专利名称:计算机网络防御方案仿真执行系统的制作方法
技术领域:
本发明设计并实现了一种计算机网络防御方案仿真执行系统,属于计算机网络安全技术领域,涉及到计算机网络防御方案的描述问题,方案的部署问题,以及方案的仿真实现。
背景技术:
由于互联网本身的多样性、开放性和计算机系统及网络设备存在的许多软硬件漏洞,以及网络规模的增长和结构的日益复杂等原因,导致系统内各个部分的关系复杂、多样,网络攻击手段也呈现多样性发展,人们面临着网络安全问题带来的诸多风险,从而对计算机网络防御提出来更大的挑战。为了适应这种保障大规模的计算机网络及应用系统安全的需求,必须研究如何在网络上自动实现防御方案的部署来应对复杂的攻击。安全并非一个孤立的问题,依靠任何单一的安全产品都无法保障计算机网络和信息的安全,网络安全设备的种类千变万化,配置方法各异,传统的手工配置网络安全防御方案日益力不从心。在网络防御方案中,安全设备进行联动防御已成为一种常用手段。通过将各种安全设备互联,进行安全信息的互通与整合,每个系统利用自己的优势弥补其他系统的不足,可以更加有效的实现网络防御方案。由于搭建物理网络易受到网络规模的限制,且具有无法精确再现数据,数据易丢失,错误处理等原因,因此,建模与仿真的方法在研究网络攻击与防御中得到了广泛的应用。建模与仿真研究网络安全问题的一种重要方式和手段。通过对以上研究现状的分析,可以发现存在如下问题。(I)目前对方案的形式化描述的研究多集中在军事领域,缺乏对面向计算机网络防御的方案形式化描述方法的研究。即缺乏一种统一的松耦合的语言级接口描述,从而可以表达安全设备的防御任务,以及设备之间的联动防御任务;(2)缺乏防御方案自动执行的部署方法。能够自动化的验证防御方案中所存在的死锁等问题,并能将其自动部署到仿真平台上实现方案的仿真;(3)网络防御的仿真研究多用于安全评估和训练演习,对实现防御方案的自动部署的仿真执行机制有待进一步研究,特别是实现各种防御设备联动防御任务的联动防御方案的仿真。
发明内容
本发明的技术解决问题:克服现有技术的不足,提供一种计算机网络防御方案仿真执行系统,能够更有效地描述防御方案,将防御方案部署到仿真平台上以实现方案的仿真,从而大大提高了计算机网络防御的效率。本发明的技术解决方案:计算机网络防御方案仿真执行系统,其特征在于包括:方案解释模块、方案部署模块、方案仿真模块及其执行结果显示模块,其中:方案解释模块:防御方案是由防御任务和任务之间的时序逻辑关系构成。防御任务是由任务主体、操作集、执行时间和执行结果构成。包括防护任务、检测任务、分析任务、响应任务和恢复任务。操作是由动作、动作对象和输入参数构成。首先设计并实现一种语法形式简单,结构清晰,具有易操作性和可扩展性的计算机网络防御方案描述语言CNDSDL,给出该语言的EBNF范式。然后面向计算机网络防御方案描述语言CN DSDL,设计并实现基于Flex和Bison的防御方案解释器,对CNDSDL语句进行解析识别,从而将各种语句的参数传递到接口函数中。解释器分别进行词法分析、语法分析和语义分析,最终分别识别出全局变量定义语句、任务描述语句,任务关系描述语句。其具体过程为对输入的计算机网络防御方案描述文件进行解析,解析出防御方案中的防护、检测、分析、响应和恢复防御任务,以及任务之间的顺序与、顺序或、并行与、并行或和异或关系。方案部署模块:对解释出来的防御方案中的各种防御任务进行死锁检测和任务调度。根据任务之间的关系构建任务图,采用基于图的任务死锁检测算法,通过对图进行闭包运算,若发现任意一条有向边存在逆向边,则两个任务互相存在时序依赖关系,表示方案会产生死锁,则拒绝方案的执行;否则将其部署到对应的仿真节点执行。方案仿真模块:将防御方案中的防御任务部署在仿真平台上实现仿真,并显示拓扑中节点的信息。采用基于离散事件驱动的分布式仿真器GTNetSJf IDS检测任务,防火墙的访问控制任务,漏洞扫描任务,备份任务,恢复任务,系统打补丁和重启任务,I DS,漏扫和防火墙之间的联动任务进行仿真。执行结果显示模块:防火墙任务仿真将会显示在防火墙上部署的访问控制列表,I DS仿真任务将显示部署的检测规则;这些仿真任务最终将以命令控制台的形式显示各个仿真节点的信息。所述方案解释模块的具体实现过程:(I)设计并实现一种计算机网络防御方案描述语言,给出该语言的EBN F范式,用该语言表达防御方案中的防护、检测、分析、响应和恢复任务,以及任务之间的顺序与、顺序或、并行与、并行或和异或关系。(2)设计了 CN DSDL解释器。对输入计算机网络防御方案描述文件进行解析,解析出防御方案中的防御任务和任务之间的关系,以及每条任务中的主体,操作集合,执行时间,执行结果,及任务约束,操作所包含的动作、动作对象、动作输入参数三元组。首先对CNDSDL语句进行解析识别,包括词法分析和语法分析,分别由Flex和Bison工具完成,从而将各种语句的参数传递到接口函数中。然后进行语义分析,根据CNDSDL中的EBNF范式描述,分别识别全局变量定义语句、任务描述语句,任务关系描述语句。并对不同的语句调用相应的API接口,将参数传递至仿真系统中的相关模块,由仿真系统完成最终的方案执行。解释器通过以上流程实现了对CNDSDL源文件的解析;所述方案部署模块的具体实现过程:对解释后得到的各种类型的防御任务进行任务的死锁检测,采用基于图的任务死锁检测算法。(I)首先根据任务间的顺序或关系和顺序与关系构建任务图。(2)通过对图进行闭包运算,若发现任意一条有向边存在逆向边,则两个任务互相存在时序依赖关系,表示方案会产生死锁(3)否则,从任务图中调度入度为O的节点,若该节点具有顺序或关系的所有前向任务逻辑执行结果失败,则该任务必须执行,若该节点具有顺序与关系的所有前向任务逻辑执行结果执行成功,则该任务方能执行;所述方案仿真模块的具体实现过程:将经过死锁检测的任务调入到仿真平台中来实现仿真,采用基于离散事件驱动的分布式仿真器(discreteevent-driven simulator)GTNetS,方便对大中型网络进行模拟;数据库中将存储漏洞信息以及仿真过程中产生的
IDS检测规则和防火墙的访问控制规则。其具体的任务仿真包含如下三部分:(I)采用GTNetS实现一种基于网络的入侵检测(NIDS)的仿真,并重点关注其中的特征检测。NIDS放置在比较重要的网段内,不停地监视网段中的各种数据包,对每个数据包或可疑的数据进行特征分析。如果数据包与规则相符合,则入侵检测系统会发出报警,或进行响应,如向漏洞发出漏洞确认信息,或向防火墙放出阻断数据包的任务;(2)采用GTNetS实现防火墙的访问控制仿真。安全仿真中的防火墙主要应用于数据包过滤,而数据包过滤分为静态包过滤和根据状态对数据包的过滤。静态包过滤防火墙,当接口收到数据包时,首先确定ACL是否被应用到了该接口。如果没有,正常的路由该数据包。如果有,处理ACL。对于输出ACL,过程是相似的。状态防火墙主要通过记录连接的状态信息来过滤,对于IP、TCP、UDP, ICMP协议,一种可行的方案是在连接时要获取连接相关信息进行Hash,防火墙根据Hash匹配判断流量是否是返回流量,从而达到过滤的效果。(3)采用GTNetS实现其它的防御任务的仿真。实现了防护任务中的备份任务和检测任务中的漏洞确认任务的仿真,备份是目标到其副本的映射,通过对系统中的数据和文件进行备份,在面对攻击和威胁时,可以及时采用恢复任务进行数据的恢复,从而保障了网络的安全性。漏洞确认任务主要是较低IDS的误检率。对IDS检测到的攻击特征,进行漏洞扫描,并在漏洞知识库中进行查找,从而确认网络中是否存在该种漏洞的攻击。通过方案描述语言的描述,最终实现了一种考虑IDS,防火墙和漏洞扫描系统之间的联动仿真。所述执行结果显示模块的具体实现过程:将防御仿真任务的仿真执行结果以命令控制台的形式显示出来,根据方案仿真模块得到的仿真现象,点击仿真中的拓扑节点,即可将该节点的仿真执行结果显示出来。例如点击防火墙,将会显示部署防火墙的访问控制任务后的访问控制列表,点击IDS,将会显示部署IDS检测任务后的检测规则。本发明与现有的技术方法相比的有益效果在于:(I)本发明提出了一种计算机网络防御方案描述语言。针对计算机网络防御任务,采用一种计算机网络防御方案描述语言CNDSL,该语言能够统一描述计算机网络防御中保护、检测、分析、响应和恢复任务,及其这些任务之间的顺序与、顺序或、并行与、并行或和异或5种时序逻辑关系。这样可以描述各种安全设备的防御任务,及其各种安全设备相互联动的协同防御任务。这样大大提高了计算机网络防御的效率。(2)本发明给出了防御方案的解释与部署方法。设计并实现了一种CN DSDL语言的解释器,结合其EBN F范式,解析计算机网络防御方案。并设计了一种防御方案的死锁检测算法和任务调度算法,这样可以验证防御方案,防止所描述的防御方案中存在冲突的任务。确保了防御方案的正确性。最终将正确的方案部署在仿真平台上。(3)本发明给出了防御方案的仿真。实现基于分布式的GTNetS仿真平台的I DS任务的仿真,防火墙访问控制任务的仿真,备份恢复任务的仿真,漏洞扫描的仿真,及其IDS、漏洞库和防火墙各种防御任务的联动仿真。
图1为本发明的CND防御方案仿真执行系统功能结构图;图2为本发明的CN D方案的语法树图3为本发明的CND任务死锁检测及调度算法流程图;图4为本发明的Snort入侵检测系统对数据包处理流程图;图5为本发明的输入访问控制列表(ACL)逻辑流程图;图6为本发明的输出访问控制列表(ACL)逻辑流程图。
具体实施例方式如图1所示,本发明计算机网络防御方案仿真执行系统,输入为防御方案,输出为防御方案执行报告,包括方案解释模块、方案部署模块、方案仿真模块及其执行结果显示模块。整个实现过程如下:(I)方案解释模块设计计算机网络防御方案描述语言CNDSDL及其解释器,对采用CDNSDL描述的防御方案进行词法分析、语法分析和语义分析,解释生成各种符合防御方案语法格式的防御任务。定义I方案:方案是由任务集合及任务之间的关系集合构成的二元组。记为:
权利要求
1.算机网络防御方案仿真执行系统,其特征在于包括:方案解释模块、方案部署模块、方案仿真模块和执行结果显示模块,其中: 方案解释模块:设计并实现一种计算机网络防御方案描述语言CN DSDL(ComputerNetwork Defense Scheme Description Language),给出该语言的 EBN F (ExtendedBackus-Naur Form)范式,利用词法分析器Flex和语法分析器Bison自动解析所描述的防御方案文件,解析出各种防御任务以及任务之间的时序-逻辑关系; 方案部署模块:根据方案解释模块解释出的各种类型的防御任务,以及任务之间的时序-逻辑关系,从而判断任意的两个任务之间是否存在相互的时序依赖关系,若存在,则将导致死锁,若不存在,则调度安排各种防御任务来实现仿真; 方案仿真模块:将方案部署模块输出的防御任务输入到仿真平台中,实现防御任务的仿真,从而得到防御仿真任务的仿真执行结果,所述防御任务的仿真包括:IDS仿真任务、防火墙仿真任务、漏洞库仿真任务和备份仿真任务;各种防御任务的仿真将调用数据库中的知识,包括漏洞信息、IDS(IntrusionDetection Systems)规则和防火墙规则; 执行结果显示模块:将防御仿真任务的仿真执行结果以命令控制台的形式显示出来,包括防火墙任务仿真将会显示在防火墙上部署的访问控制列表,IDS仿真任务将显示部署的检测规则。
2.据权利要求1所述的计算 机网络防御方案仿真执行系统,其特征在于:所述方案解释模块的具体实现过程: (I)设计并实现一种计算机网络防御方案描述语言,给出该语言的EBN F范式,用该语言表达防御方案中的防护、检测、分析、响应和恢复任务,以及任务之间的顺序与、顺序或、并行与、并行或和异或关系;(2)设计了 CNDSDL解释器,对输入计算机网络防御方案描述文件进行解析,解析出防御方案中的防御任务和任务之间的关系,以及每条任务中的主体,操作集合,执行时间,执行结果,及任务约束,操作所包含的动作、动作对象、动作输入参数三元组;首先对CNDSDL语句进行解析识别,包括词法分析和语法分析,分别由Flex和Bison工具完成,从而将各种语句的参数传递到接口函数中;然后进行语义分析,根据CNDSDL中的EBNF范式描述,分别识别全局变量定义语句、任务描述语句,任务关系描述语句。并对不同的语句调用相应的API接口,将参数传递至仿真系统中的相关模块,由仿真系统完成最终的方案执行,解释器通过以上流程实现了对CNDSDL源文件的解析。
3.据权利要求1所述的计算机网络防御方案仿真执行系统,其特征在于:所述方案部署模块的具体实现过程: 对解释后得到的各种类型的防御任务进行任务的死锁检测,采用基于图的任务死锁检测算法,首先根据任务间的顺序或关系和顺序与关系构建任务图;通过对图进行闭包运算,若发现任意一条有向边存在逆向边,则两个任务互相存在时序依赖关系,表不方案会产生死锁;否则,从任务图中调度入度为O的节点,若该节点具有顺序或关系的所有前向任务逻辑执行结果失败,则该任务必须执行,若该节点具有顺序与关系的所有前向任务逻辑执行结果执行成功,则该任务方能执行。
4.据权利要求1所述的计算机网络防御方案仿真执行系统,其特征在于:所述方案仿真模块的具体实现过程:将经过死锁检测的任务调入到仿真平台中来实现仿真,采用基于离散事件驱动的分布式仿真器(discreteevent-driven simulator)GTNetS,方便对大中型网络进行模拟;数据库中将存储漏洞信息以及仿真过程中产生的I DS检测规则和防火墙的访问控制规则,其具体的任务仿真包含如下三部分:(I)采用GTNetS实现一种基于网络的入侵检测(NIDS)的仿真,并重点关注其中的特征检测,NIDS放置在比较重要的网段内,不停地监视网段中的各种数据包,对每个数据包或可疑的数据进行特征分析;如果数据包与规则相符合,则入侵检测系统会发出报警,或进行响应,向漏洞发出漏洞确认信息,或向防火墙放出阻断数据包的任务;(2)采用GTNetS实现防火墙的访问控制仿真,安全仿真中的防火墙应用于数据包过滤,而数据包过滤分为静态包过滤和根据状态对数据包的过滤,静态包过滤防火墙,当接口收到数据包时,首先确定ACL是否被应用到了该接口 ;如果没有,正常的路由该数据包。如果有,处理ACL,对于输出ACL,过程是相似的;状态防火墙主要通过记录连接的状态信息来过滤,对于IP、TCP、UDP, ICMP协议,一种可行的方案是在连接时要获取连接相关信息进行Hash,防火墙根据Hash匹配判断流量是否是返回流量,从而达到过滤的效果;(3)采用GTNetS实现其它的防御任务的仿真,实现了防护任务中的备份任务和检测任务中的漏洞确认任务的仿真,备份是目标到其副本的映射,通过对系统中的数据和文件进行备份,在面对攻击和威胁时,及时采用恢复任务进行数据的恢复,从而保障了网络的安全性;漏洞确认任 务是较低I DS的误检率,对I DS检测到的攻击特征,进行漏洞扫描,并在漏洞知识库中进行查找,从而确认网络中是否存在该种漏洞的攻击;通过方案描述语言的描述,最终实现了一种考虑I DS,防火墙和漏洞扫描系统之间的联动仿真。
5.据权利要求1所述的计算机网络防御方案仿真执行系统,其特征在于:所述执行结果显示模块的具体实现过程:将防御仿真任务的仿真执行结果以命令控制台的形式显示出来,根据方案仿真模块得到的仿真现象,点击仿真中的拓扑节点,即可将该节点的仿真执行结果显示出来。
全文摘要
计算机网络防御方案仿真执行系统包括(1)设计并实现了一种上下文无关文法的形式化的计算机网络防御方案描述语言CNDSDL(Computer NetworkDefense Scheme Description Language),给出该描述语言的EBNF范式,并设计了基于CNDSDL语言解释器。(2)提出了基于CNDSDL语言的方案部署方法。包括防御方案中任务的死锁检测及调度算法,保障了防御方案的正确性。(3)在GTNetS仿真平台上,实现了防御方案的仿真,包括IDS、防火墙、备份、恢复、以及I DS、漏洞库和防火墙之间的联动任务的仿真。
文档编号G06F9/455GK103092680SQ20131003253
公开日2013年5月8日 申请日期2013年1月28日 优先权日2013年1月28日
发明者夏春和, 魏昭, 罗杨, 吴伟康, 余洋 申请人:北京航空航天大学