劉大寶 張 毅 唐 勇

（沈陽理工大學，遼寧 沈陽 110168）

計算機網絡防御策略求精關鍵技術的分析

劉大寶 張 毅 唐 勇

（沈陽理工大學，遼寧 沈陽 110168）

信息技術的快速發(fā)展為各行業(yè)領域注入新鮮的活力，但隨之而來的網絡攻擊等問題也日益嚴峻，如木馬、病毒等，都影響網絡的安全運行，嚴重情況下將有大量重要信息被竊取、網絡運行癱瘓等情況發(fā)生。通過實踐研究發(fā)現，引入相應的防御策略求精關鍵技術，對網絡安全運行可起到極大的作用。本文將對計算機網絡防御策略求精現狀、計算機網絡防御策略求精關鍵技術進行探析，并提出強化計算機網絡防御策略求精技術的相關建議。

計算機網絡防御；網絡安全管理；策略求精

1 前言

作為當前計算機發(fā)展中面臨的難題，網絡攻擊是困擾大多計算機用戶的主要問題。盡管有較多策略求精技術引入其中，但由于將防御重點置于訪問控制方面，或集中VPN策略求精層面，這樣安全策略機制并未完全融合，難以全方位對計算機進行保護。因此，本文對策略求精技術的相關研究，具有十分重要的意義。

2 計算機網絡防御策略求精現狀

策略求精是網絡安全管理實現的關鍵所在。近年來較多如VPN等防御策略逐漸引入到網絡安全管理中，一定程度上使計算機網絡防御得到強化，但由于未能將具體恢復、響應、監(jiān)測與保護等方式融于一體，一旦有協(xié)同、復雜的網絡攻擊，便無法起到明顯的效果。對于這種網絡防御策略求精的應用現狀看，主要表現在：第一，策略求精方法缺失。策略求精方法是網絡安全管理的重要基礎，現有的方法主要以VPN策略求精、訪問控制策略為主，無法與其他防御手段如漏洞檢測、IDS檢測等進行配合，縱深防御效果難以保障。第二，語義建模方法缺失。策略求精能否發(fā)揮重要效果，很大程度取決語義一致性，而語義一致性分析又需做好語義建模工作?，F行策略求精方法應用中，語義分析多通過手工實現，自動化方法仍處于缺失狀態(tài)，更無從談及語義建模，影響計算機防御目標的實現。第三，語義一致性分析方法缺失。對于策略求精，其實質是推理過程，假若推理中缺少語義作為載體，便會產生求精中語義不一致問題，尤其當前語義一致性分析中，并未真正從結構、概念角度出發(fā)，難以達到語義一致性分析目標。除此之外，現行策略求精方法應用下，其有效性的驗證也極為困難，導致策略求精技術應用于計算機防御中難以發(fā)揮重要作用[1]。

3 計算機網絡防御策略求精關鍵技術分析

對于當前策略求精方法的應用現狀，實際解決中要求采取針對性的技術方式，如在策略求精方法缺失方面，可考慮進行防御策略模型的構建以及模型安全體系的構建，并對語義建模、語義一致性分析方面存在的問題采取相應的解決策略。具體有以下幾方面：

(1)防御策略模型構建

策略求精關鍵技術的應用，很大程度上取決于模型的構建。本文研究主要采取三維模型構建的方法，模型的支撐主要以網絡知識、方式技術、系統(tǒng)思想為主，尤其是方式技術、系統(tǒng)思想，在相互配合下可使整個系統(tǒng)工程安全得到保障，且輔以相應的安全機制，其他如信息完整性、數據庫以及計算機設備等都可得到提升。策略求精技術的應用，要求所有的網絡信息達到精益化發(fā)展要求，這就對高層防御策略提出更高的要求。如以服務資源要求為依據，使系統(tǒng)安全參數由節(jié)點端口處獲取，若參數出現變化，可直接進行配置。需注意的是，參數配置中有較多接口或數據包信息，且涉及語法變換內容，這些都應作為模型構建中需考慮的主要內容[2]。

本文在研究中主要選取CNDPR模型進行研究，其能夠具象化處理策略求精概念，在防御策略生成后，能夠直接用于各設備與節(jié)點中，以可執(zhí)行策略規(guī)則的形式存在。該模型

應用下，主動特征極為明顯，可能使系統(tǒng)狀態(tài)發(fā)生一定的改變。模型構成主體在形式上可細化為節(jié)點、主體兩種，其中的節(jié)點一般需通過掩碼、IP與節(jié)點名稱，使口令、用戶名得以生成，在此基礎上使計算機信息流得以變更。而在主體形式上，通常以不同特征主體或相同特征主體構成。以相同特征主體集為例，多表現出角色特征綜合體，而其中的角色權限存在較大的關聯(lián)。對于這種角色特征綜合體，可引入相關的表達式進行描述，即：｛slOwn（s,ch）（Relate（ch,right），ch∈CHARSCTER，sSUBJECT，right∈Right｝[3]。

(2)模型安全體系構建

為對網絡安全運行情況進行研究，也需考慮構建模型安全體系。整個體系要求以計算機發(fā)展特征、網絡運行情況作為依據，引入相關的技術措施，強化計算機安全效果。模型安全體系具體構建中，應以防御策略模型作為核心。假定從三維、立體等概念出發(fā)，模型在構成上以x，y，z三個軸為主，其中z軸用于物理環(huán)境的描述，如計算機信息處理、信息網絡以及安全管理等，y軸涉及的主要以應用層、傳輸層、網絡層、數據鏈路層以及物理層為主，x軸用于對系統(tǒng)安全特性的描述。在保證整個模型合理的情況下，安全防御效果也將達到最佳。實際進行模型構建中，應充分考慮所有網絡安全問題以及是否與用戶應用要求相吻合等[4]。

(3)語義建模與語義分析一致性問題的解決

從當前策略求精技術應用現狀看，除在基本的模型上存在問題外，語義建模、語義分析一致性問題也極為重要。對此，在解決中首先需從語義建模角度著手。以CNDPR語義模型為例，在語義建模中可應用方式主要包改進后的Nivre語義依存分析、以描述邏輯為基礎的語義模型以及SWRL推理規(guī)則。其中，語義依存分析主要對策略語句依存關系是否正確進行判斷，且短時間內便可完成分析過程，在此基礎上通過描述邏輯，完成CNDPR語義模型構建過程，模型的內容以語義關系推理為主。在隱含語義關系被推理的情況下，選用SWRL推理規(guī)則，對語義模型的有效性進行驗證。利用這種方式，便可使語義建模的目標得以實現[5]。

另外，語義分析一致性問題也是影響語義建模關鍵，對整個策略求精技術的應用效果都可能帶來明顯影響。對此，在語義一致性分析上，首先可考慮以結構、概念角度出發(fā)，對策略語句進行分析，如在概念方面，很可能有概念冗余、概念缺失以及概念實例不一致等情況，而在結構方面，有語義關系融入、語義關系缺失、語義關系實例不一致等情況存在。此時，可考慮引入以描述邏輯為基礎的分析方法，即Racer語義分析算法，其能夠將所有結構、概念等語義一致性內容融入其中，并在此基礎上配合SWRL的求精規(guī)則，可達到語義一致性分析的目標[6]。

4 強化計算機網絡防御策略求精技術的相關建議

策略求精技術的應用能夠將網絡攻擊與病毒、木馬帶來的影響控制到最低，但其也需有其他相關的技術作為輔助，如防火墻、防病毒技術以及掃描技術等，在多種技術相互配合下，有利于防御效果的強化，確保用戶在應用計算機中有安全保障。具體如下幾方面：

(1)防火墻設置

防火墻作為計算機防御目標實現的重要軟件之一，其能夠有效連接網絡系統(tǒng)、計算機，使?jié)撛谛缘耐{得到有效控制。實際引入防護墻后，系統(tǒng)端口可有效避免外界的干擾，且用戶在訪問相關的網頁或下載具體軟件中，若站點來源不明，防火墻將發(fā)出禁止命令，拒絕用戶的訪問請求，對系統(tǒng)的安全可靠運行可起到明顯作用。需注意的是，單純依托于防火墻，并不能完全使計算機防御得到強化，用戶的安全意識也極為重要，所以在計算機應用中，應做好對管理人員與用戶的培訓宣傳工作，按照相關的規(guī)定進行管理與宣傳，在此基礎上配合策略求精技術，更能削弱網絡攻擊或病毒、木馬入侵所帶來的影響[7]。

(2)反病毒技術

網絡系統(tǒng)的安全可靠運行，本身強調需有具體的技術作為支撐，在考慮設置防火墻等安全服務器的基礎上，應將反病毒技術引入其中，其可有效配合防火墻的應用。對于反病毒技術，其涉及的類型極多，如虛擬機技術、沙盤仿真、主動防御、NTFS流殺毒技術以及相關的防御軟件等。這些技術應用下都有其自身的特色，實際選用中，可根據計算機運行實際情況確定，為防御目標的實現提供保障。另外，安全管理中，可考慮進行相關管理規(guī)則的制定，防止有盜版軟件安裝在系統(tǒng)中，尤其較多未通過安全檢測的軟件，危險性都較高。同時，對于計算機中的重要文件，需采取相應的備份保護措施，或進行訪問權限的設置，以此使非法入侵事件的發(fā)生得到有效控制。

(3)掃描技術

網絡系統(tǒng)安全管理中，掃描技術的應用可發(fā)揮及其重要的作用，如系統(tǒng)中的潛在威脅可在掃描技術應用下被快速發(fā)現。以現代較多殺毒軟件為例，都將掃描技術融入其中，協(xié)助網絡系統(tǒng)安全管理。具體應用中，可考慮將其與反病毒技術、防火墻等共同配合，這樣能夠最大程度地提升系統(tǒng)安全性。需注意的是，現代計算機就技術快速發(fā)展背景下，網絡攻擊手段也極為復雜，所以掃描技術應用下需做到不斷創(chuàng)新，盡可能與網絡系統(tǒng)發(fā)展保持同步，以此使系統(tǒng)更為安全可靠地運行[8]。

5 結論

策略求精技術的應用是計算機網絡安全的重要保障。實際引入策略求精技術中，應正確認識以往防御策略應用下存在的弊病，在此基礎上構建相應的防御策略模型，同時注意解決語義建模、語義分析一致性的問題。另外，為強化策略求精技術的應用效果，要求將掃描技術、反病毒技術以及防火墻等引入其中，以此使策略求精技術的應用效果得到強化，提升計算機系統(tǒng)安全水平。

[1]魏昭．計算機網絡防御策略求精關鍵技術研究[D]．北京航空航天大學，2014．

[2]吳月紅．計算機網絡防御策略求精關鍵技術[J]．信息與電腦(理論版)，2015(08)：77-78．

[3]李步宵．計算機網絡防御策略求精關鍵技術研究[J]．電子技術與軟件工程，2015(12)：226．

[4]余汾芬．計算機網絡防御策略求精關鍵技術研究[J]．山東工業(yè)技術，2015(20)：102．

[5]卡里木江·阿克巴爾，萬豐瑜，孫佳洲．探討計算機網絡防御策略求精關鍵技術研究[J]．探索科學，2016(02)：59-60．

[6]鄧家藝．基于計算機網絡防御策略求精模型的防入侵技術[J]．網絡安全技術與應用，2016(05)：41+43．

[7]何健．淺析計算機網絡防御策略及求精關鍵技術[J]．無線互聯(lián)科技，2015(23)：77-79．

[8]顧慶傳，申云成．提高計算機網絡可靠性的方法分析[J]．電腦與電信，2016(3)：59-60．

Research on the Key Technologies of Computer Network Defense Policy Refinement

Liu Dabao Zhang YiTang Yong
(Shenyang University of Technology,Shenyang 110168,Liaoning)

The rapid development of information technology has injected fresh vitality for the industry field.But the following cyber attacks have become more and more severe,such as Trojans,viruses,etc.,which influences the safe operation of network.In severe cases,there will have a large number of important information being stolen or network paralysis.Through the research and practice,it is found that the introduction of corresponding key technologies of defense policy refinement has a great effect on the safe operation of network.This paper studies on the status and the key technologies of computer network defense policy refinement, and proposes relevant recommendations about strengthening technologies for computer network defense policy refinement.

computer network defense;network security management;policy refinement

TP393.08

A

1008-6609(2016)07-0071-03

劉大寶，男，山東蓬萊人，本科，研究方向：計算機應用。