IPSec被提出后经过不断完善与修改,在各个领域保障网络安全方面发挥重要作用。目前网络安全管理的核心是基于网络安全策略的管理方式。由于网络的飞速发展,网络普及性及用户量急剧增加,网络管理中的网络安全策略数目也急剧增加。在复杂多样的策略规则中出现策略冲突的概率也随之增加。一种有效快速检测出策略集中存在的策略冲突的方法成为现在研究的重点。本文围绕这个问题在以下三个方面进行了研究:一、在策略冲突检测方面,以基于决策树冲突检测方法的分类思想为基础,提出一种优化改进的策略冲突检测方法。采用分类思想将策略集内的规则划分至不同叶子结点中,结合霍夫曼编码思想,将编码值作为叶子结点标签,对不同标签下的规则进行冲突检测。通过分类思想减少了需要进行比较的规则次数,从而达到提高冲突检测效率的目的。标签的存储也有利于后续进行包匹配时通过数据包分类情况快速对应到符合的策略。二、考虑到目前策略冲突出现原因,在策略生成时提出采用输入节点网段,通过对节点网段的选择自动生成对应策略。在节点网段输入时进行检查排除重叠范围的存在,在生成策略时减少人工输入影响,通过选择不存在重叠范围的节点网段信息排除人为范围输入重叠的可能。三、在最后提出对策略集进行优化,将策略集中可构成连续范围的策略进行合并化简,从而减少策略总数目,提高策略匹配效率。最后,本文基于上述方法进行了测试验证,本文提出的策略冲突检测方法能够有效检测出策略集中存在的冲突,并且达到较高效率,策略自动生成方法可以通过对输入节点网段的信息选择达到自动生成策略的要求,策略优化方法可以对策略集进行合并化简,达到减少策略集数目的要求。本文策略冲突检测模型通过优化处理分类过程,使得策略集内策略数目较多时策略冲突检测效率下降较少。策略集经过冲突检测后,将分类策略以分类标签进行存储,在后续的策略匹配或新增策略时,利用分类标签将数据包快速与分类下的策略进行匹配,提高了策略查找匹配效率。