基于日志解析的網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密系統(tǒng)優(yōu)化

范海濤,張寧

（中國北方發(fā)動機(jī)研究所，天津 300400）

1 引言

網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)傳輸信息安全、網(wǎng)絡(luò)軟件安全三個(gè)部分。一般來說，網(wǎng)絡(luò)安全問題可以分為兩類：一類是網(wǎng)絡(luò)數(shù)據(jù)庫中數(shù)據(jù)的篡改和獲取，另一類是網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中的數(shù)據(jù)截取和篡改[1]。從目前網(wǎng)絡(luò)安全管理的現(xiàn)狀來看，存儲在數(shù)據(jù)庫中的數(shù)據(jù)能夠得到有效的保護(hù)，使得其在傳輸狀態(tài)下比外部數(shù)據(jù)更容易受到攻擊，安全性較差。

為了保證網(wǎng)絡(luò)數(shù)據(jù)傳輸信息的安全性，可以在傳輸前對數(shù)據(jù)進(jìn)行加密。數(shù)據(jù)加密是通過特定的加密算法和加密密鑰將明文數(shù)據(jù)轉(zhuǎn)換成無意義的密文數(shù)據(jù)。在這個(gè)過程中，密文沒有意義，通常稱為混合碼[2]。為了進(jìn)一步提高網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)募用芴幚砟芰?，設(shè)計(jì)開發(fā)數(shù)據(jù)加密系統(tǒng)，通過應(yīng)用場景與加密系統(tǒng)的結(jié)合，采用預(yù)先約定的機(jī)制，無須設(shè)置加密算法，加密過程快速高效。

目前常用的加密系統(tǒng)主要是對稱和非對稱算法的結(jié)合，如AES算法、RSA算法等，在簽名驗(yàn)證和公鑰加密中通常采用不對稱算法，對稱算法用于快速對稱加密。中國以QQ和微信為代表的即時(shí)通信軟件大多是基于上述方法開發(fā)的。國外對加密系統(tǒng)的研究也比較豐富，一般面向移動的領(lǐng)域仍基于對稱和非對稱混合算法的思想。國際上采用的是一種高效的端到端加密系統(tǒng)，包括密鑰管理程序，對多個(gè)收單機(jī)構(gòu)中一個(gè)機(jī)構(gòu)中的多個(gè)交易終端和多個(gè)發(fā)卡機(jī)構(gòu)中的一個(gè)系統(tǒng)用戶之間的金融數(shù)據(jù)進(jìn)行加密，對選擇的數(shù)據(jù)進(jìn)行解密，并使用一次性會話密鑰進(jìn)行處理，該密鑰與主密鑰類似，并與請求和響應(yīng)消息的特定段一起發(fā)送。但是，現(xiàn)有的加密系統(tǒng)在實(shí)現(xiàn)和應(yīng)用過程中加密時(shí)間長，加密結(jié)果安全性不高，因此引入日志解析技術(shù)。日志具體指系統(tǒng)在指定對象上操作的操作結(jié)果，然后以全時(shí)間順序記錄和匯總操作結(jié)果，以反映系統(tǒng)狀態(tài)的變化[3]。一般來說，日志系統(tǒng)中只能發(fā)生一個(gè)獨(dú)立事件，多個(gè)日志集可以構(gòu)成最終日志文件，而文本文件是日志文件的主要表現(xiàn)形式，可以記錄大量相關(guān)的活動信息。Web應(yīng)用程序生成的文本記錄文件在處理服務(wù)時(shí)構(gòu)成Web日志?？擅枋鯳eb 應(yīng)用程序訪問記錄的數(shù)據(jù)。因此，在分析Web應(yīng)用程序的訪問情況時(shí)，Web日志是最重要的基礎(chǔ)數(shù)據(jù)源。分析博客，觀察博客數(shù)據(jù)是否有異常操作，判斷博客當(dāng)前運(yùn)行狀態(tài)，間接為網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全提供參考數(shù)據(jù)，協(xié)助數(shù)據(jù)加密系統(tǒng)的運(yùn)行。采用日志分析技術(shù)，提高了加密系統(tǒng)的加密功能和應(yīng)用性能。

2 網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密硬件系統(tǒng)

此次自動加密系統(tǒng)的主要目的是提高加密結(jié)果的安全性，優(yōu)化是為了加快系統(tǒng)的運(yùn)行速度。為了保證優(yōu)化設(shè)計(jì)結(jié)果的質(zhì)量，具體可從硬件、數(shù)據(jù)庫和軟件功能三個(gè)方面進(jìn)行[4]。在基于Internet C/S的通用通信模式下，當(dāng)用戶與服務(wù)器通信時(shí)，他們協(xié)商要運(yùn)行的協(xié)議版本、加密算法、初始信息等，這些都可以通過三次握手協(xié)議以明文形式完成。在網(wǎng)絡(luò)通信系統(tǒng)的應(yīng)用層，數(shù)據(jù)加密用于加密、數(shù)字簽名、認(rèn)證等操作。經(jīng)過身份驗(yàn)證后，對敏感的RSA 通信進(jìn)行加密或解密處理，并對數(shù)字簽名進(jìn)行簽名，然后客戶端和服務(wù)器通過常規(guī)方式進(jìn)行通信[5]。根據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密功能的運(yùn)行要求，確定了硬件設(shè)備的使用要求，并對傳統(tǒng)硬件系統(tǒng)中的一些模塊進(jìn)行了修改和優(yōu)化。

2.1 無線通信網(wǎng)絡(luò)

在無線網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)中，根據(jù)外部環(huán)境和通信要求，可以選擇樹狀、星形和蜂窩網(wǎng)絡(luò)結(jié)構(gòu)，實(shí)現(xiàn)設(shè)備間的點(diǎn)對點(diǎn)、點(diǎn)對多點(diǎn)和多點(diǎn)數(shù)據(jù)傳輸。結(jié)合網(wǎng)絡(luò)通信數(shù)據(jù)傳輸?shù)奶攸c(diǎn)，得出無線通信網(wǎng)絡(luò)的基本拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 無線通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

另外，為了保證網(wǎng)絡(luò)進(jìn)程的實(shí)時(shí)準(zhǔn)確傳輸與采集，在無線網(wǎng)絡(luò)中設(shè)置了濾波裝置，主要用于過濾信息采集數(shù)據(jù)中無效信號中的噪聲信號。應(yīng)用系統(tǒng)采用客戶機(jī)和服務(wù)器模式，充分共享服務(wù)器資源，充分發(fā)揮服務(wù)器強(qiáng)大的處理能力[6]。

2.2 設(shè)備接口芯片

系統(tǒng)的接口芯片主要由通信接口芯片、ADC接口芯片、模擬接口芯片等組成。設(shè)計(jì)了三種數(shù)據(jù)通信接口，即位數(shù)據(jù)地址總線接口、串行口和接口。當(dāng)外部控制器與之通信時(shí)，需要通過特定的接口電路實(shí)現(xiàn)通信協(xié)議和電平轉(zhuǎn)換功能[7]。以AVR 單片機(jī)為核心的光學(xué)成像技術(shù)網(wǎng)絡(luò)教學(xué)平臺，I/O口和數(shù)字傳感器工作電壓為5V，I/O 口通信網(wǎng)絡(luò)最高工作電壓為3.3V，為了實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸兩端的通信功能，應(yīng)將3.3V和5V I/O口電平雙向轉(zhuǎn)換，電平轉(zhuǎn)換是利用16位SN74 ALV164245DGR 電平轉(zhuǎn)換芯片實(shí)現(xiàn)的。MAX3232ESE 實(shí)現(xiàn)了3.3～±15v 的負(fù)邏輯電平轉(zhuǎn)換，該芯片是一種低功耗串行通信收發(fā)器，采用專用的低壓差分發(fā)射機(jī)輸出級，由雙電荷泵供電，實(shí)現(xiàn)RS-232的性能。芯片接口支持1.5Mbps低速和12Mbps 全速通信。通過ADI 模擬開關(guān)ADG707 實(shí)現(xiàn)了多路16 路單端/8 路差分模擬信號的選通，實(shí)現(xiàn)了多路模擬信號的選通。

2.3 通用串行總線

目前通用串行總線有三個(gè)版本，分別是USB1.0、USB2.0和最近發(fā)布的USB3.0。在此次自動加密系統(tǒng)的硬件設(shè)計(jì)過程中，選擇了最流行的USB2.0版本。根據(jù)系統(tǒng)的設(shè)計(jì)要求，采用通用串行總線及其接口與上位機(jī)進(jìn)行數(shù)據(jù)交換，包括上位機(jī)和下位機(jī)的數(shù)據(jù)交換，以滿足系統(tǒng)功能的各種要求，是硬件系統(tǒng)理想的通信接口。

3 網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密系統(tǒng)數(shù)據(jù)庫

數(shù)據(jù)庫主要是根據(jù)數(shù)據(jù)庫的邏輯結(jié)構(gòu)和數(shù)據(jù)傳輸規(guī)則設(shè)計(jì)的，邏輯結(jié)構(gòu)主要是分析實(shí)體對象數(shù)據(jù)存儲規(guī)則的合理規(guī)劃過程，物理結(jié)構(gòu)主要是設(shè)計(jì)滿足數(shù)據(jù)庫管理系統(tǒng)應(yīng)用要求的對象表結(jié)構(gòu)，最后對各數(shù)據(jù)表的組織、管理和查詢方案進(jìn)行了描述[8]。在描述數(shù)據(jù)庫的邏輯結(jié)構(gòu)時(shí)，首先要研究網(wǎng)絡(luò)中的日志數(shù)據(jù)和實(shí)時(shí)傳輸?shù)臄?shù)據(jù)。實(shí)際上，要管理的數(shù)據(jù)對象是根據(jù)系統(tǒng)的用戶需求確定的。這些數(shù)據(jù)對象是根據(jù)特征描述確定的，以確定具體的實(shí)體對象。實(shí)體對象是表示系統(tǒng)處理的對象的邏輯單元，它由網(wǎng)絡(luò)日志數(shù)據(jù)、網(wǎng)絡(luò)輸出傳輸終端和網(wǎng)絡(luò)數(shù)據(jù)接收終端等屬性組成。由此可以確定自動加密網(wǎng)絡(luò)的數(shù)據(jù)庫表包括網(wǎng)絡(luò)日志數(shù)據(jù)表、發(fā)文信息、接收信息等，在系統(tǒng)加密過程中數(shù)據(jù)庫還需要存儲明文信息、密文信息以及密鑰信息。以網(wǎng)絡(luò)日志數(shù)據(jù)為例，搭建的數(shù)據(jù)庫表如表1所示。

表1 網(wǎng)絡(luò)日志數(shù)據(jù)庫表

同理可以得出網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)幕緮?shù)據(jù)存儲情況，如表2所示。

表2 網(wǎng)絡(luò)傳輸數(shù)據(jù)表

4 網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密系統(tǒng)軟件

4.1 采集網(wǎng)絡(luò)日志數(shù)據(jù)

數(shù)據(jù)提取過程主要是識別防火墻日志和入侵檢測日志，并將其存儲在數(shù)據(jù)庫中，以備將來分析處理。數(shù)據(jù)抽取過程主要包括源文件格式分析、信息過濾、存儲數(shù)據(jù)庫三個(gè)步驟，其中數(shù)據(jù)源文件格式分析和解析是其中最重要和最核心的部分之一，因此，必須首先對源文件格式進(jìn)行詳細(xì)和精確的分析。因?yàn)槊總€(gè)系統(tǒng)的日志數(shù)據(jù)格式都是固定的，所以可以根據(jù)固定的日志數(shù)據(jù)格式和每個(gè)系統(tǒng)需要的字段定義一個(gè)正則表達(dá)式，并將其轉(zhuǎn)換為XML的方式，以統(tǒng)一的格式表示每個(gè)最終實(shí)現(xiàn)多個(gè)數(shù)據(jù)源的集成，端部的轉(zhuǎn)換與集成是網(wǎng)絡(luò)日志數(shù)據(jù)采集的初始結(jié)果。

4.2 解析網(wǎng)絡(luò)日志

由于網(wǎng)絡(luò)通信數(shù)據(jù)傳輸中日志數(shù)據(jù)來源廣、數(shù)據(jù)量大，存在噪聲和數(shù)據(jù)格式不一致等問題，給后續(xù)的日志分析帶來了很多障礙。因此，在日志采集數(shù)據(jù)的基礎(chǔ)上，執(zhí)行清理、轉(zhuǎn)換、合并等操作，實(shí)現(xiàn)對原始網(wǎng)絡(luò)日志數(shù)據(jù)的預(yù)處理。在此基礎(chǔ)上，對兩種攻擊模式和兩種攻擊模式下的日志進(jìn)行分析，得到用戶的正常行為模式和安全事件檢測規(guī)則，并形成規(guī)則庫。當(dāng)用戶的行為模式與規(guī)則庫發(fā)生沖突時(shí)，網(wǎng)絡(luò)中就會發(fā)生安全攻擊事件。安全歷史日志的分析過程如圖2所示。

圖2 安全歷史日志分析流程圖

另外，在攻擊場景中，根據(jù)專家經(jīng)驗(yàn)確定場景與事件的具體關(guān)系，利用FP-Growth算法得到特定攻擊場景對應(yīng)的攻擊事件的支持度。支持度的計(jì)算公式如下：

式中Ci，j和Ci分別表示的是i 和j 同時(shí)出現(xiàn)的次數(shù)以及i單獨(dú)出現(xiàn)的次數(shù)。在收集和處理網(wǎng)絡(luò)日志數(shù)據(jù)的基礎(chǔ)上進(jìn)行模式匹配，計(jì)算攻擊場景的發(fā)生概率。如果概率計(jì)算結(jié)果大于閾值，則表示當(dāng)前網(wǎng)絡(luò)日志數(shù)據(jù)為網(wǎng)絡(luò)攻擊場景生成的數(shù)據(jù)。

4.3 模擬網(wǎng)絡(luò)數(shù)據(jù)信息傳輸

結(jié)合網(wǎng)絡(luò)日志數(shù)據(jù)的解析結(jié)果和網(wǎng)絡(luò)日志數(shù)據(jù)與安全事件的關(guān)系，可以確定當(dāng)前網(wǎng)絡(luò)的安全運(yùn)行狀態(tài)，并在相應(yīng)的狀態(tài)下模擬網(wǎng)絡(luò)數(shù)據(jù)信息的傳輸。一般來講網(wǎng)絡(luò)數(shù)據(jù)的傳輸方式如圖3所示。

圖3 網(wǎng)絡(luò)數(shù)據(jù)信息傳輸方式示意圖

在單工模式下，當(dāng)用戶找到所需的文件時(shí)，他或她從擁有該文件的許多節(jié)點(diǎn)中選擇一個(gè)并下載它。只有信息提供者和資源需求者兩個(gè)節(jié)點(diǎn)參與整個(gè)下載過程和單向信息傳輸。此外，雙工通信首先根據(jù)任務(wù)將文件分成大小大致相同的塊，然后將這些模塊發(fā)送到正在下載的機(jī)器上。之后，用戶可以相互協(xié)作，共享下載的通信信息。

4.4 實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密功能

以傳輸狀態(tài)的數(shù)據(jù)為基礎(chǔ)，定義Fij為第i 條記錄第j 個(gè)字段的明文值，Kij為對應(yīng)的密鑰，ej為傳輸數(shù)據(jù)加密特征函數(shù)，D為網(wǎng)絡(luò)運(yùn)行加密管理參數(shù)，則對應(yīng)的密文可以表示為：

其中f 函數(shù)的定義為：

那么第二階段的加密過程表達(dá)式可以表示為：

將公式2、3和4進(jìn)行聯(lián)立，并將采集并處理完成的實(shí)時(shí)傳輸數(shù)據(jù)作為明文對象，便可以得出該傳輸數(shù)據(jù)的加密結(jié)果。

5 系統(tǒng)測試

5.1 部署系統(tǒng)測試環(huán)境

在基本網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，系統(tǒng)測試的通信網(wǎng)絡(luò)運(yùn)行環(huán)境增加了密鑰管理中心、安全管理中心、網(wǎng)管中心、交換機(jī)、密碼模塊等部分。安全中心位于安全中心后面，與通信網(wǎng)絡(luò)沒有直接連接。從網(wǎng)絡(luò)拓?fù)涞慕嵌葋砜?，安全中心和密鑰管理中心是集成的。交換機(jī)通過GDOI 向安全管理中心注冊GDOI，安全管理中心將GDOI 數(shù)據(jù)轉(zhuǎn)發(fā)給安全管理中心進(jìn)行處理。所有GDOI 業(yè)務(wù)安全管理中心移交安全管理中心完成。密鑰管理中心與業(yè)務(wù)配置之間沒有直接接口，密鑰管理中心與安全管理中心之間的所有接口均由安全管理中心配置。默認(rèn)開關(guān)用于連接GCKS1 以實(shí)現(xiàn)業(yè)務(wù)功能。當(dāng)GCKS1異常時(shí)，交換機(jī)會自動連接GCKS2注冊進(jìn)行業(yè)務(wù)處理。對于數(shù)據(jù)庫的選擇，考慮到對閱讀速度與效率的要求很高。由于目前流行的數(shù)據(jù)庫平臺中有很多數(shù)據(jù)庫引擎，它們的讀取速度非?？?，因此能夠提供良好的性能來滿足系統(tǒng)測試的需要。另外由于自動加密系統(tǒng)中引入了日志解析技術(shù)，因此需要安裝網(wǎng)絡(luò)安全日志分析工具，選擇的是Firewall Analyzer工具，該工具支持網(wǎng)絡(luò)上的各種安全設(shè)備，實(shí)現(xiàn)監(jiān)控，日志收集和分析結(jié)果的可視化輸出。

5.2 導(dǎo)入系統(tǒng)測試初始數(shù)據(jù)

在開始系統(tǒng)測試之前，在系統(tǒng)測試環(huán)境中分別導(dǎo)入網(wǎng)絡(luò)日志數(shù)據(jù)和傳輸數(shù)據(jù)，其中網(wǎng)絡(luò)日志數(shù)據(jù)的導(dǎo)入內(nèi)容如圖4所示。

圖4 網(wǎng)絡(luò)日志導(dǎo)入數(shù)據(jù)內(nèi)容界面

同理將需要傳輸?shù)男畔?shù)據(jù)導(dǎo)入到網(wǎng)絡(luò)環(huán)境中的發(fā)送端中，以此作為系統(tǒng)測試的樣本數(shù)據(jù)。

5.3 描述系統(tǒng)測試過程

此次實(shí)驗(yàn)的目的是測試設(shè)計(jì)的基于日志解析的網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密系統(tǒng)的加密效率，設(shè)置加密效率的測試指標(biāo)分別為加密結(jié)果的安全等級和加密功能的運(yùn)行速度。為了形成實(shí)驗(yàn)對比，在系統(tǒng)測試過程中分別設(shè)置傳統(tǒng)的加密系統(tǒng)和提出的基于RSA信息安全加密系統(tǒng)作為此次實(shí)驗(yàn)的對比系統(tǒng)[3]。利用部署的系統(tǒng)測試環(huán)境及其內(nèi)部的開發(fā)工具，在主測計(jì)算機(jī)中顯示界面系統(tǒng)的主界面，證明系統(tǒng)運(yùn)行正常，其中設(shè)計(jì)自動加密系統(tǒng)的運(yùn)行主界面如圖5所示。

圖5 網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密系統(tǒng)主界面

在系統(tǒng)的測試過程中，分別得出日志的解析結(jié)果、加密的密文輸出結(jié)果和密鑰生成結(jié)果，調(diào)取系統(tǒng)的后臺運(yùn)行界面判斷是否加密功能是否運(yùn)行成功。系統(tǒng)運(yùn)行的后臺界面如圖6所示。

圖6 自動加密系統(tǒng)的后臺運(yùn)行界面

同理可以在該界面中調(diào)取加密的起始時(shí)間和密文結(jié)果的輸出時(shí)間，從而計(jì)算出加密功能的運(yùn)行時(shí)間，運(yùn)行時(shí)間消耗越長證明加密速度越慢。另外加密的安全性分為兩個(gè)部分，一個(gè)是加密的安全等級，另一個(gè)就是利用密鑰能否實(shí)現(xiàn)密文的解密。將相關(guān)的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)與對比，從而得出有關(guān)于系統(tǒng)運(yùn)行效率的測試結(jié)果。

5.4 自動加密系統(tǒng)測試結(jié)果

由于此次系統(tǒng)采用的是多次實(shí)驗(yàn)取平均值的方式，因此按照數(shù)據(jù)樣本的編號來定義實(shí)驗(yàn)組別，最終得出的系統(tǒng)測試結(jié)果如表3所示。

從表3中可以看出相比之外，設(shè)計(jì)的自動加密系統(tǒng)的加密等級更高，解密結(jié)果更加符合預(yù)期結(jié)果，即與初始加密的數(shù)據(jù)樣本的重合度較高。從時(shí)間開銷方面來看，設(shè)計(jì)的系統(tǒng)的完成時(shí)間均早于另兩個(gè)加密系統(tǒng)，即設(shè)計(jì)系統(tǒng)的加密速度更快。綜上所述，設(shè)計(jì)的基于日志解析的網(wǎng)絡(luò)數(shù)據(jù)傳輸信息安全自動加密系統(tǒng)的運(yùn)行效率更高。

表3 自動加密系統(tǒng)測試結(jié)果數(shù)據(jù)表

6 結(jié)束語

穩(wěn)定、可靠的信息通信系統(tǒng)對網(wǎng)絡(luò)數(shù)據(jù)的穩(wěn)定傳輸具有重要的現(xiàn)實(shí)意義。通過網(wǎng)絡(luò)日志數(shù)據(jù)的解析可以反映出當(dāng)前網(wǎng)絡(luò)的運(yùn)行狀態(tài)，從而選擇合適的加密方式，保證傳輸狀態(tài)中的信息數(shù)據(jù)的完整性和準(zhǔn)確性。然而在系統(tǒng)測試中主要針對系統(tǒng)的運(yùn)行效率進(jìn)行測試，在不同的網(wǎng)絡(luò)壓力下，系統(tǒng)的運(yùn)行速度會隨之發(fā)生變化，可能會出現(xiàn)系統(tǒng)崩潰的問題。因此在未來的研究工作中需要針對自動加密系統(tǒng)的壓力問題進(jìn)一步分析與優(yōu)化。