計算機網絡防御策略描述語言研究

田文英

石家莊職業技術學院，河北石家莊 050081

計算機網絡防御是網絡攻擊演練中的一個重要組成部分，而防御策略又是計算機網絡防御的基礎。為了保證系統的安全性，系統有必要選擇合適的防御措施。在目前的防御策略研究中，大部分側重于防火墻以及IDS防御仿真，但是在實際應用中，計算機的防御措施應該更加的完善，以應付應接不暇的網絡攻擊行為。

1 計算機網絡防御策略描述語言

計算機網絡防御策略描述語言的英文縮寫為CNDPSL，具體來說，就是computer network defense policy specification language。計算機網絡防御策略描述語言本質上就是能夠有效地面向實際CNDPM模型的相關語言，這種語言是聲明形式的，其主要是將引擎映射測量的有效通過作為相應的實際防御規則的。其能夠將網絡的具體防御行為變得抽象化，同時還兼具優良的可延展特性以及靈活特性。

1.1 策略模型的相關概念

基于訪問控制模型Or-BAC以及RBAC模型可以進行防御策略模型的典型代表的有效構建。RBAC模型所采用的基本原理只能夠實現主體的抽象化，該模型不能夠直接針對權限來進行抽象。但是Or-BAC模型卻大不相同，該模型能夠在抽象廯的基礎上，在將主體抽象為實際角色的同時分別進行動作以及客體的抽象，與此同時，還可以實現對上下網概念在同一時間內的引入，這樣就可以實現在同一框架的大背景下完成對多種環境下的不同組織策略的有效分析處理。因為所進行的模型建設的實際范圍是非常有限的，所以不適用將其運用在所有的實際防御領域中去。因此，我們基于Or-BAC模型來構建了計算機網絡防御策略模型，又可以被稱作是CNDPM模型。CNDPM模型的種種優勢體現在通過對訪問控制模型的有效構建，實現對策略的檢查以及響應，最終將其進行相應規則的具體轉換。

該模型的的實際主體涵蓋了九個方面，其中的相互關系涵蓋了十種之多。具體來說，相應的九種實際主體能夠很好地描述分析相關規則組成結構以及防御網絡策略；其中相互之間的十種關系也是用來描述相關的放映策略與規則映射的。

1.2 CNDPSL的相關設計

在完成CNDPM模型的有效構建以后，要依據該模型來設計具體的CNDPSL的實際描述語言，還要將其中所包含的所有內容都通過語言描述的形式表現出來，并提供相應的EBNF范式，與此同時，為了使所得到的語言能夠真正做到真實有效，應該使用仿真驗證進行實際的描述語言真實性地有效驗證，從而保障了功放模擬演練功能地最終實現。由此可知，為了滿足相關的設計要求，在進行防御策略描述語言設計時應該要做到以下幾點：

1）要有極為豐富的實際表述能力，同時要正確地描述具體的CNDPSL；

2）構建較為統一的防御策略響應以及防御策略檢查模型，將其的實際規則進行有效地轉換，最終實現設計對模型的全方位面向；

3）語法簡單，機構簡潔，直觀性較強；

4）設計時應該注重延展性，方便策略的多方位延展。

以下，將給出計算機網絡防御策略描述語言的具體的EBNF范式，

（cndpsl）：：=（語句塊）|（cndpsl）（語句塊）

＜語句塊＞：：=（組織聲明）|（（組織名）|（組織聲明））＜策略語句塊＞|＜組織名＞＜策略＞|＜策略信息顯示＞

（策略語句塊）：：=‘{’（策略語句）{（策略語句）}‘}’

（策略語句）：：=（角色語句）|（toview）|（視圖語句）|（活動語句）|（策略）|（上下文）

能夠依據定義語句針對相關的活動、角色以及試圖的相應特性所進行的給定在實際的想定目錄中實現對足以滿足相應特性的有關實體的有效查找，最終在間接的角度上實現了具體的事項分配。

1.3 CNDPSL實施的相關機制

防御想定作為防御策略的上層，其所要實現的最終目標是通過進行有效轉換而實現CNDPSL為主要格式的策略文件以及相應人機交互命令的有效獲得防御策略信息與策略引擎的交互處理，轉換得到相關CNDDL防御命令。通過相關的存儲策略，信息庫能夠實現對實體信息以及實體間的相互聯系進行有效具體描述，簡單來說，可以將引擎工作的相關原理看作是分析模塊，并采用Lex以及Yacc實現對CNDPSL的詞法、語法等相關方面的有效分析，

同時從網路信息庫中將動作以及主客體的相關策略描述進行讀取獲得，并將相應信息存儲在

實際的信息庫當中。然后再經由相應的轉換模塊進行防御策略信息的有效查找，并將具體的實際規則分發到各個防御節點上。要主要的是，如果組織中沒有防御節點，則應該就近選取符合原則相應防御節點。

在這里要特別說明一下，策略會對相應的措施配置產生一定的影響，針對人類來說，唯有經過翻譯才能實現抽象策略的產生，在整個實際操作過程中，這種現象不僅僅會出現一次，

究其原因可以知道，高層思維由于要很好地適應地處工具，所以其需要進行有效更新換代行為，但是每次的更新換代都會對正確的翻譯檢查造成一定的困難與阻礙，使得思維語義形成了不必要的實際損失。

2 結論

CNDPSL是一種具有強烈防御策略領域性的語言，其最大特點就是在于能夠在多種環境下度計算機網絡防御措施進行選擇。本文針對CNDPSL進行簡單的闡述，總結出計算機防御策略描述語言石油策略引擎進行解釋、執行的，并部署在平臺中，其特點包括語法結構簡單容易理解，延展性能非常好，能夠擴展到更多的額策略，并且，對保護檢測和響應策略進行了統一規范的描述。希望在不久的將來能夠進一步提供防御策略的圖形化界面，進而能夠使更多樣化在網絡功放模擬演練中輕松的輸入防御策略。

[1]魏玉娣，夏春和，李肖堅，王海泉，何巍.一種計算機網絡防御策略語言描述[J].計算機應用研究，2008(8).