面向云數(shù)據(jù)中心環(huán)境防火墻即服務的并行防火墻規(guī)則異常檢測的方法
【專利摘要】本發(fā)明屬于云計算和網(wǎng)絡(luò)安全防火墻【技術(shù)領(lǐng)域】,具體為一種面向云數(shù)據(jù)中心環(huán)境防火墻即服務的并行防火墻規(guī)則異常檢測的方法�。本發(fā)明從云數(shù)據(jù)中心環(huán)境防火墻作為服務FWaaS出發(fā),首先設(shè)計了一種同時基于數(shù)據(jù)包分類與規(guī)則分布的并行防火墻���,對于并行防火墻規(guī)則異常檢測的方法���,本發(fā)明通過建立規(guī)則-子段表的方法來檢測可能存在的規(guī)則異常,并引入重疊集來縮小檢測范圍����,為后序?qū)Ψ阑饓σ?guī)則處理打下基礎(chǔ),并得到防火墻規(guī)則的邏輯順序�。實驗證明,本發(fā)明所設(shè)計的并行防火墻規(guī)則異常檢測方法符合多項功能和性能要求���,可以以FWaaS服務的形式應用在云數(shù)據(jù)中心環(huán)境中����。
【專利說明】面向云數(shù)據(jù)中心環(huán)境防火墻即服務的并行防火墻規(guī)則異常 檢測的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于云計算和網(wǎng)絡(luò)安全防火墻【技術(shù)領(lǐng)域】��,具體涉及一種面向云數(shù)據(jù)中心環(huán) 境防火墻即服務的并行防火墻規(guī)則異常檢測的方法�����。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)的發(fā)展與普及�����,網(wǎng)絡(luò)安全問題引起了產(chǎn)業(yè)界與學術(shù)界的廣泛關(guān)注����。作 為內(nèi)部網(wǎng)絡(luò)抵御外部威脅的第一道門檻,防火墻的安全性和可靠性至關(guān)重要�����。防火墻是一 類防范措施的總稱��,它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離��、限制 網(wǎng)絡(luò)互訪用來保護內(nèi)部網(wǎng)絡(luò)。設(shè)置防火墻的目的是為了在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)立唯 一的通道��,簡化網(wǎng)絡(luò)安全的管理����。
[0003] 對于流經(jīng)防火墻的網(wǎng)絡(luò)流量,防火墻會對其中的數(shù)據(jù)包進行檢測��,對那些不符合 防火墻策略的數(shù)據(jù)包進行過濾��。實施過濾的原則主要基于數(shù)據(jù)包中的源/目的地址�����、源/ 目的端口號��、IP標識和報文傳遞的方向等具體信息��。正因為防火墻的設(shè)計簡單��,非常易于 實現(xiàn)���,而且價格便宜��,所以防火墻被廣泛地部署在計算機系統(tǒng)中���。也正因為防火墻得到了廣 泛地應用��,所以對如何提高防火墻性能����,如何方便地使用防火墻一直是學術(shù)研究的熱點����。
[0004] 現(xiàn)今�����,云計算提供"服務"的范圍越來越廣���。除了傳統(tǒng)的IaaS��,PaaS�,SaaS之外���, 現(xiàn)在已經(jīng)有了存儲即服務(SaaS, Storage as a Service),網(wǎng)絡(luò)即服務(NaaS, Network as a Service)���,監(jiān)測即服務(MaaS, Monitoring as a Service)和認證即服務(AaaS, Authentication as a Service)等其他類型的服務���。甚至業(yè)界已經(jīng)提出了一切皆服務( XaaS, X as a Service)。這意味著在云數(shù)據(jù)中心環(huán)境下�����,有越來越多的功能會以"服務" 的形式提供給租戶���。所以為了使未來下一代防火墻能更好地應用在云計算環(huán)境中�����,防火墻 需要服務化和虛擬化�����。防火墻應該作為一種服務提供給消費者�,即防火墻即服務(FWaaS�, Firewall as a Service)防火墻規(guī)則檢測是一個智能化的防火墻中必須擁有的一個模塊。 眾所周知���,防火墻策略管理是一個非常有挑戰(zhàn)的工作���,因為防火墻規(guī)則之間有著復雜的相 互依賴交叉關(guān)系�。由于云數(shù)據(jù)中心環(huán)境下的網(wǎng)絡(luò)越來越龐大�,防火墻資源被服務化和虛擬 化,防火墻的規(guī)則也越來越多�,尤其云數(shù)據(jù)中心環(huán)境中的租戶可以通過租用多條虛擬防火 墻來組成自己的并行防火墻,這就出現(xiàn)了多個并行防火墻規(guī)則發(fā)生沖突的問題����。如何保證 防火墻規(guī)則的正確性和避免沖突是一個難題。因此����,本設(shè)計側(cè)重于設(shè)計面向云數(shù)據(jù)中心環(huán) 境防火墻即服務的并行防火墻中規(guī)則異常檢測的方法。
[0005] 經(jīng)對現(xiàn)有技術(shù)的文獻檢索發(fā)現(xiàn)�,S. Al-Shaer等在防火墻策略沖突檢測方面做了 很多的研究工作�。在文獻[Al-Shaer E, Hamed H. Design and implementation of firewall policy advisor tools[J]. DePaul University, CTI, Tech. Rep, 2002 ;Al~Shaer E S, Hamed Η H. Firewall policy advisor for anomaly discovery and rule editing[C]// Integrated Network Management, 2003. IFIP/IEEE Eighth International Symposium on. IEEE, 2003: 17-30 ; Al-Shaer E S, Hamed Η H. Modeling and management of firewall policies[J]. Network and Service Management, IEEE Transactions on, 2004, 1(1): 2-10·]中����,作者提出防火墻規(guī)則的5 種關(guān)系:Exactly Matched, Inclusively Matched, Completely Disjoint, Partially Disjoint, Correlated?���;谶@ 5 種關(guān)系,作 者畫出了兩條防火墻規(guī)則間關(guān)系的狀態(tài)圖�����,之后作者提出了基于狀態(tài)圖的規(guī)則異常檢測方 法S. Al-Shaer 等又在[Al-Shaer E S, Hamed Η H. Discovery of policy anomalies in distributed firewalls[C]//INF0C0M 2004. Twenty-third Annualjoint Conference of the IEEE Computer and Communications Societies. IEEE, 2004, 4: 2605-2616 ; Al-Shaer E, Hamed H, Boutaba R, et al. Conflict classification and analysis of distributed firewall policies[J]. Selected Areas in Communications, IEEE Journal on, 2005����,23(10): 2069-2084.]中把成果擴展到分布式防火墻中,著手研究防火墻間的 策略沖突檢測�。但這些成果都是基于傳統(tǒng)的防火墻的,并不能直接應用在云數(shù)據(jù)中心環(huán) 境下���。在文獻[Fulp E ff. Parallel firewall designs for high-speed networks [C]// INFOCOM 2006. 25th IEEE International Conference on Computer Communications. Proceedings. IEEE, 2006: 1-4.]提出了一種并行防火墻的模型:可以把防火墻規(guī)則 按一定的分類方式(比如按TCP�����,UDP分類)分布到不同的防火墻中�。數(shù)據(jù)包按照自身是 TCP或UDP分流到相應的防火墻中���。這種防火墻的設(shè)計可以大大提高防火墻的效率�����。但 作者只是提出了簡單的分類方法����,且分類方法沒有和數(shù)據(jù)流量的特性關(guān)聯(lián)起來,所設(shè)計的 系統(tǒng)也不能進行動態(tài)擴展���。在文獻[Hamed Η H, El-Atawy A, Al-Shaer E. Adaptive Statistical Optimization Techniques for Firewall Packet Filtering[C]// INFOCOM. 2006�����,6: 1-12.]中���,作者提出了應該盡早地過濾掉不需要的數(shù)據(jù)包,這樣防 火墻的效率才能提高�。所以作者抽取出防火墻規(guī)則中"Deny"的規(guī)則,把這些規(guī)則集稱為 Rejection規(guī)則����。Rejection規(guī)則集能盡早地過濾掉數(shù)據(jù)包,從而減少了數(shù)據(jù)包在防火墻內(nèi)停 留的時間�。Rejecticm規(guī)則集能夠依據(jù)數(shù)據(jù)流量的變化而進行動態(tài)調(diào)整�,從而達到較好的效 果。如果數(shù)據(jù)流中有較多可以拒絕的數(shù)據(jù)包���,該防火墻在性能上是有很大的提升的�����;但是 如果有數(shù)據(jù)流中存在大量能通過防火墻的包�,那么防火墻的性能并沒有多大的提升。而且�, 論文也沒考慮不能匹配的數(shù)據(jù)包。雖然作者沒有使用首次匹配方法�,但盡早過濾數(shù)據(jù)包的 思想仍值得借鑒。在文獻[Rupali Chaure, Shishir K. Shandilya Firewall anamolies detection and removal techniques - a survey International Journal on Emerging Technologies 1(1): 71-74(2010)]中����,作者調(diào)研了幾種防火墻規(guī)則沖突的檢測方法,然 后提出"irrelevant anomaly"仍然是個研究的難點��,因為防火墻是要根據(jù)數(shù)據(jù)包的動態(tài)變 化而增減防火墻中的規(guī)則��,這在目前的算法中研究很少���。但這種沖突可以通過動態(tài)重新排 列防火墻規(guī)則來達到一個較好的效果�。
[0006] 在云數(shù)據(jù)中心環(huán)境防火墻技術(shù)方面���,文獻[Hajjat M, Sun X�,Sung Y W E, et al. Cloudward bound: planning for beneficial migration of enterprise applications to the cloud [J]. ACM SIGC0MM Computer Communication Review, 2010, 40(4): 243-254.]提出了傳統(tǒng)服務從本地服務器搬到云端后所會帶來的問題���。文章先討論了部分 服務遷移到云端所要遵循的各種限制(如安全等)及遷移到云端之后所帶來的效益����,之后討 論了遷移過程中所帶來的防火墻規(guī)則的遷移。文獻主要考慮了原先的服務是在一個局域網(wǎng) 內(nèi)��,但遷移之后是位于不同的局域網(wǎng)內(nèi)���,要使這兩種服務之間還是能夠相互訪問�,這就要求 更改本地及云端的防火墻策略��,使服務之間的數(shù)據(jù)包能通過防火墻�。但文章所提到的防火 墻并沒有突出云數(shù)據(jù)中心環(huán)境的特色。在[Khakpour A R, Liu A X. First Step Toward Cloud-Based Firewalling[C]//Reliable Distributed Systems (SRDS), 2012 IEEE 31st Symposium on. IEEE, 2012: 41-50.]中�����,作者認為為了減少防火墻成本��,可以把防 火墻部署到因特網(wǎng)服務提供商上���,使用因特網(wǎng)服務提供商提供的過濾服務。這類似于云計 算中的"服務"的思想��。但作者的防火墻還是體現(xiàn)在傳統(tǒng)的防火墻上,不適應云數(shù)據(jù)中心環(huán) 境 �。文獻[Lee S, Purohit M, Saha B. Firewall placement in cloud data centers[C]// Proceedings of the 4th annual Symposium on Cloud Computing. ACM, 2013: 52.]也 認為可以把防火墻部署在數(shù)據(jù)中心,為了隔離虛擬機的通信��,虛擬機之間的數(shù)據(jù)包必須強 制通過防火墻�,所以很多數(shù)據(jù)包需要重新路由。論文雖然把防火墻作為一個集中設(shè)備來部 署����,但沒有發(fā)揮出云數(shù)據(jù)中心環(huán)境中虛擬化的特點。在文獻[Yu S���,Doss R��,Zhou W�,et al. A general cloud firewall framework with dynamic resource allocation[C]// Communications (ICC), 2013 IEEE International Conference on. IEEE, 2013: 1941-1945.]中����,作者提出了一種適用于云數(shù)據(jù)中心環(huán)境中的防火墻。作者認為可以把防火 墻打包成模塊�,每個模塊具有特定的功能,而租戶可以通過組合不同的模塊搭建自己的防 火墻�。所以這種防火墻是一條流水線,本質(zhì)上還是線性的�,不能進行動態(tài)伸縮�����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的在于提出一種面向云數(shù)據(jù)中心環(huán)境防火墻即服務的并行防火墻規(guī) 則異常檢測的方法����。
[0008] 現(xiàn)今��,云計算提供"服務"的范圍越來越廣�。除了傳統(tǒng)的IaaS,PaaS�����,SaaS之外�����, 現(xiàn)在已經(jīng)有了存儲即服務(SaaS, Storage as a Service)���,網(wǎng)絡(luò)即服務(NaaS, Network as a Service)�����,監(jiān)測即服務(MaaS, Monitoring as a Service)和認證即服務(AaaS, Authentication as a Service)等其他類型的服務��。甚至業(yè)界已經(jīng)提出了一切皆服務( XaaS, X as a Service)���。這意味著在云數(shù)據(jù)中心環(huán)境下,有越來越多的功能會以"服務"的 形式提供給租戶��。
[0009] 所以為了使未來下一代防火墻能更好地應用在云計算環(huán)境中���,防火墻也需要服務 化和虛擬化���,作為一種服務提供給租戶和消費者,即防火墻即服務(FWaaS����,F(xiàn)irewall as a Service)。由于云數(shù)據(jù)中心環(huán)境中防火墻已經(jīng)被虛擬成資源池��,所以�,在云數(shù)據(jù)中心環(huán)境 中,租戶可以很方便地通過租用多條虛擬防火墻來組建自己的并行防火墻�,提高防火墻的 性能。
[0010] 傳統(tǒng)的并行防火墻通?��;趦煞N并行方案:基于數(shù)據(jù)包分類的并行方案和基于規(guī) 則分布的并行方案��。這兩種方案都有各自的優(yōu)點和缺點��,傳統(tǒng)的防火墻架構(gòu)沒有具備云計 算的諸多特性���,不符合云計算靈活性的要求����,所以如何使防火墻能擁有云計算的特點���,可以 更好地部署在云數(shù)據(jù)中心環(huán)境當中���,需要亟待解決。
[0011] 本發(fā)明結(jié)合兩種傳統(tǒng)方案的優(yōu)點���,設(shè)計了一種適用于FWaaS的同時基于數(shù)據(jù)包分 類與規(guī)則分布混合模式的并行防火墻�。與傳統(tǒng)的防火墻相比���,該并行防火墻有負載均衡���,動 態(tài)調(diào)整,動態(tài)伸縮的特點���,使防火墻系統(tǒng)有更高的效率���,且更適合應用于云數(shù)據(jù)中心環(huán)境�����。 本發(fā)明著重于對租戶租用多條虛擬防火墻形成并行防火墻時如何對規(guī)則異常進行檢測。本 發(fā)明通過建立規(guī)則-子段表來檢測可能存在的規(guī)則異常�����,并引入重疊集來縮小檢測范圍���, 為后序防火墻規(guī)則處理打下堅實的基礎(chǔ)��,也可以確立規(guī)則的邏輯順序�。最后通過實驗驗證 了所設(shè)計的主要算法�,實驗證明,本發(fā)明所設(shè)計的并行防火墻符合多項功能和性能要求����,可 以較好地部署在云數(shù)據(jù)中心環(huán)境中。
[0012] 本發(fā)明提出的基于云數(shù)據(jù)中心環(huán)境的適用于FWaaS的并行防火墻規(guī)則異常檢測 的方法�,具體步驟為: 第一步:并行防火墻的規(guī)則分段 (1)分段與子段的規(guī)劃 在云數(shù)據(jù)中心環(huán)境防火墻作為服務面向多租戶的并行防火墻的架構(gòu)中���,要對防火墻規(guī) 則進行檢測,分析出規(guī)則之間的異常���;然后根據(jù)異常的類型�,決定是否能自動解決��,或是讓 管理員人工做決策���,保證每條防火墻規(guī)則都能過濾符合要求的數(shù)據(jù)包����; 每條防火墻規(guī)則都能過濾符合要求的數(shù)據(jù)包����。防火墻規(guī)則分段就是要把防火墻規(guī)則分 割成不相交的子段,使每個子段所能過濾的數(shù)據(jù)包空間沒有重疊�,也就是說,所有子段之間 沒有重疊��,即所有子段之間不相交��。
[0013] 定義-1 :防火墻規(guī)則分段是指把規(guī)則的過濾空間劃分成互相不重疊的子空間,其 中每個子空間就代表一個子段����。所以子段的集合就是防火墻規(guī)則分段的結(jié)果。
【權(quán)利要求】
1. 一種面向云數(shù)據(jù)中心環(huán)境防火墻即服務的并行防火墻規(guī)則異常檢測的方法�,其特征 在于具體步驟為: 第一步:并行防火墻的規(guī)則分段 (1)分段與子段的規(guī)劃 在云數(shù)據(jù)中心環(huán)境防火墻作為服務面向多租戶的并行防火墻的架構(gòu)中,要對防火墻規(guī) 則進行檢測��,分析出規(guī)則之間的異常�;然后根據(jù)異常的類型,決定是否能自動解決����,或是讓 管理員人工做決策����,保證每條防火墻規(guī)則都能過濾符合要求的數(shù)據(jù)包;防火墻規(guī)則分段是 指把規(guī)則的過濾空間劃分成互相不重疊的子空間�����,其中每個子空間就代表一個子段����;子段 的集合就是防火墻規(guī)則分段的結(jié)果; 用形式化語言把防火墻規(guī)則分段定義為:
為了把處理范圍擴展到防火墻段�,增加定義兩種關(guān)系���,即部分相交與完全相交: 如果防火墻子段Sx和sy有存在交集的字段,但也存在不匹配的字段�����,那么就稱子段sx 和Sy是部分相交關(guān)系的�; 如果防火墻規(guī)則Sx和sy所有字段都存在交集,那么就稱規(guī)則sx和 Sy是部分完全相交 關(guān)系的����; 把等價匹配,包含匹配�,無關(guān),部分包含匹配����,相關(guān)匹配,部分相交�,完全相交這7種關(guān) 系稱為防火墻規(guī)則的擴展關(guān)系; (2)并行防火墻規(guī)則分段分析 防火墻規(guī)則中的字段很可能存在交集�,所以防火墻規(guī)則所能過濾的數(shù)據(jù)包集合可能也 存在受集,其中: 如果兩條防火墻規(guī)則匹配的數(shù)據(jù)包空間有重疊�����,當且僅當規(guī)則中所有字段都有交集; 由此可知�,只要兩條規(guī)則存在不相交的字段,即包含"尹"關(guān)系��,那么這兩條規(guī)則表示 的數(shù)據(jù)包空間就不可能重疊���;部分包含��,部分相交���,無關(guān)都包含"尹"字段關(guān)系,所以這3 種規(guī)則關(guān)系所對應的規(guī)則的數(shù)據(jù)包空間不重疊����;現(xiàn)在只需考慮等價匹配���,包含匹配�,完全相 交�,相關(guān)這4種關(guān)系,具體如下表描述: 表2數(shù)據(jù)包重疊
在每種情況劃分的子段中�����,有兩種類型的子段:屬于Sl或?qū)儆趕2的子段,這個過程也是 算法中Devide函數(shù)����,算法會分別把這兩種子段分別加入到對應的規(guī)則集或子段集中; (3)混合模式并行防火墻規(guī)則分段計算 混合模式并行防火墻規(guī)則分段算法是要把規(guī)則集劃分成子段集���,規(guī)則只能在兩種情況 下加入到子段集中: 情況1 :規(guī)則與子段集中某一子段相等�; 情況2 :規(guī)則與子段中所有的子段都不相交�����; 對于不滿足這兩種情況的規(guī)則與子段�,依照分段方法把規(guī)則和子段先進行劃分,然后 把屬于規(guī)則的分段重新加入到規(guī)則集中����;把屬于子段的分段重新加入到子段集中取代原來 的子段;這樣規(guī)則集與子段集中的元素會被越分越小�����,直到上述兩種的情況發(fā)生���; 第二步:并行防火墻規(guī)則重疊的檢測 基于上一步驟中提出來的分段���,找出防火墻規(guī)則的重疊部分���;由于子段之間是沒有 交集的,所以對于涉及到有重疊的子段��,防火墻管理員可以指明防火墻對該段的處理方 法--接收或拒絕����,系統(tǒng)依據(jù)管理員的決定,重新調(diào)整防火墻規(guī)則的順序�����; 本步驟使用二維坐標法來表示防火墻規(guī)則與子段之間的關(guān)系����,利用該二維矩陣���,把具 有重疊的防火墻放到重疊集里����,從而理出哪些規(guī)則是與順序無關(guān)的,哪些規(guī)則是與順序有 關(guān)的����,防火墻規(guī)則的異常可以放到相交集中來解決���; (1)規(guī)則-子段矩陣表示 根據(jù)字段劃分的定義�����,任意一條防火墻規(guī)則r都可表示為一系列子段的集合{Sl����,s2���, s3, ...sj的并集�;在規(guī)則-子段矩陣中���,在縱坐標上表示防火墻規(guī)則����,在橫坐標上表示子 段�����,假設(shè)有以下規(guī)則:
重疊集是對整個規(guī)則集合的一個劃分,重疊集之間的規(guī)則是完全不相交的���,而且每個 重疊集都是最小劃分����; 對于每一個子段��,如果有多條規(guī)則與它對應���,那么把這些規(guī)則包含在新的重疊集當中���; 如果規(guī)則已經(jīng)存在于其他重疊集中,那么把該重疊集也包含進來���; 建立好防火墻規(guī)則的重疊集之后���,就知道哪些規(guī)則是沒有重疊的,哪些規(guī)則是有重疊 的��; 第三步:并行防火墻規(guī)則冗余檢測與解決方法 由于重疊集中的規(guī)則所覆蓋的子段是在一定范圍內(nèi)的��,可以把重疊集中的規(guī)則和其對 應的子段單獨畫成規(guī)則-子段矩陣�; 有以下兩種情況會導致防火墻規(guī)則在某一子段上是多余的: 情況1 :該子段上防火墻規(guī)則前面已有其他規(guī)則對數(shù)據(jù)包進行了匹配處理,這種情況 也可以稱為覆蓋���; 情況2 :在該子段上����,防火墻規(guī)則前面沒有其他規(guī)則����,但在后面出現(xiàn)的第一條規(guī)則的動 作與該規(guī)則是一致的,那么后面的規(guī)則在該子段上可以替代這條規(guī)則�,這種情況也稱為替 代; 如果某條規(guī)則在對應的所有子段上都被覆蓋或可以替代的�,那么這條規(guī)則顯然是多余 的,移除冗余規(guī)則��; 第四步:對并行防火墻規(guī)則按照邏輯順序重新排序 由于防火墻規(guī)則使用首次匹配的方法對數(shù)據(jù)包進行匹配處理�,所以在重疊集中的規(guī)則 必須按原有的順序排列才能保證與原來防火墻的一致性;在調(diào)整規(guī)則順序的時候必須考慮 到防火墻規(guī)則的邏輯順序��,進行重新排序��;具體分為兩個方面: (1) 邏輯順序就是在重疊集中規(guī)則所對應的順序����,由于重疊集中的任一規(guī)則都面臨另 一規(guī)則與之存在重疊關(guān)系�����;所以重疊集中的規(guī)則必需按照租戶設(shè)定的順序排列���,否則可能 造成對數(shù)據(jù)包處理的不一致; (2) 對于每一個數(shù)據(jù)包而言��,在重疊集中可能存在兩條或兩條以上的規(guī)則可以與之匹 配�;只要這些規(guī)則能夠按原來相應的順序排列,就可以確保防火墻能對該數(shù)據(jù)包進行正確 處理�����。
【文檔編號】H04L29/08GK104092676SQ201410307588
【公開日】2014年10月8日 申請日期:2014年6月30日 優(yōu)先權(quán)日:2014年6月30日
【發(fā)明者】呂智慧, 范康, 吳杰 申請人:復旦大學