计算机网络抗衡体系结构

前言：想要写出一篇引人入胜的文章？我们特意为您整理了计算机网络抗衡体系结构范文，希望能给你带来灵感和参考，敬请阅读。

本文作者：左朝树 伍淼 单位：保密通信重点实验室 西南通信研究所

随着计算机/通信网络技术的迅速发展及其在军事领域的广泛应用,计算机网络与作战越来越联系紧密,已成为新的作战空间。计算机网络对抗作为一种新型的作战手段在现代化战争中将发挥越来越大的作用,因此计算机网络对抗体系结构作为计算机网络对抗的基础，显得尤为重要,并越来越受到重视，大量学者开展了相关的研究。李雄伟[1]等研究了网络对抗效能的评估指标体系，并设计了网络对抗体系结构，由信息支援、信息攻击和信息防护3部分组成。陈文斌[2]基于设计了协同网络安全对抗模型，由安全攻击、安全机制和安全服务三者构成。刘海燕[3]等基于高层体系结构（HLA）在HLA标准下构建了网络对抗仿真系统的层次模型，用对象模型模板（OMT）表格的方式对网络对抗仿真系统进行了描述。王付明[4]等认为网络对抗技术体系是一个灰色系统，并针对网络对抗技术能力的抽象性和难以度量性,采用灰色关联分析方法建立了网络对抗技术能力评估模型。卢云生[5]分析了计算机网络战的作用和对象,探讨了信息战背景下计算机网络攻击系统的组成和作用,提出了计算机网络攻击体系结构，由网络侦察技术、网络攻击技术、网络对抗数据库3部分组成。这些研究成果，从网络对抗评估指标、安全对抗模型、网络对抗仿真以及网络对抗技术体系等方面进行了研究，推动了网络对抗技术的发展，于网络对抗技术在网络中心战中发挥重要作用，但是作为一种作战手段，计算机网络对抗需要成体系、成系统地进行全面研究和建设，而不能仅仅依靠某一方面的技术。为此，设计了计算机网络对抗体系结构，包括系统体系结构和技术体系结构，并基于该体系结构设计了典型的计算机网络对抗试验环境。通过该体系结构的研究，可推动计算机网络对抗技术成体系的发展，有力地支撑信息时代的网络中心战。

1计算机网络对抗体系结构

1.1系统体系结构

计算机网络对抗是作战双方针对可利用的计算机网络环境，在计算机网络空间所展开的各类对抗活动的总称，是以该环境中的计算机终端、交换机、路由器以及它们构成的网络为作战对象，以先进的信息技术为基本手段获取制信息权，以赢得局部战争的胜利为最终目的。计算机网络对抗包括瓦解、破坏敌方计算机网络以及保护己方计算机网络所采用的技术、方法和手段等。为此设计计算机网络对抗系统体系结构如图1所示，计算机网络对抗系统由网络攻击、网络防御、对抗评估以及对抗指挥4部分构成。网络攻击在对抗指挥的统一控制和指挥下开展对敌方计算机网络的攻击，以获取敌方计算机网络的相关信息（包括拓扑结构、节点位置、应用协议、传输的信息等）或破坏敌方计算机网络为目的，承担对抗指挥的攻击职能。为了实现网络攻击职能，网络攻击系统应该由网络侦察、情报处理、攻击决策、网络进攻等子系统构成。网络侦察子系统通过一定的技术手段获取敌方计算机网络的相关信息，包括拓扑结构、存在的漏洞、运行模式等，为网络进攻奠定基础。情报处理子系统是对网络侦察子系统获取的信息进行综合加工，提取可用于攻击的漏洞或缺陷等信息。攻击决策是在情报处理基础上，根据敌方计算机网络存在的漏洞或缺陷等信息，选择相应的攻击技术和设备，组织对敌网络进行攻击。网络进攻子系统由各种计算机网络攻击设备组成，根据攻击决策子系统的指令，直接开展对敌计算机网络攻击。网络防御是在对抗指挥的统一控制和指挥下开展对我方计算机网络进行防护，以保障我方计算机网络的正常运行和信息的安全传输，承担对抗指挥的防御职能。为了实现网络防御职能，网络防御系统由脆弱分析、终端防护、网络防护以及协议安全等子系统构成。脆弱分析子系统根据我方计算机网络的拓扑结构、运行协议、运行模式、组织应用等情况，通过综合分析，挖掘我方计算机网络存在的脆弱性和安全需求，为终端防护、网络防护以及协议安全提供支撑。终端防护根据计算机网络中终端的特点，如操作系统类型、存在的漏洞、应用系统、硬件平台等，采取相应的防护手段，确保终端的安全，保障应用系统正常运行。网络防护子系统根据网络拓扑结构、网络协议等，采用多种手段对网络进行综合防护，包括入侵检测、防火墙等。协议安全是针对TCP/IP协议族在设计上存在的缺陷，从协议的角度进行安全增强，弥补TCP/IP等协议的缺陷。对抗评估是对抗指挥的统一管理和控制下，对网络攻击系统以及网络防御系统进行效能和安全性评估，使更有效的发挥其功能。对抗评估系统由效能评估、安全测试、对抗测试、模拟仿真等子系统构成。效能评估子系统是在攻击效能评估指标体系下对网络攻击系统的攻击效能进行评估，以便对网络攻击系统的作战能力进行评价。模拟仿真子系统是通过模拟仿真手段构造敌方或者我方计算机网络，便于评估和测试网络攻击系统以及网络防御系统的作战效能。安全测试子系统是根据相关的安全防护标准以及指标体系对网络防御系统的防御能力进行测试。为了进一步评估网络防御系统的作战效能，对抗测试子系统采用网络对抗的测试方式和环境，测试网络防御系统的防御能力。对抗指挥是整个计算机网络对抗系统体系的核心，承担整个对抗系统的指挥控制职能，保障整个对抗系统的有序正常运行和作战效能的发挥。对抗指挥系统由设备管理、指挥控制、态势处理和应急响应四部分构成。设备管理是对所有的攻击设备、防护设备和评估设备进行统一管理和控制，包括相应策略的下发。指挥控制是通过协调和调动所有相关设备对敌进行协同攻击，对我方网络进行协同防护，充分发挥所有设备的作战效能。态势处理通过收集敌方计算机网络的相关信息和我方计算机网络的相关信息，做到知己知彼，并进行直观的展示，辅助作战人员进行指控控制。应急响应通过感知计算机网络中所发生的紧急事件，并以此作为多种应急预案选择的依据，从而确定相应的处置过程，以保障计算机网络在多种紧急情况下能够正常运行。

1.2技术体系结构

根据计算机网络对抗系统体系结构，设计网络对抗技术体系结构如图2所示，计算机网络对抗技术体系结构由网络攻击、网络防御、网络评估、对抗指控四部分技术构成。网络攻击技术包括物理攻击技术、能量攻击技术、病毒攻击技术、拒绝服务攻击技术、密码分析技术、协议攻击技术等。物理攻击技术主要以硬杀伤为主要手段，攻击敌方计算机网络中的重要部件或接口装备,特别是破坏计算机的中央处理器、硬盘、存储芯片等，具有彻底性和不可逆性。能量攻击技术主要是采用诸如电磁脉冲炸弹等的高功率武器或设备，破坏敌方计算机网络中的通信装备或基础设施,导致敌方计算机网络瘫痪。病毒攻击技术利用对方计算机网络存在的漏洞，通过植入病毒木马等方式，攻击敌方计算机网络。拒绝服务攻击技术就是利用对方计算机网络存在的缺陷，通过发送大量攻击报文或控制对方网络的重要设施，导致对方计算机网络不能提供正常服务。密码分析技术是加密技术的逆过程，是通过对方的密文等信息，获取相应的明文或者加密算法、参数以及密钥等。协议攻击技术就是利用计算机网络通信协议本身的缺陷，攻击对方计算机网络的方法，如ARP协议攻击等。网络防御技术包括访问控制技术、入侵检测技术、安全审计技术、防火墙技术、终端监控技术、防病毒技术以及加密技术等。访问控制技术就是通过一定的技术手段实现主体对客体的有序合法访问，防止非法或越权访问，常见的访问控制技术包括强制访问控制MAC、自主访问控制DAC、基于角色访问控制RBAC以及基于身份访问控制IBAC等。入侵检测技术是通过模式匹配、关联分析等手段，发现网络中可能存在的攻击行为或事件，为联防联动提供支撑。安全审计技术通过收集和分析各种安全日志或者网络中传输的数据或者操作者的行为，以挖掘各种攻击事件或违规行为，实现事后追踪和责任认定。防火墙技术基于五元组（协议类型、源地址、源端口、目的地址、目的端口）对网络中传输的数据进行过滤和控制，防止非法数据在网络边界的流动。终端监控技术基于操作系统提供的各种函数或接口，实现对终端各种外部接口以及资源（如硬盘、光驱、CPU等）的监控。防病毒技术通过特征码匹配以及智能识别等手段检测计算机网络中存在的病毒，并对病毒进行处理，避免病毒的破坏。加密技术基于相应的加密算法将明文转化为密文，防止重要信息的泄露。网络评估技术包括基线扫描技术、对抗测试技术、攻击效能评估技术等。基线扫描技术是在获得授权的情况下对系统进行检测，并将目标设备或网络与相应的安全标准进行对比，以评估目标设备或网络的安全性。对抗测试技术通过专业测试人员模拟入侵者常用的入侵手法，对被评估设备或网络进行一系列的安全检测，从而发现评估对象存在的安全问题。攻击效能评估技术通过模拟仿真或实物的方式对攻击设备进行测试，获取攻击设备的作战效能，评估可能对敌计算机网络造成的破坏。对抗指挥技术包括设备管理技术、应急处置技术、指挥调度技术、态势处理技术等。设备管理技术通过统一的接口规范收集攻防设备的信息，并下发相应的攻防策略，实现对所有的设备的统一管控。应急处置技术通过制定应急响应预案以及相应的资源调度策略等，实现紧急事件处理的方法，保障计算机网络能够应对各种突发事件。指控调度技术通过提供相应的人机界面，提供攻防人员对攻防设备的控制，实现多种攻防设备的协同作战和有序调度。

2计算机网络对抗试验环境

基于计算机网络对抗体系结构，设计网络对抗试验环境如图3所示，主要由网络对抗系统、网络防御系统、对抗评估系统以及对抗指挥系统组成。基本的网络对抗系统由攻击决策设备、情报处理设备、网络侦察设备以及相应的攻击设备构成。基本的网络防御系统由终端监控系统、入侵检测设备、防火墙、安全审计设备等构成。基本的对抗评估系统由安全测试设备、攻击效能评估系统、对抗测试系统以及相应的模拟仿真设备构成。基本的对抗指挥系统由态势处理服务器、指挥控制系统、设备管理服务器以及应急响应服务器构成。（1）网络防御试验流程在进行网络防御试验时，需要综合应用对抗指挥系统、对抗评估系统甚至网络对抗系统的相关设备进行试验，其大体流程如下：①指挥控制系统根据安全防御需求，生成相应的网络防御方案，包括网络防御设备清单以及设备的部署图；②根据网络防御方案，部署相应的网络防御设备；③设备管理服务器为所有网络防御设备配置安全策略，并使所有网络防御设备开始工作；④网络对抗系统的攻击设备发出各种攻击，网络防御设备检测和抵御这些攻击，并将相应信息上报到态势处理服务器；⑤通过态势处理服务器可以直观得到网络防御的性能和强度，必要时可以将这些信息输入到对抗评估系统进行评估。（2）网络对抗试验流程在进行网络对抗试验时，需要综合应用对抗指挥系统、对抗评估系统以及网络防御系统的相关设备，大体试验流程如下：①指挥控制系统根据试验目的，生成相应的网络防御图，包括网络防御设备以及对应的安全策略；②根据网络防御图部署相应的网络防御设备，并有指挥控制系统发出攻击测试开始指令；③网络侦察设备开始扫描目标网络，并把获取的信息上报到情报处理设备；④情报处理设备对这些信息进行分析，获取目标网络存在的漏洞或缺陷，并上报给攻击决策设备；⑤攻击决策设备根据发现的漏洞和缺陷，以及网络对抗系统具备的攻击能力，组织相应的攻击设备开始攻击；⑥攻击设备开展攻击操作，并把攻击结果或获取的信息上报给攻击效能评估系统；⑦攻击效能评估系统对攻击效能进行评估，并把评估结果上报给态势处理服务器，进行直观展现。

3结语

针对网络中心战的作战需求以及目前的技术发展现状，研究并设计了计算机网络对抗体系结构，主要包括系统体系结构和技术体系结构，由网络攻击、网络防御、对抗评估、对抗指挥4个部分构成，并设计了典型的计算机网络对抗试验环境。网络攻击系统主要对敌方计算机网络进行攻击，网络防御系统主要对我方计算机网络进行安全防护，对抗评估系统主要对网络攻击系统和网络防御系统的作战效能进行评估和测试，对抗指挥系统是整个计算机网络对抗系统的运行进行控制和管理。通过该体系结构的研究，可推动计算机网络对抗技术成体系的发展，有力地支撑信息时代的网络中心战。