基于大數(shù)據(jù)分析技術(shù)的遠(yuǎn)程網(wǎng)絡(luò)攻擊防御軟件開發(fā)與設(shè)計

榮智坤

（山東維平信息安全測評技術(shù)有限公司，山東 濟(jì)南 250001）

0 引言

在信息技術(shù)高速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)不斷積累，大數(shù)據(jù)分析技術(shù)快速發(fā)展的背景下，傳統(tǒng)數(shù)據(jù)分析技術(shù)主要適用于處理結(jié)構(gòu)化數(shù)據(jù)，在數(shù)據(jù)分析上存在一定的局限性，并且也難以進(jìn)行實時決策，因此難以滿足當(dāng)下實際應(yīng)用環(huán)境。隨著互聯(lián)網(wǎng)的發(fā)展，用戶對網(wǎng)絡(luò)提出了更高的要求，大數(shù)據(jù)技術(shù)應(yīng)運而生。大數(shù)據(jù)分析技術(shù)在網(wǎng)絡(luò)平臺發(fā)揮了舉足輕重的作用，特別是在網(wǎng)絡(luò)安全領(lǐng)域體現(xiàn)出了巨大的應(yīng)用價值，目前已在智慧城市、物聯(lián)網(wǎng)、社交網(wǎng)絡(luò)等方面得到了廣泛應(yīng)用[1]。

近些年，遠(yuǎn)程網(wǎng)絡(luò)環(huán)境安全問題日益凸顯，基于大數(shù)據(jù)分析技術(shù)，網(wǎng)絡(luò)環(huán)境內(nèi)的數(shù)據(jù)結(jié)構(gòu)更加豐富，故而更易產(chǎn)生安全漏洞，嚴(yán)重影響計算機(jī)的運行，因此，設(shè)計并開發(fā)一種防御效果好、處理效率高的防御攻擊系統(tǒng)迫在眉睫[2.3]。與國外相比，我國攻擊防御軟件技術(shù)起步較晚，早期主要是通過程序木馬在上位機(jī)內(nèi)彈出攻擊攔截彈窗，在攻擊前期階段實現(xiàn)防御功能，但從目前的攻擊防御系統(tǒng)應(yīng)用情況來看，存在防御能力不強(qiáng)、攻擊攔截率低、響應(yīng)時間長、網(wǎng)絡(luò)安全防御技術(shù)功能單一等問題，難以滿足大數(shù)據(jù)環(huán)境中的網(wǎng)絡(luò)安全防御的實際要求。因此，本文設(shè)計了一種新型的基于大數(shù)據(jù)分析技術(shù)的遠(yuǎn)程網(wǎng)絡(luò)攻擊防御軟件，可有效解決現(xiàn)階段大數(shù)據(jù)環(huán)境中的網(wǎng)絡(luò)安全問題。

1 大數(shù)據(jù)分析技術(shù)

大數(shù)據(jù)的主要特點有：體量浩大、生成快速、模態(tài)繁多、波動性強(qiáng)、價值巨大，大數(shù)據(jù)的類型呈多樣化，主要有結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。近些年，大數(shù)據(jù)分析技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的重點應(yīng)用主要有網(wǎng)絡(luò)安全態(tài)勢感知、設(shè)備指紋、APT攻擊檢測、網(wǎng)絡(luò)異常檢測等，Hadoop和Spark是典型的大數(shù)據(jù)分析平臺，其中，Hadoop是用于對大數(shù)據(jù)進(jìn)行存儲和處理的開源框架，Hadoop適用于批處理操作，多被用于日志分析、流量分析等，Spark是大數(shù)據(jù)處理引擎，Spark的應(yīng)用實現(xiàn)了內(nèi)存計算機(jī)制，省去了磁盤I/O操作，應(yīng)用程序通過Spark資源管理其申請CPU、內(nèi)存等資源，在節(jié)點啟動相應(yīng)進(jìn)程等待主節(jié)點分配任務(wù)，完成任務(wù)后再把結(jié)果返回給應(yīng)用程序，Spark適用于流式或交互式數(shù)據(jù)查詢，在網(wǎng)絡(luò)安全方面應(yīng)用較多[4]。

在網(wǎng)絡(luò)安全威脅日益嚴(yán)峻的情況下，大數(shù)據(jù)分析技術(shù)在網(wǎng)絡(luò)安全方面（如APT攻擊檢測、網(wǎng)絡(luò)安全態(tài)勢感知等）起著重要作用[5]。在計算機(jī)網(wǎng)絡(luò)信息技術(shù)高速發(fā)展下，病毒、黑客入侵事件頻發(fā)，嚴(yán)重影響了網(wǎng)絡(luò)安全性，并且由于網(wǎng)絡(luò)數(shù)據(jù)體量大，增長快，傳統(tǒng)的網(wǎng)絡(luò)攻擊防御系統(tǒng)在攻擊目標(biāo)檢測上存在弊端，基于大數(shù)據(jù)分析技術(shù)可對大量網(wǎng)絡(luò)安全數(shù)據(jù)深度關(guān)聯(lián)進(jìn)行分析，在檢測APT攻擊方面體現(xiàn)出了特有的優(yōu)勢。

基于大數(shù)據(jù)技術(shù)開發(fā)的網(wǎng)絡(luò)攻擊防御系統(tǒng)通過大數(shù)據(jù)分析技術(shù)對海量網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)日志等數(shù)據(jù)分析處理，通過DS證據(jù)組合確定攻擊行為，計算攻擊路徑，實現(xiàn)了對攻擊目標(biāo)的預(yù)警，具有一定的實用價值。在DDoS檢測方面，以往的檢測方法難以從巨大規(guī)模的網(wǎng)絡(luò)流量有效檢測出網(wǎng)絡(luò)攻擊事件，基于大數(shù)據(jù)技術(shù)，DDoS檢測技術(shù)水平得到了進(jìn)一步的提升。通過使用Hadoop實現(xiàn)大數(shù)據(jù)環(huán)境的實施入侵檢測系統(tǒng)（如圖1所示），通過J48、REPTree、SVM等分類器進(jìn)行評估。研究結(jié)果顯示，REPTree和J48效果最佳。

圖1 基于Hadoop的實時入侵檢測系統(tǒng)

2 基于大數(shù)據(jù)分析技術(shù)的網(wǎng)絡(luò)攻擊防御軟件的開發(fā)

2.1 遠(yuǎn)程網(wǎng)絡(luò)安全防御系統(tǒng)架構(gòu)

防御系統(tǒng)IaaS層包括設(shè)備安全、通信安全、數(shù)據(jù)安全和身份鑒別，PaaS層包括編碼安全、API安全網(wǎng)關(guān)、自動化測試，SaaS層包括應(yīng)用安全加固、應(yīng)用入侵防護(hù)、脆弱性分析識別，整體架構(gòu)如圖2所示。

圖2 防御系統(tǒng)功能架構(gòu)圖

防御系統(tǒng)中包含傳感器節(jié)點和防御策略生成節(jié)點。傳感器節(jié)點功能是對系統(tǒng)的運行狀態(tài)進(jìn)行分析與上報，并通過啟動免疫處理模塊實現(xiàn)對惡意軟件、網(wǎng)絡(luò)病毒的攔截，免于系統(tǒng)遭受破壞?；诖髷?shù)據(jù)分析技術(shù)，防御策略生成節(jié)點的主要功能是將每個傳感器節(jié)點發(fā)送的日志和告警數(shù)據(jù)進(jìn)行匯集，再對這些數(shù)據(jù)進(jìn)行分析，與防御規(guī)則進(jìn)行匹配，進(jìn)而生成相應(yīng)的防御策略，啟動對應(yīng)的防御機(jī)制確保網(wǎng)絡(luò)的安全。

2.2 遠(yuǎn)程網(wǎng)絡(luò)安全防御系統(tǒng)工作流程

該系統(tǒng)對威脅的處理步驟共包含4步：威脅檢測；日志上報；威脅處理；規(guī)則生成。當(dāng)被攻擊的節(jié)點發(fā)生異常時，觸發(fā)告警系統(tǒng)，檢測到存在的威脅，隨后系統(tǒng)先將數(shù)據(jù)進(jìn)行處理并上報防御策略生成節(jié)點；防御節(jié)點接收到發(fā)出的警告消息后，對這些信息進(jìn)行解析、分類處理，再采用與之相對應(yīng)的規(guī)則集來匹配。

（1）威脅檢測?；诖髷?shù)據(jù)技術(shù)，在數(shù)據(jù)采集時主要通過兩種模式，即輪詢模式和事件觸發(fā)模式。其中，輪詢模式是在特定的時間間隔t對系統(tǒng)進(jìn)行關(guān)鍵信息掃描和采集；在事件觸發(fā)模式下，如果網(wǎng)絡(luò)帶寬占用過高、CPU滿載運行過長等，一旦出現(xiàn)這些情況，即可斷定發(fā)生可疑狀態(tài)，需要立即給予相應(yīng)處理。

（2）日志上報。在完成上述步驟中對威脅的檢測、分析、分類處理后，利用大數(shù)據(jù)分析技術(shù)進(jìn)行判斷分析然后決定是否需要向上級進(jìn)行上報，如果未經(jīng)過分析而直接上報的話，會導(dǎo)致防御策略節(jié)點壓力過大，影響處理結(jié)果的可靠性。

數(shù)據(jù)處理過程包括的步驟是：一是數(shù)據(jù)合并和去重。該步驟的主要目的是去除一些重復(fù)的數(shù)據(jù)，當(dāng)經(jīng)過輪詢模式觸發(fā)后所得到的的數(shù)據(jù)與某次觸發(fā)所得到的數(shù)據(jù)來自于同一威脅時，此時可以進(jìn)行合并處理。二是數(shù)據(jù)過濾。通常威脅檢測階段所獲得的數(shù)據(jù)會包含一些分正常數(shù)據(jù)，這是在突發(fā)狀況下所引起的誤觸發(fā)數(shù)據(jù)，因此，需要進(jìn)行數(shù)據(jù)過濾處理，以此來減小后續(xù)數(shù)據(jù)處理的壓力。

（3）威脅處理。將被檢測到的數(shù)據(jù)進(jìn)行分析、分類而后匯集至防御策略生成節(jié)點，實現(xiàn)威脅的判斷與處理，在威脅處理時首先需要進(jìn)行威脅分類與匯總。

①威脅分類。網(wǎng)絡(luò)威脅的常用手段包括分布式拒絕服務(wù)攻擊、惡意軟件、木馬病毒、釣魚郵件等。按照安全類型進(jìn)行分類可分為3類，即惡意軟件、網(wǎng)絡(luò)攻擊以及HTTP攻擊。通過對其進(jìn)行分類處理，顯著提升了系統(tǒng)識別的效率和準(zhǔn)確率。

②威脅匯總。實際情況下，不同傳感器節(jié)點存在著是由同一攻擊引發(fā)的可能性，這就需要對威脅進(jìn)行匯總處理，首先是對攻擊信息進(jìn)行合并處理，以減小后續(xù)工作量，優(yōu)化處理流程。

（4）規(guī)則生成。網(wǎng)絡(luò)攻擊防御系統(tǒng)會自動生成一個規(guī)則集，其中規(guī)定了對不同種類威脅的處置措施，值得注意的是，通過一些由于系統(tǒng)漏洞引發(fā)的網(wǎng)絡(luò)攻擊難以通過軟件來攔截處理，針對該情形，需要特殊處置。

2.3 大數(shù)據(jù)網(wǎng)絡(luò)防御系統(tǒng)核心功能設(shè)計

（1）數(shù)據(jù)采集與上報。在系統(tǒng)處于非正常運行狀態(tài)下進(jìn)行的檢測，通常利用一些命令對系統(tǒng)當(dāng)下運行狀況作出分析、統(tǒng)計、處理、匯總，或者采用相應(yīng)的監(jiān)控操作進(jìn)行探測，例如，使用vmatat命令來檢測系統(tǒng)內(nèi)存使用情況，利用bomon進(jìn)行系統(tǒng)網(wǎng)絡(luò)寬帶占用情況的檢查等。系統(tǒng)在對日志進(jìn)行分析、分類處置后，會將這些日志存入臨時文件夾內(nèi)，等待下一步的處理。

（2）規(guī)則生成與部署系統(tǒng)。首先對規(guī)則進(jìn)行分類并委托給相應(yīng)的線程去處理。例如，針對惡意軟件攻擊的威脅會分發(fā)給惡意軟件威脅的線程進(jìn)行處理。該方式的有益效果是既保證了內(nèi)存warm，又保證了系統(tǒng)處理的時效性，提高了運行效率。系統(tǒng)中的所有類型的規(guī)則都被存入數(shù)據(jù)庫中的不同列表內(nèi)，可通過SQL語句進(jìn)行查詢。

3 網(wǎng)絡(luò)攻擊防御系統(tǒng)測試與驗證

為了驗證本文開發(fā)的防御系統(tǒng)的可靠性與實用性，筆者對開發(fā)系統(tǒng)進(jìn)行了測試與驗證。選擇CentOS 6.5服務(wù)器系統(tǒng)環(huán)境對系統(tǒng)進(jìn)行測試，測試流程依據(jù)OpenStack文件嚴(yán)格執(zhí)行，在該環(huán)境中重點測試系統(tǒng)的網(wǎng)絡(luò)性能，該過程重點測試當(dāng)服務(wù)器中的任意一臺主機(jī)遭到惡意攻擊時，可利用本文設(shè)計的大數(shù)據(jù)分析網(wǎng)絡(luò)防御系統(tǒng)進(jìn)行有利防護(hù)。另外，應(yīng)用OpenStack作為實驗環(huán)境，建立小型的測試平臺實現(xiàn)對大數(shù)據(jù)網(wǎng)絡(luò)攻擊防御系統(tǒng)的測試與驗證，測試工具主要選用Wireshark抓包、iptables防火墻以及bmon監(jiān)測工具，測試驗證結(jié)果表明，本文設(shè)計開發(fā)的大數(shù)據(jù)網(wǎng)絡(luò)攻擊防御系統(tǒng)軟件對網(wǎng)絡(luò)攻擊防御效果顯著，具有實際推廣應(yīng)用價值。

4 結(jié)束語

隨著計算機(jī)技術(shù)、大數(shù)據(jù)技術(shù)及云計算等技術(shù)的高速發(fā)展，網(wǎng)絡(luò)攻擊渠道也不斷增多，攻擊方式也日趨多樣化，感染的速度也更快，網(wǎng)絡(luò)安全問題日益突出，亟須利用有效的防御系統(tǒng)阻止網(wǎng)絡(luò)攻擊行為的發(fā)生及危害的進(jìn)一步擴(kuò)大。一直以來，遠(yuǎn)程網(wǎng)絡(luò)攻擊防御系統(tǒng)的設(shè)計與開發(fā)是一項關(guān)鍵內(nèi)容，利用大數(shù)據(jù)分析技術(shù)本文開發(fā)的防御系統(tǒng)應(yīng)用效果良好，具有一定的實際應(yīng)用價值。■