艦載環(huán)境網(wǎng)絡(luò)行為規(guī)則庫系統(tǒng)設(shè)計與實現(xiàn)

馬永龍

（武漢藏龍北路1號武漢430205）

艦載環(huán)境網(wǎng)絡(luò)行為規(guī)則庫系統(tǒng)設(shè)計與實現(xiàn)

馬永龍

（武漢藏龍北路1號武漢430205）

隨著信息化的高度發(fā)展，海軍艦艇的信息化程度也越來越高。但是如何實現(xiàn)艦載信息化環(huán)境下的用戶行為管理的問題還一直沒有解決，這也給艦載網(wǎng)絡(luò)環(huán)境埋下了安全隱患。論文設(shè)計了一種行為規(guī)則庫，能夠根據(jù)特定的規(guī)則實現(xiàn)網(wǎng)絡(luò)用戶行為的管理。首先從規(guī)則庫的部署、架構(gòu)等方面進行了設(shè)計，并在此基礎(chǔ)上進行了實現(xiàn)和驗證。結(jié)果表明論文所設(shè)計的規(guī)則庫具有高度的靈活性和易用性，有利于艦載環(huán)境下網(wǎng)絡(luò)行為的安全管理。

行為規(guī)則；網(wǎng)絡(luò)安全；用戶行為

Class NumberTP309

1 引言

海軍由近海走向遠(yuǎn)海，發(fā)展航母，開拓遠(yuǎn)海、駛向“深藍(lán)”，是建設(shè)與我國國力匹配軍隊建設(shè)的必然要求。習(xí)近平主席強調(diào)：“要強化信息主導(dǎo)、體系支撐、精兵作戰(zhàn)、聯(lián)合制勝的觀念，發(fā)展具有我軍特色的作戰(zhàn)理論和作戰(zhàn)思想?！边h(yuǎn)海作戰(zhàn)中，戰(zhàn)場覆蓋地域是一個包含陸地、太空、空中、水面、水下等的多維空間；是一個包含有線計算機網(wǎng)、無線戰(zhàn)場網(wǎng)絡(luò)的立體網(wǎng)絡(luò)空間，是聯(lián)合熱武器和網(wǎng)絡(luò)空間武器等協(xié)同作戰(zhàn)的一體化作戰(zhàn)空間。目前敵方網(wǎng)絡(luò)空間攻擊水平日益臻進，已對我海軍艦載信息系統(tǒng)構(gòu)成了極大的安全威脅。

艦載信息系統(tǒng)所面臨的安全威脅具有多樣化的特點［1～4］。其中，網(wǎng)絡(luò)邊界是艦載信息系統(tǒng)的門戶，因此其網(wǎng)絡(luò)邊界安全防護也成為了艦載信息系統(tǒng)防御體系［5～8］的重中之重。艦載信息系統(tǒng)的網(wǎng)絡(luò)邊界安全防護需求一般包括：在無線網(wǎng)絡(luò)方面，艦艇通過短波、超短波、微波等無線通信手段，實現(xiàn)與岸、艦、飛機等其他信息平臺的互聯(lián)互通，由于無線信號的開放性，使得敵方攻擊人員有可能采用無線滲透的方式，實現(xiàn)非法入侵；在有線網(wǎng)絡(luò)方面，為了解決不同業(yè)務(wù)系統(tǒng)信息的“競爭”和“干擾”問題，艦載信息系統(tǒng)一般都是按照不同的業(yè)務(wù)進行分域管理，如指控系統(tǒng)域、傳感器域等等，不同的業(yè)務(wù)系統(tǒng)、以及同一個業(yè)務(wù)系統(tǒng)中不同的域在互聯(lián)互通過程中同樣可能存在越權(quán)訪問、非法入侵等安全隱患，并且一個系統(tǒng)的風(fēng)險可能擴散到其他系統(tǒng)，造成更大的損失。

針對以上情況，在所有的網(wǎng)絡(luò)邊界，都需要考慮邊界防護。通過入侵檢測技術(shù)可為跨邊界訪問提供安全保障，防止越權(quán)訪問和網(wǎng)絡(luò)入侵，保障邊界訪問安全，同時還可以限制系統(tǒng)風(fēng)險在網(wǎng)內(nèi)的任意擴散，從而有效控制安全事件和安全風(fēng)險的傳播。入侵檢測的研究可以追溯到20世紀(jì)80年代。James Anderson首次在文獻［9］中引入了入侵檢測的概念，入侵檢測通過對運行系統(tǒng)的狀態(tài)和活動進行檢測，分析非授權(quán)的訪問和惡意行為，發(fā)現(xiàn)入侵行為，為入侵防范提供了有效的手段。根據(jù)入侵檢測的行為，可以將入侵檢測分為兩種，即異常檢測和濫用檢測［10～11］。異常檢測（Anomaly Detection）需要根據(jù)歷史信息建立一個系統(tǒng)訪問的正常行為模型，然后基于這個模型對系統(tǒng)和用戶的實際行為進行審計，以判斷用戶的行為是否對系統(tǒng)構(gòu)成威脅，如果訪問者不符合這個模型的行為被認(rèn)為是入侵。典型的建立異常檢測模型的方法包括閾值分析法、統(tǒng)計分析法、神經(jīng)網(wǎng)絡(luò)等。濫用檢測（Misuse Detection）的思想最早是由Dorothy Denning提出，通過建立專家系統(tǒng)和既定規(guī)則，查找活動中的已知攻擊。它根據(jù)已知的攻擊建立檢測模型，如果訪問者符合這個模型的行為被認(rèn)為是入侵。典型的建立濫用檢測模型的方法包括專家系統(tǒng)，狀態(tài)轉(zhuǎn)移圖等。

入侵檢測模塊的引入可以有效地對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。但是傳統(tǒng)的入侵檢測系統(tǒng)中，普通的基于特征或基于異常的規(guī)則庫都有不足之處：由基于異常的規(guī)則庫作參照數(shù)據(jù)庫的入侵檢測由于只采用正常數(shù)據(jù)產(chǎn)生規(guī)則，數(shù)據(jù)處理量較大，誤報率較高；而由基于特征的規(guī)則庫作參照數(shù)據(jù)庫的入侵檢測由于只采用入侵?jǐn)?shù)據(jù)產(chǎn)生規(guī)則誤報率極小，卻由于對入侵變異和新攻擊入侵的準(zhǔn)備不足，漏報率增加，對系統(tǒng)造成嚴(yán)重威脅。

針對以上的問題，本文通過對現(xiàn)有入侵檢測技術(shù)以及艦載信息系統(tǒng)具體安全防護需求的深入研究，提出了正常規(guī)則和異常規(guī)則并用的規(guī)則庫結(jié)構(gòu)，并采用分布式部署規(guī)則庫系統(tǒng)。本文設(shè)定了規(guī)則庫的規(guī)則信息格式，設(shè)置了信息化核心應(yīng)用規(guī)則字典，并詳細(xì)說明了規(guī)則的工作原理及運行過程。

2 行為規(guī)則庫的設(shè)計說明

本部分著重敘述行為規(guī)則庫的功能設(shè)計，即從功能分類設(shè)計和總體結(jié)構(gòu)設(shè)計兩個角度來分析行為規(guī)則庫的功能。

2.1 艦載環(huán)境網(wǎng)絡(luò)行為規(guī)則數(shù)據(jù)庫的分類設(shè)計

2.1.1 用戶操作行為規(guī)則數(shù)據(jù)庫設(shè)計

根據(jù)前述分析，用戶的操作行為亦可以分為正常行為和異常行為，為了能夠嚴(yán)格地限制用戶的操作行為，確保網(wǎng)絡(luò)的安全性，針對網(wǎng)絡(luò)中不同角色的用戶需要設(shè)計不同的行為規(guī)則庫，確保其中用戶的操作行為的合法性，杜絕異常事件的發(fā)生。用戶可以按照以下幾種準(zhǔn)則進行分類，隨后結(jié)合需求進行行為規(guī)則庫的設(shè)計。首先，按照密級將工作人員分為不同的類型管理，不同類型的用戶具有不同的操作行為限制。再者，按照不同的角色實現(xiàn)用戶的分類，比如對潛臺位作戰(zhàn)人員、對空臺位作戰(zhàn)人員、對海臺位作戰(zhàn)人員等，不同類型的人員也應(yīng)具有不同的行為規(guī)則庫。最后，按照不同的任務(wù)安排，也需要對不同的工作人員進行分類，保證承擔(dān)不同任務(wù)的人員的行為準(zhǔn)則可以實現(xiàn)他們之間信息交換的隔離。具體的操作行為規(guī)則分類設(shè)計如圖1所示，關(guān)于用戶操作行為規(guī)則主要利用用戶行為信息表USERINFO體現(xiàn)。

2.1.2 用戶操作路徑規(guī)則數(shù)據(jù)庫設(shè)計

操作路徑具體體現(xiàn)為為了完成一項具體的任務(wù)和功能所使用的步驟，不同的操作步驟體現(xiàn)為不同的操作路徑，例如打印的操作路徑即為如何在打印機的控制端啟動打印機，隨后在打印機處進行相關(guān)打印操作。按照不同的安全需求，對不同的操作路徑會有所限制，亦即只有滿足了操作路徑中的前驅(qū)和后繼的關(guān)系之后，才能一步步地順利完成某個操作。那么操作路徑規(guī)則數(shù)據(jù)庫應(yīng)該包含如圖所示的如下部分：

1）具體的任務(wù)的類型（Type），可以表現(xiàn)為操作任務(wù)的表格、單據(jù)、任務(wù)說明、憑證、證書等的統(tǒng)稱，它作為業(yè)務(wù)數(shù)據(jù)的載體而存在，是業(yè)務(wù)數(shù)據(jù)的模式。

2）業(yè)務(wù)流程規(guī)則（Process）：描述某個具體的任務(wù)在其生命周期中經(jīng)歷各種業(yè)務(wù)操作的狀態(tài)變化過程，業(yè)務(wù)流程用一個有向圖來表示，其中節(jié)點表示（流程）狀態(tài)，有向弧表示狀態(tài)之間的轉(zhuǎn)換，是通過業(yè)務(wù)操作觸發(fā)的。每個業(yè)務(wù)流程都有唯一的開始狀態(tài)（start），以及零至多個終止?fàn)顟B(tài)（final）在一個業(yè)務(wù)流程中，除了開始狀態(tài)和終止?fàn)顟B(tài)，其它狀態(tài)都稱為內(nèi)部狀態(tài)。

3）約束關(guān)系（ConstraintFormulas）：任務(wù)在其生命期中從一個狀態(tài)轉(zhuǎn)換到另一個狀態(tài)的條件通常是復(fù)雜的，具體包括消息約束、規(guī)則約束和權(quán)限約束，其中消息約束用于描述本業(yè)務(wù)操作中需要接收（即等待）的那些消息；規(guī)則約束用于描述本業(yè)務(wù)操作被觸發(fā)前需要滿足的規(guī)則條件；權(quán)限約束則用于描述系統(tǒng)某角色執(zhí)行該業(yè)務(wù)操作時所需要滿足的權(quán)限。

4）業(yè)務(wù)操作（Operation）：具體描述了某個業(yè)務(wù)在一個生命周期中某個時段所處的狀態(tài)。

綜上可見，操作路徑的行為規(guī)則庫主要體現(xiàn)為約束關(guān)系，如圖2所示，亦即某個生命周期中每個操作前驅(qū)和后續(xù)的約束關(guān)系，這部分規(guī)則數(shù)據(jù)庫表象主要體現(xiàn)為RULES，在后續(xù)會給出詳細(xì)的設(shè)計。

2.1.3 信息交換規(guī)則數(shù)據(jù)庫設(shè)計

信息交換是操作行為和操作路徑的最終結(jié)合和表現(xiàn)形式，既是無論是某種業(yè)務(wù)生命周期中不同階段所產(chǎn)生的任何操作行為都可以用信息交換來描述。而信息交換擁有三個層面的含義：

1）信息交換的對象，亦即信息交換兩端的實體，表現(xiàn)為不同的用戶。

2）信息交換的途徑，亦即信息交換的載體，表現(xiàn)為主機層面和網(wǎng)絡(luò)層面。

3）信息交換的類型，亦即信息交換的實質(zhì)，在主機層可以表現(xiàn)為啟動了某一進程或者打開了某一個文檔，在網(wǎng)絡(luò)層可以表現(xiàn)為向某個IP地址的主機發(fā)送了某種類型的數(shù)據(jù)包。鑒于信息交換是操作行為和操作路徑的最終體現(xiàn)，因此網(wǎng)絡(luò)行為規(guī)則數(shù)據(jù)庫的最終表現(xiàn)形式均可以采用信息交換行為規(guī)則數(shù)據(jù)庫的形式體現(xiàn)，通過制定不同的規(guī)則，實現(xiàn)操作行為和操作路徑的管理。因此這部分的表現(xiàn)除了牽涉到USERINFO數(shù)據(jù)庫表外，還會牽涉到HOSTINFO表項，主要描述主機層面的信息交換行為規(guī)則，以及TRAFFICINFO表項，主要描述網(wǎng)絡(luò)層面的信息交換行為規(guī)則，這兩個數(shù)據(jù)庫表項會在后續(xù)給出詳細(xì)的設(shè)計。

2.2 行為規(guī)則數(shù)據(jù)庫的功能設(shè)計

2.2.1 行為規(guī)則數(shù)據(jù)庫更新

用戶行為規(guī)則庫的更新包括兩個途徑，一個是規(guī)則庫手動更新，另一個是規(guī)則庫自動更新，下面分別敘述兩種途徑。

1）規(guī)則庫手動更新

由授權(quán)管理員用戶可對規(guī)則庫進行操作。主要包括：（1）規(guī)則查；（2）規(guī)則刪除；（3）規(guī)則修改；（4）規(guī)則增加?？梢酝ㄟ^后文中提到的規(guī)則庫管理客戶端進行規(guī)則庫的維護和更新，對規(guī)則庫中已有的規(guī)則也可以進行查詢、刪除、修改。

2）規(guī)則庫自動更新

可以在分布式的規(guī)則庫客戶端分發(fā)版本中與主規(guī)則庫建立連接，進行規(guī)則庫的自動更新，以確保規(guī)則的完備性和及時性。主要包括：（1）提示主規(guī)則庫的任何更新；（2）實時更新規(guī)則庫分發(fā)版本。

2.2.2 規(guī)則庫的部署邏輯設(shè)計

分布式規(guī)則庫具有物理分布性、邏輯整體性和探測點自治性等特點。部署分布式規(guī)則庫，在一方面實現(xiàn)了規(guī)則庫的多分發(fā)，便于就近選取規(guī)則進行用戶行為分析，提高了網(wǎng)絡(luò)安全態(tài)勢檢測效率；另一方面，某一物理規(guī)則庫的被入侵和破壞不會導(dǎo)致整體規(guī)則庫的破壞，從而保證了數(shù)據(jù)的安全性，提高了規(guī)則庫抵御入侵攻擊的功能。分布式規(guī)則庫無需每個主機上都配備規(guī)則庫，只需合理物理分發(fā)規(guī)則庫的位置，達到部署分布式規(guī)則庫的目的即可。分布式部署規(guī)則庫服務(wù)器的邏輯示意圖如圖3所示。

如圖3所示，分布式部署規(guī)則庫系統(tǒng)的方法有一個主規(guī)則庫服務(wù)器A，部署在艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)的中心服務(wù)器上，分發(fā)規(guī)則庫服務(wù)器B1，B2，…，Bn任何一個與主規(guī)則庫服務(wù)器所要恢復(fù)的版本相同，也可以使主規(guī)則庫服務(wù)器連接分發(fā)規(guī)則庫服務(wù)器恢復(fù)到所需版本，分發(fā)規(guī)則庫可部署在防御系統(tǒng)的下屬域管理服務(wù)器上，并可有冗余規(guī)則庫備份在域管理熱備服務(wù)器上。分發(fā)規(guī)則庫服務(wù)器按需更新所要的規(guī)則，從而更好地服務(wù)于艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)。

2.3 行為規(guī)則庫的總體結(jié)構(gòu)設(shè)計

2.3.1 行為規(guī)則庫在完整系統(tǒng)中的位置

從圖4可以看到行為規(guī)則庫在艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)運行邏輯體系中的總體位置，行為規(guī)則庫作為入侵檢測模塊中的重要一環(huán)將檢驗數(shù)據(jù)采集的結(jié)果的合法性，并將結(jié)果判斷處理，如果檢測出為異常，將由響應(yīng)模塊處理，否則判斷為正常，將繼續(xù)進行數(shù)據(jù)采集和處理下一條數(shù)據(jù)。

其中行為規(guī)則由兩部分組成，一部分是審計數(shù)據(jù)庫中的正常數(shù)據(jù)所得到的正常規(guī)則，一部分是由專家經(jīng)驗和入侵歷史所形成的異常規(guī)則。正常行為規(guī)則是一段時間內(nèi)事件所表現(xiàn)的穩(wěn)定的行為模式，網(wǎng)絡(luò)中核心用戶基本行為模式是確定的不偏離的，而異常行為規(guī)則的加入反映了對過往入侵歷史的處理的記錄，有利于加快入侵檢測及響應(yīng)的速度。圖5反映了行為規(guī)則庫的組成體系。

因此，行為規(guī)則庫并非固定不變，規(guī)則庫將從不斷更新的數(shù)據(jù)庫中的正常數(shù)據(jù)中更新正常規(guī)則，還會從入侵檢測歷史及專家經(jīng)驗積累中發(fā)現(xiàn)和更新異常規(guī)則，從而保證了規(guī)則庫能夠高效、全面地輔助入侵檢測系統(tǒng)的運行。

2.3.2 行為規(guī)則庫數(shù)據(jù)字典設(shè)計

綜合前述，網(wǎng)絡(luò)行為規(guī)則數(shù)據(jù)庫主要需要涵蓋用戶行為規(guī)則數(shù)據(jù)庫-可以借用用戶身份信息庫USERINFO實現(xiàn)，操作行為規(guī)則數(shù)據(jù)庫-可以借用約束關(guān)系數(shù)據(jù)庫RULES實現(xiàn)，信息交換數(shù)據(jù)庫-可以借用層信息交換HOSTINFO和網(wǎng)絡(luò)層信息交換TARAFFICINFO實現(xiàn)。并且行為規(guī)則庫的存儲主體就是入侵檢測的規(guī)則，需要能夠應(yīng)用于異常行為的檢測。因此行為規(guī)則庫中規(guī)則表的結(jié)構(gòu)，直接會影響到對規(guī)則進行存儲、操作的效率。此處對數(shù)據(jù)字典和各表進行了詳細(xì)的設(shè)計。

表1 規(guī)則庫中相關(guān)表

表之間并非相互獨立，是有聯(lián)動作用的。比如一條用戶信息首先要匹配用戶信息規(guī)則USERINFO，如果匹配成功，將會交由處理規(guī)則RULES進行響應(yīng)處理。另外，具體規(guī)則將可由業(yè)務(wù)流程具體擴充，從而更好服務(wù)于艦載環(huán)境網(wǎng)絡(luò)防御系統(tǒng)。

受篇幅限制，這里只列出RULES表的詳細(xì)設(shè)計說明。

RULES表：中文表名：處理規(guī)則；英文表名：RULES。如表2所示。

表2 RULES

說明：本表存放具體的規(guī)則處理及動作注釋。

RID：規(guī)則ID，每一條規(guī)則都有唯一的RID。

VER：通過VER，可以判斷相同RID規(guī)則的最新處理版本；

ACTION：響應(yīng)動作，指明當(dāng)數(shù)據(jù)條匹配到該條具體規(guī)則時，引擎將進行什么樣的操作，取值范圍包括：PASS，LOG，ALERT，F(xiàn)ORBID，LIMIT；

MARK：動作注釋，為用戶使用提供幫助。

2.3.3 行為規(guī)則表規(guī)則信息示例

以一條規(guī)則為例，簡要說明核心用戶行為規(guī)則表的結(jié)構(gòu)：

［urid：1002；ver：1；name：null；uno：null；dept：對潛部；title：操作員；ip：null；mac：null；rid：3，4；mark：Someone whose dept is對潛部and title is操作員appeared?。?/p>

［］之間就是整條規(guī)則的內(nèi)容，規(guī)則是以“選項名：選項內(nèi)容”規(guī)則內(nèi)每一字段都會顯示出來，但并不代表所有選項都將在整條規(guī)則生效，對于未采用的選項字段，使用”null”表示通配符，即通配任何內(nèi)容，這樣既能保證所有同一種類型的規(guī)則都有同樣的選項長度，也能順利解決所有可能出現(xiàn)的規(guī)則。選項之間可以被認(rèn)為組成了邏輯與（AND）語句。

對于任何一條規(guī)則，XRID和VER都是必須存在的，而且也唯一標(biāo)識了此規(guī)則。VER字段的存在是為了及時更新規(guī)則最新內(nèi)容及響應(yīng)信息，保證處理的正確性。而RID字段的存在是為了在RULES處理規(guī)則表中找到相應(yīng)的處理規(guī)則ACTION字段，以便及時做出響應(yīng)。所有的ACTION字段及其含義如下：ALERT-使用選擇的報警方法生成一個警報；LOG-記錄數(shù)據(jù)；PASS-合法數(shù)據(jù)；FORBID-禁止該數(shù)據(jù)用戶進入；LIMIT-限制用戶進入，記錄該數(shù)據(jù)的用戶信息。

整條規(guī)則內(nèi)容（即［］的所有內(nèi)容）會存入響應(yīng)分類信息規(guī)則表中的TEXT字段，該字段存放了完整的規(guī)則信息，可以備份生成規(guī)則文件，以備提取。

3 行為規(guī)則庫的原型開發(fā)實現(xiàn)

根據(jù)上面所提到的開發(fā)需求及設(shè)計思路本文設(shè)計了用戶行為規(guī)則庫的原型，原型開發(fā)主要分為兩個部分，一部分是規(guī)則庫的后臺數(shù)據(jù)庫表的實現(xiàn)，另一部分是規(guī)則庫系統(tǒng)前段客戶端的功能，展示了客戶端的增刪改查功能，下面將分兩小節(jié)具體闡述用戶行為規(guī)則庫的原型開發(fā)實現(xiàn)。

3.1 規(guī)則庫的后臺數(shù)據(jù)庫表的實現(xiàn)

行為規(guī)則數(shù)據(jù)庫的后臺數(shù)據(jù)庫表包括了處理規(guī)則和具體的分類業(yè)務(wù)規(guī)則。依據(jù)上一章所設(shè)計的數(shù)據(jù)庫的后臺規(guī)則表所實現(xiàn)的具體處理規(guī)則和具體分類業(yè)務(wù)規(guī)則，以下以處理規(guī)則RULES和其中一個業(yè)務(wù)規(guī)則USERINFO為例，分析規(guī)則內(nèi)的字

段間邏輯及規(guī)則間邏輯關(guān)系。

3.1.1 操作路徑行為規(guī)則庫中的具體業(yè)務(wù)規(guī)則與處理規(guī)則

如圖6，具體處理規(guī)則主要的示例展示，具體包括了RID，VER，ACTION及MARK四個字段及PASS，ALERT，LOG，F(xiàn)ORBID，LIMIT等處理類型，RID字段表示處理規(guī)則規(guī)則號，VER字段表示規(guī)則版本，每條規(guī)則只保留最新版本。ACTION字段是響應(yīng)類型，該字段在反應(yīng)同時會上交給上級流程進行進一步入侵檢測及處理。MARK字段顯示了該處理的注釋，PASS表示“通過”，一般無需注釋，表示該條數(shù)據(jù)為正常合法數(shù)據(jù)。

如圖7，以USERINFO為例，詳細(xì)分析具體分類業(yè)務(wù)規(guī)則及字段間邏輯關(guān)系。該表包括URID，VER，NAME，UNO，DEPT，TITLE，IP，MAC，RID，MARK，TEXT共11個字段。其中TEXT字段將保存完整規(guī)則內(nèi)容，可以導(dǎo)出為文本規(guī)則，便于備份及導(dǎo)入處理。而RID字段是VARCHAR類型，可含有多個規(guī)則，比如URID號為1002的規(guī)則，RID為3，4兩條，表示會觸發(fā)兩種處理規(guī)則，便于處理。

3.1.2 操作路徑和用戶規(guī)則表間的邏輯關(guān)系

以USERINFO表和RULES規(guī)則表為例，USERINFO中的RID為RULES中的RID號，從而兩個表是聯(lián)動關(guān)系，即當(dāng)用戶信息類某條具體數(shù)據(jù)符合某條USERINFO規(guī)則時，該規(guī)則觸發(fā)RID號中的RULES具體處理規(guī)則，從而進行處理，同時將該規(guī)則中的ACTION信息上交上一級模塊，進行進一步檢測及處理。以符合1002號規(guī)則的某條數(shù)據(jù)為例，該數(shù)據(jù)觸發(fā)1002號規(guī)則，該規(guī)則將觸發(fā)RID為3，4的RULES處理規(guī)則，而RULES表中RID為3的ACTION響應(yīng)為LOG，表中RID為4的ACTION響應(yīng)為FORBID，從而將會觸發(fā)上級模塊禁止該用戶的訪問同時將訪問記錄登入日志處理。如圖8。

3.2 規(guī)則庫系統(tǒng)頁面的前端設(shè)計開發(fā)

在需求分析及數(shù)據(jù)庫后臺表設(shè)計實現(xiàn)的基礎(chǔ)上，設(shè)計了核心用戶行為規(guī)則庫的前端，并開發(fā)了原型，前端的主要功能如下：

1）連接規(guī)則庫?？梢赃B接主規(guī)則庫或者分發(fā)規(guī)則庫，并進行用戶登錄以驗證。

2）規(guī)則表查看及操作?？梢圆榭串?dāng)前規(guī)則庫系統(tǒng)下的所有規(guī)則庫，并進行導(dǎo)入導(dǎo)出規(guī)則庫的設(shè)置和規(guī)則庫的刪除功能。

3）規(guī)則具體操作。主要包括規(guī)則的查詢、添加、更新以及刪除等主要功能。

4）規(guī)則庫的更新設(shè)置。這部分主要涉及規(guī)則庫間的通信。

規(guī)則庫管理客戶端的主要功能是對規(guī)則庫系統(tǒng)進行管理。其主要功能包括選擇規(guī)則庫系統(tǒng)、用戶登錄、選擇規(guī)則表、對規(guī)則表和規(guī)則進行處理和更新等。

4 結(jié)語

結(jié)合艦載環(huán)境下網(wǎng)絡(luò)安全管理的需要，本文從管理需求出發(fā)，給出了行為安全管理規(guī)則庫的設(shè)計思路，并在此基礎(chǔ)上實現(xiàn)了行為規(guī)則庫的原型，原型開發(fā)主要分為兩個部分，一部分是規(guī)則庫的后臺數(shù)據(jù)庫表的實現(xiàn)，另一部分是規(guī)則庫系統(tǒng)前段客戶端的功能，展示了客戶端的增刪改查功能。分析結(jié)果表明，本文所設(shè)計的規(guī)則庫具有高度的靈活性和易用性，有利于艦載環(huán)境下網(wǎng)絡(luò)行為的安全管理。

與常用的行為規(guī)則庫系統(tǒng)相比，本文所采用規(guī)則庫的創(chuàng)新主要體現(xiàn)在以下方面：

1）將正常規(guī)則和異常規(guī)則相結(jié)合應(yīng)用于規(guī)則庫。正常規(guī)則是從正常合法數(shù)據(jù)中抽取出來的數(shù)據(jù)模式，而異常規(guī)則是從入侵攻擊歷史及專家經(jīng)驗中得到的特征規(guī)則。異常規(guī)則便于及時發(fā)現(xiàn)已知異常，提高入侵檢測效率；而正常規(guī)則可以將未發(fā)現(xiàn)的未知異?；蜃儺惖娜肭旨皶r通知上一級模塊，更好維護網(wǎng)絡(luò)監(jiān)控系統(tǒng)。

2）分布式冗余部署規(guī)則庫系統(tǒng)。由于規(guī)則庫系統(tǒng)的重要作用，因此對行為規(guī)則庫系統(tǒng)的冗余備份變極其重要。而分布式子規(guī)則庫系統(tǒng)的引入有助于更好服務(wù)位于不同物理地點的數(shù)據(jù)采集代理。

3）分發(fā)規(guī)則庫系統(tǒng)的更新設(shè)置。本文采用了兩類途徑—即自動更新和手動更新—更新分發(fā)規(guī)則庫的規(guī)則表。與傳統(tǒng)規(guī)則更新的不同之處在于本文可以復(fù)選需要更新的規(guī)則表，定制按需更新。

［1］解紹梅，郝威.海上編隊信息系統(tǒng)安全防護需求分析［J］.艦船電子工程，2013，33（1）：20-22.

［2］王斌，林海濤.艦船通信系統(tǒng)安全保密需求分析［J］.信息安全與通信保密，2011（10）：79-81.

［3］鄭劍云，孫曉峰，朱義勝.艦艇通信系統(tǒng)網(wǎng)絡(luò)安全防護研究［J］.艦船電子工程，2011，31（4）：122-124，164.

［4］嚴(yán)新榮.艦船通信安全保密研究.2008，30（Supplement）：50-53.

［5］楊露菁，郝威，盧煒.海上編隊信息系統(tǒng)的分等級安全防護體系［J］.指揮控制與仿真，2013，35（2）：1-4，8.

［6］楊露菁，郝威，盧煒.海上編隊信息系統(tǒng)安全域防護策略［J］.指揮控制與仿真，2013，35（4）：36-40.

［7］石劍琛.艦船電子信息系統(tǒng)安全防護體系研究［J］.計算機與數(shù)字工程，2012，40（2）：68-71，82.

［8］裴曉黎.艦載信息基礎(chǔ)設(shè)施信息安全研究［J］.計算機與數(shù)字工程，2014，42（8）：1436-1439.

［9］Anderson JP.Computer security threat monitoring and surveillance［R］.Technical Report，79F296400，F(xiàn)ort Washington：James P.Anderson Company，1980.

［10］Valeur F，Vigna G，Kruegel C，et al.Comprehensive approach to intrusion detection alert correlation［J］.IEEE Transactions on dependable and secure computing，2004，1（3）：146-169.

［11］魏宇欣，武穆清.智能網(wǎng)格入侵檢測系統(tǒng)［J］.軟件學(xué)報，2006，17（11）：2384-2394.

Design and Implementation of Behavior Rule Base System for Shipborne Environment Network

MA Yonglong
（No.1 Canglong North Road，Wuhan430205）

With the rapid development of information technology，naval ships are becoming more and more information-based.However，how to implement the user behavior management in the ship based information environment has not been solved，which has also laid a hidden danger for the carrier network environment.In this paper，a behavior rule base is designed，which can manage user behavior according to specific rules.This paper starts with the design of architecture and deployment of the rule base，then does the implementation and verification on the basis of the design.The results show that the rule base designed in this paper is highly flexible and easy to use，and is conducive to the security management of network behavior.

behavior rule，network security，user behavior

TP309

10.3969/j.issn.1672-9730.2017.07.004

2017年1月3日，

2017年2月19日

馬永龍，男，碩士，高級工程師，研究方向：指揮控制、信息安全。