[发明专利]基于Hicuts算法的安全策略冲突检测及消除方法

摘要

本发明公开了一种基于Hicuts算法的安全策略冲突检测及消除方法。本发明的冲突检测方法包括：使用Hicuts算法的分类方式，对安全策略的规则进行分类，生成一颗关于规则的分类决策树；对分类决策树的同一叶子结点的规则进行冲突检测，得到冲突检测结果。本发明的消除方法为：对冲突检测结果中存在冲突的规则进行修改，消除冲突。本发明用于网络安全策略中规则之间冲突的检测与消解，其实现的复杂度为o(n)，极大地提高了冲突检测与消除的效率。

主权项

1.基于Hicuts算法的安全策略冲突检测方法，其特征在于，包括下列步骤：步骤A：使用Hicuts算法的分类方式，对安全策略的规则进行分类，生成一颗关于规则的分类决策树，其中规则包括五元组和动作：步骤A1：对规则的所有维度，若维度能表示成区间的形式，则定义为连续型维度，否则定义为非连续型维度；确定所有维度的维度范围，对于连续型维度，维度范围为能取到的最小值到最大值的区间；对于非连续型维度，维度范围为所有可取元素的集合；对于非连续型维度，若维度范围中的元素间存在包含关系，则定义为复合型维度；步骤A2：若存在复合型维度，则对复合型维度进行预处理：基于维度范围中的元素间的包含关系，将复合型维度的复合型元素分解为本元素与其所有父元素的元素集合；其中复合型元素的定义为：元素A包含于元素B，则称元素A为复合型元素，且元素B称为元素A的父元素；步骤A3：基于维度进行切割，生成分类决策树：A3‑1：初始化分类决策的根结点，将待检测的所有规则切割到根结点；A3‑2：随机选择一个非复合型维度进行第一切割处理：基于维度范围和预设子女结点数目np将当前非复合型维度的维度范围均分为np个切割范围；基于当前非复合型维度的元素与各切割范围的交集，将规则数目大于预设阈值binth的结点的规则切割到不同的子女结点；A3‑3：判断叶子结点的规则数目是否大于阈值binth，若是，则继续执行步骤A3‑2直到所有非复合型维度均执行一次第一切割处理；A3‑4：若所有非复合型维度均执行一次第一切割处理后，叶子结点的规则数目大于阈值binth，则基于当前叶子结点的所有规则对维度范围进行更新后继续执行步骤A3‑2，直到叶子结点的规则数目小于或等于阈值binth；A3‑5：对未执行分割处理的复合型维度进行第二切割处理：对步骤A3‑3得到的同一叶子结点的所有规则，将同一复合型维度的元素集合间存在交集的规则切割到当前叶子结点的同一子女结点；步骤B：对分类决策树的同一叶子结点的规则进行冲突检测，得到冲突检测结果：仅对规则数目大于1的叶子结点进行冲突检测，若同一叶子结点的各规则间的动作不一致，则继续比较各规则的同一维度的元素是否存在冲突，若是，则存在冲突规则。