，对防火墙策略冲突检测算法的研究是必不可少的。

判定树是一个类似于流程图的树结构，其中每个内部节点表示在一个属性上的测试，每个分枝代表一个测试输出，而每个树叶节点代表类或类分布，树的顶层节点为根节点。假设现有防火墙策略中具有n条规则，记为r1，r2，……，rn，其过滤域<TCP/UDP等，srcip，srcport，destip，destpoft，action>，记为F1，F2，……，Fd。考虑规则ri，rj，判定树的根节点表示两者的过滤域F1进行比较，此时根节点的4个分支分别表示：

(1)ri[F1]是rj[F1]的真子集；

(2)ri[F1]是rj[F1]的超集；

(3)ri[F1]与rj[F1]相同；

(4)ri[F1]与rj[F1]不相关。

对于分枝(1)，(2)和(3)来一说，它的根节点接着进行ri[F2]和rj[F2]的比较，并根据比较结果继续创建分枝，这个过程一直持续下去，直到能够产生比较结果。对于分枝(4)，很显然，规则ri和rj不可能产生冲突，则ri与rj的比较也就完成了，如图1所示。

现有的判定树模型检测方法的优点是简单明了，但是由于算法中包含着大量的判断语句，很可能要进行很多次比较，因而运行速度比较慢，导致程序运行时间过长，影响工作效率。

发明内容

针对现有技术的不足，本发明的目的是提供一种基于判定树的防火墙策略冲突检测方法，该方法解决现有方法中存在的因过多判断语句造成的检测速度较慢的问题。

本发明的目的是采用下述技术方案实现的：

本发明提供一种基于判定树的防火墙策略冲突检测方法，其改进之处在于，所述方法包括下述步骤：

步骤201：初始化存储树；