計算機網絡抗衡體系結構
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機網絡抗衡體系結構范文,希望能給你帶來靈感和參考,敬請閱讀。
本文作者:左朝樹 伍淼 單位:保密通信重點實驗室 西南通信研究所
隨著計算機/通信網絡技術的迅速發展及其在軍事領域的廣泛應用,計算機網絡與作戰越來越聯系緊密,已成為新的作戰空間。計算機網絡對抗作為一種新型的作戰手段在現代化戰爭中將發揮越來越大的作用,因此計算機網絡對抗體系結構作為計算機網絡對抗的基礎,顯得尤為重要,并越來越受到重視,大量學者開展了相關的研究。李雄偉[1]等研究了網絡對抗效能的評估指標體系,并設計了網絡對抗體系結構,由信息支援、信息攻擊和信息防護3部分組成。陳文斌[2]基于設計了協同網絡安全對抗模型,由安全攻擊、安全機制和安全服務三者構成。劉海燕[3]等基于高層體系結構(HLA)在HLA標準下構建了網絡對抗仿真系統的層次模型,用對象模型模板(OMT)表格的方式對網絡對抗仿真系統進行了描述。王付明[4]等認為網絡對抗技術體系是一個灰色系統,并針對網絡對抗技術能力的抽象性和難以度量性,采用灰色關聯分析方法建立了網絡對抗技術能力評估模型。盧云生[5]分析了計算機網絡戰的作用和對象,探討了信息戰背景下計算機網絡攻擊系統的組成和作用,提出了計算機網絡攻擊體系結構,由網絡偵察技術、網絡攻擊技術、網絡對抗數據庫3部分組成。這些研究成果,從網絡對抗評估指標、安全對抗模型、網絡對抗仿真以及網絡對抗技術體系等方面進行了研究,推動了網絡對抗技術的發展,于網絡對抗技術在網絡中心戰中發揮重要作用,但是作為一種作戰手段,計算機網絡對抗需要成體系、成系統地進行全面研究和建設,而不能僅僅依靠某一方面的技術。為此,設計了計算機網絡對抗體系結構,包括系統體系結構和技術體系結構,并基于該體系結構設計了典型的計算機網絡對抗試驗環境。通過該體系結構的研究,可推動計算機網絡對抗技術成體系的發展,有力地支撐信息時代的網絡中心戰。
1計算機網絡對抗體系結構
1.1系統體系結構
計算機網絡對抗是作戰雙方針對可利用的計算機網絡環境,在計算機網絡空間所展開的各類對抗活動的總稱,是以該環境中的計算機終端、交換機、路由器以及它們構成的網絡為作戰對象,以先進的信息技術為基本手段獲取制信息權,以贏得局部戰爭的勝利為最終目的。計算機網絡對抗包括瓦解、破壞敵方計算機網絡以及保護己方計算機網絡所采用的技術、方法和手段等。為此設計計算機網絡對抗系統體系結構如圖1所示,計算機網絡對抗系統由網絡攻擊、網絡防御、對抗評估以及對抗指揮4部分構成。網絡攻擊在對抗指揮的統一控制和指揮下開展對敵方計算機網絡的攻擊,以獲取敵方計算機網絡的相關信息(包括拓撲結構、節點位置、應用協議、傳輸的信息等)或破壞敵方計算機網絡為目的,承擔對抗指揮的攻擊職能。為了實現網絡攻擊職能,網絡攻擊系統應該由網絡偵察、情報處理、攻擊決策、網絡進攻等子系統構成。網絡偵察子系統通過一定的技術手段獲取敵方計算機網絡的相關信息,包括拓撲結構、存在的漏洞、運行模式等,為網絡進攻奠定基礎。情報處理子系統是對網絡偵察子系統獲取的信息進行綜合加工,提取可用于攻擊的漏洞或缺陷等信息。攻擊決策是在情報處理基礎上,根據敵方計算機網絡存在的漏洞或缺陷等信息,選擇相應的攻擊技術和設備,組織對敵網絡進行攻擊。網絡進攻子系統由各種計算機網絡攻擊設備組成,根據攻擊決策子系統的指令,直接開展對敵計算機網絡攻擊。網絡防御是在對抗指揮的統一控制和指揮下開展對我方計算機網絡進行防護,以保障我方計算機網絡的正常運行和信息的安全傳輸,承擔對抗指揮的防御職能。為了實現網絡防御職能,網絡防御系統由脆弱分析、終端防護、網絡防護以及協議安全等子系統構成。脆弱分析子系統根據我方計算機網絡的拓撲結構、運行協議、運行模式、組織應用等情況,通過綜合分析,挖掘我方計算機網絡存在的脆弱性和安全需求,為終端防護、網絡防護以及協議安全提供支撐。終端防護根據計算機網絡中終端的特點,如操作系統類型、存在的漏洞、應用系統、硬件平臺等,采取相應的防護手段,確保終端的安全,保障應用系統正常運行。網絡防護子系統根據網絡拓撲結構、網絡協議等,采用多種手段對網絡進行綜合防護,包括入侵檢測、防火墻等。協議安全是針對TCP/IP協議族在設計上存在的缺陷,從協議的角度進行安全增強,彌補TCP/IP等協議的缺陷。對抗評估是對抗指揮的統一管理和控制下,對網絡攻擊系統以及網絡防御系統進行效能和安全性評估,使更有效的發揮其功能。對抗評估系統由效能評估、安全測試、對抗測試、模擬仿真等子系統構成。效能評估子系統是在攻擊效能評估指標體系下對網絡攻擊系統的攻擊效能進行評估,以便對網絡攻擊系統的作戰能力進行評價。模擬仿真子系統是通過模擬仿真手段構造敵方或者我方計算機網絡,便于評估和測試網絡攻擊系統以及網絡防御系統的作戰效能。安全測試子系統是根據相關的安全防護標準以及指標體系對網絡防御系統的防御能力進行測試。為了進一步評估網絡防御系統的作戰效能,對抗測試子系統采用網絡對抗的測試方式和環境,測試網絡防御系統的防御能力。對抗指揮是整個計算機網絡對抗系統體系的核心,承擔整個對抗系統的指揮控制職能,保障整個對抗系統的有序正常運行和作戰效能的發揮。對抗指揮系統由設備管理、指揮控制、態勢處理和應急響應四部分構成。設備管理是對所有的攻擊設備、防護設備和評估設備進行統一管理和控制,包括相應策略的下發。指揮控制是通過協調和調動所有相關設備對敵進行協同攻擊,對我方網絡進行協同防護,充分發揮所有設備的作戰效能。態勢處理通過收集敵方計算機網絡的相關信息和我方計算機網絡的相關信息,做到知己知彼,并進行直觀的展示,輔助作戰人員進行指控控制。應急響應通過感知計算機網絡中所發生的緊急事件,并以此作為多種應急預案選擇的依據,從而確定相應的處置過程,以保障計算機網絡在多種緊急情況下能夠正常運行。
1.2技術體系結構
根據計算機網絡對抗系統體系結構,設計網絡對抗技術體系結構如圖2所示,計算機網絡對抗技術體系結構由網絡攻擊、網絡防御、網絡評估、對抗指控四部分技術構成。網絡攻擊技術包括物理攻擊技術、能量攻擊技術、病毒攻擊技術、拒絕服務攻擊技術、密碼分析技術、協議攻擊技術等。物理攻擊技術主要以硬殺傷為主要手段,攻擊敵方計算機網絡中的重要部件或接口裝備,特別是破壞計算機的中央處理器、硬盤、存儲芯片等,具有徹底性和不可逆性。能量攻擊技術主要是采用諸如電磁脈沖炸彈等的高功率武器或設備,破壞敵方計算機網絡中的通信裝備或基礎設施,導致敵方計算機網絡癱瘓。病毒攻擊技術利用對方計算機網絡存在的漏洞,通過植入病毒木馬等方式,攻擊敵方計算機網絡。拒絕服務攻擊技術就是利用對方計算機網絡存在的缺陷,通過發送大量攻擊報文或控制對方網絡的重要設施,導致對方計算機網絡不能提供正常服務。密碼分析技術是加密技術的逆過程,是通過對方的密文等信息,獲取相應的明文或者加密算法、參數以及密鑰等。協議攻擊技術就是利用計算機網絡通信協議本身的缺陷,攻擊對方計算機網絡的方法,如ARP協議攻擊等。網絡防御技術包括訪問控制技術、入侵檢測技術、安全審計技術、防火墻技術、終端監控技術、防病毒技術以及加密技術等。訪問控制技術就是通過一定的技術手段實現主體對客體的有序合法訪問,防止非法或越權訪問,常見的訪問控制技術包括強制訪問控制MAC、自主訪問控制DAC、基于角色訪問控制RBAC以及基于身份訪問控制IBAC等。入侵檢測技術是通過模式匹配、關聯分析等手段,發現網絡中可能存在的攻擊行為或事件,為聯防聯動提供支撐。安全審計技術通過收集和分析各種安全日志或者網絡中傳輸的數據或者操作者的行為,以挖掘各種攻擊事件或違規行為,實現事后追蹤和責任認定。防火墻技術基于五元組(協議類型、源地址、源端口、目的地址、目的端口)對網絡中傳輸的數據進行過濾和控制,防止非法數據在網絡邊界的流動。終端監控技術基于操作系統提供的各種函數或接口,實現對終端各種外部接口以及資源(如硬盤、光驅、CPU等)的監控。防病毒技術通過特征碼匹配以及智能識別等手段檢測計算機網絡中存在的病毒,并對病毒進行處理,避免病毒的破壞。加密技術基于相應的加密算法將明文轉化為密文,防止重要信息的泄露。網絡評估技術包括基線掃描技術、對抗測試技術、攻擊效能評估技術等。基線掃描技術是在獲得授權的情況下對系統進行檢測,并將目標設備或網絡與相應的安全標準進行對比,以評估目標設備或網絡的安全性。對抗測試技術通過專業測試人員模擬入侵者常用的入侵手法,對被評估設備或網絡進行一系列的安全檢測,從而發現評估對象存在的安全問題。攻擊效能評估技術通過模擬仿真或實物的方式對攻擊設備進行測試,獲取攻擊設備的作戰效能,評估可能對敵計算機網絡造成的破壞。對抗指揮技術包括設備管理技術、應急處置技術、指揮調度技術、態勢處理技術等。設備管理技術通過統一的接口規范收集攻防設備的信息,并下發相應的攻防策略,實現對所有的設備的統一管控。應急處置技術通過制定應急響應預案以及相應的資源調度策略等,實現緊急事件處理的方法,保障計算機網絡能夠應對各種突發事件。指控調度技術通過提供相應的人機界面,提供攻防人員對攻防設備的控制,實現多種攻防設備的協同作戰和有序調度。
2計算機網絡對抗試驗環境
基于計算機網絡對抗體系結構,設計網絡對抗試驗環境如圖3所示,主要由網絡對抗系統、網絡防御系統、對抗評估系統以及對抗指揮系統組成。基本的網絡對抗系統由攻擊決策設備、情報處理設備、網絡偵察設備以及相應的攻擊設備構成。基本的網絡防御系統由終端監控系統、入侵檢測設備、防火墻、安全審計設備等構成。基本的對抗評估系統由安全測試設備、攻擊效能評估系統、對抗測試系統以及相應的模擬仿真設備構成。基本的對抗指揮系統由態勢處理服務器、指揮控制系統、設備管理服務器以及應急響應服務器構成。(1)網絡防御試驗流程在進行網絡防御試驗時,需要綜合應用對抗指揮系統、對抗評估系統甚至網絡對抗系統的相關設備進行試驗,其大體流程如下:①指揮控制系統根據安全防御需求,生成相應的網絡防御方案,包括網絡防御設備清單以及設備的部署圖;②根據網絡防御方案,部署相應的網絡防御設備;③設備管理服務器為所有網絡防御設備配置安全策略,并使所有網絡防御設備開始工作;④網絡對抗系統的攻擊設備發出各種攻擊,網絡防御設備檢測和抵御這些攻擊,并將相應信息上報到態勢處理服務器;⑤通過態勢處理服務器可以直觀得到網絡防御的性能和強度,必要時可以將這些信息輸入到對抗評估系統進行評估。(2)網絡對抗試驗流程在進行網絡對抗試驗時,需要綜合應用對抗指揮系統、對抗評估系統以及網絡防御系統的相關設備,大體試驗流程如下:①指揮控制系統根據試驗目的,生成相應的網絡防御圖,包括網絡防御設備以及對應的安全策略;②根據網絡防御圖部署相應的網絡防御設備,并有指揮控制系統發出攻擊測試開始指令;③網絡偵察設備開始掃描目標網絡,并把獲取的信息上報到情報處理設備;④情報處理設備對這些信息進行分析,獲取目標網絡存在的漏洞或缺陷,并上報給攻擊決策設備;⑤攻擊決策設備根據發現的漏洞和缺陷,以及網絡對抗系統具備的攻擊能力,組織相應的攻擊設備開始攻擊;⑥攻擊設備開展攻擊操作,并把攻擊結果或獲取的信息上報給攻擊效能評估系統;⑦攻擊效能評估系統對攻擊效能進行評估,并把評估結果上報給態勢處理服務器,進行直觀展現。
3結語
針對網絡中心戰的作戰需求以及目前的技術發展現狀,研究并設計了計算機網絡對抗體系結構,主要包括系統體系結構和技術體系結構,由網絡攻擊、網絡防御、對抗評估、對抗指揮4個部分構成,并設計了典型的計算機網絡對抗試驗環境。網絡攻擊系統主要對敵方計算機網絡進行攻擊,網絡防御系統主要對我方計算機網絡進行安全防護,對抗評估系統主要對網絡攻擊系統和網絡防御系統的作戰效能進行評估和測試,對抗指揮系統是整個計算機網絡對抗系統的運行進行控制和管理。通過該體系結構的研究,可推動計算機網絡對抗技術成體系的發展,有力地支撐信息時代的網絡中心戰。
