论文部分内容阅读
摘要:随着世界经济的迅速发展以及科学技术水平的不断提高,计算机技术取得了很大程度上的进步,为世界经济的发展以及人们的生产、生活做出重要贡献。而在计算机技术飞速发展的背景之下,各种计算机语言应运而生,与计算机技术相互融合,取得了良好的效果。本文就针对其中的基于攻防演练的计算机网络防御描述语言进行研究与分析。
关键词:计算机网络防御;攻防演练;语言描述
中图分类号:G250.72
1.计算机网络防御描述语言概述
目前状况下,在所有的网络安全模拟仿真之中,主要存在着两种最具有代表性的模型,分别是PPDR模型与PDRR模型。随着科学技术的不断发展与研究的日益深入,安全概念已经不仅仅局限于传统概念,即对信息安全进行一定程度的保密,而是发展成为信息保障的层面,信息保障有机的结合了信息的保护、信息的检测信息的反应以及信息的恢复,并将之融为一个整体,这种统一信息保障模型被称作为PDRR模型。然而,当前状况下国际上对于PPDR模型与PDRR模型的研究还不够深入,仅仅只能提供相应的概念与框架,还不能给出具体的实现机制以及实现技术。我们对原先的PDRR环形结构进行了有效的研究,并基于此对其进行了一定程度的扩展。这样一来,原先的简单PDRR循环就转变成了可以实现动态防御的复杂有限状态机,具体情况见图1:
计算机网络防御描述语言具有一定的优越性。首先,它能够对SPSL形式的过滤规则进行有效的支持;其次,计算机网络防御描述语言能够有效的表示出PDRR模型中所涉及到的防御措施,并对防火墙过滤规则以及IDS的检测命令进行有效的支持;最后,在扩展性方面,计算机网络防御描述语言能够发挥出良好的效果,通过这一语言进行一定程度的扩展,可以对更多的防御措施进行有效的支持。
2.计算机网络防御系统的设计与应用
2.1 计算机网络防御系统的设计
在上文中所描述的PDRR防御模型基础之上,将防御描述语言分别对保护措
施、检测措施、反应措施和恢复措施进行描述。而在这四项措施之中,最为重要的是保护措施以及检测措施部分,这主要是由攻防演练中防御部分的重点是防火墙与IDS的实现所决定的。
在仿真平台之中,对防火墙节点进行有效的扩展,最终得到了保护措施部分,其BNF范式如下所示:
<保护措施>::=Firewall||<接口配置>|<信息显示>|||Exit
::=
在本文的研究中,检测重点主要是部署在IDS的仿真节点之上,而响应主要是通过IDS对防火墙过滤规则的修改实现。检测措施与相应措施的BNF范式主要如下:
<检测响应措施>::={命令语句}
::=IDS|IPS
::=
<命令语句>::=<检测的攻击类型><是否响应>|服务器|内
网地址|SHOWDETECTION
<检测的攻击类型>::=ICMPFlood|SYNFlood|UDPFlood|
Slammer|IPSpoof|PasswordCracker|Smurf|any
<是否响应>::=react|no-react
服务器::=<服务器名称>
<服务器名称>::=HttpServer|TelnetServer|SmtpServer|
SqlServer|DnsServer
<內网地址>::=HomeNet/
::=[0-2][0-9]|3[0-2]
恢复措施的BNF范式主要如下:
<恢复措施>::=Recovery<扫描对象><扫描目标><扫描频率><是否恢复>
<扫描对象>::=//仿真中的节点ID
<扫描对象>::=node-status|//节点状态或相应服务
::=web|80|telnet|23|ftp|21|smth|25op3|110|rlogin|513
<扫描频率>::=
<是否恢复>::=recover|not-recover
2.2 计算机网络防御系统的实现
在CND耳朵上层之上,主要存在着两个部分,分别是防御想定以及人机交互命令,它们通过RTI进行一定程度的传输,并最终传输到联邦成员的防御命令解释器之上。而对于防御命令解释器来说,它是对计算机网络防御描述语言的具体实现。防御解释器通过对Lex与Yacc分别生成词法分析程序与语法分析程序进行一定程度的利用,并在此基础之上充分调用GTNetS平台中的具体函数,并最终对计算机网络防御描述语言进行有效的翻译,使其成为平台中的具体实现。整个CND系统的结构图如图2所示:
3.实例分析
我们将所设计的计算机网络防御系统设置在GTNetS仿真平台之上,并最终形成了如图3所示的拓扑结构,通过在平台上的应用对计算机网络防御系统进行一定程度的验证。
为了对防御描述语言实施前后的效果进行一定程度的对比分析,我们运用了两种类型的仿真:在用防御描述语言对其进行配置之前,通过主机C进行数据包的发送,将2000个数据包发送到WebServer之上,而在部署计算机网络防御措施之后,防火墙对着这2000个数据包进行了丢弃。也就是说,我们所配置的防火墙过滤规则发挥了其应有的作用,实现了计算机网络的防御目的。
4.结束语
本文主要针对基于攻防演练的计算机网络防御描述语言进行研究与分析。首先对计算机网络防御描述语言的主要模型以及优越性进行了一定程度的描述;然后在此基础之上重点分析了计算机网络防御系统的设计与应用。最后,我们对其进行了实例分析,用以对计算机网络防御系统进行验证。希望我们的研究能够为读者提供参考并带来帮助。
参考文献
[1]夏春和,李肖坚,赵沁平.基于入侵诱骗的网络动态防御研究[J].计算机学报.2004(12)
[2]杨力.网络攻防模拟平台及防火墙的设计与实现研究[D].西安电子科技大学2005
关键词:计算机网络防御;攻防演练;语言描述
中图分类号:G250.72
1.计算机网络防御描述语言概述
目前状况下,在所有的网络安全模拟仿真之中,主要存在着两种最具有代表性的模型,分别是PPDR模型与PDRR模型。随着科学技术的不断发展与研究的日益深入,安全概念已经不仅仅局限于传统概念,即对信息安全进行一定程度的保密,而是发展成为信息保障的层面,信息保障有机的结合了信息的保护、信息的检测信息的反应以及信息的恢复,并将之融为一个整体,这种统一信息保障模型被称作为PDRR模型。然而,当前状况下国际上对于PPDR模型与PDRR模型的研究还不够深入,仅仅只能提供相应的概念与框架,还不能给出具体的实现机制以及实现技术。我们对原先的PDRR环形结构进行了有效的研究,并基于此对其进行了一定程度的扩展。这样一来,原先的简单PDRR循环就转变成了可以实现动态防御的复杂有限状态机,具体情况见图1:
计算机网络防御描述语言具有一定的优越性。首先,它能够对SPSL形式的过滤规则进行有效的支持;其次,计算机网络防御描述语言能够有效的表示出PDRR模型中所涉及到的防御措施,并对防火墙过滤规则以及IDS的检测命令进行有效的支持;最后,在扩展性方面,计算机网络防御描述语言能够发挥出良好的效果,通过这一语言进行一定程度的扩展,可以对更多的防御措施进行有效的支持。
2.计算机网络防御系统的设计与应用
2.1 计算机网络防御系统的设计
在上文中所描述的PDRR防御模型基础之上,将防御描述语言分别对保护措
施、检测措施、反应措施和恢复措施进行描述。而在这四项措施之中,最为重要的是保护措施以及检测措施部分,这主要是由攻防演练中防御部分的重点是防火墙与IDS的实现所决定的。
在仿真平台之中,对防火墙节点进行有效的扩展,最终得到了保护措施部分,其BNF范式如下所示:
<保护措施>::=Firewall
在本文的研究中,检测重点主要是部署在IDS的仿真节点之上,而响应主要是通过IDS对防火墙过滤规则的修改实现。检测措施与相应措施的BNF范式主要如下:
<检测响应措施>::=
<命令语句>::=<检测的攻击类型><是否响应>|服务器|内
网地址|SHOWDETECTION
<检测的攻击类型>::=ICMPFlood|SYNFlood|UDPFlood|
Slammer|IPSpoof|PasswordCracker|Smurf|any
<是否响应>::=react|no-react
服务器::=<服务器名称>
<服务器名称>::=HttpServer|TelnetServer|SmtpServer|
SqlServer|DnsServer
<內网地址>::=HomeNet
恢复措施的BNF范式主要如下:
<恢复措施>::=Recovery<扫描对象><扫描目标><扫描频率><是否恢复>
<扫描对象>::=
<扫描对象>::=node-status|
<扫描频率>::=
<是否恢复>::=recover|not-recover
2.2 计算机网络防御系统的实现
在CND耳朵上层之上,主要存在着两个部分,分别是防御想定以及人机交互命令,它们通过RTI进行一定程度的传输,并最终传输到联邦成员的防御命令解释器之上。而对于防御命令解释器来说,它是对计算机网络防御描述语言的具体实现。防御解释器通过对Lex与Yacc分别生成词法分析程序与语法分析程序进行一定程度的利用,并在此基础之上充分调用GTNetS平台中的具体函数,并最终对计算机网络防御描述语言进行有效的翻译,使其成为平台中的具体实现。整个CND系统的结构图如图2所示:
3.实例分析
我们将所设计的计算机网络防御系统设置在GTNetS仿真平台之上,并最终形成了如图3所示的拓扑结构,通过在平台上的应用对计算机网络防御系统进行一定程度的验证。
为了对防御描述语言实施前后的效果进行一定程度的对比分析,我们运用了两种类型的仿真:在用防御描述语言对其进行配置之前,通过主机C进行数据包的发送,将2000个数据包发送到WebServer之上,而在部署计算机网络防御措施之后,防火墙对着这2000个数据包进行了丢弃。也就是说,我们所配置的防火墙过滤规则发挥了其应有的作用,实现了计算机网络的防御目的。
4.结束语
本文主要针对基于攻防演练的计算机网络防御描述语言进行研究与分析。首先对计算机网络防御描述语言的主要模型以及优越性进行了一定程度的描述;然后在此基础之上重点分析了计算机网络防御系统的设计与应用。最后,我们对其进行了实例分析,用以对计算机网络防御系统进行验证。希望我们的研究能够为读者提供参考并带来帮助。
参考文献
[1]夏春和,李肖坚,赵沁平.基于入侵诱骗的网络动态防御研究[J].计算机学报.2004(12)
[2]杨力.网络攻防模拟平台及防火墙的设计与实现研究[D].西安电子科技大学2005