计算机网络防御策略求精关键技术的分析

刘大宝 张 毅 唐 勇

（沈阳理工大学，辽宁 沈阳 110168）

计算机网络防御策略求精关键技术的分析

刘大宝 张 毅 唐 勇

（沈阳理工大学，辽宁 沈阳 110168）

信息技术的快速发展为各行业领域注入新鲜的活力，但随之而来的网络攻击等问题也日益严峻，如木马、病毒等，都影响网络的安全运行，严重情况下将有大量重要信息被窃取、网络运行瘫痪等情况发生。通过实践研究发现，引入相应的防御策略求精关键技术，对网络安全运行可起到极大的作用。本文将对计算机网络防御策略求精现状、计算机网络防御策略求精关键技术进行探析，并提出强化计算机网络防御策略求精技术的相关建议。

计算机网络防御；网络安全管理；策略求精

1 前言

作为当前计算机发展中面临的难题，网络攻击是困扰大多计算机用户的主要问题。尽管有较多策略求精技术引入其中，但由于将防御重点置于访问控制方面，或集中VPN策略求精层面，这样安全策略机制并未完全融合，难以全方位对计算机进行保护。因此，本文对策略求精技术的相关研究，具有十分重要的意义。

2 计算机网络防御策略求精现状

策略求精是网络安全管理实现的关键所在。近年来较多如VPN等防御策略逐渐引入到网络安全管理中，一定程度上使计算机网络防御得到强化，但由于未能将具体恢复、响应、监测与保护等方式融于一体，一旦有协同、复杂的网络攻击，便无法起到明显的效果。对于这种网络防御策略求精的应用现状看，主要表现在：第一，策略求精方法缺失。策略求精方法是网络安全管理的重要基础，现有的方法主要以VPN策略求精、访问控制策略为主，无法与其他防御手段如漏洞检测、IDS检测等进行配合，纵深防御效果难以保障。第二，语义建模方法缺失。策略求精能否发挥重要效果，很大程度取决语义一致性，而语义一致性分析又需做好语义建模工作。现行策略求精方法应用中，语义分析多通过手工实现，自动化方法仍处于缺失状态，更无从谈及语义建模，影响计算机防御目标的实现。第三，语义一致性分析方法缺失。对于策略求精，其实质是推理过程，假若推理中缺少语义作为载体，便会产生求精中语义不一致问题，尤其当前语义一致性分析中，并未真正从结构、概念角度出发，难以达到语义一致性分析目标。除此之外，现行策略求精方法应用下，其有效性的验证也极为困难，导致策略求精技术应用于计算机防御中难以发挥重要作用[1]。

3 计算机网络防御策略求精关键技术分析

对于当前策略求精方法的应用现状，实际解决中要求采取针对性的技术方式，如在策略求精方法缺失方面，可考虑进行防御策略模型的构建以及模型安全体系的构建，并对语义建模、语义一致性分析方面存在的问题采取相应的解决策略。具体有以下几方面：

(1)防御策略模型构建

策略求精关键技术的应用，很大程度上取决于模型的构建。本文研究主要采取三维模型构建的方法，模型的支撑主要以网络知识、方式技术、系统思想为主，尤其是方式技术、系统思想，在相互配合下可使整个系统工程安全得到保障，且辅以相应的安全机制，其他如信息完整性、数据库以及计算机设备等都可得到提升。策略求精技术的应用，要求所有的网络信息达到精益化发展要求，这就对高层防御策略提出更高的要求。如以服务资源要求为依据，使系统安全参数由节点端口处获取，若参数出现变化，可直接进行配置。需注意的是，参数配置中有较多接口或数据包信息，且涉及语法变换内容，这些都应作为模型构建中需考虑的主要内容[2]。

本文在研究中主要选取CNDPR模型进行研究，其能够具象化处理策略求精概念，在防御策略生成后，能够直接用于各设备与节点中，以可执行策略规则的形式存在。该模型

应用下，主动特征极为明显，可能使系统状态发生一定的改变。模型构成主体在形式上可细化为节点、主体两种，其中的节点一般需通过掩码、IP与节点名称，使口令、用户名得以生成，在此基础上使计算机信息流得以变更。而在主体形式上，通常以不同特征主体或相同特征主体构成。以相同特征主体集为例，多表现出角色特征综合体，而其中的角色权限存在较大的关联。对于这种角色特征综合体，可引入相关的表达式进行描述，即：｛slOwn（s,ch）（Relate（ch,right），ch∈CHARSCTER，sSUBJECT，right∈Right｝[3]。

(2)模型安全体系构建

为对网络安全运行情况进行研究，也需考虑构建模型安全体系。整个体系要求以计算机发展特征、网络运行情况作为依据，引入相关的技术措施，强化计算机安全效果。模型安全体系具体构建中，应以防御策略模型作为核心。假定从三维、立体等概念出发，模型在构成上以x，y，z三个轴为主，其中z轴用于物理环境的描述，如计算机信息处理、信息网络以及安全管理等，y轴涉及的主要以应用层、传输层、网络层、数据链路层以及物理层为主，x轴用于对系统安全特性的描述。在保证整个模型合理的情况下，安全防御效果也将达到最佳。实际进行模型构建中，应充分考虑所有网络安全问题以及是否与用户应用要求相吻合等[4]。

(3)语义建模与语义分析一致性问题的解决

从当前策略求精技术应用现状看，除在基本的模型上存在问题外，语义建模、语义分析一致性问题也极为重要。对此，在解决中首先需从语义建模角度着手。以CNDPR语义模型为例，在语义建模中可应用方式主要包改进后的Nivre语义依存分析、以描述逻辑为基础的语义模型以及SWRL推理规则。其中，语义依存分析主要对策略语句依存关系是否正确进行判断，且短时间内便可完成分析过程，在此基础上通过描述逻辑，完成CNDPR语义模型构建过程，模型的内容以语义关系推理为主。在隐含语义关系被推理的情况下，选用SWRL推理规则，对语义模型的有效性进行验证。利用这种方式，便可使语义建模的目标得以实现[5]。

另外，语义分析一致性问题也是影响语义建模关键，对整个策略求精技术的应用效果都可能带来明显影响。对此，在语义一致性分析上，首先可考虑以结构、概念角度出发，对策略语句进行分析，如在概念方面，很可能有概念冗余、概念缺失以及概念实例不一致等情况，而在结构方面，有语义关系融入、语义关系缺失、语义关系实例不一致等情况存在。此时，可考虑引入以描述逻辑为基础的分析方法，即Racer语义分析算法，其能够将所有结构、概念等语义一致性内容融入其中，并在此基础上配合SWRL的求精规则，可达到语义一致性分析的目标[6]。

4 强化计算机网络防御策略求精技术的相关建议

策略求精技术的应用能够将网络攻击与病毒、木马带来的影响控制到最低，但其也需有其他相关的技术作为辅助，如防火墙、防病毒技术以及扫描技术等，在多种技术相互配合下，有利于防御效果的强化，确保用户在应用计算机中有安全保障。具体如下几方面：

(1)防火墙设置

防火墙作为计算机防御目标实现的重要软件之一，其能够有效连接网络系统、计算机，使潜在性的威胁得到有效控制。实际引入防护墙后，系统端口可有效避免外界的干扰，且用户在访问相关的网页或下载具体软件中，若站点来源不明，防火墙将发出禁止命令，拒绝用户的访问请求，对系统的安全可靠运行可起到明显作用。需注意的是，单纯依托于防火墙，并不能完全使计算机防御得到强化，用户的安全意识也极为重要，所以在计算机应用中，应做好对管理人员与用户的培训宣传工作，按照相关的规定进行管理与宣传，在此基础上配合策略求精技术，更能削弱网络攻击或病毒、木马入侵所带来的影响[7]。

(2)反病毒技术

网络系统的安全可靠运行，本身强调需有具体的技术作为支撑，在考虑设置防火墙等安全服务器的基础上，应将反病毒技术引入其中，其可有效配合防火墙的应用。对于反病毒技术，其涉及的类型极多，如虚拟机技术、沙盘仿真、主动防御、NTFS流杀毒技术以及相关的防御软件等。这些技术应用下都有其自身的特色，实际选用中，可根据计算机运行实际情况确定，为防御目标的实现提供保障。另外，安全管理中，可考虑进行相关管理规则的制定，防止有盗版软件安装在系统中，尤其较多未通过安全检测的软件，危险性都较高。同时，对于计算机中的重要文件，需采取相应的备份保护措施，或进行访问权限的设置，以此使非法入侵事件的发生得到有效控制。

(3)扫描技术

网络系统安全管理中，扫描技术的应用可发挥及其重要的作用，如系统中的潜在威胁可在扫描技术应用下被快速发现。以现代较多杀毒软件为例，都将扫描技术融入其中，协助网络系统安全管理。具体应用中，可考虑将其与反病毒技术、防火墙等共同配合，这样能够最大程度地提升系统安全性。需注意的是，现代计算机就技术快速发展背景下，网络攻击手段也极为复杂，所以扫描技术应用下需做到不断创新，尽可能与网络系统发展保持同步，以此使系统更为安全可靠地运行[8]。

5 结论

策略求精技术的应用是计算机网络安全的重要保障。实际引入策略求精技术中，应正确认识以往防御策略应用下存在的弊病，在此基础上构建相应的防御策略模型，同时注意解决语义建模、语义分析一致性的问题。另外，为强化策略求精技术的应用效果，要求将扫描技术、反病毒技术以及防火墙等引入其中，以此使策略求精技术的应用效果得到强化，提升计算机系统安全水平。

[1]魏昭．计算机网络防御策略求精关键技术研究[D]．北京航空航天大学，2014．

[2]吴月红．计算机网络防御策略求精关键技术[J]．信息与电脑(理论版)，2015(08)：77-78．

[3]李步宵．计算机网络防御策略求精关键技术研究[J]．电子技术与软件工程，2015(12)：226．

[4]余汾芬．计算机网络防御策略求精关键技术研究[J]．山东工业技术，2015(20)：102．

[5]卡里木江·阿克巴尔，万丰瑜，孙佳洲．探讨计算机网络防御策略求精关键技术研究[J]．探索科学，2016(02)：59-60．

[6]邓家艺．基于计算机网络防御策略求精模型的防入侵技术[J]．网络安全技术与应用，2016(05)：41+43．

[7]何健．浅析计算机网络防御策略及求精关键技术[J]．无线互联科技，2015(23)：77-79．

[8]顾庆传，申云成．提高计算机网络可靠性的方法分析[J]．电脑与电信，2016(3)：59-60．

Research on the Key Technologies of Computer Network Defense Policy Refinement

Liu Dabao Zhang YiTang Yong
(Shenyang University of Technology,Shenyang 110168,Liaoning)

The rapid development of information technology has injected fresh vitality for the industry field.But the following cyber attacks have become more and more severe,such as Trojans,viruses,etc.,which influences the safe operation of network.In severe cases,there will have a large number of important information being stolen or network paralysis.Through the research and practice,it is found that the introduction of corresponding key technologies of defense policy refinement has a great effect on the safe operation of network.This paper studies on the status and the key technologies of computer network defense policy refinement, and proposes relevant recommendations about strengthening technologies for computer network defense policy refinement.

computer network defense;network security management;policy refinement

TP393.08

A

1008-6609(2016)07-0071-03

刘大宝，男，山东蓬莱人，本科，研究方向：计算机应用。