一種計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語言

摘 要：定義了一種計(jì)算機(jī)網(wǎng)絡(luò)防御策略描述語言（computer network defense policy specification language，CNDPSL）。該語言面向CNDPM模型，能夠統(tǒng)一描述保護(hù)、檢測和響應(yīng)策略，并通過策略引擎映射為相應(yīng)的防御規(guī)則。CNDPSL是一種聲明式語言，抽象了網(wǎng)絡(luò)防御控制的行為，對網(wǎng)絡(luò)防御需求具有較好的靈活性、可擴(kuò)展性和適應(yīng)性。在GTNetS仿真平臺(tái)中的實(shí)驗(yàn)表明，該語言能夠描述防御策略并有效地轉(zhuǎn)換為防火墻的ACL、檢測和響應(yīng)規(guī)則等，從而為計(jì)算機(jī)網(wǎng)絡(luò)攻防演練提供防御策略支持。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)防御；策略； 計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型； 描述語言； 策略引擎

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1001-3695(2008)08-2420-05

Computer network defense policy specification language

WEI Yu-di1a， XIA Chun-he1a，1b， LI Xiao-jian1a，1b，2，WANG Hai-quan1a，1c， HE Wei1a

(1.a.Key Laboratory of Beijing Network Technology， b.State Key Laboratory of Virtual Reality Technology， c.College of Software， Beihang University， Beijing 100083， China; 2.School of Computer Science Information Engineering，Guangxi Normal University，Guilin Guangxi 541000， China)

Abstract: This paper defined a new computer network defense policy specification language （CNDPSL）. This language provided a common method of specifying protection， detection and response policies based on CNDPM model， which could be mapped to corresponding defense rules by policy engine. CNDPSL was declarative abstracting defense control behavior of network which made this language flexible， extensible and adaptable to network defense requirements. Experiments in GTNetS platform indicated that it can describe defense policies and transforms to ACL (access control list) in firewall， IDS detection rules， response rules and so on. The above information shows that CNDSPL can provide defense policy support for computer network attack defend simulation.

Key words:computer network defense (CND); policy; CNDPM; specification language;policy engine

計(jì)算機(jī)網(wǎng)絡(luò)防御是網(wǎng)絡(luò)攻防演練中的重要組成部分，也是信息對抗中不可或缺的內(nèi)容^[1]。計(jì)算機(jī)網(wǎng)絡(luò)防御策略可以為計(jì)算機(jī)網(wǎng)絡(luò)防御提供支持，是指為了實(shí)現(xiàn)特定的安全目標(biāo)，計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)由一定條件選擇防御措施的規(guī)則^[2，3]。根據(jù)PPDR模型，防御策略包括保護(hù)、檢測和響應(yīng)策略。網(wǎng)絡(luò)攻防演練包括真實(shí)演練和模擬演練。由于模擬仿真的很多優(yōu)點(diǎn)^[4]，國內(nèi)外相關(guān)研究相繼開發(fā)了若干仿真工具，如NetSim^[5]、VNS^[6]、RINSE^[7]等。這些工具側(cè)重于防火墻和IDS等防御措施的仿真，在演練過程中，計(jì)算機(jī)網(wǎng)絡(luò)防御必須使用大量的安全措施來應(yīng)對網(wǎng)絡(luò)攻擊。

由于措施的配置受到策略的影響，基于人類的抽象策略描述必須通過人的翻譯才能產(chǎn)生技術(shù)級的措施。這個(gè)過程不止發(fā)生一次，高層思維為適應(yīng)低層工具而進(jìn)行的每一次代換都很難檢查翻譯的正確性和一致性，可能導(dǎo)致思維語義的損失。損失的程度存在不確定性，與表達(dá)思維的能力以及低層的解釋能力之間的差距有關(guān)。總之，這些措施的人工配置具有復(fù)雜、易錯(cuò)、低效的缺點(diǎn)。根本原因是自然語言存在二義性，缺少策略的形式化描述語言。給定合適的實(shí)施機(jī)制，這種人工語言可由計(jì)算機(jī)自動(dòng)化處理，這樣減少人工干預(yù)。策略是影響系統(tǒng)行為的信息，通過形式化描述的策略來管理系統(tǒng)，可以實(shí)現(xiàn)措施高效、正確、自動(dòng)化的部署，并實(shí)現(xiàn)系統(tǒng)的可伸縮性和靈活性。

本文研究的計(jì)算機(jī)網(wǎng)絡(luò)防御策略是在想定的前提下支持攻防模擬演練。指揮員通過想定將作戰(zhàn)意圖轉(zhuǎn)換為具體的作戰(zhàn)實(shí)施計(jì)劃和方案。本文研究的CNDPSL能夠提供想定調(diào)用的統(tǒng)一接口，并轉(zhuǎn)換為CNDDL形式的防御規(guī)則。

1 相關(guān)工作

本章介紹常見的防御策略描述語言，并從描述內(nèi)容和抽象層次兩個(gè)方面討論各語言的優(yōu)缺點(diǎn)，通過對比得出CNDPSL的特點(diǎn)。

Ponder^[2，8]是英國皇家學(xué)院十多年的研究成果，給出了安全和管理方面較為通用的策略描述方法。為了表示防御策略，楊海松擴(kuò)展出了ponder+語言^[9]。其中，保護(hù)策略中只包含簡單的訪問控制策略，而且與檢測和響應(yīng)策略的描述方法相分離。

PCIM^[10]將策略表示為條件—?jiǎng)幼鞯男问健Ｔ诎踩I(lǐng)域，由PCIM擴(kuò)展出來的語言有CPIM （RFC 3585），SPSL^[11，12]和NSPIM^[13，14]。SPSL目前支持包過濾，IPSec和IKE交換等策略，NSPIM描述了訪問控制和檢測策略。PCIM的層次與ACL列表等規(guī)則太接近，因而不能充分支持基于策略的高效、自動(dòng)化的管理。TPL^[15]通過XML表示認(rèn)證策略，但是XML語法冗長，可讀性差，抽象層次不適合描述防御策略。Triton ^[16，17]和MDL ^[18，19]能夠描述防火墻中的策略。其中MDL通過擴(kuò)展RBAC將權(quán)限授予網(wǎng)絡(luò)拓?fù)湎虏煌O(shè)備的IP地址。RBAC只將主體抽象為角色，沒有對權(quán)限進(jìn)行抽象。Tang等人提出的安全策略模型^[20]給出了訪問控制策略的描述，但對其他的策略沒有詳細(xì)分析，而且也存在層次不夠清晰的問題。此外，面向訪問控制策略的語言還有LaSCO ^[21]。

以上語言的特點(diǎn)是，策略描述的對象本身直接是網(wǎng)絡(luò)層的實(shí)體，抽象層次不夠高，描述內(nèi)容不夠豐富。本文定義的CNDPSL面向CNDPM，能夠統(tǒng)一描述保護(hù)策略、檢測策略和響應(yīng)策略，并能通過策略引擎映射到具體規(guī)則，如防火墻的ACL列表、IDS檢測規(guī)則的配置等，供計(jì)算機(jī)網(wǎng)絡(luò)防御使用，而且CNDPSL具有良好的可擴(kuò)展性，可以方便地對其擴(kuò)展以表示更多的策略。

2 CNDPSL語言

2.1 策略模型

防御策略模型的典型代表是基于RBAC的模型^{[20，22，23]}和基于組織的訪問控制模型Or-BAC^[24]。RBAC只將主體抽象為角色，沒有對權(quán)限進(jìn)行抽象。Or-BAC不僅將主體抽象為角色，而且將客體和動(dòng)作分別抽象為視圖和活動(dòng)，同時(shí)還引入組織和上下文的概念，這樣就能在統(tǒng)一框架中同時(shí)處理不同組織在多種環(huán)境下的不同策略。目前，這些模型的研究僅僅是給出了一些概念和框架，建模的范圍限于訪問控制領(lǐng)域，而不適于整個(gè)防御領(lǐng)域。

通過在原有Or-BAC模型的基礎(chǔ)上進(jìn)行擴(kuò)展，建立了計(jì)算機(jī)網(wǎng)絡(luò)防御策略模型(CNDPM)。該模型不僅能對訪問控制策略建模，而且能對檢測策略、響應(yīng)策略及其他的保護(hù)策略統(tǒng)一建模，同時(shí)能轉(zhuǎn)換為具體規(guī)則。

如圖1所示，CNDPM包含9種實(shí)體和10種關(guān)系。這些實(shí)體用于描述策略和規(guī)則的組成結(jié)構(gòu)，將這9種實(shí)體分別標(biāo)記，組織記為org，角色為r，視圖為v，活動(dòng)為a，上下文為c，主體為s，客體為o，動(dòng)作為α，措施為m。策略（如虛線所示）可以結(jié)構(gòu)化為6個(gè)實(shí)體，記為六元組ρ=〈org，r，a，v，c，m 〉，表示組織中角色對視圖的活動(dòng)在上下文的環(huán)境中采取措施；同樣地，具體規(guī)則結(jié)構(gòu)化為5個(gè)實(shí)體，用五元組記為rule=〈org，s，α，o，m〉，表示組織中主體對客體的動(dòng)作應(yīng)用措施。

策略與規(guī)則的實(shí)體通過關(guān)系謂詞聯(lián)系起來，一共有10種謂詞，employ（org，s）表示org雇用s；as(s，y)表示s為r；use(org，o)表示org使用o；as(o，v)表示o為v；consider(org，α)表示org考慮α；as(α，a)表示α為a；satisfy(org，s，α，o，c)表示org中的s、o和α符合c的要求；relate表示org與r、v、a的相關(guān)關(guān)系。通過這些關(guān)系謂詞，可以建立起策略和規(guī)則的映射關(guān)系，策略到具體規(guī)則的推導(dǎo)如下：

ρ（ρ=〈org，r，a，v，c，m 〉∧employ(org，s)∧

as(s，r)∧use(org，o)∧as(o，v)∧consider(org，α)∧as(α，a)∧

satisfy(org，s，α，o，c))→ rule = 〈org，s，α，o，m〉

該推理表示任何一條策略中，如果組織雇用主體s為角色r，使用客體o為視圖v，考慮動(dòng)作α為活動(dòng)a，并且s，o和α處于上下文c中，則組織中的主體s對客體o的動(dòng)作α應(yīng)用措施m。

2.2 CNDPSL的設(shè)計(jì)

根據(jù)CNDPM，設(shè)計(jì)并實(shí)現(xiàn)一種描述語言，將計(jì)算機(jī)網(wǎng)絡(luò)防御策略涉及的內(nèi)容用語言描述出來，給出其EBNF范式，并通過仿真驗(yàn)證該語言的有效性，從而為攻防模擬演練提供支持。

根據(jù)以上分析及項(xiàng)目需求，CNDPSL的設(shè)計(jì)目標(biāo)如下：

a） 豐富的表達(dá)能力，面向CNDPM，表示各種保護(hù)、檢測和響應(yīng)策略；

b） 簡潔靈活性，語法形式簡單、形象直觀；

c） 實(shí)現(xiàn)無關(guān)性、自動(dòng)解析成具體執(zhí)行部件所規(guī)定的防御規(guī)則；

d） 一定的可擴(kuò)展性，可以方便地對其擴(kuò)展以表示更多的策略。

下面給出CNDPSL的EBNF范式：

〈cndpsl〉::=〈語句塊〉|〈cndpsl〉〈語句塊〉

〈語句塊〉::=〈組織聲明〉|(〈組織名〉|〈組織聲明〉) 〈策略語句塊〉|〈組織名〉〈策略〉|〈策略信息顯示〉

〈策略語句塊〉::= ‘{’ 〈策略語句〉{〈策略語句〉} ‘}’

〈策略語句〉::=〈角色語句〉|〈toview〉|〈視圖語句〉|〈活動(dòng)語句〉|〈策略〉|〈上下文〉

1）組織

組織是CNDPM模型的核心概念，通過搜索網(wǎng)絡(luò)配置想定目錄服務(wù)器的同名域建立，以下是組織的EBNF范式：

〈組織聲明〉::=org 〈組織名〉[ 〈 組織繼承〉]

〈組織名〉::=〈string〉|〈組織名〉.〈string〉//組織名為點(diǎn)分字符串

〈組織繼承〉::= sub_org 〈組織名〉{〈組織名〉}//組織的包含關(guān)系

2）策略

由于策略可以封裝在組織中，策略表示成五元組的形式，有配置和刪除兩種操作。

〈策略〉::=(policy|delete_policy) 〈措施〉 〈角色名〉 〈活動(dòng)名〉 〈視圖短語〉(〈上下文名〉|default)

其中，視圖可以通過角色的轉(zhuǎn)換得到，語法如下：

〈視圖短語〉::=〈視圖名〉 | 〈toview〉

toview::= toview‘(’〈角色名〉‘)’ //角色到視圖的轉(zhuǎn)換

策略中元素名是預(yù)先定義好的，以下分別對角色、視圖、活動(dòng)、上下文和措施重點(diǎn)說明。角色、視圖、活動(dòng)都包括聲明、層次、定義和分配四種語句，其中聲明需指出相應(yīng)的類型，而其余三種無須給出，但名字必須是聲明過的。層次語句指相應(yīng)的繼承關(guān)系^[25]。定義語句給定角色、視圖或活動(dòng)的特性，根據(jù)該特性可以在想定目錄中查找滿足特性的實(shí)體，從而間接地實(shí)現(xiàn)分配；分配語句指出實(shí)體列表，這樣根據(jù)實(shí)體名在想定目錄中獲取實(shí)體的信息。下列語句中名字若未特殊說明，都是字符串類型。

3）角色

〈角色語句〉::=〈角色聲明〉|〈角色層次〉|〈角色定義〉|〈角色分配〉

〈角色聲明〉::=role 〈角色名〉〈角色類型〉 [〈角色繼承〉] [〈角色特性〉] [ assign_to〈主體列表〉]

〈角色類型〉::=exnode|innode|user //分為外部節(jié)點(diǎn)，內(nèi)部節(jié)點(diǎn)和用戶

〈角色繼承〉::=extends〈角色名〉{〈角色名〉}

〈角色特性〉::=〈節(jié)點(diǎn)特性〉//角色性質(zhì)限于節(jié)點(diǎn)，用戶只能靠列舉完成分配

〈節(jié)點(diǎn)特性〉::=〈子網(wǎng)〉{〈子網(wǎng)〉}

〈子網(wǎng)〉::=ip 〈ip_constant〉 [mask〈掩碼〉]

〈掩碼〉::=[1-9]| [1-2][0-9]|3[0-2]

〈角色層次〉 ::= role 〈角色名〉 〈角色繼承〉

〈角色定義〉::= role 〈角色名〉〈角色特性〉

〈角色分配〉::= role 〈角色名〉 assign_to〈主體列表〉

〈主體列表〉::=〈用戶列表〉|〈節(jié)點(diǎn)列表〉

〈用戶列表〉::=〈用戶名〉{〈用戶名〉}

〈節(jié)點(diǎn)列表〉::=〈節(jié)點(diǎn)名〉{〈節(jié)點(diǎn)名〉}

4）視圖

〈視圖語句〉::=〈視圖聲明〉|〈視圖層次〉|〈視圖定義〉|〈視圖分配〉

〈視圖聲明〉::=view 〈視圖名〉〈視圖類型〉 [〈視圖繼承〉] [〈視圖特性〉] [assign_to 〈客體列表〉]

〈視圖類型〉::= os|file|exnode|innode| service|application//分為操作系統(tǒng)、文件、節(jié)點(diǎn)、服務(wù)和應(yīng)用程序

〈視圖特性〉::=〈節(jié)點(diǎn)特性〉|〈os定義〉|〈服務(wù)定義〉| 〈文件定義〉//其中應(yīng)用程序只能列舉完成分配

〈視圖繼承〉::=extends〈視圖名〉{〈視圖名〉}

〈視圖層次〉::= view 〈視圖名〉〈視圖繼承〉

〈視圖定義〉::= view 〈視圖名〉〈視圖特性〉

〈os定義〉::=[〈子網(wǎng)〉] 〈os特征〉{〈os特征〉}

〈os特征〉::=〈os類型〉|〈os版本〉

〈os類型〉::=Windows|Unix|Linux|Solaris

〈os版本〉::=WinXP|〈os類型〉〈版本名〉

〈服務(wù)定義〉::=[〈子網(wǎng)〉]〈服務(wù)類型〉{〈服務(wù)類型〉}

〈服務(wù)類型〉::=web|telnet|rlogin|ftp| smtp|pop3|dns

〈文件定義〉::= [〈子網(wǎng)〉 ]〈文件特性〉

〈文件特性〉::= owner 〈owner_name〉 [ sensitivity 〈敏感級〉]| sensitivity 〈敏感級〉

〈敏感級〉::=TS|S|C|RS|U//（top secret絕密|secret機(jī)密|confidentia保密|restricted受限| unclassified未劃分等級的）

〈視圖分配〉::= view 〈視圖名〉 assign_to 〈客體列表〉

〈客體列表〉::=〈節(jié)點(diǎn)列表〉|〈os列表〉|〈應(yīng)用程序列表〉|〈服務(wù)列表〉|〈文件列表〉

〈節(jié)點(diǎn)列表〉::=〈節(jié)點(diǎn)名〉 {〈節(jié)點(diǎn)名〉}

〈os列表。::=〈os特征〉{〈os特征〉}

〈應(yīng)用程序列表〉::=〈應(yīng)用程序名〉{〈應(yīng)用程序名〉}

〈服務(wù)列表〉::=〈服務(wù)類型〉{〈服務(wù)類型〉}

〈文件列表〉::=〈文件名〉{〈文件名〉}

5）活動(dòng)

〈活動(dòng)語句〉::=〈活動(dòng)聲明〉|〈活動(dòng)層次〉|〈活動(dòng)定義〉|〈活動(dòng)激活〉

〈活動(dòng)激活〉::=activity 〈服務(wù)列表〉 [extends 〈活動(dòng)名〉]//針對已知活動(dòng)

〈活動(dòng)聲明〉::=activity 〈活動(dòng)名〉 service_access [〈活動(dòng)繼承〉][〈服務(wù)訪問定義〉]| activity 〈活動(dòng)名〉 file_access[〈文件訪問定義〉]//活動(dòng)分為服務(wù)訪問和文件訪問

〈活動(dòng)繼承〉::=extends〈活動(dòng)名〉{〈活動(dòng)名〉}

〈活動(dòng)層次〉::=activity〈活動(dòng)名〉〈活動(dòng)繼承〉

〈活動(dòng)定義〉::=activity〈活動(dòng)名〉〈服務(wù)訪問定義〉

〈服務(wù)訪問定義〉::=ip|〈udp特性〉|〈tcp特性〉|〈icmp特性〉

〈udp特性〉::=udp [sport 〈端口列表〉][ dport 〈端口列表〉]

〈tcp特性〉::=tcp[sport 〈端口列表〉][ dport 〈端口列表〉]

[established]

〈端口列表〉::=〈端口短語〉{〈端口短語〉}

〈端口短語〉 ::= 〈port〉：〈port〉 |〈port〉|not 〈port〉

〈port〉::=[0-9][0-9][0-9][0-9]|[1-5][0-9][0-9][0-9]

[0-9]| 6[0-5][0-5][0-3][0-5]

〈icmp特性〉::= icmp [echo][echo-reply]

〈文件訪問定義〉::=R|W|X|RW|RX|WX|RWX //(讀、寫、執(zhí)行)

6） 上下文

〈上下文〉::=context 〈上下文名〉 〈上下文定義〉

〈上下文定義〉::=time 〈float_constant〉 |vulnerability 〈cve_id〉{〈cve_id〉}| incident 〈事件名〉{〈事件名〉}//上下文的特征包括時(shí)間，漏洞和入侵事件

7） 措施

〈措施〉::=〈保護(hù)措施〉|〈檢測措施〉|〈響應(yīng)措施〉

〈保護(hù)措施〉::=〈encrypt 〉|permit| deny

〈檢測措施〉::= detect_PasswordCracker| detect_ICMPFlood|detect_SYNFlood|detect_UDPFlood|detect_Slammer| detect_IPSpoof| | detect_Smurf|any

〈響應(yīng)措施〉::=prohibit_source |patch| reboot|disconnect|stop_service

以上防御策略描述語言基于CNDPM模型將計(jì)算機(jī)網(wǎng)絡(luò)防御策略進(jìn)行了描述，從語言中可以看出，CNDPSL反映了CNDPM的思想，目前描述了模型中各部分主要內(nèi)容。其中，在策略中所用的防御措施方面還有擴(kuò)展的空間，如保護(hù)可以增加對身份認(rèn)證等的描述，檢測可以增加對其他攻擊的檢測，而響應(yīng)可以添加攻擊源定位等的描述。

3 CNDPSL的實(shí)施機(jī)制

防御策略的上層為防御想定，想定意圖轉(zhuǎn)換得到的CNDPSL格式的策略文件或人機(jī)交互命令，經(jīng)過策略引擎與防御策略信息庫的交互處理，轉(zhuǎn)換為相應(yīng)的CNDDL防御命令，通過RTI傳輸?shù)紾TNetS仿真的聯(lián)邦成員上，由CNDDL解釋器將命令轉(zhuǎn)換為防御動(dòng)作，從而完成對防御策略的部署。防御策略執(zhí)行系統(tǒng)的總體設(shè)計(jì)如圖2所示，主要包含陰影部分所示的防御策略信息庫和策略引擎。

策略信息庫通過ldap存儲(chǔ)策略所需的實(shí)體信息及實(shí)體之間的關(guān)系；引擎的具體工作原理如下：首先解析模塊利用Lex與Yacc對CNDPSL進(jìn)行詞法、語法和語義分析，從網(wǎng)絡(luò)信息庫中讀出策略描述中所需要的主、客體和動(dòng)作，并存入防御策略信息庫中，之后轉(zhuǎn)換模塊按模型的推導(dǎo)規(guī)則將防御策略映射為相應(yīng)的規(guī)則，再由分發(fā)模塊查找防御策略信息庫將規(guī)則分發(fā)給防御節(jié)點(diǎn)，從而最終轉(zhuǎn)換為CNDDL防御命令。其中規(guī)則所部署的節(jié)點(diǎn)是本組織中的防御節(jié)點(diǎn)，如果本組織中沒有，則是符合就近原則的父組織中的防御節(jié)點(diǎn)上。特別地，訪問允許策略必須遞歸地在每一個(gè)父組織中防御節(jié)點(diǎn)中部署，這是因?yàn)閿?shù)據(jù)包必須通過所有的防火墻。策略的一致性問題則通過優(yōu)先級最高優(yōu)先法來解決。

策略實(shí)現(xiàn)中的語句、產(chǎn)生式及對應(yīng)的主要?jiǎng)幼魅绫?所示。表中列出了角色的相關(guān)語句、視圖和活動(dòng)的語句是類似的。

4 實(shí)驗(yàn)驗(yàn)證

本實(shí)驗(yàn)以訪問控制、檢測和響應(yīng)策略為例，驗(yàn)證CNDPSL的描述能力和實(shí)施機(jī)制。

4.1 實(shí)驗(yàn)環(huán)境

如圖3所示，左邊的虛線將整個(gè)網(wǎng)絡(luò)劃分為外網(wǎng)和右邊的內(nèi)網(wǎng)，它們通過防火墻FW2相連。防火墻有四個(gè)接口，每個(gè)接口各有輸入和輸出兩個(gè)方向，上方與IDS2相連。內(nèi)網(wǎng)包含兩個(gè)子網(wǎng)Domain_A和Domain_B。Domain_A包含四個(gè)節(jié)點(diǎn)。其中，服務(wù)器 S1提供HTTP服務(wù)；Domain_B也有自己的防火墻FW1，其中上方與IDS1相連；下方的DMZ區(qū)包含兩個(gè)外部可訪問的服務(wù)器。其中S2提供HTTP服務(wù)，S3提供數(shù)據(jù)訪問服務(wù)；右邊是三臺(tái)內(nèi)部主機(jī)。

表1 語句的產(chǎn)生式及主要?jiǎng)幼?/p>

語句產(chǎn)生式主要?jiǎng)幼鲃?dòng)作的說明1組織聲明org_statement

ORG STRINGInsertOrganization

(cur_org，NULL，orgdn，1)插入組織2角色聲明role_declaration:

ROLESTRING TYPEInsertPolicyElement

(orgdn，$2，ROLE，$3)

HierarchyInheritAmong

(orgdn，dn，ROLE)插入角色

繼承層次關(guān)系3角色定義role_definition:ROLE

STRING role_characterAddSubnet(newnode_

dn，temp，ROLE)添加角色成員4角色繼承role_hierarchy:

ROLESTRING EXTENDS name_listSearch(orgdn，*name_

iterator，temp，ROLE)

PolicyInheritWithin(orgdn，temp，newdn，ROLE)父角色是否定義

繼承父角色的策略5角色分配role_assignment:

ROLE STRING ASSIGN_TO name_listSearchEntityinSenario

(senariodn，temp)

AddElement(newnode_

dn，temp，ROLE)在想定庫中查找成員

添加角色成員6策略列表policy:POLICY

STRING STRING

STRING view

STRING PolicytoRule(orgdn，

$2，$3，$4，name，k

second)

插入策略并生成

規(guī)則7組織策略

塊statement_block:

org_statement policy_statement_blockPolicyInheritAmong

(defense_org_dn)

繼承父組織中的策略8策略刪除delete: POLICY

STRING STRING

STRING view

STRING DeletePolicy(orgdn，

$2，$3，$4，name，ksecond)

刪除策略及規(guī)則 9策略顯示showpolicy:SHOW

orgname POLICYShowPolicy(orgdn)

顯示組織中的

策略10角色顯示showrole:SHOW

orgname ROLEShow(orgdn，ROLE)

顯示組織中的

角色配置如下防御策略：

a）外網(wǎng)能訪問服務(wù)器中開放的服務(wù)；

b）外網(wǎng)還能訪問HTTPserver的無連接服務(wù)；

c ）內(nèi)網(wǎng)可以訪問外網(wǎng)；

d ）內(nèi)網(wǎng)必須檢測口令竊取攻擊， 同時(shí)Domain_B中還要檢測蠕蟲；

e）對一切攻擊，必須及時(shí)切斷攻擊源。

實(shí)驗(yàn)中假定主機(jī)H7企圖訪問Domain_B的H4節(jié)點(diǎn)，同時(shí)攻擊節(jié)點(diǎn)H8向S1和S3分別發(fā)送口令竊取和蠕蟲攻擊，F(xiàn)W1、IDS1、FW2、IDS2的ID號(hào)分別是12 、13、15 、16。

4.2 CNDPSL描述

將網(wǎng)絡(luò)看成一個(gè)組織blue，它包含Domain_A和Domain_B。根據(jù)上述的五條策略，在blue中需定義外網(wǎng)主機(jī)角色，以及Web訪問、IP訪問、UDP訪問和數(shù)據(jù)庫活動(dòng)。用CNDPSL描述如下：

org blue sub_orgDomain_ADomain_B //組織之間的關(guān)系

{

role public_hostexnode ip 10.2.0.0 mask 16

activity web

activity sqlaccess SERVICE_ACCESS udp dport 1434

activity all SERVICE_ACCESS ip

activity alludp SERVICE_ACCESS udp

policy permit public_host web httpserver default //策略1

policy permit public_host alludp httpserver default //策略2

policy permit homenet alltcp toview(public_host)default //策略3

policy detect_passwordcracker public_host alltcphomenet default

//策略4

context severity INCIDENT slammer passwordcracker //危險(xiǎn)情形

policy prohibit_source public_host alltcp homenetseverity //策略5

}

Blue是頂層組織，blue中的角色、視圖、活動(dòng)為其所有子組織共享。由于活動(dòng)獨(dú)立于具體作用對象，活動(dòng)可以遞歸向上按照就近原則采用最近的定義。Blue中的策略則可以作用于子組織，訪問控制策略描述中采用封閉政策，即不允許則拒絕。

由于blue中描述的是抽象策略，沒有給出策略中的角色或視圖的主體或客體，在子組織中Domain_A和Domain_B給出其定義或分配，Domain_B中還包括策略1和4的描述，如下所示：

blue.Domain_A

{role homenet innodeip 10.1.1.0 mask 24

toview(homenet)//內(nèi)網(wǎng)角色轉(zhuǎn)換為視圖

view httpserverinnodeassign_to S1 //分配給S1

}

blue.Domain_B

{

role homenet innodeip 10.1.2.0 mask 24

toview(homenet)//內(nèi)網(wǎng)角色轉(zhuǎn)換為視圖

view httpserver innode assign_to S2//分配給S2

view sqlserver innode assign_to S3 //分配給S3

policy permit public_host sqlaccess sqlserver default //策略1

policy detect_slammer public_host sqlaccess sqlserver

default//策略4

}

4.3 結(jié)果分析

以上CNDPSL描述的策略經(jīng)過引擎的處理后，Domain_A和Domain_B將繼承blue的五條策略，所有的策略及實(shí)體存儲(chǔ)到防御策略信息庫，具體的ldap目錄如圖4所示。策略引擎推導(dǎo)產(chǎn)生的規(guī)則如圖5所示，該圖還包括具體的仿真結(jié)果。

從圖5可以看出，防火墻FW1禁止了H7對節(jié)點(diǎn)H4的訪問，IDS則檢測出了攻擊節(jié)點(diǎn)H8的蠕蟲和口令竊取攻擊，并通知防火墻阻止節(jié)點(diǎn)H8。本實(shí)驗(yàn)表明CNDPSL描述的防御策略，能轉(zhuǎn)換成有效的防御規(guī)則，從而達(dá)到了計(jì)算機(jī)網(wǎng)絡(luò)防御中控制行為選擇的目的。

5 結(jié)束語

本文在計(jì)算機(jī)網(wǎng)絡(luò)攻防模擬演練中，研究并設(shè)計(jì)了CNDPSL，并由策略引擎進(jìn)行解釋、執(zhí)行，部署在平臺(tái)中。GTNetS平臺(tái)上的模擬演練實(shí)例表明了該語言的可行性和有效性。該語言具有以下特點(diǎn)：a）對保護(hù)、檢測和響應(yīng)策略進(jìn)行統(tǒng)一描述；b）語法結(jié)構(gòu)簡單，易于理解，可以在大規(guī)模網(wǎng)絡(luò)中指導(dǎo)防御過程； c）可擴(kuò)展性好，與具體執(zhí)行部件無關(guān)，可以方便地?cái)U(kuò)展更多的策略。

CNDPSL是一種防御策略領(lǐng)域的語言，可以在多種環(huán)境下對計(jì)算機(jī)網(wǎng)絡(luò)防御措施進(jìn)行選擇。目前選擇的對象限于平臺(tái)已部署的措施集，隨著新的防御措施的部署或出現(xiàn)，只需要在措施集中增加相應(yīng)的描述，便能被策略發(fā)現(xiàn)并選擇。今后將進(jìn)一步提供防御策略的圖形化界面，從而讓更多用戶在網(wǎng)絡(luò)攻防模擬演練中輕松地輸入防御策略。

參考文獻(xiàn)：

[1]李肖堅(jiān)．一種計(jì)算機(jī)網(wǎng)絡(luò)自組織的協(xié)同對抗模型[J]. 計(jì)算機(jī)研究與發(fā)展， 2005，42: 618-628.

[2]SLOMAN M S.Policy driven management for distributed systems[J]. Journal of Network and SystemsManagement， 1994，2(4):333-360.

[3]STERN D F. On the buzzword security policy[C]//Proc of IEEE Symposium on Security and Privacy. Oakland:[s.n.]，1991：219-230.

[4]BRESLAU L，ESTRIN D，F(xiàn)ALL K，et al. Advances in network simulation[J]. IEEE Computer， 2000， 33(5): 59-67.

[5]BILL B， ADREW C， DENNIS M， et al. Simulation of cyber attacks with applications in homeland defense training[C]//Proc of SPIE. 2003:63-71.

[6]DeLOOZE L L，McKEAN P，GRAIG J.Incorporating simulation into the computer[EB/OL].(2001).http://www.fie.engrng.pitt.edu/fie2004/papers/1575.pdf.

[7]LILJENSTAM M， LIU J， NICOL D，et al. RINSE：the real-time immersive network simulation environment for network security exercises[C]//Proc of Workshop on Principles of Advanced and Distributed Simulation.2005:119-128.

[8]DAMIANOU N， DULAY N， LUPU E，et al. The ponder policy specification language[C]//Proc ofWorkshop on Policies for Distributed Systems and Networks Policy，Lecture Notes in Computer Science. New York:Springer-Verlag，2001:18-39.

[9]楊海松. 基于策略管理的分布式、動(dòng)態(tài)網(wǎng)絡(luò)安全模型[D].合肥:中國科學(xué)技術(shù)大學(xué)，2003.

[10]YLITALO K. Policy core information model[EB/OL].(2000).http://www.cs.helsinki.fi/u/kraatika/Courses/QoS00a/ylitalo.pdf.

[11]CONDELL M，LYNN C，ZHAO J，et al. Security policy specification language[R]. IETF Internet-draft，2000.

[12]CALDEIRA F. MONTEIRO E. Policy-based networking: applications to firewall management [EB/OL].(2004).http://www.eden.dei.uc.pt/-edmundo/Revistas/RV6%202003% 20 Annals Telecomm%20 Caldeira.pdf.

[13]KIM S Y， KIM M E， KIM K，et al. Information model for policy-based network security management[C]//Proe of International Conference on Information Networking， Wired Communications and Management. NewYork: Springer-Verlag， 2002:662-672.

[14]SOH S G，KIM J， NA J C. Design of network security policy information model for policy-based network management[C]//Proc of the 7th International Conference on Advanced Communication Technology. 2005:701-705.

[15]SLOMAN M，LUPU E. Security and management policy specification [J]. IEEE Networks， 2002，16(2):10-19.

[16]KIM J， SONG B， LEE K，et al. Design a high-level language for large network security management[C]//Proc of OTM 2004 Workshops on the move to Meaningful Internet Systems.New York:Sprin-ger-Verlag， 2004:7-8.

[17]KIM J， LEE K， KIM S，et al. A high level policy description language for the network ACL[C]//Proc of Parallel and Distributed Computing， Applications and Technologies.New York:Springer-Verlag， 2004: 748-751.

[18]BARTAL Y， MAYER A J， NISSIM K ， et al. Firmato: a novel firewall management toolkit[C]//Proc of the 20th IEEE Symposium on Security and Privacy.Oakland:[s.n]，1999.

[19]BARTAL Y， MAYER A J， NISSIM K，et al. Firmato: a novel firewall management toolkit [J]. ACM Trans on Computer Systems， 2004，22(4):381-420.

[20]TANG Cheng-hua， YAO Shu-ping， CUI Zhong-jie， et al. A network security policy model and its realization mechanism [C]//Proc of Information Security and Cryptology.New York:Springer-Verlag， 2006:168-181.

[21]HOAGLAND J A.Specifying and implementing security policies using LaSCO， the language for security constraints on objects[D].[S.l.]:Department of Computer Science，University of California，2000.

[22]LUCK I， SCHAFER C，KRUMM H. Model-based tool assistance for packet-filter design [C]//Proc of International Workshop on Policies for Distributed Systems and Networks.Berlin:Springer-Verlag，2001:120-136.

[23]DeALBUQUERQUEP， KRUMM J， DeGEUS H P L.Policy modeling and refinement for network security systems[C]//Proc of the 6th IEEE International Workshop on Policies for Distributed Systems and Networks .Stockholm:[s.n.]，2005:24-33.

[24]ElKALAM A A，El BAIDA R， BAIBIANI P， et al. Organization based access control[C]//Procof the 4th International Workshop on Policies for Distributed Systems and Networks (POLICY’03).2003:120-131.

[25]CUPPENSF， CUPPENS-BOULAHIAN， MIE GEA. Inheritance hierarchies in the Or-BAC Model and application in a network environment[C]//Proc of the 2nd Foundations of Computer Security Workshop.Turku:[s.n]，2004.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文