基于攻防演練的計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言分析
2012-12-31 00:00:00方森輝
課程教育研究·新教師教學(xué) 2012年11期
摘要:隨著世界經(jīng)濟(jì)的迅速發(fā)展以及科學(xué)技術(shù)水平的不斷提高,計(jì)算機(jī)技術(shù)取得了很大程度上的進(jìn)步,為世界經(jīng)濟(jì)的發(fā)展以及人們的生產(chǎn)、生活做出重要貢獻(xiàn)。而在計(jì)算機(jī)技術(shù)飛速發(fā)展的背景之下,各種計(jì)算機(jī)語(yǔ)言應(yīng)運(yùn)而生,與計(jì)算機(jī)技術(shù)相互融合,取得了良好的效果。本文就針對(duì)其中的基于攻防演練的計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言進(jìn)行研究與分析。
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)防御;攻防演練;語(yǔ)言描述
中圖分類號(hào):G250.72
1.計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言概述
目前狀況下,在所有的網(wǎng)絡(luò)安全模擬仿真之中,主要存在著兩種最具有代表性的模型,分別是PPDR模型與PDRR模型。隨著科學(xué)技術(shù)的不斷發(fā)展與研究的日益深入,安全概念已經(jīng)不僅僅局限于傳統(tǒng)概念,即對(duì)信息安全進(jìn)行一定程度的保密,而是發(fā)展成為信息保障的層面,信息保障有機(jī)的結(jié)合了信息的保護(hù)、信息的檢測(cè)信息的反應(yīng)以及信息的恢復(fù),并將之融為一個(gè)整體,這種統(tǒng)一信息保障模型被稱作為PDRR模型。然而,當(dāng)前狀況下國(guó)際上對(duì)于PPDR模型與PDRR模型的研究還不夠深入,僅僅只能提供相應(yīng)的概念與框架,還不能給出具體的實(shí)現(xiàn)機(jī)制以及實(shí)現(xiàn)技術(shù)。我們對(duì)原先的PDRR環(huán)形結(jié)構(gòu)進(jìn)行了有效的研究,并基于此對(duì)其進(jìn)行了一定程度的擴(kuò)展。這樣一來(lái),原先的簡(jiǎn)單PDRR循環(huán)就轉(zhuǎn)變成了可以實(shí)現(xiàn)動(dòng)態(tài)防御的復(fù)雜有限狀態(tài)機(jī),具體情況見(jiàn)圖1:
計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言具有一定的優(yōu)越性。首先,它能夠?qū)PSL形式的過(guò)濾規(guī)則進(jìn)行有效的支持;其次,計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言能夠有效的表示出PDRR模型中所涉及到的防御措施,并對(duì)防火墻過(guò)濾規(guī)則以及IDS的檢測(cè)命令進(jìn)行有效的支持;最后,在擴(kuò)展性方面,計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言能夠發(fā)揮出良好的效果,通過(guò)這一語(yǔ)言進(jìn)行一定程度的擴(kuò)展,可以對(duì)更多的防御措施進(jìn)行有效的支持。
2.計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)的設(shè)計(jì)與應(yīng)用
2.1 計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)的設(shè)計(jì)
在上文中所描述的PDRR防御模型基礎(chǔ)之上,將防御描述語(yǔ)言分別對(duì)保護(hù)措
施、檢測(cè)措施、反應(yīng)措施和恢復(fù)措施進(jìn)行描述。而在這四項(xiàng)措施之中,最為重要的是保護(hù)措施以及檢測(cè)措施部分,這主要是由攻防演練中防御部分的重點(diǎn)是防火墻與IDS的實(shí)現(xiàn)所決定的。
在仿真平臺(tái)之中,對(duì)防火墻節(jié)點(diǎn)進(jìn)行有效的擴(kuò)展,最終得到了保護(hù)措施部分,其BNF范式如下所示:
<保護(hù)措施>::=Firewall
在本文的研究中,檢測(cè)重點(diǎn)主要是部署在IDS的仿真節(jié)點(diǎn)之上,而響應(yīng)主要是通過(guò)IDS對(duì)防火墻過(guò)濾規(guī)則的修改實(shí)現(xiàn)。檢測(cè)措施與相應(yīng)措施的BNF范式主要如下:
<檢測(cè)響應(yīng)措施>::=
<命令語(yǔ)句>::=<檢測(cè)的攻擊類型><是否響應(yīng)>|服務(wù)器|內(nèi)
網(wǎng)地址|SHOWDETECTION
<檢測(cè)的攻擊類型>::=ICMPFlood|SYNFlood|UDPFlood|
Slammer|IPSpoof|PasswordCracker|Smurf|any
<是否響應(yīng)>::=react|no-react
服務(wù)器::=<服務(wù)器名稱>
<服務(wù)器名稱>::=HttpServer|TelnetServer|SmtpServer|
SqlServer|DnsServer
<內(nèi)網(wǎng)地址>::=HomeNet
恢復(fù)措施的BNF范式主要如下:
<恢復(fù)措施>::=Recovery<掃描對(duì)象><掃描目標(biāo)><掃描頻率><是否恢復(fù)>
<掃描對(duì)象>::=
<掃描對(duì)象>::=node-status|
<掃描頻率>::=
<是否恢復(fù)>::=recover|not-recover
2.2 計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)的實(shí)現(xiàn)
在CND耳朵上層之上,主要存在著兩個(gè)部分,分別是防御想定以及人機(jī)交互命令,它們通過(guò)RTI進(jìn)行一定程度的傳輸,并最終傳輸?shù)铰?lián)邦成員的防御命令解釋器之上。而對(duì)于防御命令解釋器來(lái)說(shuō),它是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言的具體實(shí)現(xiàn)。防御解釋器通過(guò)對(duì)Lex與Yacc分別生成詞法分析程序與語(yǔ)法分析程序進(jìn)行一定程度的利用,并在此基礎(chǔ)之上充分調(diào)用GTNetS平臺(tái)中的具體函數(shù),并最終對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言進(jìn)行有效的翻譯,使其成為平臺(tái)中的具體實(shí)現(xiàn)。整個(gè)CND系統(tǒng)的結(jié)構(gòu)圖如圖2所示:
3.實(shí)例分析
我們將所設(shè)計(jì)的計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)設(shè)置在GTNetS仿真平臺(tái)之上,并最終形成了如圖3所示的拓?fù)浣Y(jié)構(gòu),通過(guò)在平臺(tái)上的應(yīng)用對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)進(jìn)行一定程度的驗(yàn)證。
為了對(duì)防御描述語(yǔ)言實(shí)施前后的效果進(jìn)行一定程度的對(duì)比分析,我們運(yùn)用了兩種類型的仿真:在用防御描述語(yǔ)言對(duì)其進(jìn)行配置之前,通過(guò)主機(jī)C進(jìn)行數(shù)據(jù)包的發(fā)送,將2000個(gè)數(shù)據(jù)包發(fā)送到WebServer之上,而在部署計(jì)算機(jī)網(wǎng)絡(luò)防御措施之后,防火墻對(duì)著這2000個(gè)數(shù)據(jù)包進(jìn)行了丟棄。也就是說(shuō),我們所配置的防火墻過(guò)濾規(guī)則發(fā)揮了其應(yīng)有的作用,實(shí)現(xiàn)了計(jì)算機(jī)網(wǎng)絡(luò)的防御目的。
4.結(jié)束語(yǔ)
本文主要針對(duì)基于攻防演練的計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言進(jìn)行研究與分析。首先對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御描述語(yǔ)言的主要模型以及優(yōu)越性進(jìn)行了一定程度的描述;然后在此基礎(chǔ)之上重點(diǎn)分析了計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)的設(shè)計(jì)與應(yīng)用。最后,我們對(duì)其進(jìn)行了實(shí)例分析,用以對(duì)計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)進(jìn)行驗(yàn)證。希望我們的研究能夠?yàn)樽x者提供參考并帶來(lái)幫助。
參考文獻(xiàn)
[1]夏春和,李肖堅(jiān),趙沁平.基于入侵誘騙的網(wǎng)絡(luò)動(dòng)態(tài)防御研究[J].計(jì)算機(jī)學(xué)報(bào).2004(12)
[2]楊力.網(wǎng)絡(luò)攻防模擬平臺(tái)及防火墻的設(shè)計(jì)與實(shí)現(xiàn)研究[D].西安電子科技大學(xué)2005
