田文英

石家莊職業(yè)技術(shù)學(xué)院，河北石家莊 050081

計算機(jī)網(wǎng)絡(luò)防御是網(wǎng)絡(luò)攻擊演練中的一個重要組成部分，而防御策略又是計算機(jī)網(wǎng)絡(luò)防御的基礎(chǔ)。為了保證系統(tǒng)的安全性，系統(tǒng)有必要選擇合適的防御措施。在目前的防御策略研究中，大部分側(cè)重于防火墻以及IDS防御仿真，但是在實際應(yīng)用中，計算機(jī)的防御措施應(yīng)該更加的完善，以應(yīng)付應(yīng)接不暇的網(wǎng)絡(luò)攻擊行為。

1 計算機(jī)網(wǎng)絡(luò)防御策略描述語言

計算機(jī)網(wǎng)絡(luò)防御策略描述語言的英文縮寫為CNDPSL，具體來說，就是computer network defense policy specification language。計算機(jī)網(wǎng)絡(luò)防御策略描述語言本質(zhì)上就是能夠有效地面向?qū)嶋HCNDPM模型的相關(guān)語言，這種語言是聲明形式的，其主要是將引擎映射測量的有效通過作為相應(yīng)的實際防御規(guī)則的。其能夠?qū)⒕W(wǎng)絡(luò)的具體防御行為變得抽象化，同時還兼具優(yōu)良的可延展特性以及靈活特性。

1.1 策略模型的相關(guān)概念

基于訪問控制模型Or-BAC以及RBAC模型可以進(jìn)行防御策略模型的典型代表的有效構(gòu)建。RBAC模型所采用的基本原理只能夠?qū)崿F(xiàn)主體的抽象化，該模型不能夠直接針對權(quán)限來進(jìn)行抽象。但是Or-BAC模型卻大不相同，該模型能夠在抽象廯的基礎(chǔ)上，在將主體抽象為實際角色的同時分別進(jìn)行動作以及客體的抽象，與此同時，還可以實現(xiàn)對上下網(wǎng)概念在同一時間內(nèi)的引入，這樣就可以實現(xiàn)在同一框架的大背景下完成對多種環(huán)境下的不同組織策略的有效分析處理。因為所進(jìn)行的模型建設(shè)的實際范圍是非常有限的，所以不適用將其運(yùn)用在所有的實際防御領(lǐng)域中去。因此，我們基于Or-BAC模型來構(gòu)建了計算機(jī)網(wǎng)絡(luò)防御策略模型，又可以被稱作是CNDPM模型。CNDPM模型的種種優(yōu)勢體現(xiàn)在通過對訪問控制模型的有效構(gòu)建，實現(xiàn)對策略的檢查以及響應(yīng)，最終將其進(jìn)行相應(yīng)規(guī)則的具體轉(zhuǎn)換。

該模型的的實際主體涵蓋了九個方面，其中的相互關(guān)系涵蓋了十種之多。具體來說，相應(yīng)的九種實際主體能夠很好地描述分析相關(guān)規(guī)則組成結(jié)構(gòu)以及防御網(wǎng)絡(luò)策略；其中相互之間的十種關(guān)系也是用來描述相關(guān)的放映策略與規(guī)則映射的。

1.2 CNDPSL的相關(guān)設(shè)計

在完成CNDPM模型的有效構(gòu)建以后，要依據(jù)該模型來設(shè)計具體的CNDPSL的實際描述語言，還要將其中所包含的所有內(nèi)容都通過語言描述的形式表現(xiàn)出來，并提供相應(yīng)的EBNF范式，與此同時，為了使所得到的語言能夠真正做到真實有效，應(yīng)該使用仿真驗證進(jìn)行實際的描述語言真實性地有效驗證，從而保障了功放模擬演練功能地最終實現(xiàn)。由此可知，為了滿足相關(guān)的設(shè)計要求，在進(jìn)行防御策略描述語言設(shè)計時應(yīng)該要做到以下幾點：

1）要有極為豐富的實際表述能力，同時要正確地描述具體的CNDPSL；

2）構(gòu)建較為統(tǒng)一的防御策略響應(yīng)以及防御策略檢查模型，將其的實際規(guī)則進(jìn)行有效地轉(zhuǎn)換，最終實現(xiàn)設(shè)計對模型的全方位面向；

3）語法簡單，機(jī)構(gòu)簡潔，直觀性較強(qiáng)；

4）設(shè)計時應(yīng)該注重延展性，方便策略的多方位延展。

以下，將給出計算機(jī)網(wǎng)絡(luò)防御策略描述語言的具體的EBNF范式，

（cndpsl）：：=（語句塊）|（cndpsl）（語句塊）

＜語句塊＞：：=（組織聲明）|（（組織名）|（組織聲明））＜策略語句塊＞|＜組織名＞＜策略＞|＜策略信息顯示＞

（策略語句塊）：：=‘{’（策略語句）{（策略語句）}‘}’

（策略語句）：：=（角色語句）|（toview）|（視圖語句）|（活動語句）|（策略）|（上下文）

能夠依據(jù)定義語句針對相關(guān)的活動、角色以及試圖的相應(yīng)特性所進(jìn)行的給定在實際的想定目錄中實現(xiàn)對足以滿足相應(yīng)特性的有關(guān)實體的有效查找，最終在間接的角度上實現(xiàn)了具體的事項分配。

1.3 CNDPSL實施的相關(guān)機(jī)制

防御想定作為防御策略的上層，其所要實現(xiàn)的最終目標(biāo)是通過進(jìn)行有效轉(zhuǎn)換而實現(xiàn)CNDPSL為主要格式的策略文件以及相應(yīng)人機(jī)交互命令的有效獲得防御策略信息與策略引擎的交互處理，轉(zhuǎn)換得到相關(guān)CNDDL防御命令。通過相關(guān)的存儲策略，信息庫能夠?qū)崿F(xiàn)對實體信息以及實體間的相互聯(lián)系進(jìn)行有效具體描述，簡單來說，可以將引擎工作的相關(guān)原理看作是分析模塊，并采用Lex以及Yacc實現(xiàn)對CNDPSL的詞法、語法等相關(guān)方面的有效分析，

同時從網(wǎng)路信息庫中將動作以及主客體的相關(guān)策略描述進(jìn)行讀取獲得，并將相應(yīng)信息存儲在

實際的信息庫當(dāng)中。然后再經(jīng)由相應(yīng)的轉(zhuǎn)換模塊進(jìn)行防御策略信息的有效查找，并將具體的實際規(guī)則分發(fā)到各個防御節(jié)點上。要主要的是，如果組織中沒有防御節(jié)點，則應(yīng)該就近選取符合原則相應(yīng)防御節(jié)點。

在這里要特別說明一下，策略會對相應(yīng)的措施配置產(chǎn)生一定的影響，針對人類來說，唯有經(jīng)過翻譯才能實現(xiàn)抽象策略的產(chǎn)生，在整個實際操作過程中，這種現(xiàn)象不僅僅會出現(xiàn)一次，

究其原因可以知道，高層思維由于要很好地適應(yīng)地處工具，所以其需要進(jìn)行有效更新?lián)Q代行為，但是每次的更新?lián)Q代都會對正確的翻譯檢查造成一定的困難與阻礙，使得思維語義形成了不必要的實際損失。

2 結(jié)論

CNDPSL是一種具有強(qiáng)烈防御策略領(lǐng)域性的語言，其最大特點就是在于能夠在多種環(huán)境下度計算機(jī)網(wǎng)絡(luò)防御措施進(jìn)行選擇。本文針對CNDPSL進(jìn)行簡單的闡述，總結(jié)出計算機(jī)防御策略描述語言石油策略引擎進(jìn)行解釋、執(zhí)行的，并部署在平臺中，其特點包括語法結(jié)構(gòu)簡單容易理解，延展性能非常好，能夠擴(kuò)展到更多的額策略，并且，對保護(hù)檢測和響應(yīng)策略進(jìn)行了統(tǒng)一規(guī)范的描述。希望在不久的將來能夠進(jìn)一步提供防御策略的圖形化界面，進(jìn)而能夠使更多樣化在網(wǎng)絡(luò)功放模擬演練中輕松的輸入防御策略。

[1]魏玉娣，夏春和，李肖堅，王海泉，何巍.一種計算機(jī)網(wǎng)絡(luò)防御策略語言描述[J].計算機(jī)應(yīng)用研究，2008(8).