計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言研究

2012-08-15 00:52田文英

科技傳播 2012年14期

關(guān)鍵詞：信息庫(kù)語(yǔ)句計(jì)算機(jī)網(wǎng)絡(luò)

田文英

石家莊職業(yè)技術(shù)學(xué)院，河北石家莊 050081

計(jì)算機(jī)網(wǎng)絡(luò)防御是網(wǎng)絡(luò)攻擊演練中的一個(gè)重要組成部分，而防御策略又是計(jì)算機(jī)網(wǎng)絡(luò)防御的基礎(chǔ)。為了保證系統(tǒng)的安全性，系統(tǒng)有必要選擇合適的防御措施。在目前的防御策略研究中，大部分側(cè)重于防火墻以及IDS防御仿真，但是在實(shí)際應(yīng)用中，計(jì)算機(jī)的防御措施應(yīng)該更加的完善，以應(yīng)付應(yīng)接不暇的網(wǎng)絡(luò)攻擊行為。

1 計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言

計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言的英文縮寫為CNDPSL，具體來(lái)說(shuō)，就是computer network defense policy specification language。計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言本質(zhì)上就是能夠有效地面向?qū)嶋HCNDPM模型的相關(guān)語(yǔ)言，這種語(yǔ)言是聲明形式的，其主要是將引擎映射測(cè)量的有效通過(guò)作為相應(yīng)的實(shí)際防御規(guī)則的。其能夠?qū)⒕W(wǎng)絡(luò)的具體防御行為變得抽象化，同時(shí)還兼具優(yōu)良的可延展特性以及靈活特性。

1.1 策略模型的相關(guān)概念

基于訪問(wèn)控制模型Or-BAC以及RBAC模型可以進(jìn)行防御策略模型的典型代表的有效構(gòu)建。RBAC模型所采用的基本原理只能夠?qū)崿F(xiàn)主體的抽象化，該模型不能夠直接針對(duì)權(quán)限來(lái)進(jìn)行抽象。但是Or-BAC模型卻大不相同，該模型能夠在抽象廯的基礎(chǔ)上，在將主體抽象為實(shí)際角色的同時(shí)分別進(jìn)行動(dòng)作以及客體的抽象，與此同時(shí)，還可以實(shí)現(xiàn)對(duì)上下網(wǎng)概念在同一時(shí)間內(nèi)的引入，這樣就可以實(shí)現(xiàn)在同一框架的大背景下完成對(duì)多種環(huán)境下的不同組織策略的有效分析處理。因?yàn)樗M(jìn)行的模型建設(shè)的實(shí)際范圍是非常有限的，所以不適用將其運(yùn)用在所有的實(shí)際防御領(lǐng)域中去。因此，我們基于Or-BAC模型來(lái)構(gòu)建了計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型，又可以被稱作是CNDPM模型。CNDPM模型的種種優(yōu)勢(shì)體現(xiàn)在通過(guò)對(duì)訪問(wèn)控制模型的有效構(gòu)建，實(shí)現(xiàn)對(duì)策略的檢查以及響應(yīng)，最終將其進(jìn)行相應(yīng)規(guī)則的具體轉(zhuǎn)換。

該模型的的實(shí)際主體涵蓋了九個(gè)方面，其中的相互關(guān)系涵蓋了十種之多。具體來(lái)說(shuō)，相應(yīng)的九種實(shí)際主體能夠很好地描述分析相關(guān)規(guī)則組成結(jié)構(gòu)以及防御網(wǎng)絡(luò)策略；其中相互之間的十種關(guān)系也是用來(lái)描述相關(guān)的放映策略與規(guī)則映射的。

1.2 CNDPSL的相關(guān)設(shè)計(jì)

在完成CNDPM模型的有效構(gòu)建以后，要依據(jù)該模型來(lái)設(shè)計(jì)具體的CNDPSL的實(shí)際描述語(yǔ)言，還要將其中所包含的所有內(nèi)容都通過(guò)語(yǔ)言描述的形式表現(xiàn)出來(lái)，并提供相應(yīng)的EBNF范式，與此同時(shí)，為了使所得到的語(yǔ)言能夠真正做到真實(shí)有效，應(yīng)該使用仿真驗(yàn)證進(jìn)行實(shí)際的描述語(yǔ)言真實(shí)性地有效驗(yàn)證，從而保障了功放模擬演練功能地最終實(shí)現(xiàn)。由此可知，為了滿足相關(guān)的設(shè)計(jì)要求，在進(jìn)行防御策略描述語(yǔ)言設(shè)計(jì)時(shí)應(yīng)該要做到以下幾點(diǎn)：

1）要有極為豐富的實(shí)際表述能力，同時(shí)要正確地描述具體的CNDPSL；

2）構(gòu)建較為統(tǒng)一的防御策略響應(yīng)以及防御策略檢查模型，將其的實(shí)際規(guī)則進(jìn)行有效地轉(zhuǎn)換，最終實(shí)現(xiàn)設(shè)計(jì)對(duì)模型的全方位面向；

3）語(yǔ)法簡(jiǎn)單，機(jī)構(gòu)簡(jiǎn)潔，直觀性較強(qiáng)；

4）設(shè)計(jì)時(shí)應(yīng)該注重延展性，方便策略的多方位延展。

以下，將給出計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語(yǔ)言的具體的EBNF范式，

（cndpsl）：：=（語(yǔ)句塊）|（cndpsl）（語(yǔ)句塊）

＜語(yǔ)句塊＞：：=（組織聲明）|（（組織名）|（組織聲明））＜策略語(yǔ)句塊＞|＜組織名＞＜策略＞|＜策略信息顯示＞

（策略語(yǔ)句塊）：：=‘{’（策略語(yǔ)句）{（策略語(yǔ)句）}‘}’

能夠依據(jù)定義語(yǔ)句針對(duì)相關(guān)的活動(dòng)、角色以及試圖的相應(yīng)特性所進(jìn)行的給定在實(shí)際的想定目錄中實(shí)現(xiàn)對(duì)足以滿足相應(yīng)特性的有關(guān)實(shí)體的有效查找，最終在間接的角度上實(shí)現(xiàn)了具體的事項(xiàng)分配。

1.3 CNDPSL實(shí)施的相關(guān)機(jī)制

防御想定作為防御策略的上層，其所要實(shí)現(xiàn)的最終目標(biāo)是通過(guò)進(jìn)行有效轉(zhuǎn)換而實(shí)現(xiàn)CNDPSL為主要格式的策略文件以及相應(yīng)人機(jī)交互命令的有效獲得防御策略信息與策略引擎的交互處理，轉(zhuǎn)換得到相關(guān)CNDDL防御命令。通過(guò)相關(guān)的存儲(chǔ)策略，信息庫(kù)能夠?qū)崿F(xiàn)對(duì)實(shí)體信息以及實(shí)體間的相互聯(lián)系進(jìn)行有效具體描述，簡(jiǎn)單來(lái)說(shuō)，可以將引擎工作的相關(guān)原理看作是分析模塊，并采用Lex以及Yacc實(shí)現(xiàn)對(duì)CNDPSL的詞法、語(yǔ)法等相關(guān)方面的有效分析，

同時(shí)從網(wǎng)路信息庫(kù)中將動(dòng)作以及主客體的相關(guān)策略描述進(jìn)行讀取獲得，并將相應(yīng)信息存儲(chǔ)在

實(shí)際的信息庫(kù)當(dāng)中。然后再經(jīng)由相應(yīng)的轉(zhuǎn)換模塊進(jìn)行防御策略信息的有效查找，并將具體的實(shí)際規(guī)則分發(fā)到各個(gè)防御節(jié)點(diǎn)上。要主要的是，如果組織中沒(méi)有防御節(jié)點(diǎn)，則應(yīng)該就近選取符合原則相應(yīng)防御節(jié)點(diǎn)。

在這里要特別說(shuō)明一下，策略會(huì)對(duì)相應(yīng)的措施配置產(chǎn)生一定的影響，針對(duì)人類來(lái)說(shuō)，唯有經(jīng)過(guò)翻譯才能實(shí)現(xiàn)抽象策略的產(chǎn)生，在整個(gè)實(shí)際操作過(guò)程中，這種現(xiàn)象不僅僅會(huì)出現(xiàn)一次，

究其原因可以知道，高層思維由于要很好地適應(yīng)地處工具，所以其需要進(jìn)行有效更新?lián)Q代行為，但是每次的更新?lián)Q代都會(huì)對(duì)正確的翻譯檢查造成一定的困難與阻礙，使得思維語(yǔ)義形成了不必要的實(shí)際損失。

2 結(jié)論

CNDPSL是一種具有強(qiáng)烈防御策略領(lǐng)域性的語(yǔ)言，其最大特點(diǎn)就是在于能夠在多種環(huán)境下度計(jì)算機(jī)網(wǎng)絡(luò)防御措施進(jìn)行選擇。本文針對(duì)CNDPSL進(jìn)行簡(jiǎn)單的闡述，總結(jié)出計(jì)算機(jī)防御策略描述語(yǔ)言石油策略引擎進(jìn)行解釋、執(zhí)行的，并部署在平臺(tái)中，其特點(diǎn)包括語(yǔ)法結(jié)構(gòu)簡(jiǎn)單容易理解，延展性能非常好，能夠擴(kuò)展到更多的額策略，并且，對(duì)保護(hù)檢測(cè)和響應(yīng)策略進(jìn)行了統(tǒng)一規(guī)范的描述。希望在不久的將來(lái)能夠進(jìn)一步提供防御策略的圖形化界面，進(jìn)而能夠使更多樣化在網(wǎng)絡(luò)功放模擬演練中輕松的輸入防御策略。