手机版 | |
当前位置: 网站首页 > 已发论文 > 文章 当前位置: 已发论文 > 文章

秒速赛车特码高赔率平台pg777.com

时间:2019-07-25    点击: 次    来源:网络    作者:佚名

摘要本文主要是对策略求精算法在计算机网络防御策略中的应用研究。首先是建立了策略求精算法模型,并提出了网络防御的策略求精算法,通过实验验证了该算法的可靠性。

关键字: 策略求精;网络防御;可靠性论文咨询QQ2219005666;投稿邮箱:haifall@vip.qq.com(发论文服务流程查看

Abstract:his paper is mainly about the application of the strategy refinement algorithm in the computer network defense strategy. First, a strategy refinement algorithm is set up, and a strategy refinement algorithm for network defense is proposed, and the reliability of the algorithm is verified by experiments.

Keyword Strategy refinement; network defense; reliability

 

0 引言

网络攻击对经济造成非常大的损失,据统计2017年俄罗斯因网络攻击造成130亿人民币的损失,光2017上半年全球因网络攻击造成了40亿美元的损失。同时全球企业正在遭受商业勒索软件、电邮诈骗、物联网攻击等方面的威胁,20174月初的“WannaCrypt”以及6月份的“Petya”这两个勒索软件在很短的时间内就攻击了数千家公司和高校,给各大企业造成了非常大的经济损失和企业公信度。传统的依靠人工完成大规模的网络安全工作已经无法适应当今严峻的网络环境,因此本文通过研究策略求精算法在计算机网络防御策略中的应用,应对愈加严峻的网络攻击形势。

1、策略求精算法模型

计算机网络策略求精算法(Conputer Network Defense Policy RefinementCNDPR)是结合网络拓扑信息和求精规则,将高层防御策略转换为操作层防御策略的过程。具体的算法过程如下:高层防御策略是既定的网络管理者根据所管理的网络需求所设置的网络防御安全措施;操作层防御策略则是硬件设备执行的防御行为。网络策略求精算法将高层的逻辑概念映射到具体的底层硬件设备中,从而实现一个语义的转换过程;操作层的防御策略被生成后,就将具体的防御设备和节点信息转换为硬件设备上可执行的策略规则,这就是策略设备实现过程;最后设备节点根据策略规则在不同的设备层、IP、数据包等配置相关的参数,从而保障设备的安全。

网络策略求精防御模型总共由三个部分组成:高层策略、操作层防御策略、高层和操作层策略之间的求精规则。该模型的用数学形式表示为

   1

其中表示高层策略,它主要包括高层的保护策略、检测策略、备份策略、响应策略;表示操作层策略,包含的策略和高层是相映射的四个;是两者之间的求精规则集,主要包括角色、用户、源点、目标、活动等,用户求精规则、源点求精规则、资源求精规则、目标节点求精规则、防御动作和防御实体求精规则等。

高层策略是由策略元素集中的元素以及它们的关系构成;同理每个操作层策略也是由操作元素集中的元素以及它们的关系构成:

   2

关系中的元素含义表示如下:

Domain(域):表示网络的范畴,可根据网络的具体环境划分网络域。

Role(角色):表示具有相同特征的用户集。

Target(目标):表示具有相同特征的资源集。

Activity(活动):表示具有相同特征的动作集。

Means(防御手段):表示网络防御活动的集合。

ContextType(上下文类型):具有相同特征的上下文类型集合。

Nodc(节点):表示网络中的实体,例如主机、IP地址等。

Action(动作):表示最小的状态,无法在进行二次分配。

Defense(防御动作):表示具有相同防御动作的集合。

DefenseEntity(防御实体):表示为防御动作的安全设备集合。

Context(上下文):表示具有相同特征的上下文集合。

计算机网络防御中的求精规则一般包括以下规则:

角色映射到用户的求精规则:

原始的网络环境中用户映射到源节点的求精规则:

目标映射到资源的求精规则:

漏洞类型映射到漏洞的求精规则:

事件类型映射到攻击事件的求精规则:

目标域资源映射到目标节点的求精规则:

目标域中的漏洞到目标节点的求精规则:

手段映射到防御实体和防御动作的求精规则:

以上求精规则是网络防御中可自动对网络攻击进行分析,并就分析结果来实施具体的网络防御。

2、网络防御策略求精算法

本文提出了一种网络防御策略求精算法来实现上述模型。在网络防御策略求精算法中包含两个方面:高层策略解析和操作层的策略生成算法,如图1所示:

 

1 网络防御结构图

高层策略解析部分包含了词法分析、语法分析、语义识别;策略生成算法部分包含了高层映射的逻辑概念,选择防御实体,组合概念并决断出操作层策略。具体的算法描述如下:

(1)对文本进行高层CND策略的匹配,若是能够达到匹配要求则将其该策略存入到内存结构中。

(2)针对高层中的不同概念,启用相对应的策略求精规则,并将其映射为操作层元素。例高层中的概念为角色,则根据策略求精算法模型中的策略规则获得该角色的用户;若为源域或目标域,则根据域、节点的求精规则获取到目标域中的节点集,例访问控制、VPN等都有源域、目标域两种方式,但用户身份验证则只拥有源域,备份等就仅拥有目标域。

(3)若根据(2)求得用户集不为空,则根据用户和源域、源节点求精规则来计算出网络中的源节点。

(4)若根据(2)计算得到的资源或漏洞集合不为空,则根据资源和目标域、目标节点求精规则,或是漏洞和目标域、目标节点求精规则计算出网络中的目标节点。

(5)组合防御实体、防御动作、目标节点等,并从中得出操作等策略。

(6)判断高层防御策略,若策略数目大于1,则转至(1),进行迭代;否则输出结果集。

3、算法验证

实验环境:Intel 酷睿 i5, CPU 3.5GHZ,4G内存,Windows 7系统,网络仿真平台GTNctS,Ubuntu虚拟平台系统。

本文搭建了一个仿真平台来实现网络防御策略求精算法的验证。实验写了20个高层策略来自动生成操作层策略,并将其自动的生成设备的配置清单,最后将其搭建在仿真平台和虚拟系统中,以此来验证防御效果。

实验所用的网络拓扑图(如2)分为两个区域:外网、中间网(net3)、内网(net1、net2)。外网和中间网通过一台路由器和防火墙相连,内网和中间网通过一台三层交换机和防火墙相连,且内网被划分为两个子网net1和net2。

 

2 网络拓扑图

在该网络中本文设置的服务器、主机的IP地址、操作系统以及漏洞的详细信息如表1、2所示:

1 服务器信息表

IP地址

设备名

操作系统

漏洞

DMZ

192.168.1.2

S1

Windows 2003 Server

SQL Server漏洞,可通过TCP 1433端口进行缓冲区溢出攻击

192.168.1.3

S2

Red Hat

多个基于栈的缓冲区溢出攻击

Net1

193.168.2.1

S5

Windows 2003 Server

 

Net2

192.168.3.1

S6

Red Hat

监听进程TNS能引导拒绝服务攻击

2 主机信息表

IP地址

设备名

操作系统

外网

192.168.4.2

host0

Windows XP

192.168.5.3

Host6

Ubuntu

DMZ

192.168.6.3

Host7

Ubuntu

Net1

193.168.2.3

Host1

Windows 7

Net2

192.168.3.3

Host5

Red Hat

 

由此生成的求精规则如图3所示:

 

3 策略求精规则

本文以访问控制为例进行具体的策略求精规则生成的说明。本实例中预想为在受保护的网络中,来自外网的不明用户想要通过主机host0进入访问目标网络,同时还想要在FTP服务器S2中安装木马。本文的研究对象为了实现访问控制策略,首先需要对高层进行访问规则的规定,因此来防止未授权用户对FTP服务器的访问,如图4所示:

 

4 访问控制策略

将访问控制策略求精规则输入高层后,会自动映射到操作层的规则,因此生成的求精规则如图5所示:

 

5 生成的策略求精规则

通过对求精规则的分析后,将其部署在具体的设备节点中。本文是将未知的网络设备访问拒绝配置在防火墙中,为了明确对比策略求精规则的防御作用,本文做出了对比:在未部署防火墙的拒绝规则前,攻击者是能够访问FTP服务器的,如图6所示;但部署了防火墙的拒绝规则后,攻击者就被拒绝访问FTP服务器,如图7所示,从而保障了服务器的安全性。

 

6 未知用户可访问FTP服务器

 

7 防火墙拒绝访问规则

 

8 未知用户被拒绝访问FTP服务器

4、结论

本文研究的是策略求精算法在计算机网络防御中的应用,通过对高层的策略求精的撰写,可以实现更强的描述能力,也能支持更多的防御机制。

5、参考文献

 

[1]蔡一民.计算机网络安全防御措施分析[J].通讯世界,2017(19):102.

[2]占清华. 入侵检测与防御系统的研究与实现[D].南昌航空大学,2017.

[3]张贵军.大数据时代网络安全管理现状及主动防御系统[J].电子技术与软件工程,2017(11):203.

[4]曹永峰.计算机网络防御策略求精关键技术探究[J].电子世界,2017(06):187.

[5]李亮超.互联网网络的安全漏洞问题与安全防御体系[J].电脑迷,2017(03):32-33.

[6]他富通.“互联网+”时代网络安全威胁分析与防御研究[J].数字通信世界,2017(03):158-159.

[7]邓家艺.基于计算机网络防御策略求精模型的防入侵技术[J].网络安全技术与应用,2016(05):41+43.

[8]张勇.计算机网络技术与安全管理维护初探[J].信息通信,2016(04):175-176.

[9]李先宗.计算机网络安全防御技术探究[J].电脑知识与技术,2015,11(21):33-35.

[10]孙莹莹.计算机网络防御策略求精方法研究[J].电脑知识与技术,2015,11(03):59-60+63.

 

 

 

 

 

 

 

上一篇:实例分析应用碳纤维布加固梁式桥建筑

下一篇:网络化视角下高校档案安全管理体系的构建

推荐阅读
 |   QQ:2219005666 122623001  |  地址:甘肃省兰州市城关区  |  电话:18509484016  |  

Copyright ? 2019-2025 甘肃论文网(www.gslww.com) All Rights Reserved

【免责声明】:本网站所提供的信息资源如有侵权、违规,请及时告知。

安全联盟认证