孫瑩瑩

摘要：針對現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精只支持訪問控制策略求精的問題，提出了一種支持計(jì)算機(jī)網(wǎng)絡(luò)防御中的保護(hù)、檢測、響應(yīng)和恢復(fù)策略的求精方法，構(gòu)造了一種計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精模型，設(shè)計(jì)了策略求精算法，并開發(fā)了一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精系統(tǒng)，通過實(shí)驗(yàn)驗(yàn)證了文中提出方法的有效性和效率。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)防御；移動Ad Hoc網(wǎng)絡(luò)；策略求精

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）03-0059-02

隨著云計(jì)算和大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用，不斷增大的網(wǎng)絡(luò)規(guī)模，面對復(fù)雜、種類繁多、新型的網(wǎng)絡(luò)攻擊，如何在網(wǎng)絡(luò)環(huán)境中高效快速無誤的管理網(wǎng)絡(luò)系統(tǒng)，抵御惡意攻擊，保護(hù)網(wǎng)絡(luò)資源是我們關(guān)注的熱點(diǎn)。結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)防御的特點(diǎn)，基于策略的網(wǎng)絡(luò)管理（Policy Based Network Management，PBNM） 體系結(jié)構(gòu)，如圖1所示?，F(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精只支持訪問控制策略，VPN策略，而沒有站在計(jì)算機(jī)網(wǎng)絡(luò)防御的角度，聯(lián)合各種防御技術(shù)手段，構(gòu)造面向保護(hù)、檢測、響應(yīng)、恢復(fù)的防御策略求精方法。本文提出了一種計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精方法（Computer Network Defense Policy Refinement，CNDPR），從計(jì)算機(jī)網(wǎng)絡(luò)防御的角度來實(shí)施多方位全面的縱深保護(hù)。支持保護(hù)、檢測、響應(yīng)、恢復(fù)策略的求精，為網(wǎng)絡(luò)安全管理的動態(tài)防御提供了實(shí)施機(jī)制。該過程是將高層的策略細(xì)化為低層防御設(shè)備的配置規(guī)則，通過規(guī)則控制防御行為選擇，從而保護(hù)網(wǎng)絡(luò)中的資源。

圖1 基于策略的網(wǎng)絡(luò)管理體系結(jié)構(gòu)

1 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精模型

結(jié)合網(wǎng)絡(luò)拓?fù)湫畔⑴c求精規(guī)則，CNDPR是將高層防御策略轉(zhuǎn)換為操作層防御策略的過程。網(wǎng)絡(luò)管理員制定高層防御策略，來保護(hù)防御目標(biāo)的安全需求。操作層防御策略是安全設(shè)備執(zhí)行的防御行為。CNDPR是一個(gè)語義變換過程，其作用是將高層的抽象概念，通過映射到低層生成操作層的防御策略，然后根據(jù)具體的防御設(shè)備和節(jié)點(diǎn)信息，將操作層防御策略參數(shù)化為設(shè)備上可執(zhí)行的策略規(guī)則。CNDPR（計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精）方法的前提假設(shè)為：輸入的高層策略是正確的，策略間無沖突，無語法和語義錯(cuò)誤。在策略配置規(guī)則的部署中，擁有區(qū)域網(wǎng)絡(luò)中所有機(jī)器的控制權(quán)。

定義1 計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精模型（Computer Network Defense Policy Refinement Model）：計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精模型是由高層防御策略、操作層防御策略及其高層防御策略與操作層防御策略之間的求精規(guī)則組成。形式化的表達(dá)如下所示：

最后是組合防御實(shí)體、防御動作、源節(jié)點(diǎn)、目標(biāo)節(jié)點(diǎn)、動作、上下文等操作層概念得到操作層策略。從中可以得出該操作層策略一般是由多條策略規(guī)則組成，因?yàn)榉烙鶎?shí)體、源節(jié)點(diǎn)或目標(biāo)節(jié)點(diǎn)可能有多個(gè)。如果高層防御策略多于一個(gè)，則獲取下一個(gè)高層防御策略，并重復(fù)以上的操作。直到所有高層策略處理完成。

策略求精的轉(zhuǎn)換算法的偽代碼如圖3所示。該算法的時(shí)間復(fù)雜度是O（s·m），其中s表示高層策略數(shù)目，m表示高層策略包含的概念個(gè)數(shù)。

圖3 策略求精的轉(zhuǎn)換算法的偽代碼

策略轉(zhuǎn)換算法得到的防御實(shí)體實(shí)例是網(wǎng)絡(luò)拓?fù)渲性摲烙鶎?shí)體的所有實(shí)例，但并不需要在所有防御實(shí)體實(shí)例上部署策略規(guī)則。由于防火墻包含允許和拒絕規(guī)則，其實(shí)例選擇較為復(fù)雜，因此本文以防火墻的實(shí)例選擇為例，并給出分析過程，對于其他的防御實(shí)體實(shí)例的選擇（例如 IDS、系統(tǒng)管理服務(wù)器等），將選擇網(wǎng)絡(luò)拓?fù)渲行枰Ｗo(hù)的資源所在的域中的防御實(shí)體實(shí)例。 針對防火墻的許可策略，首先可以獲得源節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)之間的所有簡單路徑，然后再選出所有路徑中的防火墻，但求解無向圖中兩點(diǎn)之間的所有簡單路徑是NP難問題，不能在多項(xiàng)式時(shí)間內(nèi)解決，因此本文提出直接獲得所有簡單路徑上的節(jié)點(diǎn)算法，然后在這些節(jié)點(diǎn)中找出防火墻，從而簡化了問題的復(fù)雜度。該算法使用一個(gè)無向圖來表達(dá)網(wǎng)絡(luò)拓?fù)渲泄?jié)點(diǎn)間的鏈接關(guān)系，采用鄰接表存儲無向圖，n 為節(jié)點(diǎn)數(shù)目，則每個(gè)節(jié)點(diǎn)最多有（n-1）個(gè)鄰節(jié)點(diǎn)，壓入Node棧的節(jié)點(diǎn)數(shù)最多為n（n-1）個(gè)，判斷Node棧中的棧頂節(jié)點(diǎn)是否屬于NodeSet 需要m次，判斷Node棧的棧頂節(jié)點(diǎn)是否為 Roue中的節(jié)點(diǎn)需要k次，循環(huán)次數(shù)為n* （n-1）*m*k，則該算法的時(shí)間復(fù)雜度為O（n4）。

3 結(jié)束語

本文通過構(gòu)建防御策略求精模型，實(shí)現(xiàn)了一種計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精算法，該方法首先將高層的防御策略轉(zhuǎn)換為低層的操作層策略，然后結(jié)合網(wǎng)絡(luò)拓?fù)溥x擇合適的防御實(shí)體，最后參數(shù)化為防御設(shè)備上的策略規(guī)則，并部署在仿真平臺和OpenStack 搭建的虛擬網(wǎng)絡(luò)平臺中觀察防御效果。通過策略求精實(shí)驗(yàn)，策略部署的仿真實(shí)驗(yàn)和基于OpenStack云平臺下的實(shí)驗(yàn)驗(yàn)證了本文提出的計(jì)算機(jī)網(wǎng)絡(luò)防御策略求精方法的有效性，通過策略求精算法的性能分析證明了該算法的效率。

參考文獻(xiàn)：

[1] 安強(qiáng)強(qiáng)， 張蕾. 基于依存樹的中文語義角色標(biāo)注[J]. 計(jì)算機(jī)工程， 2010，36（4）： 161-163.

[2] 郭江， 車萬翔， 劉挺. 漢語語義依存分析[J]. 智能計(jì)算機(jī)與應(yīng)用， 2011，1（2）： 58-62.

[3] 袁里馳. 基于詞聚類的依存句法分析[J]. 中南大學(xué)學(xué)報(bào)：自然科學(xué)版， 2011， 42（7）： 2023-2027.

[4] 李正華， 車萬翔， 劉挺. 基于柱搜索的高階依存句法分析[J]. 中文信息學(xué)報(bào)， 2010， 24（1）： 37-41.