大數(shù)據(jù)時代防火墻和入侵檢測技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

摘? 要：隨著移動“互聯(lián)網(wǎng)+”的飛速發(fā)展，大數(shù)據(jù)已經(jīng)滲透到各行各業(yè)，未來的時代已經(jīng)從IT時代轉(zhuǎn)變?yōu)镈T時代，大數(shù)據(jù)與人們的生活息息相關(guān)，同時也記錄了用戶大量的個人隱私，隨之帶來新的網(wǎng)絡(luò)與信息安全問題，同時傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)也面臨嚴峻挑戰(zhàn)。本文針對該問題開展探討研究，在通用入侵檢測模型的框架下設(shè)計了一個防火墻與入侵檢測系統(tǒng)集成的框架模型，希望能對提升大數(shù)據(jù)信息網(wǎng)絡(luò)安全起到一些積極的作用。

關(guān)鍵詞：大數(shù)據(jù);防火墻;入侵檢測;安全策略

中圖分類號：TP393.08? ? ? 文獻標識碼：A 文章編號：2096-4706（2019）19-0149-03

Abstract：With the rapid development of mobile “internet plus”，big data has penetrated into all walks of life. The future era has changed from the IT era to the DT era. Big data is closely related to people’s lives. At the same time，it also records a lot of personal privacy，which brings new problems of network and information security，and the traditional network security technology is also facing serious challenges. In this paper，we discuss and study this problem，a framework model of firewall and intrusion detection system integration is designed under the framework of general intrusion detection model. It is hoped that this model can provide some positive effects for improving the security of big data information network.

Keywords：big data;firewall;intrusion detection;security policy

0? 引? 言

隨著移動“互聯(lián)網(wǎng)+”的飛速發(fā)展，大數(shù)據(jù)已經(jīng)滲透到各行各業(yè)，大數(shù)據(jù)在各個領(lǐng)域的作用和價值越來越顯著，未來的時代已經(jīng)從IT時代轉(zhuǎn)為DT時代，未來企業(yè)之間的競爭將會是數(shù)據(jù)的競爭。工業(yè)和信息化部印發(fā)的《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020）》中指出：到2020年，大數(shù)據(jù)相關(guān)產(chǎn)品和服務(wù)業(yè)務(wù)收入突破1萬億元，年均復(fù)合增長率保持30%左右，大數(shù)據(jù)產(chǎn)業(yè)體系基本形成。大數(shù)據(jù)與人們的生活息息相關(guān)，在線購物、快遞物流、聊天社交、地圖導(dǎo)航等活動所產(chǎn)生的各種痕跡都被大數(shù)據(jù)記錄起來，當(dāng)中涉及到用戶大量的個人隱私，大數(shù)據(jù)的創(chuàng)新深入發(fā)展也隨之帶來了新的網(wǎng)絡(luò)與信息安全問題。近年來，個人隱私泄露、企業(yè)服務(wù)器被攻擊等各種網(wǎng)絡(luò)安全事故頻繁發(fā)生，傳統(tǒng)的防御手段逐漸失效，網(wǎng)絡(luò)安全技術(shù)面臨嚴峻挑戰(zhàn)。

防范網(wǎng)絡(luò)攻擊，最常用的對策是構(gòu)建防火墻。它將內(nèi)部可信區(qū)域與外部危險區(qū)域進行有效隔離，是抵御入侵的重要手段。但防火墻是靜態(tài)防御措施，對于實時攻擊和阻止內(nèi)部襲擊的效果較差。而入侵檢測是緊跟著防火墻的下一個安全關(guān)卡，對網(wǎng)絡(luò)進行監(jiān)測的同時并不會影響網(wǎng)絡(luò)的性能，還能提供對誤操作的保護，包括從外到內(nèi)的攻擊的保護。但是入侵檢測做不到主動控制攻擊，且自身也易受攻擊，要更好地解決網(wǎng)絡(luò)安全問題，二者缺一不可。本文通過研究，嘗試在通用入侵檢測模型的框架下設(shè)計了一個防火墻與入侵檢測系統(tǒng)集成的框架模型。當(dāng)該模型受到攻擊時，由于引入了入侵檢測，所以能靈活修改防火墻規(guī)則，并自動重新配置防火墻來阻擋下一波的攻擊，彌補了防火墻無法識別攻擊的缺點，同時彌補了防火墻不易配置的缺陷。

1? 大數(shù)據(jù)時代信息安全性

大數(shù)據(jù)技術(shù)不斷創(chuàng)新發(fā)展，在各行各業(yè)被廣泛深入應(yīng)用，傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)也面臨嚴峻挑戰(zhàn)，網(wǎng)絡(luò)信息安全問題越來越成為全球關(guān)注的焦點，網(wǎng)絡(luò)背后錯綜復(fù)雜的攻擊手段，不斷威脅著個人和企業(yè)的信息安全，大數(shù)據(jù)背景下的安全保護技術(shù)手段亟待強化更新。

大數(shù)據(jù)時代，人們在擔(dān)心個人隱私被泄露的同時，也在享受著大數(shù)據(jù)技術(shù)帶來的許多便利，企業(yè)會優(yōu)先選擇更加安全和穩(wěn)定的大數(shù)據(jù)產(chǎn)品。網(wǎng)絡(luò)黑客通過大數(shù)據(jù)挖掘、人工智能等新技術(shù)不斷提高網(wǎng)絡(luò)攻擊的次數(shù)和精確度，攻擊工具的不斷升級也使得攻擊手段在大數(shù)據(jù)的掩護下變得更加隱蔽，利用傳統(tǒng)安全設(shè)備從本地網(wǎng)絡(luò)或終端數(shù)據(jù)中發(fā)現(xiàn)未知的威脅，就如同大海撈針，效率極低。

研發(fā)大數(shù)據(jù)安全技術(shù)產(chǎn)品，重點在于如何針對大數(shù)據(jù)環(huán)境下的賬戶密碼和重要的內(nèi)部資料進行大數(shù)據(jù)加密，如何加強云平臺和虛擬網(wǎng)絡(luò)的安全技術(shù)，如何提升云計算、防竊取、防泄露、軟件漏洞等大數(shù)據(jù)保護技術(shù)水平，并且通過提高大數(shù)據(jù)挖掘分析，加強大數(shù)據(jù)加密手段，加強數(shù)據(jù)流動監(jiān)控與追溯，建設(shè)網(wǎng)絡(luò)信息安全態(tài)勢感知大數(shù)據(jù)平臺，增強網(wǎng)絡(luò)信息安全風(fēng)險檢測、預(yù)警和處理能力，共享網(wǎng)絡(luò)信息安全數(shù)據(jù)采集，優(yōu)化網(wǎng)絡(luò)安全管理機制，構(gòu)建強大穩(wěn)定的大數(shù)據(jù)安保體系，充分利用大數(shù)據(jù)技術(shù)維護網(wǎng)絡(luò)信息安全。

2? 防火墻技術(shù)

2.1? 防火墻的概念

防火墻是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。如圖1所示，防火墻是在外網(wǎng)（Internet）和內(nèi)網(wǎng)（Intranet）之間建立的一個用于監(jiān)控、過濾和記錄流量通過的屏障，是軟硬件相結(jié)合的一個網(wǎng)絡(luò)安全系統(tǒng)，有效隔離了內(nèi)外網(wǎng)之間的信息流動，是用于保護內(nèi)部網(wǎng)信息安全以及保護內(nèi)部網(wǎng)用戶資料的一種手段。

2.2? 防火墻的分類與功能

防火墻大致可分為兩大體系，一個是包過濾防火墻（Packet Filter），包過濾技術(shù)是在網(wǎng)絡(luò)層根據(jù)定義好的過濾規(guī)則，當(dāng)有數(shù)據(jù)包要通過的時候，負責(zé)檢查每個數(shù)據(jù)包，如果數(shù)據(jù)包和過濾規(guī)則匹配，則允許數(shù)據(jù)包通過，否則拒絕數(shù)據(jù)包的流通。另一個是代理防火墻（Application Gateway），代理服務(wù)器位于客戶機與Internet服務(wù)器之間，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)完全分開，并針對客戶端不同的應(yīng)用程序，如FTP、HTTP、Telnet、SMTP等分別進行安全審核。

防火墻的功能主要是對從外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的行為進行控制和管理，限制或者攔截不安全的服務(wù)，達到過濾出入網(wǎng)絡(luò)的數(shù)據(jù)安全的目的，并且在過濾期間記錄下各種通過防火墻的信息內(nèi)容，有效地保護內(nèi)部網(wǎng)絡(luò)。

2.3? 防火墻的優(yōu)缺點

防火墻的優(yōu)點是：能有效且方便地實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護;因為所有進出信息都必須通過防火墻，作為唯一的訪問途徑，防火墻能有效地記錄網(wǎng)絡(luò)上的活動;通過防火墻上的安全規(guī)則和日志分析可以方便地監(jiān)視網(wǎng)絡(luò)安全。假如防火墻遭到入侵或者發(fā)生崩潰時，防火墻能強行斷開內(nèi)外網(wǎng)之間的連接，確保內(nèi)網(wǎng)的安全，同時防火墻會進行預(yù)警，并追蹤入侵者的來源，確保網(wǎng)管能及時采取應(yīng)急措施。

防火墻的缺點是：防火墻不能防范不通過它的連接，防火墻的安全控制只能作用于外部訪問內(nèi)部或者內(nèi)部訪問外部，而據(jù)權(quán)威部門統(tǒng)計結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有很大一部分來自內(nèi)部攻擊。防火墻可以防止外部的用戶獲得敏感數(shù)據(jù)，但它無法防止內(nèi)部用戶拷貝文件，或是盜用信息。如果懷有惡意的內(nèi)部員工關(guān)掉防火墻或?qū)⒄军c設(shè)為允許對防火墻后的內(nèi)部系統(tǒng)進行訪問，那么防火墻將形同虛設(shè)。此外，防火墻是一種靜態(tài)安全技術(shù)，必須事先設(shè)置好安全規(guī)則，它無法主動跟蹤入侵源，也不能對實時攻擊做出靈活響應(yīng)。且防火墻無法防范病毒，更不能消除網(wǎng)絡(luò)上的病毒。

3? 入侵檢測技術(shù)

3.1? 入侵檢測的概念

入侵檢測（Intrusion Detection）是一種通過收集網(wǎng)絡(luò)系統(tǒng)的某些關(guān)鍵位置的信息然后進行分析比對的機制，它能夠檢查網(wǎng)絡(luò)系統(tǒng)是否有被攻擊的跡象，以及是否存在違反安全規(guī)則的情況。入侵檢測能夠幫助網(wǎng)絡(luò)系統(tǒng)快速甄別網(wǎng)絡(luò)攻擊，有效協(xié)助網(wǎng)管人員提高網(wǎng)絡(luò)安全的管理能力，入侵檢測彌補了防火墻的不足，使得網(wǎng)絡(luò)安全體系更加完整。

3.2? 入侵檢測的原理及功能

入侵檢測是防火墻后面的第二次安全關(guān)卡，它能隨時監(jiān)聽網(wǎng)絡(luò)，在不影響網(wǎng)絡(luò)性能的前提下一旦發(fā)現(xiàn)有攻擊或誤操作就能進行實時保護。如圖2所示，入侵檢測系統(tǒng)更像是充當(dāng)了一個網(wǎng)絡(luò)嗅探的角色，它從搜集來的信息中提取數(shù)據(jù)進行分析，利用儲備的入侵特征進行比對分析，如果發(fā)現(xiàn)匹配度較高則判斷為存在入侵，入侵檢測將斷開連接、記錄證據(jù)并恢復(fù)數(shù)據(jù)。

入侵檢測系統(tǒng)的主要功能就是監(jiān)視系統(tǒng)、用戶的運行情況，能夠?qū)崟r檢測到用戶的非正?；顒樱M行統(tǒng)計分析，通過查找非法用戶，記錄入侵行為的規(guī)律，進一步檢測系統(tǒng)配置的正確性，發(fā)現(xiàn)漏洞并提示網(wǎng)管補漏。

3.3? 入侵檢測系統(tǒng)的不足

入侵檢測系統(tǒng)無法彌補安全防御系統(tǒng)中的安全缺陷和漏洞;對攻擊特征庫的更新不及時，大數(shù)據(jù)時代下，每天都會有大量新的攻擊方法產(chǎn)生，每天都有大量的新漏洞發(fā)布，傳統(tǒng)的入侵檢測顯然不能滿足安全要求;入侵檢測系統(tǒng)無法控制外網(wǎng)對內(nèi)網(wǎng)的訪問，存在安全漏洞;當(dāng)入侵者頻繁向內(nèi)部網(wǎng)傳輸大量數(shù)據(jù)時，容易造成入侵檢測應(yīng)付不來而崩潰的情況;入侵檢測系統(tǒng)缺乏國際統(tǒng)一的標準。

4? 集成防火墻的入侵檢測系統(tǒng)

如前所述，在大數(shù)據(jù)背景下，惡意攻擊者入侵的手段越來越復(fù)雜越來越隱蔽，而單獨的防火墻和入侵檢測系統(tǒng)都存在自身的不足和缺陷。為了更好地解決大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全問題，我們嘗試研究將防火墻與入侵檢測集成的模型，這種模型同時具備兩者的優(yōu)點，相互之間又能互相彌補對方的不足。如圖3所示，該模型通過網(wǎng)關(guān)應(yīng)用于外網(wǎng)和內(nèi)網(wǎng)之間，防火墻與入侵檢測可通過通信機制進行傳遞信息。

入侵檢測中的事件發(fā)生器可以動態(tài)采集各種流量包并進行比對分析，并將有用的信息發(fā)送到分析引擎，分析引擎通過用戶制定的安全策略進行檢測，如果檢測到入侵行為，將觸發(fā)響應(yīng)單元自動修改防火墻的安全策略，從而達到阻止入侵的目的，同時發(fā)出預(yù)警，使網(wǎng)管可以及時采取有效的應(yīng)急措施，如圖4所示。

5? 結(jié)? 論

在移動“互聯(lián)網(wǎng)+”大數(shù)據(jù)時代的背景下，信息安全的問題只會越來越突出，本文對入侵檢測和防火墻的集成進行了探索研究，使得兩者互相彌補對方的不足，既提高了防火墻的智能訪問控制能力，又解決了傳統(tǒng)入侵檢測不能進行主動控制的問題。經(jīng)實踐發(fā)現(xiàn)，該集成系統(tǒng)使得防火墻和入侵檢測兩者的性能都得到了有效的改善，希望能對提升大數(shù)據(jù)信息網(wǎng)絡(luò)安全起到積極的參考作用。

參考文獻：

[1] 曾凡平.網(wǎng)絡(luò)信息安全 [M].北京：機械工業(yè)出版社，2015：145-146.

[2] 甘劍.入侵檢測系統(tǒng)的分析研究 [J].武警工程學(xué)院學(xué)報，2004（2）：77-80.

[3] 張麗紅.計算機網(wǎng)絡(luò)入侵檢測技術(shù)研究進展 [J].微計算機應(yīng)用，2004（2）：135-140.

[4] 羅守山.入侵檢測 [M].北京：北京郵電大學(xué)出版社. 2004：97-99.

[5] 訊宜捷科技.未來互聯(lián)網(wǎng)+大數(shù)據(jù)時代 [EB/OL].（2018- 06-20）.http：//www.sohu.com/a/236807089_495461.

作者簡介：葉曉兵（1980-），男，漢族，廣西靈山人，教師，講師，工程師，學(xué)士學(xué)位，研究方向：數(shù)據(jù)庫管理、軟件技術(shù)、信息與安全技術(shù)、電子商務(wù)。