基于多域策略图的跨域网络防御策略冲突检测方法

doi:10.11772/j.issn.1001-9081.2025091182

《计算机应用》唯一官方网站 ›› 2026, Vol. 46 ›› Issue (3): 847-856.DOI: 10.11772/j.issn.1001-9081.2025091182

基于多域策略图的跨域网络防御策略冲突检测方法

刘馨璐¹(), 常德显¹^,², 张靖坤¹, 张大伟¹

^1.信息工程大学密码工程学院，郑州 450001
^2.河南省信息安全重点实验室，郑州 450004

收稿日期:2025-10-11 修回日期:2025-12-08 接受日期:2025-12-10 发布日期:2025-12-24 出版日期:2026-03-10
通讯作者: 刘馨璐
作者简介:常德显（1977—），男，河南邓州人，副教授，博士，主要研究方向：网络信息防御
张靖坤（2001—），男，河南驻马店人，硕士研究生，主要研究方向：加密流量分析
张大伟（1996—），男，安徽滁州人，硕士研究生，主要研究方向：网络安全管理。
基金资助:
中国博士后科学基金资助项目(GZC20240321)

Cross-domain network defense strategy conflict detection method based on multi-domain policy graph

Xinlu LIU¹(), Dexian CHANG¹^,², Jingkun ZHANG¹, Dawei ZHANG¹

^1.Department of Cryptography Engineering，Information Engineering University，Zhengzhou Henan 450001，China
^2.Henan Province Key Laboratory of Information Security，Zhengzhou Henan 450004，China

Received:2025-10-11 Revised:2025-12-08 Accepted:2025-12-10 Online:2025-12-24 Published:2026-03-10
Contact: Xinlu LIU
About author:CHANG Dexian， born in 1977， Ph. D.， associate professor. His research interests include network information defense.
ZHANG Jingkun， born in 2001， M. S. candidate. His research interests include encrypted traffic analysis.
ZHANG Dawei， born in 1996， M. S. candidate. His research interests include network security management.
Supported by:
China Postdoctoral Science Foundation(GZC20240321)

摘要/Abstract

摘要：

针对可编程网络跨域防御策略冲突检测中存在域间协同能力不足、资源标识异构和检测效率低等问题，提出一种基于多域策略图的跨域网络防御策略冲突检测方法。首先，基于通用JSON语言构建意图驱动的防御策略模型，并通过语义标签注入实现防御意图与防御策略的精准关联，解决单域策略模型的封闭性问题；其次，利用分层哈希映射（LHM）算法生成全局资源标识（GRI），解决多控制器域的资源标识冲突问题；最后，构建多域联合策略图（MD-JPG），并整合跨域策略间的拓扑、动作与资源依赖关系，设计基于图遍历的四维冲突跨域检测算法（CDC-4D）精准识别动作冲突、规则覆盖冲突、资源竞争冲突及策略类型冲突。实验结果表明，在多控制器网络防御场景中，所提方法的策略冲突检测时延、内存占用、检测F1分数都取得了较好的结果。

关键词: 可编程网络, 防御策略冲突检测, 全局策略图, 分层哈希映射算法, 资源标识

Abstract:

Aiming at the problems such as insufficient inter-domain collaboration ability， heterogeneous resource identifiers and low detection efficiency in conflict detection of cross-domain defense strategies in programmable networks， a cross-domain defense strategy conflict detection method based on multi-domain policy graph was proposed. Firstly， an intent-driven defense strategy model was constructed on the basis of the general JSON language， and the precise association between defense intentions and defense strategies was achieved through semantic label injection， so as to solve closed problem of the single-domain strategy model. Secondly， the Layered Hash Mapping （LHM） algorithm was utilized to generate Global Resource Identifier （GRI）， thereby solving the problem of resource identifier conflicts in multi-controller domains. Finally， by constructing a Multi-Domain Joint Policy Graph （MD-JPG）， as well as integrating the topological， action and resource dependencies among cross-domain strategies， a Cross-domain Conflict Detection algorithm based on graph traversal in four Dimensions，（CDC-4D） was designed to identify action conflicts， rule coverage conflicts， resource competition conflicts and strategy type conflicts accurately. Experimental results show that in the multi-controller network defense scenarios， the strategy conflict detection latency， memory usage， and detection F1-score of the proposed method have achieved good results.

Key words: programmable network, defense strategy conflict detection, global policy graph, Layered Hash Mapping (LHM) algorithm, resource identifier

中图分类号:

TN92

刘馨璐, 常德显, 张靖坤, 张大伟. 基于多域策略图的跨域网络防御策略冲突检测方法[J]. 计算机应用, 2026, 46(3): 847-856.

Xinlu LIU, Dexian CHANG, Jingkun ZHANG, Dawei ZHANG. Cross-domain network defense strategy conflict detection method based on multi-domain policy graph[J]. Journal of Computer Applications, 2026, 46(3): 847-856.

图/表 14

表1 策略模型核心字段说明

Tab. 1 Explanation of core fields of strategy model

参数	含义
intent_id	用户意图标识符
policy_id	策略唯一标识
domain	策略所属域
Match（fields）	匹配条件
action	策略中的行动
priority	动态优先级
resource_deps	依赖资源列表
policy-type	策略类型
GRI_src	源域全局资源标识
GRI_dst	目标域全局资源标识
widehat｛P｝	跨域优先级权重
mathcal｛F｝	冲突解决函数

表2 策略冲突类型的分类

Tab. 2 Classification of strategy conflict types

冲突类型	跨域冲突机制	形式化描述
动作冲突	多域对同一数据流的处置动作矛盾（如域A阻断而域B放行）	$P d o m a i n A ≠ P d o m a i n B ∧ P m a t c h_f i e l d s A ⊆ P m a t c h_f i e l d s B ≠ ∅ ∧ P a c t i o n A, P a c t i o n B = a l l o w, d e n y$
覆盖冲突	多域策略规则范围非对称重叠（如域A的阻断范围被域B的允许范围部分覆盖）	$P d o m a i n A ≠ P d o m a i n B ∧ P m a t c h_f i e l d s A ⊆ P m a t c h_f i e l d s B ∧ P a c t i o n A = a l l o w ∧ P a c t i o n B = d e n y$
资源冲突	多域竞争共享资源（如跨境链路带宽被DDoS清洗与业务保障策略同时占用）	$P d o m a i n A ≠ P d o m a i n B ∧ P r e s o u r c e_d e p s A ⊆ P r e s o u r c e_d e p s B ≠ ∅$
策略类型冲突	异构域策略语义类型不兼容（如域A的隐私脱敏策略与域B的日志审计策略产生逻辑悖论）	$P d o m a i n A ≠ P d o m a i n B ∧ ¬ P p o l i c e_t y p e A ⊆ P p o l i c e_t y p e B$

表2 策略冲突类型的分类

Tab. 2 Classification of strategy conflict types

冲突类型	跨域冲突机制	形式化描述
动作冲突	多域对同一数据流的处置动作矛盾（如域A阻断而域B放行）	$P d o m a i n A ≠ P d o m a i n B ∧ P m a t c h_f i e l d s A ⊆ P m a t c h_f i e l d s B ≠ ∅ ∧ P a c t i o n A, P a c t i o n B = a l l o w, d e n y$
覆盖冲突	多域策略规则范围非对称重叠（如域A的阻断范围被域B的允许范围部分覆盖）	$P d o m a i n A ≠ P d o m a i n B ∧ P m a t c h_f i e l d s A ⊆ P m a t c h_f i e l d s B ∧ P a c t i o n A = a l l o w ∧ P a c t i o n B = d e n y$
资源冲突	多域竞争共享资源（如跨境链路带宽被DDoS清洗与业务保障策略同时占用）	$P d o m a i n A ≠ P d o m a i n B ∧ P r e s o u r c e_d e p s A ⊆ P r e s o u r c e_d e p s B ≠ ∅$
策略类型冲突	异构域策略语义类型不兼容（如域A的隐私脱敏策略与域B的日志审计策略产生逻辑悖论）	$P d o m a i n A ≠ P d o m a i n B ∧ ¬ P p o l i c e_t y p e A ⊆ P p o l i c e_t y p e B$

图1 系统框架

Fig. 1 System framework

图2 框架层次模型

Fig. 2 Framework hierarchical model

表3 分层哈希映射算法的设计

Tab. 3 Design of layered hash mapping algorithm

层级

功能描述

哈希函数

选择

将LRI与域标识聚合

生成GRI

轻量级哈希

动态掩码扩展

表4 硬件和软件的配置

Tab. 4 Hardware and software configuration

组件	版本/配置	说明
网络仿真	Mininet 2.3.0	创建虚拟网络拓扑
SDN控制器	ONOS 2.7.0， OpenDaylight Carbon， RYU 4.34	3个域分别使用不同的控制器
消息中间件	Apache Kafka 3.3.1 （3节点集群）	处理跨域策略同步
监控系统	Prometheus 2.40.5 + Grafana 9.3.2	采集性能指标（时延、内存）
策略生成与检测	Python 3.9， Custom Scripts	策略注入、冲突检测核心算法实现

表5 LHM验证实验的结果

Tab. 5 Experimental results of LHM verification

指标	映射时延/ms	GRI唯一性/%	跨域同步时延/ms
平均值	0.12	100.0	2.5
标准差	$±$ 0.02	—	$±$ 0.2

表5 LHM验证实验的结果

Tab. 5 Experimental results of LHM verification

指标	映射时延/ms	GRI唯一性/%	跨域同步时延/ms
平均值	0.12	100.0	2.5
标准差	$±$ 0.02	—	$±$ 0.2

表6 不同方法的构建效率对比

Tab. 6 Comparison of construction efficiency among different methods

策略规模	方法	构建时间/ms	内存占用/MB
10 000	全局哈希表	98.5±5.2	395.3±15.1
10 000	MD-JPG	72.1±3.5	332.8±12.5
20 000	全局哈希表	201.8±8.7	798.6±22.4
20 000	MD-JPG	142.3±6.0	654.4±20.1
50 000	全局哈希表	512.3±15.4	1 896.7±45.6
50 000	MD-JPG	345.9±10.2	1 559.2±38.3

表7 冲突检测率的对比 (%)

Tab. 7 Comparison of conflict detection rates

冲突类型	全局哈希表	MD-JPG
动作冲突	92.1	96.6
覆盖冲突	96.2	98.8
资源冲突	83.7	91.1
策略类型冲突	81.3	88.5

表8 冲突检测综合性能的对比 (%)

Tab. 8 Comparison of comprehensive performance of conflict detection

检测方法	动作冲突检测率	覆盖冲突检测率	资源冲突检测率	类型冲突检测率	加权平均检测率	整体 F1分数
FortNOX	92.1	86.5	—	—	89.3	89.1
QICR	94.3	90.2	84.7	—	89.7	90.1
GAN- DENNW	95.8	91.5	87.3	79.6	90.9	91.2
GraphRNN	94.2	93.8	86.1	82.4	91.6	91.8
DPA	95.1	94.5	88.9	85.7	92.8	92.9
AFAN	95.9	95.1	89.3	86.2	93.2	93.4
本文方法	96.6	98.8	91.1	88.5	94.3	96.2

图3 不同方法的性能指标对比

Fig. 3 Comparison of performance indicators of different methods

表9 LHM算法的消融实验结果对比

Tab. 9 Comparison of LHM algorithm ablation experimental results

哈希方法	GRI唯一性/%	平均映射时延/ms	冲突检测误报率/%
LHM	99.0	0.12±0.02	0.07
单层SHA-256	98.8	0.10±0.01	0.80
CRC32	98.2	0.05±0.01	2.10

表10 MD-JPG与全局哈希表的冲突检测能力对比

Tab. 10 Comparison of conflict detection capabilities between MD-JPG and global hash table

检测方法	动作冲突检测率/%	覆盖冲突检测率/%	资源竞争冲突检测率/%	策略类型冲突检测率/%	平均检测时延/ms
MD-JPG	96.6	98.8	91.1	88.5	142.3
全局哈希表	95.2	85.3	82.4	80.1	385.6

图4 检测时延和内存占用随策略规模与域数的变化

Fig. 4 Detection latency and memory usage varying with strategy scale and number of domains

参考文献 23

[1]	徐丹，白燕南，王峰，等. 意图网络研究综述［J］. 电子技术应用， 2021， 47（9）： 9-15.
	XU D， BAI Y N， WANG F， et al. Survey of intent-based networking ［J］. Application of Electronic Technique， 2021， 47（9）： 9-15.
[2]	吴德春. 面向意图驱动网络的意图转译和智能优化研究［D］. 成都：电子科技大学， 2022.
	WU D C. Research on intent translation and intelligent optimization for intent-driven networks［D］. Chengdu： University of Electronic Science and Technology of China， 2022.
[3]	熊厚仁，陈性元，费晓飞，等. 基于属性和RBAC的混合扩展访问控制模型［J］. 计算机应用研究， 2016， 33（7）： 2162-2169.
	XIONG H R， CHEN X Y， FEI X F， et al. Attribute and RBAC-based hybrid access control model ［J］. Application Research of Computers， 2016， 33（7）： 2162-2169.
[4]	PORRAS P， SHIN S， YEGNESWARAN V， et al. A security enforcement kernel for OpenFlow networks ［C］// Proceedings of the 1st Workshop on Hot Topics in Software Defined Networks. New York： ACM， 2012： 121-126.
[5]	李恒，李凤华，史欣怡，等. 面向数据跨域安全流通的访问控制研究综述［J］. 通信学报， 2025， 46（4）： 238-254.
	LI H， LI F H， SHI X Y， et al. Research on access control for secure cross-domain data circulation ［J］. Journal on Communications， 2025， 46（4）： 238-254.
[6]	YANG S， DU Y， LIU J， et al. Few-shot multi-domain text intent classification with Dynamic Balance Domain Adaptation Meta-learning ［J］. Expert Systems with Applications， 2024， 255（Pt A）： No.124429.
[7]	WU Y， HU Y， WANG J， et al. An active learning framework using deep Q-network for zero-day attack detection ［J］. Computers and Security， 2024， 139： No.103713.
[8]	诸天逸，李凤华，成林，等. 跨域访问控制技术研究［J］. 网络与信息安全学报， 2021， 7（1）： 20-27.
	ZHU T Y， LI F H， CHENG L， et al. Research on cross-domain access control technology ［J］. Chinese Journal of Network and Information Security， 2021， 7（1）： 20-27.
[9]	王鹃，王江，焦虹阳，等. 一种基于OpenFlow的SDN访问控制策略实时冲突检测与解决方法［J］. 计算机学报， 2015， 38（4）： 872-883.
	WANG J， WANG J， JIAO H Y， et al. A method of OpenFlow-based real-time conflict detection and resolution for SDN access control policies ［J］. Chinese Journal of Computers， 2015， 38（4）： 872-883.
[10]	LI B， DENG X， ZHANG P. A policy conflict detection mechanism for intent-based networking ［C］// Proceedings of the IEEE 9th International Conference on Cloud Computing and Intelligent Systems. Piscataway： IEEE， 2023： 164-175.
[11]	KHAIRI M H H， ARIFFIN S H S， LATIFF N M A， et al. Detection and classification of conflict flows in SDN using machine learning algorithms ［J］. IEEE Access， 2021， 9： 76024-76037.
[12]	TRAN C N， DANCIU V. A general approach to conflict detection in software-defined networks ［J］. SN Computer Science， 2020， 1（1）： No.9.
[13]	GREWAL K， D’ANTONI L， HSU J. P4BID： information flow control in P4 ［C］// Proceedings of the 43rd ACM SIGPLAN International Conference on Programming Language Design and Implementation. New York： ACM， 2022： 46-60.
[14]	MALIK G， CEVIK M， PARIKH D， et al. Supervised semantic similarity-based conflict detection algorithm： S3CDA［EB/OL］. ［2025-07-10］..
[15]	汤敏睿，何亮，顾生浩，等. 联邦学习在智慧农业系统中的应用研究综述［J］. 中国农业科技导报（中英文）， 2025， 27（6）： 1-15.
	TANG M R， HE L， GU S H， et al. A review of application of federated learning in smart agricultural systems ［J］. Journal of Agricultural Science and Technology， 2025， 27（6）： 1-15.
[16]	黄秀丽，陈志. 基于JSON的异构Web平台的设计与实现［J］. 计算机技术与发展， 2021， 31（3）： 120-125.
	HUANG X L， CHEN Z. Design and implementation of heterogeneous Web platform based on JSON ［J］. Computer Technology and Development， 2021， 31（3）： 120-125.
[17]	SANKARAN G C， CHUNG J， KETTIMUTHU R. App2Net： moving application functions to network & a case study on low-latency feedback ［C］// Proceedings of the 2022 IEEE/ACM International Workshop on Innovating the Network for Data-Intensive Science. Piscataway： IEEE， 2022： 1-8.
[18]	何强. 大数据环境下的隐私保护与访问控制模型研究［J］. 信息与电脑， 2025， 37（4）： 26-28.
	HE Q. Research on privacy protection and access control model in big data environment ［J］. Information and Computer， 2025， 37（4）： 26-28.
[19]	何珊. 软件定义雾计算结构模型及在网络防御中的应用研究［D］. 上海：上海交通大学， 2019.
	HE S. Software defined fog computing structure model and application research in network defense ［D］. Shanghai： Shanghai Jiao Tong University， 2019.
[20]	BICHSEL B， STEFFEN S， BOGUNOVIC I， et al. DP-Sniper： black-box discovery of differential privacy violations using classifiers ［C］// Proceedings of the 2021 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2021： 391-409.
[21]	WANG H， LIAO S， SHAO L. AFAN： augmented feature alignment network for cross-domain object detection ［J］. IEEE Transactions on Image Processing， 2021， 30： 4046-4056.
[22]	NAZIM S， HUSSAIN S S， YOUSUF B， et al. An innovative intrusion detection framework using GAN-augmented Deep Ensemble Neural Network for cross-domain IoT-cloud security ［J］. Internet of Things， 2025， 34： No.101773.
[23]	YOU J， YING R， REN X， et al. GraphRNN： generating realistic graphs with deep auto-regressive models［C］// Proceedings of the 2018 International Conference on Machine Learning. New York： PMLR， 2018： 5708-5717.

基于多域策略图的跨域网络防御策略冲突检测方法

Cross-domain network defense strategy conflict detection method based on multi-domain policy graph

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 14

参考文献 23

相关文章 15

编辑推荐

Metrics

[1]	廖勇胡博闻李宗锦. 大语言模型在6G通信网络中潜在应用研究综述[J]. 《计算机应用》唯一官方网站, 0, (): 0-0.
[2]	陈冠良刘义余意. 异构多智能体强化学习驱动的无人机三维避障与边缘计算协同优化[J]. 《计算机应用》唯一官方网站, 0, (): 0-0.
[3]	刘占军, 宋云鹏, 王盛宝. 基于自适应梯度匹配追踪算法的超大规模多输入多输出混合场信道估计[J]. 《计算机应用》唯一官方网站, 2025, 45(12): 3931-3938.
[4]	郭莉莉, 吉晓东, 张士兵. 多用户对无人机中继系统的吞吐量最大化[J]. 《计算机应用》唯一官方网站, 2025, 45(11): 3692-3697.
[5]	葛孟佳, 戴景, 李昱辰, 潘莉丽, 景小荣. 面向多IRS辅助的NOMA-SWIPT协作传输模型的联合波束成形与功率分配[J]. 《计算机应用》唯一官方网站, 2025, 45(11): 3682-3691.
[6]	郭晓金隋旭洋周柯男. 基于深度学习的STAR-RIS辅助混合场通信系统信道估计[J]. 《计算机应用》唯一官方网站, 0, (): 0-0.
[7]	张小飞卞宝银朱道华蒋承伶李秀彩. 认知无线网络中基于天线和用户联合选择的保密中断概率分析[J]. 《计算机应用》唯一官方网站, 0, (): 0-0.
[8]	范红卫, 徐涴砯. 智能反射面辅助无线供电通信网络中继的资源分配[J]. 《计算机应用》唯一官方网站, 2025, 45(5): 1619-1624.
[9]	薛建彬卢慧慧陈庆斗张寒吴明叶. 基于NOMA的无人机辅助数据收集的安全能效优化[J]. 《计算机应用》唯一官方网站, 0, (): 0-0.
[10]	李昱辰, 巫峻译, 葛孟佳, 潘莉丽, 景小荣. RIS辅助的多簇NOMA-DFRC系统中的联合波束成形与功率分配[J]. 《计算机应用》唯一官方网站, 2025, 45(4): 1256-1262.
[11]	王华华, 黄梁, 陈甲杰, 方杰宁. 基于深度强化学习的低轨卫星多波束子载波动态分配算法[J]. 《计算机应用》唯一官方网站, 2025, 45(2): 571-577.
[12]	王靖, 方旭明. Wi-Fi7多链路通感一体化的功率和信道联合智能分配算法[J]. 《计算机应用》唯一官方网站, 2025, 45(2): 563-570.
[13]	薛建彬, 王涛, 豆俊, 田桂英, 马玉玲. 基于无人机无线能量传输的移动边缘计算系统安全方案[J]. 《计算机应用》唯一官方网站, 0, (): 164-169.
[14]	乔峰, 仇润鹤. 剩余硬件损伤下非线性能量收集全双工双向中继网络的吞吐量优化算法[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3884-3892.
[15]	花敏, 魏佳楠, 赵伟, 孟硕. LoRa信号干扰分析与性能研究[J]. 《计算机应用》唯一官方网站, 2024, 44(9): 2848-2854.