计算机网络防御策略关键技术研究.docVIP

计算机网络防御策略关键技术研究 　　摘要：现如今，计算机网络已经成为人们生活中必不可少的一部分，人们将很多资料及数据存储于网络，并利用网络对其进行传输，然而随着计算机技术的飞速发展，网络攻击手段也越来越多样化、复杂化，数据的安全性受到威胁，网络攻击事件屡见不鲜。因此，我们必须加强网络防御策略的研究，根据计算机网络安全特点，结合防御的保护、检测、响应、恢复四个方面，构建一套面向计算机网络防御的策略求精方法，提高网络的安全性，保证网络的稳定环境。 　　关键词：计算机网络 防御策略 策略求精方法 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2016）04-0000-00 　　1 计算机网络安全国内外相关研究现状 　　目前，基于策略的网络管理中的基础性研究课题则是计算机网络防御策略求精，其相关技术的研究现状主要是策略的描述方法、策略的分层方法、策略的求精方法及其策略的语义一致性四个方面。而现有的基于策略的网络安全管理中的策略求精并没有站在计算机网络防御的角度，联合各种防御技术手段，构造面向保护、检测、响应、恢复的防御策略求精方法，而是只支持访问控制策略，VPN策略，从而造成了防御技术层面的单一，使其不能联合各种防御技术手段来抵御复杂、协同的网络攻击，不能从全局角度实现网络防御的问题。 　　2 威胁计算机网络安全的问题 　　威胁计算机网络安全的问题主要有网络病毒、恶意攻击。管理因素三个方面。病毒通过伪装进入的程序或文件进入电脑，并以该电脑为主体，经过用户的邮箱和IP地址进行扩散，范围广、隐蔽性强、不易查杀，轻则使计算机系统无法正常进行，重则能使网络完全瘫痪，给用户带来极大的危害；恶意攻击是由人为引起的，它的危害远没有网络病毒广泛，但却更具有针对性，有的攻击目的在于盗取重要信息，破坏计算机系统，这种性质和结果已经构成了犯罪，是国家法律明令禁止的行为；在管理方面，我们或多或少也有疏漏，计算机不同于普通物品，即使废弃掉的设备，也存有大量的信息，要避免这些信息流入不法分子手中。为解决这些问题，我们需要加强病毒和系统漏洞上的防御，首先是强化防火墙等安全服务器的设置，禁止不明站点的访问；其次，要不断完善反病毒技术，设置访问权限，避免计算机网络系统运行过程中使用盗版软件，在一定程度上防止入侵事件的发生；第三，要部署好漏洞检测和补丁安装策略，及时修补系统漏洞，避免为网络攻击留下“入口”。 　　3 计算机网络防御策略求精方法 　　3.1 计算机网络防御策略求精模型 　　策略求精的形式化模型即为支持保护（访问控制、保密通信、用户身份验证、备份）、检测（入侵检测、漏洞扫描）、响应（重启、关机）和恢复（修建、打补丁）策略的求精，现有的策略求精方法大多集中在访问控制策略、网络管理策略方面，而CNDPR（Computer Network Defense Policy Refinement，计算机网络防御策略）的求精则是结合网络拓扑信息与求精规则，实现高层防御策略到操作层防御策略的转换过程，它将高层的抽象概念映射到低层的具体概念，是一个语义变换过程。经过这一转换过程后，将以具体的防御设备和节点信息将操作层防御策略参数化为设备上可执行的策略规则，以节点上的服务资源获取节点端口细化为进程，以具体的防御设备的类型参数化防御设备的配置参数，来得到配置层的主机、IP、数据包、接口、进程、端口等信息。 　　3.2 计算机网络防御策略求精算法 　　CNDRP包含高层策略解析和操作层策略生成两个模块，高层策略解析模块执行词法语法分析和高层策略语义识别，过程采用lex/yacc实现；操作层策略生成模块是基于CNDRP信息库中的网络拓扑信息和求精规则，将高层策略中的概念映射为操作层概念，组合这些概念输出操作层策略。CDNRP信息库主要包含两部分，分别是网络拓扑信息和策略求精规则。网络拓扑信息由域信息、节点信息、节点链接信息、角色信息、目标信息、防御实体信息、手段信息构成，是当前网络环境中所以实体的运行特征和运行状况；求精规则则是高层策略中的元素到操作层策略的映射。 　　CNDRP算法分别是策略求精的转换算法和防御实体实例选择算法。策略求精转换算法先扫描高层CND策略描述文本，匹配好之后，存入相应的内存数据结构中；再看高层策略中的每一个概念，如果是手段概念，则以手段、防御动作及防御实体求精规则，获得防御动作和防御实体，如果是源域或目标域概念，则根据域、节点求精规则得到源域或目标域中的节点集，如果为角色概念，则根据角色、用户求精规则得到角色的用户，同样地，目标概念、活动概念、事件类型、漏洞类型也可调用相应的策略求精规则；若求精得到的用户概念集不为空，则查找节点信息，得到NSD，通过运算得到源节点SNode；若求精得到的资