計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)分析

(沈陽理工大學(xué) 遼寧沈陽 110159)

計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)分析

劉珈瑋 林 博 馮世超

(沈陽理工大學(xué) 遼寧沈陽 110159)

當(dāng)前局勢下，我國科學(xué)技術(shù)的不但發(fā)展，社會發(fā)展的一次又一次的變革。迎來了網(wǎng)絡(luò)時代的來臨，網(wǎng)絡(luò)可以給人們的生活帶來樂于與便利，但是也給人們生活上帶來了一些負(fù)面影響。比如說，網(wǎng)絡(luò)中的人身攻擊、網(wǎng)絡(luò)病毒，這些都可以給人們生活上帶來威脅。文章簡單分析了再計(jì)算機(jī)網(wǎng)絡(luò)中存在問題，并以此基礎(chǔ)上提出了相應(yīng)的解決策略。

計(jì)算機(jī)網(wǎng)絡(luò)；防御策略；求精；關(guān)鍵技術(shù)

前言：隨著我國科學(xué)技術(shù)的不斷發(fā)展，我國網(wǎng)絡(luò)技術(shù)也得以被完善。網(wǎng)絡(luò)技術(shù)的加快發(fā)展也促使我國網(wǎng)民的數(shù)量日益增多，且互聯(lián)網(wǎng)技術(shù)也在不斷的擴(kuò)展。期間，網(wǎng)絡(luò)的設(shè)備以及互聯(lián)網(wǎng)管理是網(wǎng)絡(luò)技術(shù)的重要問題，此類問題以往都是管理員依靠自身的經(jīng)驗(yàn)完成的。目前，互聯(lián)網(wǎng)的不但擴(kuò)大，其結(jié)構(gòu)變得越加復(fù)雜，以往的網(wǎng)絡(luò)技術(shù)以遠(yuǎn)遠(yuǎn)達(dá)不到人們的生活需求了，并以此形成了一個基于網(wǎng)絡(luò)技術(shù)的防御策略及發(fā)展策略。

1.計(jì)算機(jī)網(wǎng)絡(luò)防御策略中存在的問題

1.1網(wǎng)絡(luò)防御策略中求精方法不完善

網(wǎng)絡(luò)安全一直該行業(yè)都是人們注意的重點(diǎn)，技術(shù)人員為了網(wǎng)絡(luò)安全，制定了很多防御的方法，并且力求精進(jìn)。從目前形勢來看，多數(shù)的防御策略都集中在對訪問的控制層面以及對VPN策略進(jìn)行求精，而檢測手段、保護(hù)手段以及響應(yīng)手段等各種防御手段這些重要的防御措施卻沒有精進(jìn)的研究，顯然不能對整個網(wǎng)絡(luò)系統(tǒng)進(jìn)行整體安全防御[1]。

1.2沒有求精策略的語義建模方式

要想提升計(jì)算機(jī)網(wǎng)絡(luò)的抵御能力，首先要保證正確的求精策略，也就是要對求精策略的語義進(jìn)行分析，保證語義的一致性，因此，要對求精策略的語義進(jìn)行建模。目前還沒有自動化的語義分析方法，對于求精策略的語義分析仍舊靠人工來實(shí)現(xiàn)，也沒有一種建模方法能夠?qū)W(wǎng)絡(luò)防御求精策略進(jìn)行描述。

1.3沒有方法能夠?qū)＿M(jìn)行驗(yàn)證

建立策略的求精方法以后，要對其有效性進(jìn)行驗(yàn)證。網(wǎng)絡(luò)的可生存模型有很多種，由于網(wǎng)絡(luò)環(huán)境的不同，這些模型不能夠在一個平臺下進(jìn)行驗(yàn)證，也就是說，沒有一種方法能夠?qū)δＰ偷目缮嫘赃M(jìn)行抽象描述。如果能夠?qū)⒈容^抽象的描述方式轉(zhuǎn)換成對低層策略的描述方式，那么即使網(wǎng)絡(luò)環(huán)境不同，也能夠在一個平臺上對不同的網(wǎng)絡(luò)生存模型進(jìn)行檢驗(yàn)[2]。

2.計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)分析

2.1建立防御策略求精模型

2.1.1 模型的表達(dá)方式

計(jì)算機(jī)防御策略的求精模型簡稱為CNDPR，這種模型將防御求精規(guī)則和拓?fù)湫畔⒔Y(jié)合起來，能夠把比較抽象的高層防御策略轉(zhuǎn)變?yōu)楸容^容易操作的防御策略，就是要通過CNDPR來實(shí)現(xiàn)語義翻譯，翻譯的過程中CNDPR需要做出各種假設(shè)：首先，要假設(shè)輸入網(wǎng)絡(luò)中的高層策略沒有錯誤，也就是假設(shè)策略的語義和語法都是正確的。其次，要假設(shè)各個高層策略之間是協(xié)調(diào)的，發(fā)揮抵御功能的過程中不會發(fā)生沖突。第三，在對所有策略進(jìn)行配置的時候，CNDPR能夠控制整個區(qū)域中的所有機(jī)器。整個模型通過以下方式進(jìn)行表達(dá)：

這里，HPGOAL是高層策略的簡稱，包括了hencryption-communication,即保密通信，能夠保護(hù)用戶的通信內(nèi)容不被竊?。籬backup,即數(shù)據(jù)備份，對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行備份處理，防治數(shù)據(jù)丟失；hintrudedet,即入侵檢測，能夠?qū)θ肭周浖M(jìn)行安全檢測，防止惡意軟件破壞電腦程序；haccess-control,即訪問控制，能夠?qū)τ脩粼L問的地址進(jìn)行監(jiān)測和控制；hauthenticate，即用戶身份驗(yàn)證，每位用戶都會有專門進(jìn)入網(wǎng)站的“鑰匙”，如果不能通過身份驗(yàn)證，就沒有權(quán)利進(jìn)入該網(wǎng)絡(luò)系統(tǒng)。LPOPERATION是操作層策略的簡稱，策略的具體分類與高層策略一一對應(yīng)[3]。

2.1.2 模型的元素構(gòu)成

高層策略以及操作型策略都是由許多元素構(gòu)成的，可以通過集來表示。兩種模型的元素構(gòu)成如下：

高層策略中，Domation表示域，指防御策略的適用范圍，可以通過拓?fù)浣Y(jié)構(gòu)、配置方法等情況對域進(jìn)行劃分。域有三種運(yùn)算方式：如果用字母A和B表示兩個域，那么“A+B”表示這兩個域中的所有成員，“A-B”表示不在B中但是在A中的成員，“A*B”表示即在A中又在B中的成員。Role表示角色，指那些特點(diǎn)相同的用戶集。Activity表示活動，指那些有共同特點(diǎn)的動作集。Target表示目標(biāo)，指那些具有相同特點(diǎn)的資源集。Means表示防御手段，即所有防御過程的集。ContextType表示上下文類，指那些具有共同特點(diǎn)的上下文集。

操作型策略中，Node表示節(jié)點(diǎn),有兩種形式，一種是源節(jié)點(diǎn)，對應(yīng)的是需要操作的資源，一種是目標(biāo)節(jié)點(diǎn)，對應(yīng)的是需要保護(hù)的資源。Action表示動作，包括運(yùn)算中的加減，活動中的發(fā)送、響應(yīng)等。DefenseAction表示防御動作，能夠?qū)⒕W(wǎng)絡(luò)激發(fā)為防御狀態(tài)。DefenseEntity表示防御實(shí)體，在實(shí)行防御動作的過程中，需要其提供安全設(shè)備對整個防御系統(tǒng)進(jìn)行保護(hù)。Context表示上下文，是對防御手段所對應(yīng)的網(wǎng)絡(luò)環(huán)境進(jìn)行描述[4]。

2.2防御策略求精的具體算法

在對高層策略的解析中，通過lex/yacc對詞法、語法以及語義進(jìn)行解析和翻譯，生成操作型策略并輸出，達(dá)到對網(wǎng)絡(luò)系統(tǒng)的防御目的。策略求精的具體轉(zhuǎn)化過程分一下幾步進(jìn)行。

對高層CND策略所描述的文本進(jìn)行逐項(xiàng)掃描，當(dāng)系統(tǒng)對某一條CND策略完成匹配以后，就會對該條策略進(jìn)行大致分析，選取策略中的一部分，存儲到操作層策略的數(shù)據(jù)結(jié)構(gòu)中。如果高層策略不止一個，就需要重復(fù)以下步驟，獲取全部的操作層策略。

總結(jié)：計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)分為兩部分：第一部分是建立防御策略求精模型，模型中包含了對防御策略和操作層策略的表達(dá)，闡述了其中每個元素的含義。第二部分是防御策略求精的具體算法，包含了掃描、匹配和轉(zhuǎn)換過程。

[1]汪洪. 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)分析[J]. 信息化建設(shè),2016,06：90.

[2]汪洪. 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)分析[J]. 信息化建設(shè),2016,07：76-77.

[3]李步宵. 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究[J]. 電子技術(shù)與軟件工程,2015,12：226.

[4]余汾芬. 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究[J]. 山東工業(yè)技術(shù),2015,20：102.

K928

B

1007-6344（2017）04-0156-01