计算机网络防御策略模型

摘 要：通过对Or-BAC模型的分析,抽象化了计算机网络防御策略,从而构建了计算机网络防御策略模型,实现了网络检测、保护、响应等统一建模,同时引入了角色、视图以及自动非配活动的方式,从而有效提高了非配的效率,同时也引出了防御策略的推导原则,为防御规则的细致化奠定了良好的基础,通过实例分析了所建立的网络防御模型,具有较好的实用性以及扩展性,为类似计算机网络防御策略模型的构建探析提供了可供参考的经验.

关 键 词：计算机　网络防御策略　模型　分析

中图分类号：TP39　文献标识码：A　文章编号：1007-3973(2012)011-088-02

当前,随着计算机技术的发展和网络信息安全日益重要,计算机的网络防御策略和技术也随之不断发展和完善.计算机网络防御属于计算机攻防的演练过程中最为重要的构成部分,也是信息对抗过程中不可缺少的部分.并且就目前的研究以及实践看来,并没有较为细致且能应用于具体实践的计算机网络防御策略模型的构造方法.由此,对计算机网络防御策略模型的研究具有十分重要的作用和现实意义.

1计算机网络防御策略概述

计算机网络防御是为了实现某个特定的网络以及系统的安全目标,计算机网络或者信息系统依据特定的条件所选择采取的防御措施的规则.计算机网络防御会在很大程度上采用大量的措施应对来自网络的攻击.计算机系统处于网络环境下时,尤其是计算机系统处于大规模的网络环境下时,计算机的网络防御策略也将更为复杂.而这些措施若是通过人工进行配置则较为复杂,容易产生错误,配置的效率也不高.若是能使用计算机进行防御策略的配置,则能实现自动、准确且高效的配置和部署,并且适用于多种模式下的计算机系统,延展性以及灵活性都较高.

由此,通过策略进行计算机防御已经成为了网络防御的关键和核心,计算机的各种信息以及网络安全的维护都是依靠策略进行开展和实施的,这也是PPDR的模型思想.在PPDR模型中,若是策略的力度过大,则无法建立以策略为基础的防御体系.针对该特点,策略树模型通过将防御策略以目标-措施的方式展现出来,但并未形成具体的实施体制和措施,兼容性不强且层次不够清晰.由此,对计算机网络防御策略模型的分析和研究十分必要.

2计算机网络防御策略模型

2.1计算机网络防御策略模型概述

计算机网络防御策略模型,CNDPM模型（ComputerNetworkDefensePolicyModel）的基本概念是组织,组织是由组成部分以及各部分之间的有序的关系所构成的,这样形成的有机体就称之为组织.例如现实中的教室、图书馆,计算机网络当中的内网以及外网都可称之为组织.

2.2基本构成和关系

主体中有两种重要的形式,这两种形式分别是节点和主体,节点是由节点名称、IP地址以及掩码三个部分构成的.而用于则由用户名以及口令所构成的.

2.3防御策略

3应用实例

3.1网络拓扑结构

如图2所示,H网络被划分为了四个区域,实现了与防火墙的四个接口相连,四个接口都具有输入以及输出两种方向,左右两边分别是内网和外网.上下分别连接网络IDS、DMZ区域.其中DMZ区域中具有两个能实现外部访问的怎么写作器.这两个怎么写作器分别是dnsserver和mulitiserver,dnsserver主要为DNS提供怎么写作,而mulitiserver则可为HTTP、FTP以及E-mail等接口怎么写作.

3.2防御策略建模

3.3制定防御规则

(1)计算机的外网中通过角色PublicHost分配的所有主机,与防火墙配置中的Acl列表当中的源地址进行一一对应,具体表示为any.

(2)而协议则是udp、目的端口分配给53的访问活动,该访问动作有udp以及53,同时也对应ACL协议和目的端口.ACL当中的源端口一般与dns怎么写作源端口保持一致,同时因为dns为53,由此acl的值也设置为53.

(3)视图DnsServer只对dnsserver节点进行分配,与ACL1当中的目的IP进行对比分析可得出目的IP值为houst111.222.1.2.网络中可通过RD获得ACL1,并配置了ExternalIn接口.根据推导流程,策略2、3、4、5可分别得出ACL2~5、ACL6、ACL7~10、ACL11防御策略,而策略6、7则是分配给ftp的溢出攻击和响应的.