计算机网络防御策略描述语言初探

【摘 要】随着计算机信息网络的不断发展，人们在享受计算机给人们带来的便利同时，越来越意识到网络安全问题所带来的危害，计算机网络已成为社会基础设施建设的重要组成部分，社会生活对计算机及网络系统的依赖性也越来越大，本文就计算机网络防御策略描述语言进行了分析及探讨。

【关键词】计算机；网络防御；策略；描述语言

计算机网络安全所指的是凡是涉及网络信息完整性、保密性、真实性、可靠性、可用性及抗抵赖性等相关技术及理论均是网络安全要研究的领域，从本质上讲网络安全即是网络信息安全，尽管网络安全已经被信息社会各领域重视了，可因为计算机网络本身就存在着一些潜在威胁因素，这就让计算机网络容易受到病毒、黑客、恶意软件及其它不轨意图行为等的攻击，为了确保计算机网络的安全及可靠，计算机内就需要一种较为强大的网络防御策略来保护自身的网络安全。

一、计算机网络安全漏洞及攻击分析

由于计算机网络自身因素所造成的安全漏洞，主要有三个方面的因素，一是网络结构不安全性，Internet是种网络与网络间的技术，主要有主机和自治系统所连接成的庞大网络，在两台主机进行端与端通信的时候，相互传输的数据流一定会通过许多主机进行发送，这样的话就给那些攻击者带来了便利，当他有一台数据流传输中的主机，对用户的数据包进行挟持就易如反掌了。二是TCP/IP体系间的脆弱性，在上个世纪的70年代，当美国的国防部制定有关DARPA计划时，并沒有想到会在全球范围内使用，因此，TCP/IP协议所考虑的网络安全性并不是很多，而且TCP/IP协议是开放的，当有人对这个协议很熟悉的时候，就有可能运用其安全缺陷实施网络攻击。三是计算机用户的安全意识较为缺乏，尽管在网络中设置了较多的安全壁垒保护屏障，可人们的安全意识普遍不强，这些保护措施很多时候形同虚设，像用户口令的选择不够谨慎，以及打开了来历不明E-mail，这些都会给网络带来安全隐患，有些人为了避开有关防火墙的服务器额外认证，就会直接进行PPP连接，这样也就避开了防火墙保护，还有些人是直接进行浏览器页面的关闭，这些操作均给病毒及黑客入侵带来了便利。现在的攻击行为主要是运用计算机网络自身存在缺陷或者安全配置不恰当造成了安全漏洞来实施计算机网络攻击的，其攻击程度与攻击者采用的攻击手段及攻击思路不同而有着不同，但这些都给计算机的网络安全带来了较大的隐患。

二、有关计算机网络的防御策略描述语言

DPSL概述

计算机网络的防御策略所指的是为了实现特定安全目标，其网络及信息系统依据一定条件来选择防御措施规则，进行计算机防御就需要大量措施应对各种网络攻击，用人工配置的方法是比较复杂、低效及易错的，运用网络防御策略能够实现措施的正确、高效及自动化的部署并且能够让系统具有灵活性及可伸缩性的特点，这种策略具有较多的优点，已经被广泛应用在网络防御中了，并且是网络防御核心，其检测、保护及响应均是依据策略进行实施的，这种思想也被称为PPDR模型思想，可由于这种模型的策略粒度有些太大，沒有办法实现基于策略防御，依据这个先天不足，策略树把防御策略表示成了目标/措施的形式，可并沒有实施机制，并且兼容性不是很好，层次也不是很清楚的问题。而计算机网络防御策略描述语言简称为CNDPSL，它所面向的是计算机网络防御策略模型（CNDPM），能够统一地对检测、保护及响应策略进行描述，并能够把抽象策略细化成具体的规则，还能够以形式化方法来验证策略一致性、完备性及有效性。对于计算机网络防御策略描述语言（CNDPSL）来说，它是一种声明式的语言，对网络防御控制行为进行了抽象，而且对网络防御的需求具有比较好的适应性、灵活性及可扩展性，通过实验表明，这种描述语言能够将抽象的策略自动地转为具体技术规则，且实现表达防御效能。在CNDPSL设计中，需要满足下列要求，一是语法简洁直观，能够抽象网络防御控制行为，并且能够细化成有效及可实施防御的规则。二是能够表示访问控制领域策略，也能够对保密等其他保护策略进行描述，并控制响应及检测规则配置。

2.计算机网络防御策略模型描述

这里的防御策略模型代表是依据RBAC模型及组织机构访问控制的模型Or-BAC，前者仅是把主体抽象成了角色，并沒有对权限给予抽象，后者则对客体、主体及动作等都给予了抽象，但它们仅是一些框架及概念，并沒有进行实际的应用防御，而CNDPM是在Or-BAC的基础上进行了扩展，引入了措施概念，把策略及具体规则统一成了元组形式，把Or-BAC中有关规则及策略的8个谓词进行了去除，且给出了推导规则，概念间的关系进行了简化，把剩下的七个多元谓词进行演变成了一个四元谓词及九个二元谓词，从而对应成了十种关系。同时引入了特性的定义机制，把视图、角色及活动自动地分配给了客体、主体及动作。并将策略结构转化为了6元组，Policey:，其表示为在组织(org)中其角色(r)能够对视图(v)的活动(a)上下文(c)环境中采取相应措施(m)。其具体规则结构化成了5元组，Rule:，这里所表示的是在组织（org）里主体（s）能够对客体（o）的动作（a）运用措施（m）。

3.防御策略性质

计算机网络防御策略性质主要包括有效性、完备性及一致性。有效性所指的是当任何策略预期风险均在可接受范围之内时，这个策略集就能够被称之为有效的了。策略的有效性是依据上限值及评估函数进行决定的，当给定一个风险后，就应该选取合适策略，把威胁限制在能够接受的范围内。完备性所指的是任何组织及任何一个事件至少应该对应一条策略，那么称这个策略集为完备的，它所表示的在任意攻击事件中，都可以在策略集里找到响应及检测策略，有些已知攻击响应策略可能并沒有定义，依据这种情况，可在每个组织中，定义出一条缺省的策略来实现策略集完备性，这样对于未知的攻击就会存在着漏检情况，仅有当未知的攻击转变成了已知攻击的时候，才能进行相关检测及响应策略扩展。当两条策略组织及上下文相同的时候，并且视图、角色及活动都存在交集的时候，采用了相冲突措施，像许可和禁止，这时策略集出现了不一致现象，而检测一致性所指的是在某个策略集中，任意两条不同策略，其组织不同、上下文不同、视图不重叠、角色不重叠或者活动沒有重叠，那么这个策略集就是一致的。

三、CNDPSL设计及实施机制

CNDPSL是依据CNDPM模型而实现的一种策略描述语言，把计算机网络防御策略所涉及的内容按照语言描述了出来，并给出了EBNF的范式，且通过仿真来验证该语言是否有效，为攻防模拟的演练给予了支持。CNDPSL所需要描述的内容主要有组织机构、角色、策略、活动、视图、定义、上下文、措施声明、分配和继承关系等，其中，组织结构为CNDPM模型核心的概念，并运用搜索网络配置来设定目录服务器同名域的建立，这些内容有效地反映了有关CNDPM的思想。在计算机攻防的模拟演练之中，人机交互命令或者CNDPSL格式策略文件，通过策略引擎及防御策略的信息库进行交互处理，并转化成相应CNDDL的防御命令，再通过RT1传送至GTNetS仿真联邦成员中，且有CNDDL解释器把命令转成防御动作，完成了对防御策略部署。其执行系统总体设计主要包括策略引擎及防御策略的信息库。防御策略的信息库主要是通过1dap来存储策略需要的实体关系及实体信息。其引擎具体工作原理为：先对模块进行解析，主要是通过Yacc和Lex对CNDPSL的语法、词法及语义进行分析，并从信息库里读出策略描述需要的客体、主体及动作，且存入防御策略的信息库里，接着依照模型推导规则将模块的防御策略映射成相应规则，并由分发模块对防御策略信息库查找，且把规则分发到相应防御节点上，最终转化成了CNDDL的防御命令。其中，访问允许策略定要递归地在每个父组织防御节点上部署，这是由于数据包必定经过所有防火墙。

四、结束语

CNDPSL作为一种计算机防御策略描述语言，能够在很多环境中，对计算机网络的防御措施给予选择，随着新防御措施的出现，仅需要将措施集里加入相应描述就可以被策略发现及选择了，而防御策略图形化界面的提供，必将进一步加强计算机网络防御的功能及可操作性。

参考文献：

[1]杨鹏,杨帆.一种计算机网络防御策略描述语言[J].硅谷,2011(13).

[2]吴凤刚.计算机网络的防御技术研究[J].中国新技术新产品,2010(11).

[3]夏春和,魏玉娣,李肖坚,王海泉,何巍.计算机网络防御策略描述语言研究[J].计算机研究与发展,2009(01).

[4]于晶.浅析计算机的网络安全及攻击的防御措施[J].电脑知识与技术,2009(18).