姚 芳

(濟源職業(yè)技術(shù)學(xué)院 459000)

據(jù)統(tǒng)計，2017年俄羅斯因網(wǎng)絡(luò)攻擊造成130億人民幣的損失，2017上半年全球因網(wǎng)絡(luò)攻擊造成了40億美元的損失。同時全球企業(yè)正在遭受商業(yè)勒索軟件、電郵詐騙、物聯(lián)網(wǎng)攻擊等方面的威脅，2017年4月的“WannaCrypt”及6月的“Petya”這兩個勒索軟件在很短的時間內(nèi)就攻擊了數(shù)千家公司和高校，給各大企業(yè)造成了非常大的經(jīng)濟損失和企業(yè)公信度。單純依靠人工完成大規(guī)模的網(wǎng)絡(luò)安全工作已經(jīng)無法適應(yīng)當(dāng)今嚴峻的網(wǎng)絡(luò)環(huán)境。文章通過研究策略求精算法在計算機網(wǎng)絡(luò)防御策略中的應(yīng)用，應(yīng)對愈加嚴峻的網(wǎng)絡(luò)攻擊形勢。

1策略求精算法模型

計算機網(wǎng)絡(luò)策略求精算法(computer network defense policy refinement，CNDPR)是結(jié)合網(wǎng)絡(luò)拓撲信息和求精規(guī)則，將高層防御策略轉(zhuǎn)換為操作層防御策略的過程。具體的算法過程如下：高層防御策略是既定的網(wǎng)絡(luò)管理者根據(jù)所管理的網(wǎng)絡(luò)需求所設(shè)置的網(wǎng)絡(luò)防御安全措施；操作層防御策略則是硬件設(shè)備執(zhí)行的防御行為。網(wǎng)絡(luò)策略求精算法將高層的邏輯概念映射到具體的底層硬件設(shè)備中，從而實現(xiàn)一個語義的轉(zhuǎn)換過程；操作層的防御策略被生成后，就將具體的防御設(shè)備和節(jié)點信息轉(zhuǎn)換為硬件設(shè)備上可執(zhí)行的策略規(guī)則，這就是策略設(shè)備實現(xiàn)過程；最后設(shè)備節(jié)點根據(jù)策略規(guī)則在不同的設(shè)備層、IP、數(shù)據(jù)包等配置相關(guān)的參數(shù)，從而保障設(shè)備的安全。

網(wǎng)絡(luò)策略求精防御模型共由3個部分組成：高層策略、操作層防御策略、高層和操作層策略之間的求精規(guī)則。該模型用數(shù)學(xué)形式表示為：

Net∷=(HGOAL,LGOAL,R)

(1)

其中，HGOAL表示高層策略，它主要包括高層的保護策略、檢測策略、備份策略、響應(yīng)策略；LGOAL表示操作層策略，包含的策略和高層是相映射的4個；R是兩者之間的求精規(guī)則集，主要包括角色、用戶、源點、目標、活動等，用戶求精規(guī)則、源點求精規(guī)則、資源求精規(guī)則、目標節(jié)點求精規(guī)則、防御動作和防御實體求精規(guī)則等。

高層策略是由策略元素集H中的元素以及它們的關(guān)系構(gòu)成；同理每個操作層策略也是由操作元素集 中的元素以及它們的關(guān)系構(gòu)成：

G={Domain,Role,Target,Activity,Means,ContexType}

(2)

O={Nodc,Action,Defense,DefenseEntity,Context}

關(guān)系中的元素含義表示如下：

Domain(域)：表示網(wǎng)絡(luò)的范疇，可根據(jù)網(wǎng)絡(luò)的具體環(huán)境劃分網(wǎng)絡(luò)域。

Role(角色)：表示具有相同特征的用戶集。

Target(目標)：表示具有相同特征的資源集。

Activity(活動)：表示具有相同特征的動作集。

Means(防御手段)：表示網(wǎng)絡(luò)防御活動的集合。

ContextType(上下文類型)：具有相同特征的上下文類型集合。

Nodc(節(jié)點)：表示網(wǎng)絡(luò)中的實體，例如主機、IP地址等。

Action(動作)：表示最小的狀態(tài)，無法在進行二次分配。

Defense(防御動作)：表示具有相同防御動作的集合。

DefenseEntity(防御實體)：表示為防御動作的安全設(shè)備集合。

Context(上下文)：表示具有相同特征的上下文集合。

計算機網(wǎng)絡(luò)防御中的求精規(guī)則一般包括以下規(guī)則：

角色映射到用戶的求精規(guī)則：Role→User；

原始的網(wǎng)絡(luò)環(huán)境中用戶映射到源節(jié)點的求精規(guī)則：{(u,sd)|u∈User,sd∈SDomain}→Node；

目標映射到資源的求精規(guī)則：T arg et→Re source；

漏洞類型映射到漏洞的求精規(guī)則：VulTypr→Vul；

事件類型映射到攻擊事件的求精規(guī)則：EventType→AttackEvent；

目標域資源映射到目標節(jié)點的求精規(guī)則：{(r，td)|r∈Resource,td∈Domain}→TNode；

目標域中的漏洞到目標節(jié)點的求精規(guī)則：{(v,td)|v∈Vul,td∈Doamin}→TNode；

手段映射到防御實體和防御動作的求精規(guī)則：Means→{(de,da)|de∈DefenseEntity,da∈DefneseAction}。

以上求精規(guī)則是網(wǎng)絡(luò)防御中可自動對網(wǎng)絡(luò)攻擊進行分析，并就分析結(jié)果來實施具體的網(wǎng)絡(luò)防御。

2網(wǎng)絡(luò)防御策略求精算法

文章提出了一種網(wǎng)絡(luò)防御策略求精算法來實現(xiàn)上述模型。在網(wǎng)絡(luò)防御策略求精算法中包含兩個方面，即高層策略解析和操作層的策略生成算法，如圖1所示。

圖1 網(wǎng)絡(luò)防御結(jié)構(gòu)圖

高層策略解析部分包含了詞法分析、語法分析、語義識別；策略生成算法部分包含了高層映射的邏輯概念，選擇防御實體，組合概念并決斷出操作層策略。具體的算法描述如下：

(1)對文本進行高層CND策略的匹配，若是能夠達到匹配要求則將其該策略存入到內(nèi)存結(jié)構(gòu)中。

(2)針對高層中的不同概念，啟用相對應(yīng)的策略求精規(guī)則，并將其映射為操作層元素。高層中的概念為角色，則根據(jù)策略求精算法模型中的策略規(guī)則獲得該角色的用戶；若為源域或目標域，則根據(jù)域、節(jié)點的求精規(guī)則獲取到目標域中的節(jié)點集，訪問控制、VPN等都有源域、目標域兩種方式，但用戶身份驗證則只擁有源域，備份等就僅擁有目標域。

(3)若根據(jù)(2)求得用戶集不為空，則根據(jù)用戶和源域、源節(jié)點求精規(guī)則來計算出網(wǎng)絡(luò)中的源節(jié)點。

若根據(jù)(2)計算得到的資源或漏洞集合不為空，則根據(jù)資源和目標域、目標節(jié)點求精規(guī)則，或是漏洞和目標域、目標節(jié)點求精規(guī)則計算出網(wǎng)絡(luò)中的目標節(jié)點。

(4)組合防御實體、防御動作、目標節(jié)點等，并從中得出操作等策略。

(5)判斷高層防御策略，若策略數(shù)目大于1，則轉(zhuǎn)至(1)，進行迭代；否則輸出結(jié)果集。

3 策略求精算法驗證

實驗環(huán)境：Intel酷睿i5，CPU 3.5GHz，4G內(nèi)存，Windows 7系統(tǒng)，網(wǎng)絡(luò)仿真平臺GTNctS，Ubuntu虛擬平臺系統(tǒng)。

文章搭建了一個仿真平臺來實現(xiàn)網(wǎng)絡(luò)防御策略求精算法的驗證。實驗寫了20個高層策略來自動生成操作層策略，并將其自動的生成設(shè)備的配置清單，最后將其搭建在仿真平臺和虛擬系統(tǒng)中，以此來驗證防御效果。

實驗所用的網(wǎng)絡(luò)拓撲圖(如圖2)分為兩個區(qū)域：外網(wǎng)、中間網(wǎng)(net3)、內(nèi)網(wǎng)(net1、net2)。外網(wǎng)和中間網(wǎng)通過一臺路由器和防火墻相連，內(nèi)網(wǎng)和中間網(wǎng)通過一臺三層交換機和防火墻相連，且內(nèi)網(wǎng)被劃分為兩個子網(wǎng)net1和net2。

圖2 網(wǎng)絡(luò)拓撲圖

在該網(wǎng)絡(luò)中文章設(shè)置的服務(wù)器、主機的IP地址、操作系統(tǒng)以及漏洞的詳細信息如表1和表2所示，由此生成的求精規(guī)則如圖3所示。

表1 服務(wù)器信息表

文章以訪問控制為例進行具體的策略求精規(guī)則生成的說明。該實例中預(yù)想為在受保護的網(wǎng)絡(luò)中，來自外網(wǎng)的不明用戶想要通過主機host0進入訪問目標網(wǎng)絡(luò)，同時還想要在FTP服務(wù)器S2中安裝木馬。為了實現(xiàn)訪問控制策略，首先需要對高層進行訪問規(guī)則的規(guī)定，因此來防止未授權(quán)用戶對FTP服務(wù)器的訪問，如圖4所示。

圖4 訪問控制策略

將訪問控制策略求精規(guī)則輸入高層后，會自動映射到操作層的規(guī)則，因此生成的求精規(guī)則如圖5所示。

圖5 生成的策略求精規(guī)則

通過對求精規(guī)則的分析后，將其部署在具體的設(shè)備節(jié)點中。文章是將未知的網(wǎng)絡(luò)設(shè)備訪問拒絕配置在防火墻中，為了明確對比策略求精規(guī)則的防御作用，文章進行了對比，在未部署防火墻的拒絕規(guī)則前，攻擊者是能夠訪問FTP服務(wù)器的，

如圖6所示。但部署了防火墻的拒絕規(guī)則后，攻擊者就被拒絕訪問FTP服務(wù)器，如圖7、圖8所示，從而保障了服務(wù)器的安全性。

圖6 未知用戶可訪問FTP服務(wù)器

圖7 防火墻拒絕訪問規(guī)則

圖8 未知用戶被拒絕訪問FTP服務(wù)器

4結(jié)論

文章研究的是策略求精算法在計算機網(wǎng)絡(luò)防御中的應(yīng)用，通過對高層的策略求精的撰寫，可以實現(xiàn)更強的描述能力，也能支持更多的防御機制。