計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用及安全防御

張 勇

（壽光市社會治理服務(wù)中心 山東 壽光 262700）

0 引言

隨著互聯(lián)網(wǎng)的發(fā)展，現(xiàn)階段網(wǎng)絡(luò)安全已成為計算機網(wǎng)絡(luò)系統(tǒng)的主要問題，因此相關(guān)人員應(yīng)對此方面的問題給予高度關(guān)注，對于自身系統(tǒng)進行全面研究和設(shè)計，從而提升自身計算機網(wǎng)絡(luò)系統(tǒng)的安全性，為相關(guān)人員提供安全的網(wǎng)絡(luò)使用環(huán)境。

1 計算機網(wǎng)絡(luò)技術(shù)安全

計算機網(wǎng)絡(luò)安全主要是指運用特定的技術(shù)手段提升網(wǎng)絡(luò)自身的監(jiān)管能力，從而保障用戶操作環(huán)境的安全性[1]。運用網(wǎng)絡(luò)的安全性及自身安全性主要由兩方面組成，一方面是物理安全保護，主要為計算機自身的硬件設(shè)施，組合最優(yōu)化，以此降低硬件設(shè)施的損害。另一方面為計算機邏輯安全詞方面，主要是指提升計算機自身數(shù)據(jù)的穩(wěn)定性，其在實際運用過程中需要運用特定運算方式進行數(shù)據(jù)分析，從而為用戶的使用安全保駕護航。

2 網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計與實現(xiàn)

2.1 系統(tǒng)架構(gòu)設(shè)計

當網(wǎng)絡(luò)受到外界攻擊的時候，首先是外部拓撲結(jié)構(gòu)進行防御，所采用的技術(shù)是分布式防火墻，可以作為“第一級別的防御”[2]。如果防火墻技術(shù)沒有成功攔截網(wǎng)絡(luò)攻擊，那么系統(tǒng)將進行“第二級別的防御”，即進行入侵檢測與防御系統(tǒng)的保護工作。入侵檢測與防御系統(tǒng)包括網(wǎng)絡(luò)探測器、主機探測器與策略管理中心和控制臺4個功能組件。網(wǎng)絡(luò)安全防御系統(tǒng)整體架構(gòu)見圖1。

2.2 入侵檢測與防御系統(tǒng)主要組件功能描述

2.2.1 網(wǎng)絡(luò)探測器組件

網(wǎng)絡(luò)探測器組件按照不同的功能應(yīng)用可以劃分為節(jié)點控制模塊、規(guī)則庫、規(guī)則分析器、預處理器與嗅探器[3]。依據(jù)實際的功能模塊則可以劃分為數(shù)據(jù)收集模塊、數(shù)據(jù)分析模塊、規(guī)則解析模塊、報警模塊與節(jié)點控制模塊。不同功能模塊的作用如下。

（1）數(shù)據(jù)收集模塊：主要負責在網(wǎng)絡(luò)系統(tǒng)中對數(shù)據(jù)信息的檢測與控制，同時將數(shù)據(jù)包信息傳遞給不同的節(jié)點進行實時的交互與通信。

（2）數(shù)據(jù)分析模塊：將獲取到的數(shù)據(jù)信息進行研究與分析操作，同時將數(shù)據(jù)的結(jié)構(gòu)域格式一并傳遞給下一個通信節(jié)點，按照不同的規(guī)則與應(yīng)用將不同節(jié)點之間的通信進行交互式連合。

（3）規(guī)則解析模塊：根據(jù)不同的規(guī)則與匹配算法，將接收到的節(jié)點信息向下一個節(jié)點進行交互式的傳遞。同時對數(shù)據(jù)包中的數(shù)據(jù)信息進行封裝處理，如果有受到網(wǎng)絡(luò)攻擊的節(jié)點，那么將轉(zhuǎn)發(fā)給解析模塊。

（4）報警模塊：依據(jù)網(wǎng)絡(luò)所給定的數(shù)據(jù)格式進行數(shù)據(jù)的解析與傳遞操作。將接收到的報警信息傳遞給策略管理中心，進行統(tǒng)一的管理與相關(guān)操作。

（5）節(jié)點控制模塊：該模塊是實現(xiàn)所有遭受到網(wǎng)絡(luò)攻擊的節(jié)點信息的處理與管理操作，在對其進行解析操作的同時，實現(xiàn)相應(yīng)的控制與管理。

2.2.2 主機探測器組件

主機探測器主要是安裝在服務(wù)器端，目的是實現(xiàn)對所有遭受網(wǎng)絡(luò)攻擊的主機節(jié)點的異常檢測與保護操作。

由于主機探測器節(jié)點的安裝位置在服務(wù)器端，因此可以將其看作是入侵檢測與防御系統(tǒng)中針對攻擊進行保護的核心構(gòu)成部分[4]。其中所涉及的內(nèi)容還有異常檢測，當防火墻技術(shù)無法對網(wǎng)絡(luò)攻擊進行良好檢測與保護的時候，那么入侵檢測與防御系統(tǒng)將會進行更深一步的檢測與防御操作。在這個過程中，主機探測器作為核心的控制管理部分，首要是對異常檢測器進行檢測與防御。如果主機探測器檢測出相關(guān)的網(wǎng)絡(luò)攻擊信息，那么將會把網(wǎng)絡(luò)的攻擊信息提交給策略管理中心，由策略管理中心做出下一步的選擇與評價。

2.2.3 策略管理中心組件

網(wǎng)絡(luò)探測器和主機探測器都是對異常與網(wǎng)絡(luò)攻擊進行處理與控制的關(guān)鍵部分，而對這些功能組件的控制管理則是由策略管理中心進行。策略管理中心組件可以看作是入侵檢測與防御系統(tǒng)中的核心處理模塊，負責掌管著所有模塊的交互式通信與操作功能。

策略管理中心可以實現(xiàn)不同的功能模塊之間的交互式通信，并且具有對異常進行檢測與報警處理的功能[5]。當網(wǎng)絡(luò)接收到網(wǎng)絡(luò)攻擊的時候，策略管理中心將會直接調(diào)用異常與報警處理模塊，這一模塊一旦接收到報警與異常處理信息，立即報警處理，同時將數(shù)據(jù)庫中的數(shù)據(jù)信息進行更新，并且將日志記錄進行更新操作。

2.2.4 控制臺組件

控制臺組件主要實現(xiàn)用戶與入侵檢測與防御系統(tǒng)的交互功能?？刂婆_實際上是用戶的信息操作界面，其不負責報警信息的處理和分析，但是可以通過多種形式把報警信息顯示給用戶。當用戶以合法身份登錄后，可以對報警信息、網(wǎng)絡(luò)攻擊行為、處理結(jié)果進行統(tǒng)計與分析?？刂婆_組件具體分為管理模塊、統(tǒng)計與分析模塊、信息查詢模塊3部分。

2.3 關(guān)鍵功能模塊設(shè)計

2.3.1 規(guī)則解析模塊設(shè)計

在異常入侵檢測中，為檢測入侵行為，需要對報文進行規(guī)則匹配，通過對入侵行為進行分析，提取入侵行為的特征值，并與規(guī)則庫中的正常行為進行比較，當入侵行為與正常行為有重大偏離時，認為是入侵。規(guī)則格式根據(jù)邏輯被分為規(guī)則頭以及規(guī)則選型兩部。規(guī)則頭定義了規(guī)則的行為，所匹配報文的協(xié)議、源地址、目標地址以及網(wǎng)絡(luò)掩碼、源端口和目標端口信息；規(guī)則選項部分則包含了所要顯示給用戶看的警告信息以及用來判斷此報文是否為攻擊報文的其他信息。由于規(guī)則庫是文本文件，不能作為直接的數(shù)據(jù)結(jié)構(gòu)給檢測引擎調(diào)用，因此在進行啟動的過程中還應(yīng)對在規(guī)則庫中對文件進行及時解析，使其生成能夠被引擎進行運作的數(shù)據(jù)機構(gòu)。在規(guī)則解析模塊中，設(shè)計的主要函數(shù)見表1。

表1 主要函數(shù)

2.3.2 報警信息處理模塊設(shè)計

基于異常檢測的入侵檢測與防御系統(tǒng)通常需要處理數(shù)量巨大的報警信息，為減輕報警信息對系統(tǒng)產(chǎn)生的負載，針對報警響應(yīng)的處理，將采用隊列結(jié)構(gòu)進行信息的存儲。為方便發(fā)現(xiàn)警報真正的產(chǎn)生根源，系統(tǒng)采用聚類方法為警報信息進行無監(jiān)督分類，從而提供警報根源分析依據(jù)，進一步消除根源。在本系統(tǒng)中，通過對報警信息數(shù)據(jù)預處理抽象出屬性特征，報警信息的無監(jiān)督分類處理采用K-means聚類算法。算法過程如下：首先，從無數(shù)的警報中選擇若干個警報作為質(zhì)心。其次，在實際進行警報測量的過程中還應(yīng)對剩余的警報到質(zhì)心的距離進行檢測，并將其劃分到與其自身最近的分類中。再次，在上述的分析之后進行各個類別的質(zhì)心重新計算。最后，再進行質(zhì)心與原質(zhì)心的全面計算，在迭代2～3步驟之后，將得到與新的質(zhì)心與原質(zhì)心取值范圍≤的閾值，結(jié)束此算法，并在開展K-means運作的過程中運用距離作為其相似性評價指標，若是兩個對象距離逐漸增加，則其中的相似度就越大。通過無監(jiān)督分類處理，對每一個類簇中的警報進行計數(shù)，所有警報信息按照所在類簇中的警報數(shù)按大小分類排序，等待用戶分析與處理。

2.3.3 服務(wù)器線程類設(shè)計及控制流程

關(guān)于網(wǎng)絡(luò)的外部拓撲結(jié)構(gòu)將采用防火墻技術(shù)進行構(gòu)化，而對于內(nèi)部拓撲結(jié)構(gòu)則采用入侵檢測與防御系統(tǒng)。在入侵檢測與防御系統(tǒng)中最為核心的是對數(shù)據(jù)管理與策略的實現(xiàn)過程。服務(wù)器線程類設(shè)計如State_SyslogServer類所示。

publicclassState_SyslogServer

{

privatebooleanSyslogServerOn=false;

privatebooleanSyslogServerIsRunning=fasle;

privateBooleanavailable=true;

publicsynchronizedbooleanget_SyslogSeverOn();

publicsynchronizedvoidset_SyslogSeverOn(booleanvalue);

publicsynchronizedbooleanget_SyslogSeverIsRunning();

publicsynchronizedvoidget_SyslogSeverIsRunning(booleanvalue);

publicsynchronizedvoidwait_SyslogSeverIs(booleanflag);

}

2.4 數(shù)據(jù)中心安全

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)管理也朝著集中化、高細粒度以及多維度的方向發(fā)展。隨著業(yè)務(wù)的需求以及管理流程的不斷完善，對內(nèi)部數(shù)據(jù)的集中歸類和處理工作變得更為重要，這就需要加速完善對數(shù)據(jù)中心的建立和保障體系。本著多層實施防護以及分布工作的原則，實現(xiàn)對該數(shù)據(jù)中心的安全設(shè)計任務(wù)。在這一設(shè)計方案中，通過外部的三層防護機制來實現(xiàn)對數(shù)據(jù)中心的安全設(shè)計。在這一體系中，第1層是基于網(wǎng)絡(luò)層面的保護，在這一層通過部署安全特性豐富的網(wǎng)絡(luò)交換，實現(xiàn)對數(shù)據(jù)中心的保護；第2層為對IDC應(yīng)用層的保護，入侵防御系統(tǒng)的部署能夠?qū)崿F(xiàn)對數(shù)據(jù)中心網(wǎng)絡(luò)邊緣的保護；第3層為保護數(shù)據(jù)中心管網(wǎng)絡(luò)邊緣，主要途徑為將高性能防火墻部署在數(shù)據(jù)中心的網(wǎng)絡(luò)接口處。

對來自外部數(shù)據(jù)訪問請求進行管理和控制，是防火墻的主要功能，入侵防御系統(tǒng)能夠阻擋蠕蟲病毒之類防火墻難以深度檢測的攻擊。主動防御系統(tǒng)可以對應(yīng)用層的信息進行深度檢測和分析，通過分析外來數(shù)據(jù)中帶有攻擊性的成分，達到及時阻斷外來入侵的目的，保護數(shù)據(jù)中心的應(yīng)用層不被入侵。狀態(tài)防火墻可以實現(xiàn)對IDC網(wǎng)絡(luò)邊界安全的保障工作，將安全信任和非安全信任網(wǎng)絡(luò)進行分離，防御多種形式的畸形報文攻擊。網(wǎng)絡(luò)交換機的部署工作是保障數(shù)據(jù)中心安全的基礎(chǔ)，進一步實現(xiàn)對數(shù)據(jù)鏈路層的安全防御工作。除此，不同安全特征的網(wǎng)絡(luò)設(shè)備有著不同的安全需求，這就要求我們組建不同的信任模型以及執(zhí)行一系列安全策略。以區(qū)域劃分和多層部署方案為引導，還需要建立對IDC服務(wù)區(qū)的多層部署工作。

其中，接入產(chǎn)品與首層建立直接的鏈接，Web服務(wù)層為提供網(wǎng)站；第2層扮演了中間人的角色，將用戶的應(yīng)用程序、存儲服務(wù)器以及服務(wù)器數(shù)據(jù)庫三者聯(lián)系起來，與應(yīng)用層相銜接；最后，數(shù)據(jù)庫層即為第3層，這一層主要負責進行網(wǎng)絡(luò)相關(guān)信息和數(shù)據(jù)的存儲工作，并將數(shù)據(jù)庫系統(tǒng)布置在該層，方便進行數(shù)據(jù)的收集工作。

3 系統(tǒng)運行與測試

3.1 系統(tǒng)運行

在網(wǎng)絡(luò)環(huán)境中，外部拓撲中采取防火墻技術(shù)，具體將相關(guān)的硬件設(shè)備進行實現(xiàn)，而針對內(nèi)部的拓撲結(jié)構(gòu)則應(yīng)用入侵檢測與防御系統(tǒng)。對于規(guī)模較小的，入侵與檢測防御系統(tǒng)可以安裝在同一臺服務(wù)器上，即將網(wǎng)絡(luò)探測器組件、主機探測器組件、策略管理中心組件和控制臺組件可以在同一操作系統(tǒng)上運行。對于網(wǎng)絡(luò)結(jié)構(gòu)比較復雜的，可以采用多級結(jié)構(gòu)，實現(xiàn)級聯(lián)管理，見圖2。在圖2中，網(wǎng)絡(luò)探測器組件可以安裝在各個內(nèi)部子網(wǎng)絡(luò)中，策略管理中心組件和主機探測器組件可以安裝在網(wǎng)絡(luò)服務(wù)器中。在這種結(jié)構(gòu)中，網(wǎng)絡(luò)局部受到攻擊和侵害的時候，系統(tǒng)能夠集合各終端信息，進行綜合分析，對網(wǎng)絡(luò)全局做出嚴密的監(jiān)控和響應(yīng)，以使網(wǎng)絡(luò)威脅造成的損失最小。

3.2 系統(tǒng)測試

在進行系統(tǒng)測試前，入侵與檢測防御系統(tǒng)安裝在一臺服務(wù)器上，對此服務(wù)器進行非法入侵與攻擊。

3.2.1 測試環(huán)境

（1）硬件：CPU：IntelCorei7-45903.3 GHz；內(nèi)存：8 G；硬盤：500 G；網(wǎng)卡：10/100 M自適應(yīng)。（2）軟件：操作系統(tǒng)：Windows2020；應(yīng)用軟件：入侵檢測與防御系統(tǒng)。

3.2.2 測試

（1）應(yīng)用進程開啟與關(guān)閉測試。首先，進入入侵檢測與防御系統(tǒng)操作界面查看服務(wù)器當前運行的進程。其次，打開QQ程序，查看QQ進程信息。最后，結(jié)束QQ進程，查看QQ進程結(jié)束成功。通過以上操作，操作結(jié)果與預期結(jié)果一致，測試通過。

（2）遠程訪問測試。首先，進入入侵檢測與防御系統(tǒng)操作界面查看服務(wù)器當前運行的進程。其次，遠程ping服務(wù)器，查看ping信息。再次，ping結(jié)束，查看ping結(jié)束成功。同時，遠程Telnet服務(wù)器，查看Telnet進程信息。最后，Telnet結(jié)束，查看Telnet結(jié)束成功。通過以上操作，操作結(jié)果與預期結(jié)果一致，測試通過。

3.2.3 性能測試

（1）丟包率測試。丟包率反映入侵檢測與防御系統(tǒng)的數(shù)據(jù)包的處理能力，與數(shù)據(jù)包的長度和發(fā)送頻率有關(guān)，入侵檢測與防御系統(tǒng)在測試中系統(tǒng)平均丟包率不到0.5‰。

（2）延遲時間。延遲時間指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時間。延遲時間的長短直接關(guān)系著入侵攻擊破壞的程度。在40%負載下，入侵檢測與防御系統(tǒng)測試的平均延遲都在毫秒級。

（3）負荷能力。入侵檢測與防御系統(tǒng)之間的設(shè)計有著一定的負荷能力，在超出負荷的過程中，其自身的性能會不斷下降，因此在實際運行過程中需要以負荷能力作為標準，對入侵檢測和防御系統(tǒng)進行衡量。在一般情況下，IDS的運行能夠?qū)δ彻暨M行有效檢測，但是在其負荷變大的情況下，其檢測水平會下降。

（4）檢測率。檢測率是指被監(jiān)控系統(tǒng)在受到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。通過兩周的測試，入侵檢測與防御系統(tǒng)的平均檢測率在98%。

（5）虛警率。虛警率是指檢測系統(tǒng)在檢測時出現(xiàn)虛警的概率。通過兩周的測試，入侵檢測與防御系統(tǒng)的平均虛警率在2%。

4 結(jié)語

而研制現(xiàn)階段計算機網(wǎng)絡(luò)安全問題，已經(jīng)得到社會廣泛關(guān)注，但是真正實現(xiàn)計算機網(wǎng)絡(luò)安全還需相關(guān)人員進行全面研究，根據(jù)運用環(huán)境的需要和實際問題進行全面優(yōu)化，以此提升計算機網(wǎng)絡(luò)運用的安全，為我國計算機網(wǎng)絡(luò)技術(shù)的提升提供基礎(chǔ)保障。