[01372273]分布式网络可达性的量化、验证与优化

Yankee Group研究报告表明,配置错误是网络服务事故的最大原因, 62%以上的网络停机是由于人为配置错误,定量研究表明绝大部分防火墙的配置都存在错误。网络管理员必需能快速定位并修复问题。这是因为业务网络经常包含关键的商业应用和重要的通信,一旦网络中断造成的损失将会变得日益严重。可达性的过量性错误经常没有被检测到,事实上这些损失情况比这些公布的惊人数字更糟。同时,可达性不足又是运营商经常遇到客户投诉的原因。 由于网络可达性错误经常在大规模网络中发生,并且它们的故障排除需要耗费大量人力物力,本项目研究开发的网络可达性管理工具（FAT）,能够在这些错误发生之前检测到并进行自动修复,因而必将成为市场急需产品,而且目前没有竞争对手。预计产品市场总容量在15亿美元以上,产品的目标用户是拥有大规模网络的单位,如因特网服务提供商（ISP）、连锁店网络、大型企业、金融机构、大学以及政府机构,具备集中式网络管理中心。预计本项目成果产业化后,年产销1000套,平均每套6万元,年销售额6000万元。 主要关键技术突破： （1）解决ACL的图形化表示方法,设计ACL的图形化结构－防火墙决策图（Firewall Direction Diagram, FDD）,设计实现了FDD的构造算法。 （2）提出一个EPAL策略评估引擎,将包含一个ACL和一个冲突解决机制的数值化EPAL,转换成一个PDD树形结构,解决了ACL的另一种图形化表示;利用其树形结构处理数值化请求,提出不确定值的请求和复合请求的优化技术。此优化方法对网络可达性优化有重要指导意义。 （3）提出一种高吞吐量协作防火墙的双向去除ACL冗余规则的方法。通过研究协作防火墙的工作原理,提出双向去冗余算法,以提高域内协作防火墙的吞吐量,在存在协作防火墙的网络环境下,优化其网络可达性。 （4）提出存在协作防火墙的网络环境中的网络可达性量化方法,考虑协作防火墙中防火墙相互依存地影响网络可达性的因素,给出了网络可达性的数学表达式,构建网络可达性的原始模型。 （5）提出了一种基于BLOSUM62矩阵的特征提取方法。该方法为每一种氨基酸提供了一个映射坐标,利用了一个蛋白质对位排列表BLOSUM62计分矩阵,从中提取各氨基酸的计分信息作为氨基酸映射坐标Y值（6）从3维图形中提取2维序列信息特征的映射平面信息,提出了一个二维的距离计算方法,分析比较9个物种的线粒体NADH脱氢酶（ND5）两两之间的相似性。实验结果表明,该方法既能体现生物的进化关系,又能够更好地适应蛋白质序列的相似性分析。 （7）利用序列比对能快速有效的识别保守片段及保守片段之间的语义特性的优势,提出基于高语义性序列比对算法且具有高容噪性的特征自动提取方法。对于随机噪声数据,TsMSA算法具有很好的容噪性能。 （8）TCAM被广泛应用在网络设置中,是路由器、防火墙和入侵检测/保护系统等网络安全设备的核心部分。我们提出并设计了TCAM检查器,这是第一个用来TCAM的错误检测和修正的软件方法,易于部署在现有的基于TCAM的网络设备上,以改进安全系统规则或特征存取的安全性与可靠性。 （9）为防范对隐私的网络攻击,我们提出一种有效的企业隐私授权语言EPAL策略评估引擎E-engine。E-engine首先将字符型网络攻击特征转换成EPAL策略中的数字值,然后,将数字化的EPAL策略指定为一个规则列表,根据树结构中的首次匹配语义来有效处理数字化请求。 （10）通过研究无状态防火墙对网络攻击特征的准确提取和部署策略的基础上,我们提出了一个状态防火墙决策图的构造算法,可用来发现状态防火墙设计过程中产生的错误。实验结果表明这个算法非常有效,能在2s内发现2个拥有3000条规则的防火墙之间的差异。 （11）在上述研究成果的基础上,设计并开发了防火墙智能分析器 （V1.0版本）,初步实现了对单个ACL转换成FDD,并对FDD进行相应简化,分析出ACL中冲突、冗余、错误的规则。 （12）在Chen等人的基础上对隐私保护去冗余协议进行优化,用于检测采用Chen等人提出的优化协议进行初次优化后、防火墙更新时FW2相对于FW1来说的防火墙间冗余规则。为了评估我们的优化协议的效率,对于以上的每一种更新情况,我们分别采用原来的协议和我们优化后的协议来去除FW2相对于FW1的防火墙间冗余规则,计算并比较每次去冗余过程中,采用这两种方法各自消耗的处理时间、比较时间和通信成本。 （13）提出一类新的防火墙规则匹配方法——跳跃式匹配。跳跃式匹配算法的大致思路是：为每一条规则构造下一跳索引节点,在查找数据包匹配规则时,利用这个索引信息,跳跃式的寻找匹配规则通过对比实验,此方法与规则排序和挖掘预测的方法在速度上属于同一级别,速度比目前的规则排序和挖掘预测方法快30%左