計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)的分析

劉大寶 張 毅 唐 勇

（沈陽理工大學(xué)，遼寧 沈陽 110168）

計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)的分析

劉大寶 張 毅 唐 勇

（沈陽理工大學(xué)，遼寧 沈陽 110168）

信息技術(shù)的快速發(fā)展為各行業(yè)領(lǐng)域注入新鮮的活力，但隨之而來的網(wǎng)絡(luò)攻擊等問題也日益嚴(yán)峻，如木馬、病毒等，都影響網(wǎng)絡(luò)的安全運(yùn)行，嚴(yán)重情況下將有大量重要信息被竊取、網(wǎng)絡(luò)運(yùn)行癱瘓等情況發(fā)生。通過實(shí)踐研究發(fā)現(xiàn)，引入相應(yīng)的防御策略求精關(guān)鍵技術(shù)，對網(wǎng)絡(luò)安全運(yùn)行可起到極大的作用。本文將對計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精現(xiàn)狀、計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)進(jìn)行探析，并提出強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精技術(shù)的相關(guān)建議。

計(jì)算機(jī)網(wǎng)絡(luò)防御；網(wǎng)絡(luò)安全管理；策略求精

1 前言

作為當(dāng)前計(jì)算機(jī)發(fā)展中面臨的難題，網(wǎng)絡(luò)攻擊是困擾大多計(jì)算機(jī)用戶的主要問題。盡管有較多策略求精技術(shù)引入其中，但由于將防御重點(diǎn)置于訪問控制方面，或集中VPN策略求精層面，這樣安全策略機(jī)制并未完全融合，難以全方位對計(jì)算機(jī)進(jìn)行保護(hù)。因此，本文對策略求精技術(shù)的相關(guān)研究，具有十分重要的意義。

2 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精現(xiàn)狀

策略求精是網(wǎng)絡(luò)安全管理實(shí)現(xiàn)的關(guān)鍵所在。近年來較多如VPN等防御策略逐漸引入到網(wǎng)絡(luò)安全管理中，一定程度上使計(jì)算機(jī)網(wǎng)絡(luò)防御得到強(qiáng)化，但由于未能將具體恢復(fù)、響應(yīng)、監(jiān)測與保護(hù)等方式融于一體，一旦有協(xié)同、復(fù)雜的網(wǎng)絡(luò)攻擊，便無法起到明顯的效果。對于這種網(wǎng)絡(luò)防御策略求精的應(yīng)用現(xiàn)狀看，主要表現(xiàn)在：第一，策略求精方法缺失。策略求精方法是網(wǎng)絡(luò)安全管理的重要基礎(chǔ)，現(xiàn)有的方法主要以VPN策略求精、訪問控制策略為主，無法與其他防御手段如漏洞檢測、IDS檢測等進(jìn)行配合，縱深防御效果難以保障。第二，語義建模方法缺失。策略求精能否發(fā)揮重要效果，很大程度取決語義一致性，而語義一致性分析又需做好語義建模工作?，F(xiàn)行策略求精方法應(yīng)用中，語義分析多通過手工實(shí)現(xiàn)，自動(dòng)化方法仍處于缺失狀態(tài)，更無從談及語義建模，影響計(jì)算機(jī)防御目標(biāo)的實(shí)現(xiàn)。第三，語義一致性分析方法缺失。對于策略求精，其實(shí)質(zhì)是推理過程，假若推理中缺少語義作為載體，便會(huì)產(chǎn)生求精中語義不一致問題，尤其當(dāng)前語義一致性分析中，并未真正從結(jié)構(gòu)、概念角度出發(fā)，難以達(dá)到語義一致性分析目標(biāo)。除此之外，現(xiàn)行策略求精方法應(yīng)用下，其有效性的驗(yàn)證也極為困難，導(dǎo)致策略求精技術(shù)應(yīng)用于計(jì)算機(jī)防御中難以發(fā)揮重要作用[1]。

3 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)分析

對于當(dāng)前策略求精方法的應(yīng)用現(xiàn)狀，實(shí)際解決中要求采取針對性的技術(shù)方式，如在策略求精方法缺失方面，可考慮進(jìn)行防御策略模型的構(gòu)建以及模型安全體系的構(gòu)建，并對語義建模、語義一致性分析方面存在的問題采取相應(yīng)的解決策略。具體有以下幾方面：

(1)防御策略模型構(gòu)建

策略求精關(guān)鍵技術(shù)的應(yīng)用，很大程度上取決于模型的構(gòu)建。本文研究主要采取三維模型構(gòu)建的方法，模型的支撐主要以網(wǎng)絡(luò)知識(shí)、方式技術(shù)、系統(tǒng)思想為主，尤其是方式技術(shù)、系統(tǒng)思想，在相互配合下可使整個(gè)系統(tǒng)工程安全得到保障，且輔以相應(yīng)的安全機(jī)制，其他如信息完整性、數(shù)據(jù)庫以及計(jì)算機(jī)設(shè)備等都可得到提升。策略求精技術(shù)的應(yīng)用，要求所有的網(wǎng)絡(luò)信息達(dá)到精益化發(fā)展要求，這就對高層防御策略提出更高的要求。如以服務(wù)資源要求為依據(jù)，使系統(tǒng)安全參數(shù)由節(jié)點(diǎn)端口處獲取，若參數(shù)出現(xiàn)變化，可直接進(jìn)行配置。需注意的是，參數(shù)配置中有較多接口或數(shù)據(jù)包信息，且涉及語法變換內(nèi)容，這些都應(yīng)作為模型構(gòu)建中需考慮的主要內(nèi)容[2]。

本文在研究中主要選取CNDPR模型進(jìn)行研究，其能夠具象化處理策略求精概念，在防御策略生成后，能夠直接用于各設(shè)備與節(jié)點(diǎn)中，以可執(zhí)行策略規(guī)則的形式存在。該模型

應(yīng)用下，主動(dòng)特征極為明顯，可能使系統(tǒng)狀態(tài)發(fā)生一定的改變。模型構(gòu)成主體在形式上可細(xì)化為節(jié)點(diǎn)、主體兩種，其中的節(jié)點(diǎn)一般需通過掩碼、IP與節(jié)點(diǎn)名稱，使口令、用戶名得以生成，在此基礎(chǔ)上使計(jì)算機(jī)信息流得以變更。而在主體形式上，通常以不同特征主體或相同特征主體構(gòu)成。以相同特征主體集為例，多表現(xiàn)出角色特征綜合體，而其中的角色權(quán)限存在較大的關(guān)聯(lián)。對于這種角色特征綜合體，可引入相關(guān)的表達(dá)式進(jìn)行描述，即：｛slOwn（s,ch）（Relate（ch,right），ch∈CHARSCTER，sSUBJECT，right∈Right｝[3]。

(2)模型安全體系構(gòu)建

為對網(wǎng)絡(luò)安全運(yùn)行情況進(jìn)行研究，也需考慮構(gòu)建模型安全體系。整個(gè)體系要求以計(jì)算機(jī)發(fā)展特征、網(wǎng)絡(luò)運(yùn)行情況作為依據(jù)，引入相關(guān)的技術(shù)措施，強(qiáng)化計(jì)算機(jī)安全效果。模型安全體系具體構(gòu)建中，應(yīng)以防御策略模型作為核心。假定從三維、立體等概念出發(fā)，模型在構(gòu)成上以x，y，z三個(gè)軸為主，其中z軸用于物理環(huán)境的描述，如計(jì)算機(jī)信息處理、信息網(wǎng)絡(luò)以及安全管理等，y軸涉及的主要以應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層以及物理層為主，x軸用于對系統(tǒng)安全特性的描述。在保證整個(gè)模型合理的情況下，安全防御效果也將達(dá)到最佳。實(shí)際進(jìn)行模型構(gòu)建中，應(yīng)充分考慮所有網(wǎng)絡(luò)安全問題以及是否與用戶應(yīng)用要求相吻合等[4]。

(3)語義建模與語義分析一致性問題的解決

從當(dāng)前策略求精技術(shù)應(yīng)用現(xiàn)狀看，除在基本的模型上存在問題外，語義建模、語義分析一致性問題也極為重要。對此，在解決中首先需從語義建模角度著手。以CNDPR語義模型為例，在語義建模中可應(yīng)用方式主要包改進(jìn)后的Nivre語義依存分析、以描述邏輯為基礎(chǔ)的語義模型以及SWRL推理規(guī)則。其中，語義依存分析主要對策略語句依存關(guān)系是否正確進(jìn)行判斷，且短時(shí)間內(nèi)便可完成分析過程，在此基礎(chǔ)上通過描述邏輯，完成CNDPR語義模型構(gòu)建過程，模型的內(nèi)容以語義關(guān)系推理為主。在隱含語義關(guān)系被推理的情況下，選用SWRL推理規(guī)則，對語義模型的有效性進(jìn)行驗(yàn)證。利用這種方式，便可使語義建模的目標(biāo)得以實(shí)現(xiàn)[5]。

另外，語義分析一致性問題也是影響語義建模關(guān)鍵，對整個(gè)策略求精技術(shù)的應(yīng)用效果都可能帶來明顯影響。對此，在語義一致性分析上，首先可考慮以結(jié)構(gòu)、概念角度出發(fā)，對策略語句進(jìn)行分析，如在概念方面，很可能有概念冗余、概念缺失以及概念實(shí)例不一致等情況，而在結(jié)構(gòu)方面，有語義關(guān)系融入、語義關(guān)系缺失、語義關(guān)系實(shí)例不一致等情況存在。此時(shí)，可考慮引入以描述邏輯為基礎(chǔ)的分析方法，即Racer語義分析算法，其能夠?qū)⑺薪Y(jié)構(gòu)、概念等語義一致性內(nèi)容融入其中，并在此基礎(chǔ)上配合SWRL的求精規(guī)則，可達(dá)到語義一致性分析的目標(biāo)[6]。

4 強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精技術(shù)的相關(guān)建議

策略求精技術(shù)的應(yīng)用能夠?qū)⒕W(wǎng)絡(luò)攻擊與病毒、木馬帶來的影響控制到最低，但其也需有其他相關(guān)的技術(shù)作為輔助，如防火墻、防病毒技術(shù)以及掃描技術(shù)等，在多種技術(shù)相互配合下，有利于防御效果的強(qiáng)化，確保用戶在應(yīng)用計(jì)算機(jī)中有安全保障。具體如下幾方面：

(1)防火墻設(shè)置

防火墻作為計(jì)算機(jī)防御目標(biāo)實(shí)現(xiàn)的重要軟件之一，其能夠有效連接網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)，使?jié)撛谛缘耐{得到有效控制。實(shí)際引入防護(hù)墻后，系統(tǒng)端口可有效避免外界的干擾，且用戶在訪問相關(guān)的網(wǎng)頁或下載具體軟件中，若站點(diǎn)來源不明，防火墻將發(fā)出禁止命令，拒絕用戶的訪問請求，對系統(tǒng)的安全可靠運(yùn)行可起到明顯作用。需注意的是，單純依托于防火墻，并不能完全使計(jì)算機(jī)防御得到強(qiáng)化，用戶的安全意識(shí)也極為重要，所以在計(jì)算機(jī)應(yīng)用中，應(yīng)做好對管理人員與用戶的培訓(xùn)宣傳工作，按照相關(guān)的規(guī)定進(jìn)行管理與宣傳，在此基礎(chǔ)上配合策略求精技術(shù)，更能削弱網(wǎng)絡(luò)攻擊或病毒、木馬入侵所帶來的影響[7]。

(2)反病毒技術(shù)

網(wǎng)絡(luò)系統(tǒng)的安全可靠運(yùn)行，本身強(qiáng)調(diào)需有具體的技術(shù)作為支撐，在考慮設(shè)置防火墻等安全服務(wù)器的基礎(chǔ)上，應(yīng)將反病毒技術(shù)引入其中，其可有效配合防火墻的應(yīng)用。對于反病毒技術(shù)，其涉及的類型極多，如虛擬機(jī)技術(shù)、沙盤仿真、主動(dòng)防御、NTFS流殺毒技術(shù)以及相關(guān)的防御軟件等。這些技術(shù)應(yīng)用下都有其自身的特色，實(shí)際選用中，可根據(jù)計(jì)算機(jī)運(yùn)行實(shí)際情況確定，為防御目標(biāo)的實(shí)現(xiàn)提供保障。另外，安全管理中，可考慮進(jìn)行相關(guān)管理規(guī)則的制定，防止有盜版軟件安裝在系統(tǒng)中，尤其較多未通過安全檢測的軟件，危險(xiǎn)性都較高。同時(shí)，對于計(jì)算機(jī)中的重要文件，需采取相應(yīng)的備份保護(hù)措施，或進(jìn)行訪問權(quán)限的設(shè)置，以此使非法入侵事件的發(fā)生得到有效控制。

(3)掃描技術(shù)

網(wǎng)絡(luò)系統(tǒng)安全管理中，掃描技術(shù)的應(yīng)用可發(fā)揮及其重要的作用，如系統(tǒng)中的潛在威脅可在掃描技術(shù)應(yīng)用下被快速發(fā)現(xiàn)。以現(xiàn)代較多殺毒軟件為例，都將掃描技術(shù)融入其中，協(xié)助網(wǎng)絡(luò)系統(tǒng)安全管理。具體應(yīng)用中，可考慮將其與反病毒技術(shù)、防火墻等共同配合，這樣能夠最大程度地提升系統(tǒng)安全性。需注意的是，現(xiàn)代計(jì)算機(jī)就技術(shù)快速發(fā)展背景下，網(wǎng)絡(luò)攻擊手段也極為復(fù)雜，所以掃描技術(shù)應(yīng)用下需做到不斷創(chuàng)新，盡可能與網(wǎng)絡(luò)系統(tǒng)發(fā)展保持同步，以此使系統(tǒng)更為安全可靠地運(yùn)行[8]。

5 結(jié)論

策略求精技術(shù)的應(yīng)用是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保障。實(shí)際引入策略求精技術(shù)中，應(yīng)正確認(rèn)識(shí)以往防御策略應(yīng)用下存在的弊病，在此基礎(chǔ)上構(gòu)建相應(yīng)的防御策略模型，同時(shí)注意解決語義建模、語義分析一致性的問題。另外，為強(qiáng)化策略求精技術(shù)的應(yīng)用效果，要求將掃描技術(shù)、反病毒技術(shù)以及防火墻等引入其中，以此使策略求精技術(shù)的應(yīng)用效果得到強(qiáng)化，提升計(jì)算機(jī)系統(tǒng)安全水平。

[1]魏昭．計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究[D]．北京航空航天大學(xué)，2014．

[2]吳月紅．計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)[J]．信息與電腦(理論版)，2015(08)：77-78．

[3]李步宵．計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究[J]．電子技術(shù)與軟件工程，2015(12)：226．

[4]余汾芬．計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究[J]．山東工業(yè)技術(shù)，2015(20)：102．

[5]卡里木江·阿克巴爾，萬豐瑜，孫佳洲．探討計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精關(guān)鍵技術(shù)研究[J]．探索科學(xué)，2016(02)：59-60．

[6]鄧家藝．基于計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精模型的防入侵技術(shù)[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016(05)：41+43．

[7]何?。疁\析計(jì)算機(jī)網(wǎng)絡(luò)防御策略及求精關(guān)鍵技術(shù)[J]．無線互聯(lián)科技，2015(23)：77-79．

[8]顧慶傳，申云成．提高計(jì)算機(jī)網(wǎng)絡(luò)可靠性的方法分析[J]．電腦與電信，2016(3)：59-60．

Research on the Key Technologies of Computer Network Defense Policy Refinement

Liu Dabao Zhang YiTang Yong
(Shenyang University of Technology,Shenyang 110168,Liaoning)

The rapid development of information technology has injected fresh vitality for the industry field.But the following cyber attacks have become more and more severe,such as Trojans,viruses,etc.,which influences the safe operation of network.In severe cases,there will have a large number of important information being stolen or network paralysis.Through the research and practice,it is found that the introduction of corresponding key technologies of defense policy refinement has a great effect on the safe operation of network.This paper studies on the status and the key technologies of computer network defense policy refinement, and proposes relevant recommendations about strengthening technologies for computer network defense policy refinement.

computer network defense;network security management;policy refinement

TP393.08

A

1008-6609(2016)07-0071-03

劉大寶，男，山東蓬萊人，本科，研究方向：計(jì)算機(jī)應(yīng)用。