基于攻防演练计算机网络防御描述语言分析.docVIP

基于攻防演练计算机网络防御描述语言分析 　　摘要：随着世界经济的迅速发展以及科学技术水平的不断提高，计算机技术取得了很大程度上的进步，为世界经济的发展以及人们的生产、生活做出重要贡献。而在计算机技术飞速发展的背景之下，各种计算机语言应运而生，与计算机技术相互融合，取得了良好的效果。本文就针对其中的基于攻防演练的计算机网络防御描述语言进行研究与分析。 　　关键词：计算机网络防御；攻防演练；语言描述 　　中图分类号：G250.72 　　1.计算机网络防御描述语言概述 　　目前状况下，在所有的网络安全模拟仿真之中，主要存在着两种最具有代表性的模型，分别是PPDR模型与PDRR模型。随着科学技术的不断发展与研究的日益深入，安全概念已经不仅仅局限于传统概念，即对信息安全进行一定程度的保密，而是发展成为信息保障的层面，信息保障有机的结合了信息的保护、信息的检测信息的反应以及信息的恢复，并将之融为一个整体，这种统一信息保障模型被称作为PDRR模型。然而，当前状况下国际上对于PPDR模型与PDRR模型的研究还不够深入，仅仅只能提供相应的概念与框架，还不能给出具体的实现机制以及实现技术。我们对原先的PDRR环形结构进行了有效的研究，并基于此对其进行了一定程度的扩展。这样一来，原先的简单PDRR循环就转变成了可以实现动态防御的复杂有限状态机，具体情况见图1： 　　计算机网络防御描述语言具有一定的优越性。首先，它能够对SPSL形式的过滤规则进行有效的支持；其次，计算机网络防御描述语言能够有效的表示出PDRR模型中所涉及到的防御措施，并对防火墙过滤规则以及IDS的检测命令进行有效的支持；最后，在扩展性方面，计算机网络防御描述语言能够发挥出良好的效果，通过这一语言进行一定程度的扩展，可以对更多的防御措施进行有效的支持。 　　2.计算机网络防御系统的设计与应用 　　2.1 计算机网络防御系统的设计 　　在上文中所描述的PDRR防御模型基础之上，将防御描述语言分别对保护措 　　施、检测措施、反应措施和恢复措施进行描述。而在这四项措施之中，最为重要的是保护措施以及检测措施部分，这主要是由攻防演练中防御部分的重点是防火墙与IDS的实现所决定的。 　　在仿真平台之中，对防火墙节点进行有效的扩展，最终得到了保护措施部分，其BNF范式如下所示： 　　：：=Firewall||||||Exit 　　：：= 　　在本文的研究中，检测重点主要是部署在IDS的仿真节点之上，而响应主要是通过IDS对防火墙过滤规则的修改实现。检测措施与相应措施的BNF范式主要如下： 　　：：={命令语句} 　　：：=IDS|IPS 　　：：= 　　：：=|服务器|内 　　网地址|SHOWDETECTION 　　：：=ICMPFlood|SYNFlood|UDPFlood| 　　Slammer|IPSpoof|PasswordCracker|Smurf|any 　　：：=react|no-react 　　服务器：：= 　　：：=HttpServer|TelnetServer|SmtpServer| 　　SqlServer|DnsServer 　　：：=HomeNet/ 　　：：=[0-2][0-9]|3[0-2] 　　恢复措施的BNF范式主要如下： 　　：：=Recovery 　　：：=//仿真中的节点ID 　　：：=node-status|//节点状态或相应服务 　　：：=web|80|telnet|23|ftp|21|smth|25op3|110|rlogin|513 　　：：= 　　：：=recover|not-recover 　　2.2 计算机网络防御系统的实现 　　在CND耳朵上层之上，主要存在着两个部分，分别是防御想定以及人机交互命令，它们通过RTI进行一定程度的传输，并最终传输到联邦成员的防御命令解释器之上。而对于防御命令解释器来说，它是对计算机网络防御描述语言的具体实现。防御解释器通过对Lex与Yacc分别生成词法分析程序与语法分析程序进行一定程度的利用，并在此基础之上充分调用GTNetS平台中的具体函数，并最终对计算机网络防御描述语言进行有效的翻译，使其成为平台中的具体实现。整个CND系统的结构图如图2所示： 　　3.实例分析 　　我们将所设计的计算机网络防御系统设置在GTNetS仿真平台之上，并最终形成了如图3所示的拓扑结构，通过在平台上的应用对计算机网络防御系统进行一定程度的验证。 　　为了对防御描述语言实施前后的效果进行一定程度的对比分析，我们运用了两种类型的仿真：在用防御描述语言对其进行配置之前，通过主机C进行数据包的发送，将2000个数据包发送到WebServer之上，而在部署计算机网络防御措施之后，防火墙对着这2000个数据包进行了丢弃。也就是说，我们所配置的防