計算機網絡防御策略求精關鍵技術分析

(沈陽理工大學 遼寧沈陽 110159)

計算機網絡防御策略求精關鍵技術分析

劉珈瑋 林 博 馮世超

(沈陽理工大學 遼寧沈陽 110159)

當前局勢下，我國科學技術的不但發展，社會發展的一次又一次的變革。迎來了網絡時代的來臨，網絡可以給人們的生活帶來樂于與便利，但是也給人們生活上帶來了一些負面影響。比如說，網絡中的人身攻擊、網絡病毒，這些都可以給人們生活上帶來威脅。文章簡單分析了再計算機網絡中存在問題，并以此基礎上提出了相應的解決策略。

計算機網絡；防御策略；求精；關鍵技術

前言：隨著我國科學技術的不斷發展，我國網絡技術也得以被完善。網絡技術的加快發展也促使我國網民的數量日益增多，且互聯網技術也在不斷的擴展。期間，網絡的設備以及互聯網管理是網絡技術的重要問題，此類問題以往都是管理員依靠自身的經驗完成的。目前，互聯網的不但擴大，其結構變得越加復雜，以往的網絡技術以遠遠達不到人們的生活需求了，并以此形成了一個基于網絡技術的防御策略及發展策略。

1.計算機網絡防御策略中存在的問題

1.1網絡防御策略中求精方法不完善

網絡安全一直該行業都是人們注意的重點，技術人員為了網絡安全，制定了很多防御的方法，并且力求精進。從目前形勢來看，多數的防御策略都集中在對訪問的控制層面以及對VPN策略進行求精，而檢測手段、保護手段以及響應手段等各種防御手段這些重要的防御措施卻沒有精進的研究，顯然不能對整個網絡系統進行整體安全防御[1]。

1.2沒有求精策略的語義建模方式

要想提升計算機網絡的抵御能力，首先要保證正確的求精策略，也就是要對求精策略的語義進行分析，保證語義的一致性，因此，要對求精策略的語義進行建模。目前還沒有自動化的語義分析方法，對于求精策略的語義分析仍舊靠人工來實現，也沒有一種建模方法能夠對網絡防御求精策略進行描述。

1.3沒有方法能夠對建模進行驗證

建立策略的求精方法以后，要對其有效性進行驗證。網絡的可生存模型有很多種，由于網絡環境的不同，這些模型不能夠在一個平臺下進行驗證，也就是說，沒有一種方法能夠對模型的可生存性進行抽象描述。如果能夠將比較抽象的描述方式轉換成對低層策略的描述方式，那么即使網絡環境不同，也能夠在一個平臺上對不同的網絡生存模型進行檢驗[2]。

2.計算機網絡防御策略求精關鍵技術分析

2.1建立防御策略求精模型

2.1.1 模型的表達方式

計算機防御策略的求精模型簡稱為CNDPR，這種模型將防御求精規則和拓撲信息結合起來，能夠把比較抽象的高層防御策略轉變為比較容易操作的防御策略，就是要通過CNDPR來實現語義翻譯，翻譯的過程中CNDPR需要做出各種假設：首先，要假設輸入網絡中的高層策略沒有錯誤，也就是假設策略的語義和語法都是正確的。其次，要假設各個高層策略之間是協調的，發揮抵御功能的過程中不會發生沖突。第三，在對所有策略進行配置的時候，CNDPR能夠控制整個區域中的所有機器。整個模型通過以下方式進行表達：

這里，HPGOAL是高層策略的簡稱，包括了hencryption-communication,即保密通信，能夠保護用戶的通信內容不被竊取；hbackup,即數據備份，對網絡中的數據進行備份處理，防治數據丟失；hintrudedet,即入侵檢測，能夠對入侵軟件進行安全檢測，防止惡意軟件破壞電腦程序；haccess-control,即訪問控制，能夠對用戶訪問的地址進行監測和控制；hauthenticate，即用戶身份驗證，每位用戶都會有專門進入網站的“鑰匙”，如果不能通過身份驗證，就沒有權利進入該網絡系統。LPOPERATION是操作層策略的簡稱，策略的具體分類與高層策略一一對應[3]。

2.1.2 模型的元素構成

高層策略以及操作型策略都是由許多元素構成的，可以通過集來表示。兩種模型的元素構成如下：

高層策略中，Domation表示域，指防御策略的適用范圍，可以通過拓撲結構、配置方法等情況對域進行劃分。域有三種運算方式：如果用字母A和B表示兩個域，那么“A+B”表示這兩個域中的所有成員，“A-B”表示不在B中但是在A中的成員，“A*B”表示即在A中又在B中的成員。Role表示角色，指那些特點相同的用戶集。Activity表示活動，指那些有共同特點的動作集。Target表示目標，指那些具有相同特點的資源集。Means表示防御手段，即所有防御過程的集。ContextType表示上下文類，指那些具有共同特點的上下文集。

操作型策略中，Node表示節點,有兩種形式，一種是源節點，對應的是需要操作的資源，一種是目標節點，對應的是需要保護的資源。Action表示動作，包括運算中的加減，活動中的發送、響應等。DefenseAction表示防御動作，能夠將網絡激發為防御狀態。DefenseEntity表示防御實體，在實行防御動作的過程中，需要其提供安全設備對整個防御系統進行保護。Context表示上下文，是對防御手段所對應的網絡環境進行描述[4]。

2.2防御策略求精的具體算法

在對高層策略的解析中，通過lex/yacc對詞法、語法以及語義進行解析和翻譯，生成操作型策略并輸出，達到對網絡系統的防御目的。策略求精的具體轉化過程分一下幾步進行。

對高層CND策略所描述的文本進行逐項掃描，當系統對某一條CND策略完成匹配以后，就會對該條策略進行大致分析，選取策略中的一部分，存儲到操作層策略的數據結構中。如果高層策略不止一個，就需要重復以下步驟，獲取全部的操作層策略。

總結：計算機網絡防御策略求精關鍵技術分為兩部分：第一部分是建立防御策略求精模型，模型中包含了對防御策略和操作層策略的表達，闡述了其中每個元素的含義。第二部分是防御策略求精的具體算法，包含了掃描、匹配和轉換過程。

[1]汪洪. 計算機網絡防御策略求精關鍵技術分析[J]. 信息化建設,2016,06：90.

[2]汪洪. 計算機網絡防御策略求精關鍵技術分析[J]. 信息化建設,2016,07：76-77.

[3]李步宵. 計算機網絡防御策略求精關鍵技術研究[J]. 電子技術與軟件工程,2015,12：226.

[4]余汾芬. 計算機網絡防御策略求精關鍵技術研究[J]. 山東工業技術,2015,20：102.

K928

B

1007-6344（2017）04-0156-01