一種計算機網絡防御策略描述語言

摘 要：定義了一種計算機網絡防御策略描述語言（computer network defense policy specification language，CNDPSL）。該語言面向CNDPM模型，能夠統一描述保護、檢測和響應策略，并通過策略引擎映射為相應的防御規則。CNDPSL是一種聲明式語言，抽象了網絡防御控制的行為，對網絡防御需求具有較好的靈活性、可擴展性和適應性。在GTNetS仿真平臺中的實驗表明，該語言能夠描述防御策略并有效地轉換為防火墻的ACL、檢測和響應規則等，從而為計算機網絡攻防演練提供防御策略支持。

關鍵詞：計算機網絡防御；策略； 計算機網絡防御策略模型； 描述語言； 策略引擎

中圖分類號：TP393.08 文獻標志碼：A 文章編號：1001-3695(2008)08-2420-05

Computer network defense policy specification language

WEI Yu-di1a， XIA Chun-he1a，1b， LI Xiao-jian1a，1b，2，WANG Hai-quan1a，1c， HE Wei1a

(1.a.Key Laboratory of Beijing Network Technology， b.State Key Laboratory of Virtual Reality Technology， c.College of Software， Beihang University， Beijing 100083， China; 2.School of Computer Science Information Engineering，Guangxi Normal University，Guilin Guangxi 541000， China)

Abstract: This paper defined a new computer network defense policy specification language （CNDPSL）. This language provided a common method of specifying protection， detection and response policies based on CNDPM model， which could be mapped to corresponding defense rules by policy engine. CNDPSL was declarative abstracting defense control behavior of network which made this language flexible， extensible and adaptable to network defense requirements. Experiments in GTNetS platform indicated that it can describe defense policies and transforms to ACL (access control list) in firewall， IDS detection rules， response rules and so on. The above information shows that CNDSPL can provide defense policy support for computer network attack defend simulation.

Key words:computer network defense (CND); policy; CNDPM; specification language;policy engine

計算機網絡防御是網絡攻防演練中的重要組成部分，也是信息對抗中不可或缺的內容^[1]。計算機網絡防御策略可以為計算機網絡防御提供支持，是指為了實現特定的安全目標，計算機網絡和信息系統由一定條件選擇防御措施的規則^[2，3]。根據PPDR模型，防御策略包括保護、檢測和響應策略。網絡攻防演練包括真實演練和模擬演練。由于模擬仿真的很多優點^[4]，國內外相關研究相繼開發了若干仿真工具，如NetSim^[5]、VNS^[6]、RINSE^[7]等。這些工具側重于防火墻和IDS等防御措施的仿真，在演練過程中，計算機網絡防御必須使用大量的安全措施來應對網絡攻擊。

由于措施的配置受到策略的影響，基于人類的抽象策略描述必須通過人的翻譯才能產生技術級的措施。這個過程不止發生一次，高層思維為適應低層工具而進行的每一次代換都很難檢查翻譯的正確性和一致性，可能導致思維語義的損失。損失的程度存在不確定性，與表達思維的能力以及低層的解釋能力之間的差距有關。總之，這些措施的人工配置具有復雜、易錯、低效的缺點。根本原因是自然語言存在二義性，缺少策略的形式化描述語言。給定合適的實施機制，這種人工語言可由計算機自動化處理，這樣減少人工干預。策略是影響系統行為的信息，通過形式化描述的策略來管理系統，可以實現措施高效、正確、自動化的部署，并實現系統的可伸縮性和靈活性。

本文研究的計算機網絡防御策略是在想定的前提下支持攻防模擬演練。指揮員通過想定將作戰意圖轉換為具體的作戰實施計劃和方案。本文研究的CNDPSL能夠提供想定調用的統一接口，并轉換為CNDDL形式的防御規則。

1 相關工作

本章介紹常見的防御策略描述語言，并從描述內容和抽象層次兩個方面討論各語言的優缺點，通過對比得出CNDPSL的特點。

Ponder^[2，8]是英國皇家學院十多年的研究成果，給出了安全和管理方面較為通用的策略描述方法。為了表示防御策略，楊海松擴展出了ponder+語言^[9]。其中，保護策略中只包含簡單的訪問控制策略，而且與檢測和響應策略的描述方法相分離。

PCIM^[10]將策略表示為條件—動作的形式。在安全領域，由PCIM擴展出來的語言有CPIM （RFC 3585），SPSL^[11，12]和NSPIM^[13，14]。SPSL目前支持包過濾，IPSec和IKE交換等策略，NSPIM描述了訪問控制和檢測策略。PCIM的層次與ACL列表等規則太接近，因而不能充分支持基于策略的高效、自動化的管理。TPL^[15]通過XML表示認證策略，但是XML語法冗長，可讀性差，抽象層次不適合描述防御策略。Triton ^[16，17]和MDL ^[18，19]能夠描述防火墻中的策略。其中MDL通過擴展RBAC將權限授予網絡拓撲下不同設備的IP地址。RBAC只將主體抽象為角色，沒有對權限進行抽象。Tang等人提出的安全策略模型^[20]給出了訪問控制策略的描述，但對其他的策略沒有詳細分析，而且也存在層次不夠清晰的問題。此外，面向訪問控制策略的語言還有LaSCO ^[21]。

以上語言的特點是，策略描述的對象本身直接是網絡層的實體，抽象層次不夠高，描述內容不夠豐富。本文定義的CNDPSL面向CNDPM，能夠統一描述保護策略、檢測策略和響應策略，并能通過策略引擎映射到具體規則，如防火墻的ACL列表、IDS檢測規則的配置等，供計算機網絡防御使用，而且CNDPSL具有良好的可擴展性，可以方便地對其擴展以表示更多的策略。

2 CNDPSL語言

2.1 策略模型

防御策略模型的典型代表是基于RBAC的模型^{[20，22，23]}和基于組織的訪問控制模型Or-BAC^[24]。RBAC只將主體抽象為角色，沒有對權限進行抽象。Or-BAC不僅將主體抽象為角色，而且將客體和動作分別抽象為視圖和活動，同時還引入組織和上下文的概念，這樣就能在統一框架中同時處理不同組織在多種環境下的不同策略。目前，這些模型的研究僅僅是給出了一些概念和框架，建模的范圍限于訪問控制領域，而不適于整個防御領域。

通過在原有Or-BAC模型的基礎上進行擴展，建立了計算機網絡防御策略模型(CNDPM)。該模型不僅能對訪問控制策略建模，而且能對檢測策略、響應策略及其他的保護策略統一建模，同時能轉換為具體規則。

如圖1所示，CNDPM包含9種實體和10種關系。這些實體用于描述策略和規則的組成結構，將這9種實體分別標記，組織記為org，角色為r，視圖為v，活動為a，上下文為c，主體為s，客體為o，動作為α，措施為m。策略（如虛線所示）可以結構化為6個實體，記為六元組ρ=〈org，r，a，v，c，m 〉，表示組織中角色對視圖的活動在上下文的環境中采取措施；同樣地，具體規則結構化為5個實體，用五元組記為rule=〈org，s，α，o，m〉，表示組織中主體對客體的動作應用措施。

策略與規則的實體通過關系謂詞聯系起來，一共有10種謂詞，employ（org，s）表示org雇用s；as(s，y)表示s為r；use(org，o)表示org使用o；as(o，v)表示o為v；consider(org，α)表示org考慮α；as(α，a)表示α為a；satisfy(org，s，α，o，c)表示org中的s、o和α符合c的要求；relate表示org與r、v、a的相關關系。通過這些關系謂詞，可以建立起策略和規則的映射關系，策略到具體規則的推導如下：

ρ（ρ=〈org，r，a，v，c，m 〉∧employ(org，s)∧

as(s，r)∧use(org，o)∧as(o，v)∧consider(org，α)∧as(α，a)∧

satisfy(org，s，α，o，c))→ rule = 〈org，s，α，o，m〉

該推理表示任何一條策略中，如果組織雇用主體s為角色r，使用客體o為視圖v，考慮動作α為活動a，并且s，o和α處于上下文c中，則組織中的主體s對客體o的動作α應用措施m。

2.2 CNDPSL的設計

根據CNDPM，設計并實現一種描述語言，將計算機網絡防御策略涉及的內容用語言描述出來，給出其EBNF范式，并通過仿真驗證該語言的有效性，從而為攻防模擬演練提供支持。

根據以上分析及項目需求，CNDPSL的設計目標如下：

a） 豐富的表達能力，面向CNDPM，表示各種保護、檢測和響應策略；

b） 簡潔靈活性，語法形式簡單、形象直觀；

c） 實現無關性、自動解析成具體執行部件所規定的防御規則；

d） 一定的可擴展性，可以方便地對其擴展以表示更多的策略。

下面給出CNDPSL的EBNF范式：

〈cndpsl〉::=〈語句塊〉|〈cndpsl〉〈語句塊〉

〈語句塊〉::=〈組織聲明〉|(〈組織名〉|〈組織聲明〉) 〈策略語句塊〉|〈組織名〉〈策略〉|〈策略信息顯示〉

〈策略語句塊〉::= ‘{’ 〈策略語句〉{〈策略語句〉} ‘}’

〈策略語句〉::=〈角色語句〉|〈toview〉|〈視圖語句〉|〈活動語句〉|〈策略〉|〈上下文〉

1）組織

組織是CNDPM模型的核心概念，通過搜索網絡配置想定目錄服務器的同名域建立，以下是組織的EBNF范式：

〈組織聲明〉::=org 〈組織名〉[ 〈 組織繼承〉]

〈組織名〉::=〈string〉|〈組織名〉.〈string〉//組織名為點分字符串

〈組織繼承〉::= sub_org 〈組織名〉{〈組織名〉}//組織的包含關系

2）策略

由于策略可以封裝在組織中，策略表示成五元組的形式，有配置和刪除兩種操作。

〈策略〉::=(policy|delete_policy) 〈措施〉 〈角色名〉 〈活動名〉 〈視圖短語〉(〈上下文名〉|default)

其中，視圖可以通過角色的轉換得到，語法如下：

〈視圖短語〉::=〈視圖名〉 | 〈toview〉

toview::= toview‘(’〈角色名〉‘)’ //角色到視圖的轉換

策略中元素名是預先定義好的，以下分別對角色、視圖、活動、上下文和措施重點說明。角色、視圖、活動都包括聲明、層次、定義和分配四種語句，其中聲明需指出相應的類型，而其余三種無須給出，但名字必須是聲明過的。層次語句指相應的繼承關系^[25]。定義語句給定角色、視圖或活動的特性，根據該特性可以在想定目錄中查找滿足特性的實體，從而間接地實現分配；分配語句指出實體列表，這樣根據實體名在想定目錄中獲取實體的信息。下列語句中名字若未特殊說明，都是字符串類型。

3）角色

〈角色語句〉::=〈角色聲明〉|〈角色層次〉|〈角色定義〉|〈角色分配〉

〈角色聲明〉::=role 〈角色名〉〈角色類型〉 [〈角色繼承〉] [〈角色特性〉] [ assign_to〈主體列表〉]

〈角色類型〉::=exnode|innode|user //分為外部節點，內部節點和用戶

〈角色繼承〉::=extends〈角色名〉{〈角色名〉}

〈角色特性〉::=〈節點特性〉//角色性質限于節點，用戶只能靠列舉完成分配

〈節點特性〉::=〈子網〉{〈子網〉}

〈子網〉::=ip 〈ip_constant〉 [mask〈掩碼〉]

〈掩碼〉::=[1-9]| [1-2][0-9]|3[0-2]

〈角色層次〉 ::= role 〈角色名〉 〈角色繼承〉

〈角色定義〉::= role 〈角色名〉〈角色特性〉

〈角色分配〉::= role 〈角色名〉 assign_to〈主體列表〉

〈主體列表〉::=〈用戶列表〉|〈節點列表〉

〈用戶列表〉::=〈用戶名〉{〈用戶名〉}

〈節點列表〉::=〈節點名〉{〈節點名〉}

4）視圖

〈視圖語句〉::=〈視圖聲明〉|〈視圖層次〉|〈視圖定義〉|〈視圖分配〉

〈視圖聲明〉::=view 〈視圖名〉〈視圖類型〉 [〈視圖繼承〉] [〈視圖特性〉] [assign_to 〈客體列表〉]

〈視圖類型〉::= os|file|exnode|innode| service|application//分為操作系統、文件、節點、服務和應用程序

〈視圖特性〉::=〈節點特性〉|〈os定義〉|〈服務定義〉| 〈文件定義〉//其中應用程序只能列舉完成分配

〈視圖繼承〉::=extends〈視圖名〉{〈視圖名〉}

〈視圖層次〉::= view 〈視圖名〉〈視圖繼承〉

〈視圖定義〉::= view 〈視圖名〉〈視圖特性〉

〈os定義〉::=[〈子網〉] 〈os特征〉{〈os特征〉}

〈os特征〉::=〈os類型〉|〈os版本〉

〈os類型〉::=Windows|Unix|Linux|Solaris

〈os版本〉::=WinXP|〈os類型〉〈版本名〉

〈服務定義〉::=[〈子網〉]〈服務類型〉{〈服務類型〉}

〈服務類型〉::=web|telnet|rlogin|ftp| smtp|pop3|dns

〈文件定義〉::= [〈子網〉 ]〈文件特性〉

〈文件特性〉::= owner 〈owner_name〉 [ sensitivity 〈敏感級〉]| sensitivity 〈敏感級〉

〈敏感級〉::=TS|S|C|RS|U//（top secret絕密|secret機密|confidentia保密|restricted受限| unclassified未劃分等級的）

〈視圖分配〉::= view 〈視圖名〉 assign_to 〈客體列表〉

〈客體列表〉::=〈節點列表〉|〈os列表〉|〈應用程序列表〉|〈服務列表〉|〈文件列表〉

〈節點列表〉::=〈節點名〉 {〈節點名〉}

〈os列表。::=〈os特征〉{〈os特征〉}

〈應用程序列表〉::=〈應用程序名〉{〈應用程序名〉}

〈服務列表〉::=〈服務類型〉{〈服務類型〉}

〈文件列表〉::=〈文件名〉{〈文件名〉}

5）活動

〈活動語句〉::=〈活動聲明〉|〈活動層次〉|〈活動定義〉|〈活動激活〉

〈活動激活〉::=activity 〈服務列表〉 [extends 〈活動名〉]//針對已知活動

〈活動聲明〉::=activity 〈活動名〉 service_access [〈活動繼承〉][〈服務訪問定義〉]| activity 〈活動名〉 file_access[〈文件訪問定義〉]//活動分為服務訪問和文件訪問

〈活動繼承〉::=extends〈活動名〉{〈活動名〉}

〈活動層次〉::=activity〈活動名〉〈活動繼承〉

〈活動定義〉::=activity〈活動名〉〈服務訪問定義〉

〈服務訪問定義〉::=ip|〈udp特性〉|〈tcp特性〉|〈icmp特性〉

〈udp特性〉::=udp [sport 〈端口列表〉][ dport 〈端口列表〉]

〈tcp特性〉::=tcp[sport 〈端口列表〉][ dport 〈端口列表〉]

[established]

〈端口列表〉::=〈端口短語〉{〈端口短語〉}

〈端口短語〉 ::= 〈port〉：〈port〉 |〈port〉|not 〈port〉

〈port〉::=[0-9][0-9][0-9][0-9]|[1-5][0-9][0-9][0-9]

[0-9]| 6[0-5][0-5][0-3][0-5]

〈icmp特性〉::= icmp [echo][echo-reply]

〈文件訪問定義〉::=R|W|X|RW|RX|WX|RWX //(讀、寫、執行)

6） 上下文

〈上下文〉::=context 〈上下文名〉 〈上下文定義〉

〈上下文定義〉::=time 〈float_constant〉 |vulnerability 〈cve_id〉{〈cve_id〉}| incident 〈事件名〉{〈事件名〉}//上下文的特征包括時間，漏洞和入侵事件

7） 措施

〈措施〉::=〈保護措施〉|〈檢測措施〉|〈響應措施〉

〈保護措施〉::=〈encrypt 〉|permit| deny

〈檢測措施〉::= detect_PasswordCracker| detect_ICMPFlood|detect_SYNFlood|detect_UDPFlood|detect_Slammer| detect_IPSpoof| | detect_Smurf|any

〈響應措施〉::=prohibit_source |patch| reboot|disconnect|stop_service

以上防御策略描述語言基于CNDPM模型將計算機網絡防御策略進行了描述，從語言中可以看出，CNDPSL反映了CNDPM的思想，目前描述了模型中各部分主要內容。其中，在策略中所用的防御措施方面還有擴展的空間，如保護可以增加對身份認證等的描述，檢測可以增加對其他攻擊的檢測，而響應可以添加攻擊源定位等的描述。

3 CNDPSL的實施機制

防御策略的上層為防御想定，想定意圖轉換得到的CNDPSL格式的策略文件或人機交互命令，經過策略引擎與防御策略信息庫的交互處理，轉換為相應的CNDDL防御命令，通過RTI傳輸到GTNetS仿真的聯邦成員上，由CNDDL解釋器將命令轉換為防御動作，從而完成對防御策略的部署。防御策略執行系統的總體設計如圖2所示，主要包含陰影部分所示的防御策略信息庫和策略引擎。

策略信息庫通過ldap存儲策略所需的實體信息及實體之間的關系；引擎的具體工作原理如下：首先解析模塊利用Lex與Yacc對CNDPSL進行詞法、語法和語義分析，從網絡信息庫中讀出策略描述中所需要的主、客體和動作，并存入防御策略信息庫中，之后轉換模塊按模型的推導規則將防御策略映射為相應的規則，再由分發模塊查找防御策略信息庫將規則分發給防御節點，從而最終轉換為CNDDL防御命令。其中規則所部署的節點是本組織中的防御節點，如果本組織中沒有，則是符合就近原則的父組織中的防御節點上。特別地，訪問允許策略必須遞歸地在每一個父組織中防御節點中部署，這是因為數據包必須通過所有的防火墻。策略的一致性問題則通過優先級最高優先法來解決。

策略實現中的語句、產生式及對應的主要動作如表1所示。表中列出了角色的相關語句、視圖和活動的語句是類似的。

4 實驗驗證

本實驗以訪問控制、檢測和響應策略為例，驗證CNDPSL的描述能力和實施機制。

4.1 實驗環境

如圖3所示，左邊的虛線將整個網絡劃分為外網和右邊的內網，它們通過防火墻FW2相連。防火墻有四個接口，每個接口各有輸入和輸出兩個方向，上方與IDS2相連。內網包含兩個子網Domain_A和Domain_B。Domain_A包含四個節點。其中，服務器 S1提供HTTP服務；Domain_B也有自己的防火墻FW1，其中上方與IDS1相連；下方的DMZ區包含兩個外部可訪問的服務器。其中S2提供HTTP服務，S3提供數據訪問服務；右邊是三臺內部主機。

表1 語句的產生式及主要動作

語句產生式主要動作動作的說明1組織聲明org_statement

ORG STRINGInsertOrganization

(cur_org，NULL，orgdn，1)插入組織2角色聲明role_declaration:

ROLESTRING TYPEInsertPolicyElement

(orgdn，$2，ROLE，$3)

HierarchyInheritAmong

(orgdn，dn，ROLE)插入角色

繼承層次關系3角色定義role_definition:ROLE

STRING role_characterAddSubnet(newnode_

dn，temp，ROLE)添加角色成員4角色繼承role_hierarchy:

ROLESTRING EXTENDS name_listSearch(orgdn，*name_

iterator，temp，ROLE)

PolicyInheritWithin(orgdn，temp，newdn，ROLE)父角色是否定義

繼承父角色的策略5角色分配role_assignment:

ROLE STRING ASSIGN_TO name_listSearchEntityinSenario

(senariodn，temp)

AddElement(newnode_

dn，temp，ROLE)在想定庫中查找成員

添加角色成員6策略列表policy:POLICY

STRING STRING

STRING view

STRING PolicytoRule(orgdn，

$2，$3，$4，name，k

second)

插入策略并生成

規則7組織策略

塊statement_block:

org_statement policy_statement_blockPolicyInheritAmong

(defense_org_dn)

繼承父組織中的策略8策略刪除delete: POLICY

STRING STRING

STRING view

STRING DeletePolicy(orgdn，

$2，$3，$4，name，ksecond)

刪除策略及規則 9策略顯示showpolicy:SHOW

orgname POLICYShowPolicy(orgdn)

顯示組織中的

策略10角色顯示showrole:SHOW

orgname ROLEShow(orgdn，ROLE)

顯示組織中的

角色配置如下防御策略：

a）外網能訪問服務器中開放的服務；

b）外網還能訪問HTTPserver的無連接服務；

c ）內網可以訪問外網；

d ）內網必須檢測口令竊取攻擊， 同時Domain_B中還要檢測蠕蟲；

e）對一切攻擊，必須及時切斷攻擊源。

實驗中假定主機H7企圖訪問Domain_B的H4節點，同時攻擊節點H8向S1和S3分別發送口令竊取和蠕蟲攻擊，FW1、IDS1、FW2、IDS2的ID號分別是12 、13、15 、16。

4.2 CNDPSL描述

將網絡看成一個組織blue，它包含Domain_A和Domain_B。根據上述的五條策略，在blue中需定義外網主機角色，以及Web訪問、IP訪問、UDP訪問和數據庫活動。用CNDPSL描述如下：

org blue sub_orgDomain_ADomain_B //組織之間的關系

{

role public_hostexnode ip 10.2.0.0 mask 16

activity web

activity sqlaccess SERVICE_ACCESS udp dport 1434

activity all SERVICE_ACCESS ip

activity alludp SERVICE_ACCESS udp

policy permit public_host web httpserver default //策略1

policy permit public_host alludp httpserver default //策略2

policy permit homenet alltcp toview(public_host)default //策略3

policy detect_passwordcracker public_host alltcphomenet default

//策略4

context severity INCIDENT slammer passwordcracker //危險情形

policy prohibit_source public_host alltcp homenetseverity //策略5

}

Blue是頂層組織，blue中的角色、視圖、活動為其所有子組織共享。由于活動獨立于具體作用對象，活動可以遞歸向上按照就近原則采用最近的定義。Blue中的策略則可以作用于子組織，訪問控制策略描述中采用封閉政策，即不允許則拒絕。

由于blue中描述的是抽象策略，沒有給出策略中的角色或視圖的主體或客體，在子組織中Domain_A和Domain_B給出其定義或分配，Domain_B中還包括策略1和4的描述，如下所示：

blue.Domain_A

{role homenet innodeip 10.1.1.0 mask 24

toview(homenet)//內網角色轉換為視圖

view httpserverinnodeassign_to S1 //分配給S1

}

blue.Domain_B

{

role homenet innodeip 10.1.2.0 mask 24

toview(homenet)//內網角色轉換為視圖

view httpserver innode assign_to S2//分配給S2

view sqlserver innode assign_to S3 //分配給S3

policy permit public_host sqlaccess sqlserver default //策略1

policy detect_slammer public_host sqlaccess sqlserver

default//策略4

}

4.3 結果分析

以上CNDPSL描述的策略經過引擎的處理后，Domain_A和Domain_B將繼承blue的五條策略，所有的策略及實體存儲到防御策略信息庫，具體的ldap目錄如圖4所示。策略引擎推導產生的規則如圖5所示，該圖還包括具體的仿真結果。

從圖5可以看出，防火墻FW1禁止了H7對節點H4的訪問，IDS則檢測出了攻擊節點H8的蠕蟲和口令竊取攻擊，并通知防火墻阻止節點H8。本實驗表明CNDPSL描述的防御策略，能轉換成有效的防御規則，從而達到了計算機網絡防御中控制行為選擇的目的。

5 結束語

本文在計算機網絡攻防模擬演練中，研究并設計了CNDPSL，并由策略引擎進行解釋、執行，部署在平臺中。GTNetS平臺上的模擬演練實例表明了該語言的可行性和有效性。該語言具有以下特點：a）對保護、檢測和響應策略進行統一描述；b）語法結構簡單，易于理解，可以在大規模網絡中指導防御過程； c）可擴展性好，與具體執行部件無關，可以方便地擴展更多的策略。

CNDPSL是一種防御策略領域的語言，可以在多種環境下對計算機網絡防御措施進行選擇。目前選擇的對象限于平臺已部署的措施集，隨著新的防御措施的部署或出現，只需要在措施集中增加相應的描述，便能被策略發現并選擇。今后將進一步提供防御策略的圖形化界面，從而讓更多用戶在網絡攻防模擬演練中輕松地輸入防御策略。

參考文獻：

[1]李肖堅．一種計算機網絡自組織的協同對抗模型[J]. 計算機研究與發展， 2005，42: 618-628.

[2]SLOMAN M S.Policy driven management for distributed systems[J]. Journal of Network and SystemsManagement， 1994，2(4):333-360.

[3]STERN D F. On the buzzword security policy[C]//Proc of IEEE Symposium on Security and Privacy. Oakland:[s.n.]，1991：219-230.

[4]BRESLAU L，ESTRIN D，FALL K，et al. Advances in network simulation[J]. IEEE Computer， 2000， 33(5): 59-67.

[5]BILL B， ADREW C， DENNIS M， et al. Simulation of cyber attacks with applications in homeland defense training[C]//Proc of SPIE. 2003:63-71.

[6]DeLOOZE L L，McKEAN P，GRAIG J.Incorporating simulation into the computer[EB/OL].(2001).http://www.fie.engrng.pitt.edu/fie2004/papers/1575.pdf.

[7]LILJENSTAM M， LIU J， NICOL D，et al. RINSE：the real-time immersive network simulation environment for network security exercises[C]//Proc of Workshop on Principles of Advanced and Distributed Simulation.2005:119-128.

[8]DAMIANOU N， DULAY N， LUPU E，et al. The ponder policy specification language[C]//Proc ofWorkshop on Policies for Distributed Systems and Networks Policy，Lecture Notes in Computer Science. New York:Springer-Verlag，2001:18-39.

[9]楊海松. 基于策略管理的分布式、動態網絡安全模型[D].合肥:中國科學技術大學，2003.

[10]YLITALO K. Policy core information model[EB/OL].(2000).http://www.cs.helsinki.fi/u/kraatika/Courses/QoS00a/ylitalo.pdf.

[11]CONDELL M，LYNN C，ZHAO J，et al. Security policy specification language[R]. IETF Internet-draft，2000.

[12]CALDEIRA F. MONTEIRO E. Policy-based networking: applications to firewall management [EB/OL].(2004).http://www.eden.dei.uc.pt/-edmundo/Revistas/RV6%202003% 20 Annals Telecomm%20 Caldeira.pdf.

[13]KIM S Y， KIM M E， KIM K，et al. Information model for policy-based network security management[C]//Proe of International Conference on Information Networking， Wired Communications and Management. NewYork: Springer-Verlag， 2002:662-672.

[14]SOH S G，KIM J， NA J C. Design of network security policy information model for policy-based network management[C]//Proc of the 7th International Conference on Advanced Communication Technology. 2005:701-705.

[15]SLOMAN M，LUPU E. Security and management policy specification [J]. IEEE Networks， 2002，16(2):10-19.

[16]KIM J， SONG B， LEE K，et al. Design a high-level language for large network security management[C]//Proc of OTM 2004 Workshops on the move to Meaningful Internet Systems.New York:Sprin-ger-Verlag， 2004:7-8.

[17]KIM J， LEE K， KIM S，et al. A high level policy description language for the network ACL[C]//Proc of Parallel and Distributed Computing， Applications and Technologies.New York:Springer-Verlag， 2004: 748-751.

[18]BARTAL Y， MAYER A J， NISSIM K ， et al. Firmato: a novel firewall management toolkit[C]//Proc of the 20th IEEE Symposium on Security and Privacy.Oakland:[s.n]，1999.

[19]BARTAL Y， MAYER A J， NISSIM K，et al. Firmato: a novel firewall management toolkit [J]. ACM Trans on Computer Systems， 2004，22(4):381-420.

[20]TANG Cheng-hua， YAO Shu-ping， CUI Zhong-jie， et al. A network security policy model and its realization mechanism [C]//Proc of Information Security and Cryptology.New York:Springer-Verlag， 2006:168-181.

[21]HOAGLAND J A.Specifying and implementing security policies using LaSCO， the language for security constraints on objects[D].[S.l.]:Department of Computer Science，University of California，2000.

[22]LUCK I， SCHAFER C，KRUMM H. Model-based tool assistance for packet-filter design [C]//Proc of International Workshop on Policies for Distributed Systems and Networks.Berlin:Springer-Verlag，2001:120-136.

[23]DeALBUQUERQUEP， KRUMM J， DeGEUS H P L.Policy modeling and refinement for network security systems[C]//Proc of the 6th IEEE International Workshop on Policies for Distributed Systems and Networks .Stockholm:[s.n.]，2005:24-33.

[24]ElKALAM A A，El BAIDA R， BAIBIANI P， et al. Organization based access control[C]//Procof the 4th International Workshop on Policies for Distributed Systems and Networks (POLICY’03).2003:120-131.

[25]CUPPENSF， CUPPENS-BOULAHIAN， MIE GEA. Inheritance hierarchies in the Or-BAC Model and application in a network environment[C]//Proc of the 2nd Foundations of Computer Security Workshop.Turku:[s.n]，2004.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文