安全配置策略自動(dòng)生成與驗(yàn)證技術(shù)研究

０引言隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的日益龐大及網(wǎng)絡(luò)威脅的日趨嚴(yán)重，企業(yè)在安全方面的建設(shè)的逐步健全，部署的防火墻、網(wǎng)絡(luò)訪問控制設(shè)備、網(wǎng)站防護(hù)設(shè)備等日益增多，使網(wǎng)絡(luò)環(huán)境規(guī)模和復(fù)雜度不斷增加。對(duì)于安全管理員而言，通常需要管理多個(gè)安全區(qū)域，進(jìn)行多種安全設(shè)備的策略配置。然而，在大規(guī)模網(wǎng)絡(luò)中，安全設(shè)備數(shù)量種類眾多，各類安全策略配置管理方法各不相同，隨著安全策略控制粒度的日趨細(xì)化嚴(yán)格，當(dāng)業(yè)務(wù)場(chǎng)景需求發(fā)生變化時(shí)，需要配置在這些設(shè)備之上的網(wǎng)絡(luò)安全策略規(guī)則也相應(yīng)的變得更加繁冗和復(fù)雜。這對(duì)系統(tǒng)配置運(yùn)維工作的開展帶來了極大的壓力，導(dǎo)致大規(guī)模設(shè)備集中統(tǒng)一、快速配置成為一種新的配置運(yùn)維需求。此外，人工智能、機(jī)器學(xué)習(xí)等先進(jìn)信息技術(shù)的發(fā)展演化，促使網(wǎng)絡(luò)信息體系向著網(wǎng)絡(luò)化、智能化趨勢(shì)發(fā)展，這也驅(qū)使網(wǎng)絡(luò)安全配置管理向著智能化方向發(fā)展。因此，構(gòu)建一種應(yīng)對(duì)網(wǎng)絡(luò)安全策略快速響應(yīng)、統(tǒng)一配置的安全智能配置機(jī)制成為當(dāng)前最為迫切的需求。１研究思路網(wǎng)絡(luò)安全配置策略的自動(dòng)化生成與驗(yàn)證的技術(shù)研究從以下幾個(gè)方面進(jìn)行展開：安全配置策略形式化描述：為信息系統(tǒng)設(shè)備（包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備等）的配置策略提供統(tǒng)一形式化的描述方式。安全配置意圖與策略映射模型構(gòu)建：通過構(gòu)建安全配置意圖與策略映射模型，建立安全配置意圖與策略之間的映射關(guān)系，從而為安全配置策略的自動(dòng)生成提供支撐。安全配置意圖與策略驗(yàn)證：根據(jù)安全配置意圖與策略模型，對(duì)安全配置意圖與策略的映射關(guān)系進(jìn)行驗(yàn)證，實(shí)現(xiàn)對(duì)安全配置意圖與策略映射模型進(jìn)一步的完善改進(jìn)。安全配置策略自動(dòng)化轉(zhuǎn)譯：根據(jù)安全配置意圖與策略映射模型，結(jié)合安全配置知識(shí)庫(kù)數(shù)據(jù)，依據(jù)安全配置意圖描述，將安全配置意圖自動(dòng)化轉(zhuǎn)譯為安全配置策略，避免人工配置時(shí)人為錯(cuò)誤的發(fā)生。安全配置策略沖突檢測(cè)：根據(jù)自動(dòng)化轉(zhuǎn)譯的安全配置策略，檢測(cè)其是否具有沖突性，完成對(duì)安全配置策略的優(yōu)化完善。安全配置策略輸出：根據(jù)安全配置意圖與策略模型，結(jié)合網(wǎng)絡(luò)防御意圖要求，生成系統(tǒng)設(shè)備可操作執(zhí)行的安全配置策略。圖1安全配置策略自動(dòng)生成與驗(yàn)證技術(shù)研究流程安全配置策略自動(dòng)生成與驗(yàn)證技術(shù)的初步預(yù)期效果如圖2所示，安全配置策略自動(dòng)生成與驗(yàn)證技術(shù)主要實(shí)現(xiàn)對(duì)安全配置意圖通用描述文檔進(jìn)行機(jī)器解讀，生成相應(yīng)設(shè)備可實(shí)施、執(zhí)行的安全配置策略。整個(gè)過程中，通過構(gòu)建網(wǎng)絡(luò)安全配置知識(shí)圖譜，建立安全配置意圖和安全策略之間的模型映射關(guān)系，自動(dòng)生成相應(yīng)設(shè)備的安全策略，并通過策略沖突檢測(cè)技術(shù)等，借助人工審核的力量，進(jìn)行安全策略的完善優(yōu)化。圖2安全配置策略自動(dòng)生成技術(shù)預(yù)期效果２安全配置策略形式化描述安全配置策略，是指在安全區(qū)域里用于指導(dǎo)和決定如何管理、分配和控制安全相關(guān)活動(dòng)的一套規(guī)則。例如，安全策略規(guī)定了當(dāng)發(fā)生安全違規(guī)事件的時(shí)候，應(yīng)當(dāng)由誰來執(zhí)行什么樣的措施進(jìn)行響應(yīng)，以及在什么時(shí)候、由誰負(fù)責(zé)記錄和審計(jì)?；诓呗缘墓芾恚渲髦际峭ㄟ^策略機(jī)制將系統(tǒng)的管理和執(zhí)行分開，從而提高管理系統(tǒng)的可伸縮性和靈活性，并使管理員把工作的著眼點(diǎn)放在業(yè)務(wù)需求而不是設(shè)備配置的細(xì)枝末節(jié)上，從而提高管理的效率。安全配置策略進(jìn)行形式化、規(guī)范性描述是實(shí)現(xiàn)安全配置策略自動(dòng)生成和驗(yàn)證的核心。現(xiàn)今策略管理還沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，RFC只推出了草案，還沒有形成正式的文檔，沒有制定策略的統(tǒng)一格式，也沒有規(guī)定用哪種語言描述當(dāng)前的策略在安全策略統(tǒng)一描述方面具有代表性的標(biāo)準(zhǔn)和方法?，F(xiàn)今，對(duì)于策略框架定義語言（PolicyFrameworkDefinitionLanguage,PFDL），其定義策略的形式是“ifcondition，thenaction”。條件部分描述設(shè)備會(huì)遇到的特定情況，可以是一個(gè)用戶或一個(gè)組，時(shí)間日期，應(yīng)用類型，或者網(wǎng)絡(luò)地址等。行動(dòng)部分描述設(shè)備在具體情況下采取的行動(dòng)。許多有關(guān)QoS的策略都是用PFDL定義的。對(duì)于策略定義語言（PolicyDescriptionLanguage,PDL），其定義策略的形式是“eventcauseactionifcondition”。這些策略也是主要用于網(wǎng)絡(luò)管理方面。這些策略被編譯為java類，并存放在目錄服務(wù)器中。PDL不支持授權(quán)策略和復(fù)合策略。對(duì)于Ponder，它是一種描述性的、強(qiáng)類型的、面向?qū)ο蟮恼Z言，定義了4種基本策略類型，包括授權(quán)策略、委托策略、義務(wù)策略、抑制策略，以及3種復(fù)合策略，包括角色、角色間的關(guān)系和管理結(jié)構(gòu)。Ponder可以用于定義基于角色訪問控制的安全策略，也可以用于定義通用的管理策略。本研究采用比較成熟的基于Ponder的安全配置策略形式化描述方式，該策略的語法如下：PolicyName{Description:policydescriptionType:policytypeAction：policyactionTarget：deviceobject；Model：deviceactionmodel}Description:描述了策略的作用、執(zhí)行過程等信息。Type：定義了策略種類、執(zhí)行方式等。Action：為處理事件所要執(zhí)行的動(dòng)作。Target：為策略執(zhí)行的對(duì)象，包括對(duì)象的ID、制造商、型號(hào)等信息。Model：為策略對(duì)象執(zhí)行action的模板，包括執(zhí)行該action所必需的參數(shù)或配置字段信息。3安全配置意圖與策略映射模型構(gòu)建及驗(yàn)證3.1基于常識(shí)和領(lǐng)域知識(shí)融合的知識(shí)推理技術(shù)基于常識(shí)和領(lǐng)域知識(shí)融合的可證明知識(shí)推理，需要利用結(jié)構(gòu)化的網(wǎng)絡(luò)安全配置知識(shí)數(shù)據(jù)和非結(jié)構(gòu)化的開源網(wǎng)絡(luò)安全情報(bào)數(shù)據(jù)，通過使用結(jié)構(gòu)化的網(wǎng)絡(luò)安全配置知識(shí)作為先驗(yàn)知識(shí)的一部分，并提取非結(jié)構(gòu)化開源數(shù)據(jù)相關(guān)知識(shí)描述，能夠提高先驗(yàn)知識(shí)的豐富程度。這兩種數(shù)據(jù)各有優(yōu)劣，融合使用可以互相補(bǔ)充：結(jié)構(gòu)化知識(shí)(StructuredKnowledgeSource)包含大量的三元組信息（概念及其之間的關(guān)系），利于推理，但是存在覆蓋度低的問題；非結(jié)構(gòu)化知識(shí)(UnstructuredKnowledgeSource)，即純文本，包含大量冗余的、覆蓋范圍廣的信息，可以補(bǔ)充結(jié)構(gòu)化知識(shí)。由于兩種數(shù)據(jù)結(jié)構(gòu)迥然不同，如何考慮將其轉(zhuǎn)換為相同的數(shù)據(jù)形式并處理成能夠被預(yù)訓(xùn)練模型接受的序列數(shù)據(jù)是最需要考慮的問題。針對(duì)非結(jié)構(gòu)化的開源網(wǎng)絡(luò)安全情報(bào)知識(shí)，由于開源數(shù)據(jù)都是文章形式的描述問題，需要實(shí)現(xiàn)檢索出真正對(duì)于問題有幫助的句子信息。首先將開源數(shù)據(jù)整理為文章，使用Spacy工具將其打散為句子，并利用Elasticsearch建立起索引，創(chuàng)造句子級(jí)別的搜索系統(tǒng)，隨后把問題和候選答案作為查詢關(guān)鍵詞，在系統(tǒng)中檢索相關(guān)的句子，開源數(shù)據(jù)預(yù)處理如圖3所示。圖3開源數(shù)據(jù)預(yù)處理開源數(shù)據(jù)中的抽取結(jié)果雖然為句子，但多個(gè)句子之間存在著內(nèi)在的聯(lián)系，為了獲取句子內(nèi)部和句子間的結(jié)構(gòu)化知識(shí)，使用語義角色標(biāo)注（SemanticRoleLabeling,SRL）對(duì)每個(gè)句子進(jìn)行分析，并對(duì)多個(gè)句子的抽取結(jié)果建立邊的連接（如共現(xiàn)程度）。針對(duì)生成句子圖問題，可以在結(jié)構(gòu)化網(wǎng)絡(luò)安全配置知識(shí)庫(kù)中定位相關(guān)實(shí)體，找到所有和此實(shí)體相關(guān)的知識(shí)三元組，每個(gè)三元組作為一個(gè)節(jié)點(diǎn)，如果兩個(gè)三元組包含相同的實(shí)體，則將兩個(gè)節(jié)點(diǎn)連接起來。接著，對(duì)每個(gè)節(jié)點(diǎn)使用規(guī)則，將每個(gè)節(jié)點(diǎn)中的三元組轉(zhuǎn)換為句子，生成句子圖過程如圖4所示。圖4生成句子圖過程于是可以根據(jù)句子圖的圖結(jié)構(gòu)關(guān)系對(duì)句子進(jìn)行拓?fù)渑判颍玫接?xùn)練語料。最終，將訓(xùn)練語料與問題答案拼接起來，輸入預(yù)訓(xùn)練模型（BERT或XLNet）中進(jìn)行訓(xùn)練和預(yù)測(cè)。綜上所述，此過程的具體運(yùn)作流程為，首先根據(jù)用戶提供的防御意圖數(shù)據(jù)，經(jīng)過文本識(shí)別技術(shù)轉(zhuǎn)化成系統(tǒng)可以識(shí)別并理解的向量形式，將得到的向量形式經(jīng)過基于圖卷積的關(guān)系抽取、基于句法特征和膠囊網(wǎng)絡(luò)的意圖識(shí)別技術(shù)以及命名實(shí)體識(shí)別技術(shù)處理后，將用戶的防御意圖轉(zhuǎn)化為系統(tǒng)可理解的表達(dá)形式，最后將此表達(dá)形式輸入策略配置系統(tǒng)，并在多元知識(shí)融合知識(shí)圖譜（即知識(shí)庫(kù)）的輔助下，準(zhǔn)確識(shí)別出用戶身份、目的，并且根據(jù)防御意圖給出精確的意圖解析，為后面的策略配置提供可靠來源。3.2基于知識(shí)圖譜的策略映射模型建立針對(duì)安全配置意圖與策略映射關(guān)系建立問題，本課題擬基于知識(shí)圖譜對(duì)防御意圖信息進(jìn)行分解，并結(jié)合相關(guān)配置要求，建立防御意圖與設(shè)備指令之間的連接，其過程如圖5所示。圖5基于知識(shí)圖譜的防御意圖和策略映射關(guān)系示意安全配置意圖首先被拆分為行為動(dòng)作和操作對(duì)象兩大部分內(nèi)容，然后基于操作對(duì)象屬性進(jìn)行相關(guān)行為動(dòng)作和ID等屬性字段的適配，最后融合安全配置意圖相關(guān)信息生成最終的安全配置策略。基于知識(shí)圖譜的意圖和策略模型的映射關(guān)系如下表所示，整個(gè)意圖與策略的映射存在于知識(shí)圖譜中，根據(jù)相應(yīng)的策略映射，生成一系列機(jī)器可以理解執(zhí)行的策略指令，并且通過知識(shí)圖譜，形成對(duì)應(yīng)的配置策略。表1基于知識(shí)圖譜的意圖和策略模型的映射關(guān)系表意圖策略打開防火墻xxxOpenfirewallxxx關(guān)閉防火墻xxxShutdownfirewallxxx打開網(wǎng)絡(luò)端口xxxOpennetworkportxxx關(guān)閉網(wǎng)絡(luò)端口xxxClosenetworkportxxx連接端口xxxConnecttoportxxx禁用端口xxxDisableportxxx允許數(shù)據(jù)包通過xxxAllowdatapackagexxx阻擋數(shù)據(jù)包xxxBlockdatapackagexxx配置IPDeployip……3.3安全配置意圖與安全策略映射模型驗(yàn)證對(duì)于安全配置意圖與安全策略模型的驗(yàn)證，主要是通過對(duì)推理策略的準(zhǔn)確率和召回率來實(shí)現(xiàn)的。準(zhǔn)確率和召回率是信息檢索、分類、識(shí)別、翻譯等各個(gè)領(lǐng)域的兩個(gè)最基本的指標(biāo)。準(zhǔn)確率為預(yù)測(cè)該類樣本的準(zhǔn)確性，越高越好；召回率為預(yù)測(cè)正確的類別C的樣本對(duì)于樣本集中類別C的樣本的覆蓋程度，越高越好。概念公式如下所示，其中圖片為準(zhǔn)確率，-圖片為召回率。

二分類問題可以根據(jù)真實(shí)類別和分類器預(yù)測(cè)類別是否為正例劃分為：真正例（TruePositive，TP）：真實(shí)類別和預(yù)測(cè)類別都是正例，即真實(shí)類別匹配到了，預(yù)測(cè)類別不匹配。假正例（FalsePositive，F(xiàn)P）：真實(shí)類別是負(fù)例，預(yù)測(cè)類別是正例，即真實(shí)類別不匹配，但預(yù)測(cè)類別匹配到了。假負(fù)例（FalseNegative，F(xiàn)N）：真實(shí)類別是正例，預(yù)測(cè)類別是負(fù)例，即真實(shí)類別匹配到了，但預(yù)測(cè)類別未匹配到。真負(fù)例（TrueNegative，TN）：真實(shí)類別和預(yù)測(cè)類別都是負(fù)例，即真實(shí)類別和預(yù)測(cè)類別都未匹配到。準(zhǔn)確率和召回率是互相影響的，理想情況下希望兩者都高，但在實(shí)際情況下準(zhǔn)確率高、召回率就低，召回率低、準(zhǔn)確率就高。在兩者都要求高的情況下，可以用宏平均（Macro-averaging，F(xiàn)1值或F-score、F-measure）來衡量。??1的獲取是先統(tǒng)計(jì)每一個(gè)類的指標(biāo)值，然后求所有類的算術(shù)平均值，即??和??的調(diào)和平均值，計(jì)算公式如下所示：在模型的驗(yàn)證過程中，對(duì)于根據(jù)用戶的輸入推理出的策略與真實(shí)策略做比較，并記錄每次測(cè)試中預(yù)測(cè)錯(cuò)誤的策略次數(shù)，計(jì)算出每次實(shí)驗(yàn)的準(zhǔn)確率與召回率，對(duì)于安全配置意圖與安全策略模型整個(gè)框架的準(zhǔn)確率要達(dá)到80%以上。綜上所述，安全配置意圖與策略映射模型構(gòu)建及驗(yàn)證的具體運(yùn)作流程如圖6所示。圖6策略配置意圖與策略模型構(gòu)建流程圖首先根據(jù)用戶提供的意圖數(shù)據(jù)（如：Z要求區(qū)域R執(zhí)行計(jì)劃B）等，經(jīng)過文本識(shí)別技術(shù)轉(zhuǎn)化成系統(tǒng)可以識(shí)別并理解的向量形式。將輸入的文本識(shí)別得到的詞嵌入（如：Z要求區(qū)域R執(zhí)行計(jì)劃B）輸入BI-LSTM（Bi-LongShort-TermMemory,雙向長(zhǎng)短時(shí)記憶網(wǎng)絡(luò)）的條件隨機(jī)場(chǎng)模型中識(shí)別出文本的各個(gè)實(shí)體（人物/動(dòng)作/區(qū)域/動(dòng)作/計(jì)劃B）。然后將上一步得到的各個(gè)實(shí)體輸入基于圖卷積的關(guān)系抽取模型中得到各個(gè)實(shí)體的關(guān)系（如：（執(zhí)行）（Z，計(jì)劃B），（范圍）（區(qū)域R，計(jì)劃B）），通過膠囊網(wǎng)絡(luò)將用戶的多個(gè)意圖識(shí)別出來，最后將上一步得到的意圖通過知識(shí)圖譜與基于常識(shí)和領(lǐng)域知識(shí)融合的機(jī)器推理技術(shù)選擇出正確的策略配置，需要補(bǔ)充的是對(duì)于意圖和策略配置的映射關(guān)系已經(jīng)存于知識(shí)圖譜中。在多元知識(shí)融合知識(shí)圖譜（即知識(shí)庫(kù)）的輔助下，準(zhǔn)確識(shí)別出用戶身份、目的，并且根據(jù)用戶的防御意圖給出精確的意圖解析，為后面的策略配置提供可靠來源。4安全配置策略自動(dòng)轉(zhuǎn)譯技術(shù)根據(jù)安全配置意圖與配置策略的模型和映射關(guān)系，結(jié)合安全配置知識(shí)庫(kù)數(shù)據(jù)，依據(jù)安全配置意圖的描述，可以實(shí)現(xiàn)將安全配置意圖自動(dòng)轉(zhuǎn)譯為安全配置指令，從而為安全配置策略的自動(dòng)化生成提供鋪墊。結(jié)合安全配置策略的形式化描述，安全配置策略自動(dòng)轉(zhuǎn)譯技術(shù)主要完成安全配置指令向安全配置策略的轉(zhuǎn)化。其轉(zhuǎn)譯過程如圖7所示：圖7安全配置策略自動(dòng)轉(zhuǎn)譯流程安全配置策略的自動(dòng)化轉(zhuǎn)譯，首先基于上節(jié)建立的安全配置意圖與配置策略映射關(guān)系，得到安全配置指令參數(shù)。然后結(jié)合安全配置策略庫(kù)信息，針對(duì)配置策略模板，生成相應(yīng)的策略描述。最后，將安全配置指令中的相關(guān)參數(shù)補(bǔ)充到安全配置策略描述，生成可下發(fā)實(shí)施的安全配置策略。5配置策略沖突檢測(cè)及優(yōu)化5.1配置策略沖突檢測(cè)安全配置策略應(yīng)該滿足一致性條件，即策略集中任意兩個(gè)策略，如果其作用的主體、目標(biāo)相同，其對(duì)應(yīng)的響應(yīng)策略也應(yīng)該是一致的，不存在相互沖突的情形，否則該策略集是不一致的，即策略之間存在沖突。對(duì)于一個(gè)策略系統(tǒng)來說，如果要有效地運(yùn)行，選擇一個(gè)高效的檢測(cè)和解決沖突的方法就顯得十分必要。目前幾種常用的策略檢測(cè)和解決的方法如下：（1）基于多維空間的策略沖突檢測(cè)基于多維空間的策略沖突檢測(cè)將策略規(guī)則分為條件和動(dòng)作部分，每個(gè)部分由多個(gè)屬性組成，可以將每個(gè)屬性看作一項(xiàng)，一條策略的動(dòng)作部分的多個(gè)項(xiàng)應(yīng)該能夠同時(shí)執(zhí)行。條件部分的每一個(gè)屬性即每一項(xiàng)看作是多維空間中的一個(gè)軸，即一維，這樣每條策略的條件部分應(yīng)該對(duì)應(yīng)多維空間中的一塊區(qū)域，如果有兩條或多條策略在多維空間中的區(qū)域有重疊，就會(huì)存在一個(gè)潛在的沖突，這時(shí)要檢查它們的動(dòng)作部分是否可以同時(shí)執(zhí)行。如果系統(tǒng)中存在圖片條策略，則進(jìn)行一次這樣的沖突檢驗(yàn)所需要的時(shí)間為圖片。檢測(cè)到一個(gè)沖突后，可以通過給相互沖突的策略賦予不同的優(yōu)先級(jí)來進(jìn)行解決，因?yàn)閮?yōu)先級(jí)也可以看作是條件部分的一個(gè)屬性，對(duì)應(yīng)多維空間中的一維，從而使沖突的策略的條件部分在多維空間中對(duì)應(yīng)的區(qū)域不再重疊。（2）基于Ponder和角色的策略沖突檢測(cè)在Ponder語言描述的策略中，角色包含一個(gè)或多個(gè)策略，擁有該角色的主體意味著擁有該角色內(nèi)的策略；當(dāng)賦予主體策略時(shí)，只需要加入某個(gè)設(shè)定好的角色即可；對(duì)于策略沖突的斷定可以根據(jù)兩條策略的主體行為目標(biāo)的覆蓋范圍是否重疊來判斷，這種方法可以判斷模態(tài)沖突，而對(duì)具體應(yīng)用沖突則不能直接檢測(cè)。大多數(shù)的應(yīng)用相關(guān)沖突不能通過靜態(tài)語法分析的方法檢查發(fā)現(xiàn)，曾有向策略集合中增加對(duì)策略本身進(jìn)行約束的“策略的策略”，即所謂的元策略來解決應(yīng)用相關(guān)沖突檢測(cè)問題。但是其語法復(fù)雜，并且要求管理員根據(jù)每個(gè)沖突實(shí)例編寫一定量的程序，加大了管理員的工作負(fù)擔(dān)。（3）基于有向圖模型的策略沖突檢測(cè)基于有向圖的策略沖突檢測(cè)和消解，使用有向圖來表示安全策略集，每個(gè)節(jié)點(diǎn)表示策略的主體或目標(biāo)，分支的狀態(tài)轉(zhuǎn)化為策略的動(dòng)作。如果存在兩種不同狀態(tài)的切換，則存在著策略沖突。（4）基于PDL邏輯編程的策略沖突檢測(cè)PDL（PolicyDescriptionLanguage，PDL）是基于事件的策略描述語言，具有語法簡(jiǎn)單和描述能力強(qiáng)等特點(diǎn)。PDL將策略描述為事件—條件—?jiǎng)幼鳎╡vent－condition－action,ECA）規(guī)則的集合?；赑DL策略沖突檢測(cè)是通過引入動(dòng)作約束來捕捉策略沖突，即動(dòng)作約束規(guī)定了在特定情況下不允許一組動(dòng)作同時(shí)執(zhí)行，若策略的執(zhí)行違反動(dòng)作約束時(shí)，則可檢測(cè)到相應(yīng)的策略沖突。另外，基于邏輯程序（LogicProgramming）的方法也可以對(duì)PDL策略進(jìn)行沖突檢測(cè)與消解，利用邏輯推理驗(yàn)證檢測(cè)與消解結(jié)果的正確性。經(jīng)過以上對(duì)比分析，基于PDL邏輯編程的策略沖突檢測(cè)和解決方法，按照公理使用分離性邏輯程序定義策略規(guī)則的語義和沖突檢測(cè)與解決，通過PDL規(guī)范自動(dòng)生成控制過程，既易于用戶修改、理解，又具有機(jī)器可執(zhí)行性。另外，采用靜態(tài)的優(yōu)先級(jí)定義和動(dòng)態(tài)的邏輯推理相結(jié)合的沖突解決辦法，可實(shí)現(xiàn)策略沖突的有效檢測(cè)和高效解決，作為本研究的策略沖突檢測(cè)和解決的技術(shù)途徑。5.2配置策略優(yōu)化完善通常安全配置策略由于頻繁變更、日積月累會(huì)造成很多無用策略，一方面影響系統(tǒng)設(shè)備的運(yùn)行效率，另一方面也會(huì)存在一定的安全隱患。本課題擬利用配置策略優(yōu)化完善技術(shù)，定期針對(duì)系統(tǒng)設(shè)備策略對(duì)象（包括地址對(duì)象、時(shí)間對(duì)象）和配置策略（包括安全策略、ACL策略、NAT策略、路由策略等）進(jìn)行優(yōu)化檢查分析，梳理出各類空對(duì)象、未被應(yīng)用對(duì)象、冗余策略、隱藏策略、過期策略、可合并策略、空策略等，管理員可根據(jù)分析結(jié)果再對(duì)策略進(jìn)行精簡(jiǎn)和優(yōu)化調(diào)整。各類優(yōu)化檢查標(biāo)準(zhǔn)與規(guī)則說明如下：空對(duì)象：