艦載環(huán)境網(wǎng)絡(luò)行為規(guī)則庫(kù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

馬永龍

（武漢藏龍北路1號(hào)武漢430205）

艦載環(huán)境網(wǎng)絡(luò)行為規(guī)則庫(kù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

馬永龍

（武漢藏龍北路1號(hào)武漢430205）

隨著信息化的高度發(fā)展，海軍艦艇的信息化程度也越來(lái)越高。但是如何實(shí)現(xiàn)艦載信息化環(huán)境下的用戶行為管理的問(wèn)題還一直沒(méi)有解決，這也給艦載網(wǎng)絡(luò)環(huán)境埋下了安全隱患。論文設(shè)計(jì)了一種行為規(guī)則庫(kù)，能夠根據(jù)特定的規(guī)則實(shí)現(xiàn)網(wǎng)絡(luò)用戶行為的管理。首先從規(guī)則庫(kù)的部署、架構(gòu)等方面進(jìn)行了設(shè)計(jì)，并在此基礎(chǔ)上進(jìn)行了實(shí)現(xiàn)和驗(yàn)證。結(jié)果表明論文所設(shè)計(jì)的規(guī)則庫(kù)具有高度的靈活性和易用性，有利于艦載環(huán)境下網(wǎng)絡(luò)行為的安全管理。

行為規(guī)則；網(wǎng)絡(luò)安全；用戶行為

Class NumberTP309

1 引言

海軍由近海走向遠(yuǎn)海，發(fā)展航母，開(kāi)拓遠(yuǎn)海、駛向“深藍(lán)”，是建設(shè)與我國(guó)國(guó)力匹配軍隊(duì)建設(shè)的必然要求。習(xí)近平主席強(qiáng)調(diào)：“要強(qiáng)化信息主導(dǎo)、體系支撐、精兵作戰(zhàn)、聯(lián)合制勝的觀念，發(fā)展具有我軍特色的作戰(zhàn)理論和作戰(zhàn)思想。”遠(yuǎn)海作戰(zhàn)中，戰(zhàn)場(chǎng)覆蓋地域是一個(gè)包含陸地、太空、空中、水面、水下等的多維空間；是一個(gè)包含有線計(jì)算機(jī)網(wǎng)、無(wú)線戰(zhàn)場(chǎng)網(wǎng)絡(luò)的立體網(wǎng)絡(luò)空間，是聯(lián)合熱武器和網(wǎng)絡(luò)空間武器等協(xié)同作戰(zhàn)的一體化作戰(zhàn)空間。目前敵方網(wǎng)絡(luò)空間攻擊水平日益臻進(jìn)，已對(duì)我海軍艦載信息系統(tǒng)構(gòu)成了極大的安全威脅。

艦載信息系統(tǒng)所面臨的安全威脅具有多樣化的特點(diǎn)［1～4］。其中，網(wǎng)絡(luò)邊界是艦載信息系統(tǒng)的門(mén)戶，因此其網(wǎng)絡(luò)邊界安全防護(hù)也成為了艦載信息系統(tǒng)防御體系［5～8］的重中之重。艦載信息系統(tǒng)的網(wǎng)絡(luò)邊界安全防護(hù)需求一般包括：在無(wú)線網(wǎng)絡(luò)方面，艦艇通過(guò)短波、超短波、微波等無(wú)線通信手段，實(shí)現(xiàn)與岸、艦、飛機(jī)等其他信息平臺(tái)的互聯(lián)互通，由于無(wú)線信號(hào)的開(kāi)放性，使得敵方攻擊人員有可能采用無(wú)線滲透的方式，實(shí)現(xiàn)非法入侵；在有線網(wǎng)絡(luò)方面，為了解決不同業(yè)務(wù)系統(tǒng)信息的“競(jìng)爭(zhēng)”和“干擾”問(wèn)題，艦載信息系統(tǒng)一般都是按照不同的業(yè)務(wù)進(jìn)行分域管理，如指控系統(tǒng)域、傳感器域等等，不同的業(yè)務(wù)系統(tǒng)、以及同一個(gè)業(yè)務(wù)系統(tǒng)中不同的域在互聯(lián)互通過(guò)程中同樣可能存在越權(quán)訪問(wèn)、非法入侵等安全隱患，并且一個(gè)系統(tǒng)的風(fēng)險(xiǎn)可能擴(kuò)散到其他系統(tǒng)，造成更大的損失。

針對(duì)以上情況，在所有的網(wǎng)絡(luò)邊界，都需要考慮邊界防護(hù)。通過(guò)入侵檢測(cè)技術(shù)可為跨邊界訪問(wèn)提供安全保障，防止越權(quán)訪問(wèn)和網(wǎng)絡(luò)入侵，保障邊界訪問(wèn)安全，同時(shí)還可以限制系統(tǒng)風(fēng)險(xiǎn)在網(wǎng)內(nèi)的任意擴(kuò)散，從而有效控制安全事件和安全風(fēng)險(xiǎn)的傳播。入侵檢測(cè)的研究可以追溯到20世紀(jì)80年代。James Anderson首次在文獻(xiàn)［9］中引入了入侵檢測(cè)的概念，入侵檢測(cè)通過(guò)對(duì)運(yùn)行系統(tǒng)的狀態(tài)和活動(dòng)進(jìn)行檢測(cè)，分析非授權(quán)的訪問(wèn)和惡意行為，發(fā)現(xiàn)入侵行為，為入侵防范提供了有效的手段。根據(jù)入侵檢測(cè)的行為，可以將入侵檢測(cè)分為兩種，即異常檢測(cè)和濫用檢測(cè)［10～11］。異常檢測(cè)（Anomaly Detection）需要根據(jù)歷史信息建立一個(gè)系統(tǒng)訪問(wèn)的正常行為模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際行為進(jìn)行審計(jì)，以判斷用戶的行為是否對(duì)系統(tǒng)構(gòu)成威脅，如果訪問(wèn)者不符合這個(gè)模型的行為被認(rèn)為是入侵。典型的建立異常檢測(cè)模型的方法包括閾值分析法、統(tǒng)計(jì)分析法、神經(jīng)網(wǎng)絡(luò)等。濫用檢測(cè)（Misuse Detection）的思想最早是由Dorothy Denning提出，通過(guò)建立專家系統(tǒng)和既定規(guī)則，查找活動(dòng)中的已知攻擊。它根據(jù)已知的攻擊建立檢測(cè)模型，如果訪問(wèn)者符合這個(gè)模型的行為被認(rèn)為是入侵。典型的建立濫用檢測(cè)模型的方法包括專家系統(tǒng)，狀態(tài)轉(zhuǎn)移圖等。

入侵檢測(cè)模塊的引入可以有效地對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。但是傳統(tǒng)的入侵檢測(cè)系統(tǒng)中，普通的基于特征或基于異常的規(guī)則庫(kù)都有不足之處：由基于異常的規(guī)則庫(kù)作參照數(shù)據(jù)庫(kù)的入侵檢測(cè)由于只采用正常數(shù)據(jù)產(chǎn)生規(guī)則，數(shù)據(jù)處理量較大，誤報(bào)率較高；而由基于特征的規(guī)則庫(kù)作參照數(shù)據(jù)庫(kù)的入侵檢測(cè)由于只采用入侵?jǐn)?shù)據(jù)產(chǎn)生規(guī)則誤報(bào)率極小，卻由于對(duì)入侵變異和新攻擊入侵的準(zhǔn)備不足，漏報(bào)率增加，對(duì)系統(tǒng)造成嚴(yán)重威脅。

針對(duì)以上的問(wèn)題，本文通過(guò)對(duì)現(xiàn)有入侵檢測(cè)技術(shù)以及艦載信息系統(tǒng)具體安全防護(hù)需求的深入研究，提出了正常規(guī)則和異常規(guī)則并用的規(guī)則庫(kù)結(jié)構(gòu)，并采用分布式部署規(guī)則庫(kù)系統(tǒng)。本文設(shè)定了規(guī)則庫(kù)的規(guī)則信息格式，設(shè)置了信息化核心應(yīng)用規(guī)則字典，并詳細(xì)說(shuō)明了規(guī)則的工作原理及運(yùn)行過(guò)程。

2 行為規(guī)則庫(kù)的設(shè)計(jì)說(shuō)明

本部分著重?cái)⑹鲂袨橐?guī)則庫(kù)的功能設(shè)計(jì)，即從功能分類設(shè)計(jì)和總體結(jié)構(gòu)設(shè)計(jì)兩個(gè)角度來(lái)分析行為規(guī)則庫(kù)的功能。

2.1 艦載環(huán)境網(wǎng)絡(luò)行為規(guī)則數(shù)據(jù)庫(kù)的分類設(shè)計(jì)

2.1.1 用戶操作行為規(guī)則數(shù)據(jù)庫(kù)設(shè)計(jì)

根據(jù)前述分析，用戶的操作行為亦可以分為正常行為和異常行為，為了能夠嚴(yán)格地限制用戶的操作行為，確保網(wǎng)絡(luò)的安全性，針對(duì)網(wǎng)絡(luò)中不同角色的用戶需要設(shè)計(jì)不同的行為規(guī)則庫(kù)，確保其中用戶的操作行為的合法性，杜絕異常事件的發(fā)生。用戶可以按照以下幾種準(zhǔn)則進(jìn)行分類，隨后結(jié)合需求進(jìn)行行為規(guī)則庫(kù)的設(shè)計(jì)。首先，按照密級(jí)將工作人員分為不同的類型管理，不同類型的用戶具有不同的操作行為限制。再者，按照不同的角色實(shí)現(xiàn)用戶的分類，比如對(duì)潛臺(tái)位作戰(zhàn)人員、對(duì)空臺(tái)位作戰(zhàn)人員、對(duì)海臺(tái)位作戰(zhàn)人員等，不同類型的人員也應(yīng)具有不同的行為規(guī)則庫(kù)。最后，按照不同的任務(wù)安排，也需要對(duì)不同的工作人員進(jìn)行分類，保證承擔(dān)不同任務(wù)的人員的行為準(zhǔn)則可以實(shí)現(xiàn)他們之間信息交換的隔離。具體的操作行為規(guī)則分類設(shè)計(jì)如圖1所示，關(guān)于用戶操作行為規(guī)則主要利用用戶行為信息表USERINFO體現(xiàn)。

2.1.2 用戶操作路徑規(guī)則數(shù)據(jù)庫(kù)設(shè)計(jì)

操作路徑具體體現(xiàn)為為了完成一項(xiàng)具體的任務(wù)和功能所使用的步驟，不同的操作步驟體現(xiàn)為不同的操作路徑，例如打印的操作路徑即為如何在打印機(jī)的控制端啟動(dòng)打印機(jī)，隨后在打印機(jī)處進(jìn)行相關(guān)打印操作。按照不同的安全需求，對(duì)不同的操作路徑會(huì)有所限制，亦即只有滿足了操作路徑中的前驅(qū)和后繼的關(guān)系之后，才能一步步地順利完成某個(gè)操作。那么操作路徑規(guī)則數(shù)據(jù)庫(kù)應(yīng)該包含如圖所示的如下部分：

1）具體的任務(wù)的類型（Type），可以表現(xiàn)為操作任務(wù)的表格、單據(jù)、任務(wù)說(shuō)明、憑證、證書(shū)等的統(tǒng)稱，它作為業(yè)務(wù)數(shù)據(jù)的載體而存在，是業(yè)務(wù)數(shù)據(jù)的模式。

2）業(yè)務(wù)流程規(guī)則（Process）：描述某個(gè)具體的任務(wù)在其生命周期中經(jīng)歷各種業(yè)務(wù)操作的狀態(tài)變化過(guò)程，業(yè)務(wù)流程用一個(gè)有向圖來(lái)表示，其中節(jié)點(diǎn)表示（流程）狀態(tài)，有向弧表示狀態(tài)之間的轉(zhuǎn)換，是通過(guò)業(yè)務(wù)操作觸發(fā)的。每個(gè)業(yè)務(wù)流程都有唯一的開(kāi)始狀態(tài)（start），以及零至多個(gè)終止?fàn)顟B(tài)（final）在一個(gè)業(yè)務(wù)流程中，除了開(kāi)始狀態(tài)和終止?fàn)顟B(tài)，其它狀態(tài)都稱為內(nèi)部狀態(tài)。

3）約束關(guān)系（ConstraintFormulas）：任務(wù)在其生命期中從一個(gè)狀態(tài)轉(zhuǎn)換到另一個(gè)狀態(tài)的條件通常是復(fù)雜的，具體包括消息約束、規(guī)則約束和權(quán)限約束，其中消息約束用于描述本業(yè)務(wù)操作中需要接收（即等待）的那些消息；規(guī)則約束用于描述本業(yè)務(wù)操作被觸發(fā)前需要滿足的規(guī)則條件；權(quán)限約束則用于描述系統(tǒng)某角色執(zhí)行該業(yè)務(wù)操作時(shí)所需要滿足的權(quán)限。

4）業(yè)務(wù)操作（Operation）：具體描述了某個(gè)業(yè)務(wù)在一個(gè)生命周期中某個(gè)時(shí)段所處的狀態(tài)。

綜上可見(jiàn)，操作路徑的行為規(guī)則庫(kù)主要體現(xiàn)為約束關(guān)系，如圖2所示，亦即某個(gè)生命周期中每個(gè)操作前驅(qū)和后續(xù)的約束關(guān)系，這部分規(guī)則數(shù)據(jù)庫(kù)表象主要體現(xiàn)為RULES，在后續(xù)會(huì)給出詳細(xì)的設(shè)計(jì)。

2.1.3 信息交換規(guī)則數(shù)據(jù)庫(kù)設(shè)計(jì)

信息交換是操作行為和操作路徑的最終結(jié)合和表現(xiàn)形式，既是無(wú)論是某種業(yè)務(wù)生命周期中不同階段所產(chǎn)生的任何操作行為都可以用信息交換來(lái)描述。而信息交換擁有三個(gè)層面的含義：

1）信息交換的對(duì)象，亦即信息交換兩端的實(shí)體，表現(xiàn)為不同的用戶。

2）信息交換的途徑，亦即信息交換的載體，表現(xiàn)為主機(jī)層面和網(wǎng)絡(luò)層面。

3）信息交換的類型，亦即信息交換的實(shí)質(zhì)，在主機(jī)層可以表現(xiàn)為啟動(dòng)了某一進(jìn)程或者打開(kāi)了某一個(gè)文檔，在網(wǎng)絡(luò)層可以表現(xiàn)為向某個(gè)IP地址的主機(jī)發(fā)送了某種類型的數(shù)據(jù)包。鑒于信息交換是操作行為和操作路徑的最終體現(xiàn)，因此網(wǎng)絡(luò)行為規(guī)則數(shù)據(jù)庫(kù)的最終表現(xiàn)形式均可以采用信息交換行為規(guī)則數(shù)據(jù)庫(kù)的形式體現(xiàn)，通過(guò)制定不同的規(guī)則，實(shí)現(xiàn)操作行為和操作路徑的管理。因此這部分的表現(xiàn)除了牽涉到USERINFO數(shù)據(jù)庫(kù)表外，還會(huì)牽涉到HOSTINFO表項(xiàng)，主要描述主機(jī)層面的信息交換行為規(guī)則，以及TRAFFICINFO表項(xiàng)，主要描述網(wǎng)絡(luò)層面的信息交換行為規(guī)則，這兩個(gè)數(shù)據(jù)庫(kù)表項(xiàng)會(huì)在后續(xù)給出詳細(xì)的設(shè)計(jì)。

2.2 行為規(guī)則數(shù)據(jù)庫(kù)的功能設(shè)計(jì)

2.2.1 行為規(guī)則數(shù)據(jù)庫(kù)更新

用戶行為規(guī)則庫(kù)的更新包括兩個(gè)途徑，一個(gè)是規(guī)則庫(kù)手動(dòng)更新，另一個(gè)是規(guī)則庫(kù)自動(dòng)更新，下面分別敘述兩種途徑。

1）規(guī)則庫(kù)手動(dòng)更新

由授權(quán)管理員用戶可對(duì)規(guī)則庫(kù)進(jìn)行操作。主要包括：（1）規(guī)則查；（2）規(guī)則刪除；（3）規(guī)則修改；（4）規(guī)則增加。可以通過(guò)后文中提到的規(guī)則庫(kù)管理客戶端進(jìn)行規(guī)則庫(kù)的維護(hù)和更新，對(duì)規(guī)則庫(kù)中已有的規(guī)則也可以進(jìn)行查詢、刪除、修改。

2）規(guī)則庫(kù)自動(dòng)更新

可以在分布式的規(guī)則庫(kù)客戶端分發(fā)版本中與主規(guī)則庫(kù)建立連接，進(jìn)行規(guī)則庫(kù)的自動(dòng)更新，以確保規(guī)則的完備性和及時(shí)性。主要包括：（1）提示主規(guī)則庫(kù)的任何更新；（2）實(shí)時(shí)更新規(guī)則庫(kù)分發(fā)版本。

2.2.2 規(guī)則庫(kù)的部署邏輯設(shè)計(jì)

分布式規(guī)則庫(kù)具有物理分布性、邏輯整體性和探測(cè)點(diǎn)自治性等特點(diǎn)。部署分布式規(guī)則庫(kù)，在一方面實(shí)現(xiàn)了規(guī)則庫(kù)的多分發(fā)，便于就近選取規(guī)則進(jìn)行用戶行為分析，提高了網(wǎng)絡(luò)安全態(tài)勢(shì)檢測(cè)效率；另一方面，某一物理規(guī)則庫(kù)的被入侵和破壞不會(huì)導(dǎo)致整體規(guī)則庫(kù)的破壞，從而保證了數(shù)據(jù)的安全性，提高了規(guī)則庫(kù)抵御入侵攻擊的功能。分布式規(guī)則庫(kù)無(wú)需每個(gè)主機(jī)上都配備規(guī)則庫(kù)，只需合理物理分發(fā)規(guī)則庫(kù)的位置，達(dá)到部署分布式規(guī)則庫(kù)的目的即可。分布式部署規(guī)則庫(kù)服務(wù)器的邏輯示意圖如圖3所示。

如圖3所示，分布式部署規(guī)則庫(kù)系統(tǒng)的方法有一個(gè)主規(guī)則庫(kù)服務(wù)器A，部署在艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)的中心服務(wù)器上，分發(fā)規(guī)則庫(kù)服務(wù)器B1，B2，…，Bn任何一個(gè)與主規(guī)則庫(kù)服務(wù)器所要恢復(fù)的版本相同，也可以使主規(guī)則庫(kù)服務(wù)器連接分發(fā)規(guī)則庫(kù)服務(wù)器恢復(fù)到所需版本，分發(fā)規(guī)則庫(kù)可部署在防御系統(tǒng)的下屬域管理服務(wù)器上，并可有冗余規(guī)則庫(kù)備份在域管理熱備服務(wù)器上。分發(fā)規(guī)則庫(kù)服務(wù)器按需更新所要的規(guī)則，從而更好地服務(wù)于艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)。

2.3 行為規(guī)則庫(kù)的總體結(jié)構(gòu)設(shè)計(jì)

2.3.1 行為規(guī)則庫(kù)在完整系統(tǒng)中的位置

從圖4可以看到行為規(guī)則庫(kù)在艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)運(yùn)行邏輯體系中的總體位置，行為規(guī)則庫(kù)作為入侵檢測(cè)模塊中的重要一環(huán)將檢驗(yàn)數(shù)據(jù)采集的結(jié)果的合法性，并將結(jié)果判斷處理，如果檢測(cè)出為異常，將由響應(yīng)模塊處理，否則判斷為正常，將繼續(xù)進(jìn)行數(shù)據(jù)采集和處理下一條數(shù)據(jù)。

其中行為規(guī)則由兩部分組成，一部分是審計(jì)數(shù)據(jù)庫(kù)中的正常數(shù)據(jù)所得到的正常規(guī)則，一部分是由專家經(jīng)驗(yàn)和入侵歷史所形成的異常規(guī)則。正常行為規(guī)則是一段時(shí)間內(nèi)事件所表現(xiàn)的穩(wěn)定的行為模式，網(wǎng)絡(luò)中核心用戶基本行為模式是確定的不偏離的，而異常行為規(guī)則的加入反映了對(duì)過(guò)往入侵歷史的處理的記錄，有利于加快入侵檢測(cè)及響應(yīng)的速度。圖5反映了行為規(guī)則庫(kù)的組成體系。

因此，行為規(guī)則庫(kù)并非固定不變，規(guī)則庫(kù)將從不斷更新的數(shù)據(jù)庫(kù)中的正常數(shù)據(jù)中更新正常規(guī)則，還會(huì)從入侵檢測(cè)歷史及專家經(jīng)驗(yàn)積累中發(fā)現(xiàn)和更新異常規(guī)則，從而保證了規(guī)則庫(kù)能夠高效、全面地輔助入侵檢測(cè)系統(tǒng)的運(yùn)行。

2.3.2 行為規(guī)則庫(kù)數(shù)據(jù)字典設(shè)計(jì)

綜合前述，網(wǎng)絡(luò)行為規(guī)則數(shù)據(jù)庫(kù)主要需要涵蓋用戶行為規(guī)則數(shù)據(jù)庫(kù)-可以借用用戶身份信息庫(kù)USERINFO實(shí)現(xiàn)，操作行為規(guī)則數(shù)據(jù)庫(kù)-可以借用約束關(guān)系數(shù)據(jù)庫(kù)RULES實(shí)現(xiàn)，信息交換數(shù)據(jù)庫(kù)-可以借用層信息交換HOSTINFO和網(wǎng)絡(luò)層信息交換TARAFFICINFO實(shí)現(xiàn)。并且行為規(guī)則庫(kù)的存儲(chǔ)主體就是入侵檢測(cè)的規(guī)則，需要能夠應(yīng)用于異常行為的檢測(cè)。因此行為規(guī)則庫(kù)中規(guī)則表的結(jié)構(gòu)，直接會(huì)影響到對(duì)規(guī)則進(jìn)行存儲(chǔ)、操作的效率。此處對(duì)數(shù)據(jù)字典和各表進(jìn)行了詳細(xì)的設(shè)計(jì)。

表1 規(guī)則庫(kù)中相關(guān)表

表之間并非相互獨(dú)立，是有聯(lián)動(dòng)作用的。比如一條用戶信息首先要匹配用戶信息規(guī)則USERINFO，如果匹配成功，將會(huì)交由處理規(guī)則RULES進(jìn)行響應(yīng)處理。另外，具體規(guī)則將可由業(yè)務(wù)流程具體擴(kuò)充，從而更好服務(wù)于艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)。

受篇幅限制，這里只列出RULES表的詳細(xì)設(shè)計(jì)說(shuō)明。

RULES表：中文表名：處理規(guī)則；英文表名：RULES。如表2所示。

表2 RULES

說(shuō)明：本表存放具體的規(guī)則處理及動(dòng)作注釋。

RID：規(guī)則ID，每一條規(guī)則都有唯一的RID。

VER：通過(guò)VER，可以判斷相同RID規(guī)則的最新處理版本；

ACTION：響應(yīng)動(dòng)作，指明當(dāng)數(shù)據(jù)條匹配到該條具體規(guī)則時(shí)，引擎將進(jìn)行什么樣的操作，取值范圍包括：PASS，LOG，ALERT，F(xiàn)ORBID，LIMIT；

MARK：動(dòng)作注釋，為用戶使用提供幫助。

2.3.3 行為規(guī)則表規(guī)則信息示例

以一條規(guī)則為例，簡(jiǎn)要說(shuō)明核心用戶行為規(guī)則表的結(jié)構(gòu)：

［urid：1002；ver：1；name：null；uno：null；dept：對(duì)潛部；title：操作員；ip：null；mac：null；rid：3，4；mark：Someone whose dept is對(duì)潛部and title is操作員appeared！］

［］之間就是整條規(guī)則的內(nèi)容，規(guī)則是以“選項(xiàng)名：選項(xiàng)內(nèi)容”規(guī)則內(nèi)每一字段都會(huì)顯示出來(lái)，但并不代表所有選項(xiàng)都將在整條規(guī)則生效，對(duì)于未采用的選項(xiàng)字段，使用”null”表示通配符，即通配任何內(nèi)容，這樣既能保證所有同一種類型的規(guī)則都有同樣的選項(xiàng)長(zhǎng)度，也能順利解決所有可能出現(xiàn)的規(guī)則。選項(xiàng)之間可以被認(rèn)為組成了邏輯與（AND）語(yǔ)句。

對(duì)于任何一條規(guī)則，XRID和VER都是必須存在的，而且也唯一標(biāo)識(shí)了此規(guī)則。VER字段的存在是為了及時(shí)更新規(guī)則最新內(nèi)容及響應(yīng)信息，保證處理的正確性。而RID字段的存在是為了在RULES處理規(guī)則表中找到相應(yīng)的處理規(guī)則ACTION字段，以便及時(shí)做出響應(yīng)。所有的ACTION字段及其含義如下：ALERT-使用選擇的報(bào)警方法生成一個(gè)警報(bào)；LOG-記錄數(shù)據(jù)；PASS-合法數(shù)據(jù)；FORBID-禁止該數(shù)據(jù)用戶進(jìn)入；LIMIT-限制用戶進(jìn)入，記錄該數(shù)據(jù)的用戶信息。

整條規(guī)則內(nèi)容（即［］的所有內(nèi)容）會(huì)存入響應(yīng)分類信息規(guī)則表中的TEXT字段，該字段存放了完整的規(guī)則信息，可以備份生成規(guī)則文件，以備提取。

3 行為規(guī)則庫(kù)的原型開(kāi)發(fā)實(shí)現(xiàn)

根據(jù)上面所提到的開(kāi)發(fā)需求及設(shè)計(jì)思路本文設(shè)計(jì)了用戶行為規(guī)則庫(kù)的原型，原型開(kāi)發(fā)主要分為兩個(gè)部分，一部分是規(guī)則庫(kù)的后臺(tái)數(shù)據(jù)庫(kù)表的實(shí)現(xiàn)，另一部分是規(guī)則庫(kù)系統(tǒng)前段客戶端的功能，展示了客戶端的增刪改查功能，下面將分兩小節(jié)具體闡述用戶行為規(guī)則庫(kù)的原型開(kāi)發(fā)實(shí)現(xiàn)。

3.1 規(guī)則庫(kù)的后臺(tái)數(shù)據(jù)庫(kù)表的實(shí)現(xiàn)

行為規(guī)則數(shù)據(jù)庫(kù)的后臺(tái)數(shù)據(jù)庫(kù)表包括了處理規(guī)則和具體的分類業(yè)務(wù)規(guī)則。依據(jù)上一章所設(shè)計(jì)的數(shù)據(jù)庫(kù)的后臺(tái)規(guī)則表所實(shí)現(xiàn)的具體處理規(guī)則和具體分類業(yè)務(wù)規(guī)則，以下以處理規(guī)則RULES和其中一個(gè)業(yè)務(wù)規(guī)則USERINFO為例，分析規(guī)則內(nèi)的字

段間邏輯及規(guī)則間邏輯關(guān)系。

3.1.1 操作路徑行為規(guī)則庫(kù)中的具體業(yè)務(wù)規(guī)則與處理規(guī)則

如圖6，具體處理規(guī)則主要的示例展示，具體包括了RID，VER，ACTION及MARK四個(gè)字段及PASS，ALERT，LOG，F(xiàn)ORBID，LIMIT等處理類型，RID字段表示處理規(guī)則規(guī)則號(hào)，VER字段表示規(guī)則版本，每條規(guī)則只保留最新版本。ACTION字段是響應(yīng)類型，該字段在反應(yīng)同時(shí)會(huì)上交給上級(jí)流程進(jìn)行進(jìn)一步入侵檢測(cè)及處理。MARK字段顯示了該處理的注釋，PASS表示“通過(guò)”，一般無(wú)需注釋，表示該條數(shù)據(jù)為正常合法數(shù)據(jù)。

如圖7，以USERINFO為例，詳細(xì)分析具體分類業(yè)務(wù)規(guī)則及字段間邏輯關(guān)系。該表包括URID，VER，NAME，UNO，DEPT，TITLE，IP，MAC，RID，MARK，TEXT共11個(gè)字段。其中TEXT字段將保存完整規(guī)則內(nèi)容，可以導(dǎo)出為文本規(guī)則，便于備份及導(dǎo)入處理。而RID字段是VARCHAR類型，可含有多個(gè)規(guī)則，比如URID號(hào)為1002的規(guī)則，RID為3，4兩條，表示會(huì)觸發(fā)兩種處理規(guī)則，便于處理。

3.1.2 操作路徑和用戶規(guī)則表間的邏輯關(guān)系

以USERINFO表和RULES規(guī)則表為例，USERINFO中的RID為RULES中的RID號(hào)，從而兩個(gè)表是聯(lián)動(dòng)關(guān)系，即當(dāng)用戶信息類某條具體數(shù)據(jù)符合某條USERINFO規(guī)則時(shí)，該規(guī)則觸發(fā)RID號(hào)中的RULES具體處理規(guī)則，從而進(jìn)行處理，同時(shí)將該規(guī)則中的ACTION信息上交上一級(jí)模塊，進(jìn)行進(jìn)一步檢測(cè)及處理。以符合1002號(hào)規(guī)則的某條數(shù)據(jù)為例，該數(shù)據(jù)觸發(fā)1002號(hào)規(guī)則，該規(guī)則將觸發(fā)RID為3，4的RULES處理規(guī)則，而RULES表中RID為3的ACTION響應(yīng)為L(zhǎng)OG，表中RID為4的ACTION響應(yīng)為FORBID，從而將會(huì)觸發(fā)上級(jí)模塊禁止該用戶的訪問(wèn)同時(shí)將訪問(wèn)記錄登入日志處理。如圖8。

3.2 規(guī)則庫(kù)系統(tǒng)頁(yè)面的前端設(shè)計(jì)開(kāi)發(fā)

在需求分析及數(shù)據(jù)庫(kù)后臺(tái)表設(shè)計(jì)實(shí)現(xiàn)的基礎(chǔ)上，設(shè)計(jì)了核心用戶行為規(guī)則庫(kù)的前端，并開(kāi)發(fā)了原型，前端的主要功能如下：

1）連接規(guī)則庫(kù)。可以連接主規(guī)則庫(kù)或者分發(fā)規(guī)則庫(kù)，并進(jìn)行用戶登錄以驗(yàn)證。

2）規(guī)則表查看及操作。可以查看當(dāng)前規(guī)則庫(kù)系統(tǒng)下的所有規(guī)則庫(kù)，并進(jìn)行導(dǎo)入導(dǎo)出規(guī)則庫(kù)的設(shè)置和規(guī)則庫(kù)的刪除功能。

3）規(guī)則具體操作。主要包括規(guī)則的查詢、添加、更新以及刪除等主要功能。

4）規(guī)則庫(kù)的更新設(shè)置。這部分主要涉及規(guī)則庫(kù)間的通信。

規(guī)則庫(kù)管理客戶端的主要功能是對(duì)規(guī)則庫(kù)系統(tǒng)進(jìn)行管理。其主要功能包括選擇規(guī)則庫(kù)系統(tǒng)、用戶登錄、選擇規(guī)則表、對(duì)規(guī)則表和規(guī)則進(jìn)行處理和更新等。

4 結(jié)語(yǔ)

結(jié)合艦載環(huán)境下網(wǎng)絡(luò)安全管理的需要，本文從管理需求出發(fā)，給出了行為安全管理規(guī)則庫(kù)的設(shè)計(jì)思路，并在此基礎(chǔ)上實(shí)現(xiàn)了行為規(guī)則庫(kù)的原型，原型開(kāi)發(fā)主要分為兩個(gè)部分，一部分是規(guī)則庫(kù)的后臺(tái)數(shù)據(jù)庫(kù)表的實(shí)現(xiàn)，另一部分是規(guī)則庫(kù)系統(tǒng)前段客戶端的功能，展示了客戶端的增刪改查功能。分析結(jié)果表明，本文所設(shè)計(jì)的規(guī)則庫(kù)具有高度的靈活性和易用性，有利于艦載環(huán)境下網(wǎng)絡(luò)行為的安全管理。

與常用的行為規(guī)則庫(kù)系統(tǒng)相比，本文所采用規(guī)則庫(kù)的創(chuàng)新主要體現(xiàn)在以下方面：

1）將正常規(guī)則和異常規(guī)則相結(jié)合應(yīng)用于規(guī)則庫(kù)。正常規(guī)則是從正常合法數(shù)據(jù)中抽取出來(lái)的數(shù)據(jù)模式，而異常規(guī)則是從入侵攻擊歷史及專家經(jīng)驗(yàn)中得到的特征規(guī)則。異常規(guī)則便于及時(shí)發(fā)現(xiàn)已知異常，提高入侵檢測(cè)效率；而正常規(guī)則可以將未發(fā)現(xiàn)的未知異常或變異的入侵及時(shí)通知上一級(jí)模塊，更好維護(hù)網(wǎng)絡(luò)監(jiān)控系統(tǒng)。

2）分布式冗余部署規(guī)則庫(kù)系統(tǒng)。由于規(guī)則庫(kù)系統(tǒng)的重要作用，因此對(duì)行為規(guī)則庫(kù)系統(tǒng)的冗余備份變極其重要。而分布式子規(guī)則庫(kù)系統(tǒng)的引入有助于更好服務(wù)位于不同物理地點(diǎn)的數(shù)據(jù)采集代理。

3）分發(fā)規(guī)則庫(kù)系統(tǒng)的更新設(shè)置。本文采用了兩類途徑—即自動(dòng)更新和手動(dòng)更新—更新分發(fā)規(guī)則庫(kù)的規(guī)則表。與傳統(tǒng)規(guī)則更新的不同之處在于本文可以復(fù)選需要更新的規(guī)則表，定制按需更新。

［1］解紹梅，郝威.海上編隊(duì)信息系統(tǒng)安全防護(hù)需求分析［J］.艦船電子工程，2013，33（1）：20-22.

［2］王斌，林海濤.艦船通信系統(tǒng)安全保密需求分析［J］.信息安全與通信保密，2011（10）：79-81.

［3］鄭劍云，孫曉峰，朱義勝.艦艇通信系統(tǒng)網(wǎng)絡(luò)安全防護(hù)研究［J］.艦船電子工程，2011，31（4）：122-124，164.

［4］嚴(yán)新榮.艦船通信安全保密研究.2008，30（Supplement）：50-53.

［5］楊露菁，郝威，盧煒.海上編隊(duì)信息系統(tǒng)的分等級(jí)安全防護(hù)體系［J］.指揮控制與仿真，2013，35（2）：1-4，8.

［6］楊露菁，郝威，盧煒.海上編隊(duì)信息系統(tǒng)安全域防護(hù)策略［J］.指揮控制與仿真，2013，35（4）：36-40.

［7］石劍琛.艦船電子信息系統(tǒng)安全防護(hù)體系研究［J］.計(jì)算機(jī)與數(shù)字工程，2012，40（2）：68-71，82.

［8］裴曉黎.艦載信息基礎(chǔ)設(shè)施信息安全研究［J］.計(jì)算機(jī)與數(shù)字工程，2014，42（8）：1436-1439.

［9］Anderson JP.Computer security threat monitoring and surveillance［R］.Technical Report，79F296400，F(xiàn)ort Washington：James P.Anderson Company，1980.

［10］Valeur F，Vigna G，Kruegel C，et al.Comprehensive approach to intrusion detection alert correlation［J］.IEEE Transactions on dependable and secure computing，2004，1（3）：146-169.

［11］魏宇欣，武穆清.智能網(wǎng)格入侵檢測(cè)系統(tǒng)［J］.軟件學(xué)報(bào)，2006，17（11）：2384-2394.

Design and Implementation of Behavior Rule Base System for Shipborne Environment Network

MA Yonglong
（No.1 Canglong North Road，Wuhan430205）

With the rapid development of information technology，naval ships are becoming more and more information-based.However，how to implement the user behavior management in the ship based information environment has not been solved，which has also laid a hidden danger for the carrier network environment.In this paper，a behavior rule base is designed，which can manage user behavior according to specific rules.This paper starts with the design of architecture and deployment of the rule base，then does the implementation and verification on the basis of the design.The results show that the rule base designed in this paper is highly flexible and easy to use，and is conducive to the security management of network behavior.

behavior rule，network security，user behavior

TP309

10.3969/j.issn.1672-9730.2017.07.004

2017年1月3日，

2017年2月19日

馬永龍，男，碩士，高級(jí)工程師，研究方向：指揮控制、信息安全。