網(wǎng)絡(luò)安全與攻擊檢測(cè)的關(guān)鍵技術(shù)分析

暢祥生

?

網(wǎng)絡(luò)安全與攻擊檢測(cè)的關(guān)鍵技術(shù)分析

暢祥生

黃河水利委員會(huì)黑河流域管理局，甘肅 蘭州 730030

在現(xiàn)代社會(huì)中，網(wǎng)絡(luò)提高了信息傳播速度，擴(kuò)大了信息輻射范圍，使信息能夠不受時(shí)間、空間、地點(diǎn)限制進(jìn)行高效傳播。計(jì)算機(jī)與服務(wù)器可能成為DDOS攻擊的一部分，這些攻擊可以使用不同類型的互聯(lián)網(wǎng)分組，網(wǎng)絡(luò)攻擊威脅著網(wǎng)絡(luò)安全，影響著網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性。基于此，對(duì)網(wǎng)絡(luò)安全與攻擊檢測(cè)的關(guān)鍵技術(shù)進(jìn)行了分析并給出解決方案。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊檢測(cè)；關(guān)鍵技術(shù)分析

1 網(wǎng)絡(luò)安全現(xiàn)狀

最近幾年網(wǎng)絡(luò)安全挑戰(zhàn)無處不在。首先，隨著網(wǎng)絡(luò)空間地位的日益提升，網(wǎng)絡(luò)空間主導(dǎo)權(quán)爭(zhēng)奪激烈，美國(guó)等大國(guó)紛紛加強(qiáng)網(wǎng)絡(luò)防御，并積極發(fā)展網(wǎng)絡(luò)威懾能力，不斷加大在網(wǎng)絡(luò)空間的部署，爆發(fā)國(guó)家級(jí)網(wǎng)絡(luò)沖突的風(fēng)險(xiǎn)進(jìn)一步增加，其次，西方國(guó)家頻繁啟動(dòng)貿(mào)易保護(hù)安全壁壘，信息安全的影響范圍正不斷被擴(kuò)大，將波及整個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)，再次，云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)領(lǐng)域?qū)⒗^續(xù)在信息技術(shù)領(lǐng)域得到廣泛應(yīng)用，其帶來的安全風(fēng)險(xiǎn)將繼續(xù)對(duì)我國(guó)網(wǎng)絡(luò)安全防御體系建設(shè)產(chǎn)生影響，網(wǎng)絡(luò)安全保障需求快速增長(zhǎng)。

2 網(wǎng)絡(luò)攻擊檢測(cè)分析

2.1 網(wǎng)絡(luò)攻擊檢測(cè)的重要性

隨著智能終端的普及以及人們對(duì)網(wǎng)絡(luò)的日益增強(qiáng)的硬性需求，再者考慮到網(wǎng)絡(luò)接入的方便及快捷，對(duì)移動(dòng)網(wǎng)絡(luò)的需求日益迫切，網(wǎng)絡(luò)攻擊也隨之變得普及與泛化。網(wǎng)絡(luò)攻擊檢測(cè)設(shè)備建設(shè)成本更為經(jīng)濟(jì)，且可與有線的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)無縫對(duì)接，更好地與有線網(wǎng)絡(luò)實(shí)現(xiàn)互補(bǔ)，拓展有線網(wǎng)絡(luò)的服務(wù)范圍。同時(shí)DDOS攻擊是網(wǎng)絡(luò)安全防御中的最難解決的問題之一，這是由于互聯(lián)網(wǎng)系統(tǒng)的開放性所導(dǎo)致的。

今后我們可以從DDOS攻擊的特征和DDOS攻擊發(fā)生時(shí)的現(xiàn)象入手，針對(duì)其獨(dú)有的特征，采取一系列的方法，在DDOS攻擊剛發(fā)生時(shí)就能檢測(cè)出來，并能及時(shí)的遏制DDOS的攻擊。

2.2 網(wǎng)絡(luò)攻擊檢測(cè)的關(guān)鍵技術(shù)

DDOS防護(hù)技術(shù)應(yīng)采用一種更先進(jìn)的，規(guī)避弊端的技術(shù)，具備更智能的檢測(cè)和防護(hù)策略，設(shè)備應(yīng)通過多種機(jī)制檢測(cè)數(shù)據(jù)的合法性，避免誤判和誤殺； 具備獨(dú)立的用于檢測(cè)和防護(hù)DDOS攻擊的芯片，而不是以消耗CPU為代價(jià)的冒險(xiǎn)式防護(hù)；避免設(shè)備串行于主干線路中，網(wǎng)絡(luò)正常時(shí)數(shù)據(jù)不需要流經(jīng)設(shè)備，只有發(fā)生攻擊時(shí)，設(shè)備才成為流量路徑上的關(guān)卡。抗DDOS由檢測(cè)設(shè)備和清洗設(shè)備兩種設(shè)備組成。

檢測(cè)設(shè)備采用旁路分光或鏡像模式，確保在物理和邏輯上均不會(huì)成為網(wǎng)絡(luò)中的串行節(jié)點(diǎn)。清洗設(shè)備采用旁路模式，出現(xiàn)攻擊時(shí)可通過自動(dòng)改變路由成為網(wǎng)絡(luò)中的串行節(jié)點(diǎn)，起到流量清洗的作用。高效的異常流量檢測(cè)和清洗技術(shù)，以支持深度包檢測(cè)技術(shù)，兩者以進(jìn)一步確定隱藏在后臺(tái)的流量攻擊報(bào)文，輸出NetStreamFlow流量的NetFlow的網(wǎng)絡(luò)設(shè)備的信息，通過分析和對(duì)流量的檢測(cè)，以實(shí)現(xiàn)準(zhǔn)確的高效地鑒定。高度的使用和分發(fā)多核硬件配置，以便產(chǎn)生一個(gè)高性能清洗異常業(yè)務(wù)到因特網(wǎng)，可以通過智能多裝置簇群集方法來實(shí)現(xiàn)自動(dòng)牽引和業(yè)務(wù)流的靈活重新注入。路由器/交換機(jī)到DDOS攻擊，當(dāng)發(fā)現(xiàn)異常流量的清洗設(shè)備的鄰位路由器。BGP路由更新通過線路自動(dòng)發(fā)布，快速使用用戶流量。在另一方面，基于策略的路由的MPLS VPN中和通過GRE的VPN清洗設(shè)備，二層透明傳輸，清洗等方法并重新注入高速流量用戶后，正常的流量不會(huì)受到影響。

3 網(wǎng)絡(luò)攻擊防御策略

防火墻檢測(cè)認(rèn)證方式，防火墻檢測(cè)認(rèn)證技術(shù)其實(shí)用的就是portal技術(shù)，portal是“門戶”的意思，這種技術(shù)的原理是對(duì)未得到認(rèn)證成功的用戶，一旦用戶打開任意的網(wǎng)頁，則會(huì)被重定向到指定的認(rèn)證頁面，該認(rèn)證頁面事實(shí)上就是一個(gè)門戶，進(jìn)入該門戶后不經(jīng)任何認(rèn)證就可訪問網(wǎng)管人員指定的有限的內(nèi)容。比如下載本地服務(wù)器的上提供的視頻、音樂、文本文檔，最有趣的是可以提供一些休閑小游戲。但是這些共享的內(nèi)容僅限于本地服務(wù)器上的內(nèi)容，如果要訪問互聯(lián)網(wǎng)則需要按提供的方式認(rèn)證通過才可以。隨著網(wǎng)絡(luò)接入的發(fā)展，防火墻檢測(cè)認(rèn)證越來越展現(xiàn)出其優(yōu)點(diǎn)來，不管實(shí)際視角還是商業(yè)視角，防火墻檢測(cè)均展現(xiàn)了它的價(jià)值： 需要像PPPOE那樣對(duì)協(xié)議單元進(jìn)行額外的封裝，就不會(huì)擠占協(xié)議 的有效負(fù)載從而不需要分片，不必加大客戶端及鏈路上路由器的設(shè)備壓力。支持基于組播的視頻點(diǎn)播功能?？蛻舳伺cBAS直接可以跨越三層網(wǎng)絡(luò)，不會(huì)形成像以太網(wǎng)臃腫肥大的 網(wǎng)絡(luò)，便于管理和網(wǎng)絡(luò)規(guī)劃。檢測(cè)用戶離線、上線：這種基于防火墻檢測(cè)的認(rèn)證是在應(yīng)用層完成的，可能在檢測(cè)鏈路時(shí)會(huì)比較麻煩，計(jì)費(fèi)的準(zhǔn)確無誤取決于能否即時(shí)的感知用戶的上、下線。簡(jiǎn)單的放開、終止用戶的網(wǎng)絡(luò)訪問權(quán)限已經(jīng)不能滿足對(duì)當(dāng)今網(wǎng)絡(luò)運(yùn)營(yíng)管理的要求。上網(wǎng)痕跡記錄、QoS、訪問限制等這些操作已經(jīng)是比較基本和常見的要求了，處于應(yīng)用層的協(xié)議在這方面當(dāng)然駕輕就熟，而PPPOE就遠(yuǎn)遠(yuǎn)的落后了。作為關(guān)卡的防火墻檢測(cè)認(rèn)證服務(wù)器會(huì)暴露于所有的用戶，容易受到惡意的攻擊，而且在小眾的場(chǎng)所，人們處于成本的考慮更愿意使用個(gè)人計(jì)算機(jī)提供認(rèn)證服務(wù)，相對(duì)的性能較低，更容易被黑客得手，在大型網(wǎng)絡(luò)中危害是極大的，導(dǎo)致用戶不能介入網(wǎng)絡(luò)，影響生活和辦公。網(wǎng)絡(luò)的發(fā)展日益復(fù)雜多變，能不能適應(yīng)這種多變的環(huán)境，還是很值得驗(yàn)證的。

[1]李嫵可.基于數(shù)據(jù)的并行入侵檢測(cè)系統(tǒng)研究[J].黑龍江科技信息，2016（25）：45.

[2]羅再陽.淺析網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（10）：55.

[3]李東靈.入侵檢測(cè)系統(tǒng)現(xiàn)狀及發(fā)展趨勢(shì)[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013（5）：65.

[4]趙志宇，黎蔚.入侵檢測(cè)系統(tǒng)現(xiàn)狀分析[J].電腦知識(shí)與技術(shù)，2013（22）：65.

Analysis on the Key Technologies of Network Security and Attack Detection

Chang Xiangsheng

Heihe River Basin Management Bureau of Yellow River Conservancy Commission, Lanzhou, Gansu Province 730030

In modern society，the network to improve the speed of information dissemination，and expand the scope of information radiation，so that information can not time，space，place restrictions on the efficient dissemination.Computers and servers can be part of a DDoS attack，which can use different types of Internet groups，which threaten network security and affect network stability.In this paper，the key technologies of network security and attack detection are analyzed and the solutions are given.

network security； network attack detection； key technology analysis

TP393.08

A

1009-6434（2016）12-0141-02

暢祥生（1982—），男，漢族，籍貫（精確到市）為甘肅省蘭州市，當(dāng)前職稱為工程師，學(xué)歷本科，研究方向?yàn)樾畔⒒ㄔO(shè)。