返回
探析开放园区网可信运行保障体系关键技术研究

探析开放园区网可信运行保障体系关键技术研究

ID:34834556

大小:4.33 MB

页数:136页

时间:2019-03-12

探析开放园区网可信运行保障体系关键技术研究_第1页
探析开放园区网可信运行保障体系关键技术研究_第2页
探析开放园区网可信运行保障体系关键技术研究_第3页
探析开放园区网可信运行保障体系关键技术研究_第4页
探析开放园区网可信运行保障体系关键技术研究_第5页
资源描述:

《探析开放园区网可信运行保障体系关键技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、北京工业大学博士学位论文开放园区网可信运行保障体系关键技术研究姓名:秦华申请学位级别:博士专业:计算机应用技术指导教师:张书杰20070301摘要开放园区网可信运行保障体系是基于可信网络的思想提出的,是对可信网络接入的扩展,目标是通过对园区网中已有的可网管的联网设备、网络安全产品以及网络管理子系统和网络安全子系统进行有效地整合和管理,实现在整个园区网的范围内对异常网络事件进行快速地判定和响应,从而全面提高园区网的可用性和可控性。园区网可信运行保障体系需要突破的三个关键技术是:网络状态感知和异常行为挖掘、异常定位和威胁程度评估、自动控制策略响应。为保证

2、实用性,这三个关键技术的解决要满足下列条件:其一是必须能够提供对网络的持续感知和控制能力;其二是对网络状态的感知立足于挖掘从当前联网设备上收集到的运行数据;其三是在对安全响应问题上必须立足于当前联网设备的控制能力;其四是整个过程可以自动进行,也可以人工参与。论文首先分析了园区网可信运行保障体系面临的各种技术问题和管理问题,提出了可信运行保障体系,给出了该体系的组成和相关的功能要求。基于对目前工业界和学术界研究成果的分析,提出了通过分析网络流数据来感知网络运行状态的思路一一基于网络流行为来分析和诊断异常网络流。将网络流使用的协议作为网络流行为模式研究和

3、分类的主要因素之一,归纳出网络通信的十四种网络流行为模式,并引入了组合特征值分布的概念(带宽分布、流数量分布、包数量分布)来对网络流行为进行定性和量化描述。一方面突破了以往工作中主要研究网络流特征的不确定性,改而研究网络流特征的确定性;另一方面,引入的三个组合特征值分布,将网络流的容量特性和概率分布特性结合起来,使研究结果不仅适用于检测容量异常的网络流行为,还适用于容量特性正常但概率分布异常的网络流行为,扩大了检测范围,提高了适应性。异常威胁评估是可信运行保障体系的一个关键环节,既要考虑园区网动态运行的特点和当前的状态,还要考虑实际可操作性。根据园区

4、网网络管理经验,网络带宽拥塞和网络设备资源耗尽是造成网络不可用的主要原因,确定了五大类威胁评估因素:网络流的带宽分布、网络流的流数量分布、网络流的包数量分布、关联网络设备的CPU利用牢和内存利明率。构造了一个贝叶斯网络模型来评估异常行为嘲络流对}c】9络带宽和网络设备资源带来的影响。贝叶斯逻辑在数学上的可靠性使该模型成为一种描述人类思维推理过程的标准模型,同时贝叶斯概率的特点不仅使评估模型能够反映评估的连续性和累积性这两个重要特征,还能够在评估过程中将网管人员的推理模式定量地反映出来,能够比较准确地反映威胁源的真实威胁等级。自动控制策略响应要解决的几

5、个主要问题是:根据威胁评估结果自动生成控制策略对异常网络流行为进行控制;将网络控制策略自动地部署到具体的网络设备上执行:系统门动生成的策略必须能够在各种不同的网络设备上执行。本文设计了一种不依赖于网络设备,但又接近于网络设备实现的统一策略描述语言,同时根据网络设笛的控制能力设计了三人类控制策略规则:限流策略、ACL阻断和关闭端口。统一策略描述语言包含网络设备访问控制所需的各种数据,能够方便地转化成不同厂商、不同设备的访问控制列表。If{自动策略生成机制依据威胁等级和策略执行点设备的具体控制能力生成统一格式描述的策略,在策略的具体部署过程lfI,由策略

6、部署机制在部署之前将统一描述的策略规则转换成具体设备的策略配置命令。策略的格式转换采用XM[,技术来实现。将统一描述的策略规则和具体设备的策略命令都用XML文件来描述,并事先用XML文档描述园区网上各种联网设备的各类策略配置命令格式与统一策略规则之间的对应关系,利用XSLT技术就可将统一描述的策略规则转换成设备具体的配置命令。增加新的设备,只需要编写新的XM[.文档,即可实现策略规则到策略配置命令的转换。本文提出的方法完全解决了策略跨平台的问题。关键词网络安全:可信网络运行;网络流行为;基于策略的网络管理:自动策略响应lIAbstractTCNOS(

7、TrustedCampusNetworkOperationSystem)isapartoftheResearchofTrustedCampusNetworkOperationandProvisioningSystemprojectwhichisfundedbyBeijingMunicipalScience&TechnologyCommission.TCNOSextendsthebasicideaofTrustedNet、vorkConnect.ThetargetofCampusNetworkTrustedOperationist0efficientl

8、yintegrate.manageandcollaborateallexistednetworkingdev

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。