大數(shù)據(jù)背景下基于云安全技術(shù)的網(wǎng)絡(luò)安全防御體系設(shè)計與實現(xiàn)

錢祖良

(中國電信嘉興分公司,浙江 嘉興 314000)

0 引言

網(wǎng)絡(luò)技術(shù)的發(fā)展及其管理和使用方式,從根本上改變了人們的傳統(tǒng)生活方式,推動著人們生活品質(zhì)的持續(xù)提升。然而,網(wǎng)絡(luò)本身的開放性、發(fā)展性和不完善性,暴露越來越多的安全風(fēng)險和安全問題。本文在分析當前網(wǎng)絡(luò)安全防御手段的基礎(chǔ)上,提出了基于大數(shù)據(jù)的網(wǎng)絡(luò)安全防御技術(shù),并進一步制定了大數(shù)據(jù)背景下基于云安全技術(shù)的網(wǎng)絡(luò)安全防御體系,積極建立網(wǎng)絡(luò)安全防御體系,確保網(wǎng)絡(luò)安全,為數(shù)據(jù)的基本管理與安全應(yīng)用提供相應(yīng)的保障。

1 大數(shù)據(jù)背景下基于云安全技術(shù)的網(wǎng)絡(luò)安全概述

云安全技術(shù)主要指在網(wǎng)絡(luò)通信技術(shù)和大數(shù)據(jù)處理技術(shù)等現(xiàn)代技術(shù)的影響下,產(chǎn)生的一種新型的網(wǎng)絡(luò)計算形式。云安全技術(shù)擁有強大的計算、存儲和處理能力[1],正在我國各個領(lǐng)域全面應(yīng)用。云安全技術(shù)有3個特點:(1)功能齊全。在大數(shù)據(jù)云安全技術(shù)環(huán)境下,假設(shè)數(shù)據(jù)不被用戶使用,為了保證用戶數(shù)據(jù)的完整性,不允許其他運營商隨意審查或處理數(shù)據(jù)。(2)數(shù)據(jù)的保密性。在大數(shù)據(jù)云安全技術(shù)環(huán)境下,數(shù)據(jù)只能在用戶許可的條件下使用,具有很強的私密性。假設(shè)未經(jīng)用戶許可,數(shù)據(jù)不能被共享或傳輸[2]。(3)數(shù)據(jù)驗證。在大數(shù)據(jù)的云安全技術(shù)環(huán)境下,用戶數(shù)據(jù)通常由用戶自己管理。云數(shù)據(jù)加密后,用戶可以對自己的數(shù)據(jù)進行安全管理和保護。

2 大數(shù)據(jù)背景下基于云安全技術(shù)的網(wǎng)絡(luò)安全防御體系設(shè)計

為保證系統(tǒng)全面完成設(shè)計和開發(fā),有關(guān)人員應(yīng)該嚴格遵循圖1中的功能模塊分布,保證系統(tǒng)功能的實現(xiàn)。

圖1 網(wǎng)絡(luò)安全防御系統(tǒng)的功能模塊定義

如圖1所示,整個系統(tǒng)由兩部分組成,即檢測機制和控制中心。檢測機構(gòu)的功能主要是對被監(jiān)測的網(wǎng)絡(luò)進行接入、監(jiān)測、識別和處理,以保證安全?？刂浦行幕跈z測機構(gòu)實時獲得的信息,監(jiān)測和管理檢測機構(gòu)的實時操作,使用戶能夠完整地記錄、統(tǒng)計及還原資料。本系統(tǒng)包含以下幾個主要功能模組。

2.1 網(wǎng)絡(luò)數(shù)據(jù)采集

此模塊不但可以讓使用者更高效地存取網(wǎng)絡(luò)界面,還可以實時訪問每個接口的網(wǎng)絡(luò),并傳輸被捕獲的數(shù)據(jù)包。

2.2 網(wǎng)絡(luò)協(xié)議分析

本研究以鏈路層、傳輸層、網(wǎng)絡(luò)層等為研究對象,在協(xié)議層次上,采用集中式的封裝形式,為數(shù)據(jù)的科學(xué)分析與處理提供了良好的條件。

2.3 數(shù)據(jù)包的預(yù)處理

本文提出了一種基于數(shù)字水印技術(shù)的數(shù)字水印方案,并通過數(shù)字水印技術(shù)實現(xiàn)了對數(shù)字水印方案的實時攔截與處理,以確保系統(tǒng)的安全性。而數(shù)據(jù)包重建則是根據(jù)相應(yīng)的技術(shù)規(guī)范,對重構(gòu)圖像進行全方位的探測和攻擊。

2.4 入侵探測模塊

在實踐中,為了實現(xiàn)不同信息的科學(xué)匹配,研究人員主要根據(jù)相關(guān)的入侵標準,采用特征匹配技術(shù),可以檢測、識別和處理網(wǎng)絡(luò)攻擊。

3 網(wǎng)絡(luò)安全系統(tǒng)的實現(xiàn)

3.1 網(wǎng)絡(luò)數(shù)據(jù)包捕獲

該系統(tǒng)利用 Libpcap對數(shù)據(jù)鏈路的訪問實現(xiàn)了對數(shù)據(jù)的捕捉。

3.1.1 獲得網(wǎng)絡(luò)裝置

首先,完整地采集網(wǎng)絡(luò)界面的目的地址和網(wǎng)絡(luò)掩碼,并在此基礎(chǔ)上,完成與網(wǎng)絡(luò)界面的連接。其次,開啟網(wǎng)絡(luò)裝置,獲取合適的捕捉程序,為網(wǎng)絡(luò)裝置提供子網(wǎng)掩碼,完全控制其運行[3]。最后,將指定的封包關(guān)閉,使所有的資源得到充分的釋放。

3.1.2 篩選規(guī)則的編譯與定義

在篩選規(guī)則的編譯與定義階段,首先需安排過濾器。為此,在二進制編碼過程中也使用變量和字符串。

3.1.3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲

成功打開網(wǎng)絡(luò)適配器后,首先使用捕捉功能捕獲數(shù)據(jù)包,并確保網(wǎng)絡(luò)正常工作,然后將該組數(shù)據(jù)包發(fā)送到用戶空間并進行路由。

3.2 網(wǎng)絡(luò)協(xié)議分析

在具體實施中,必須對如圖2所示的協(xié)議進行詳細分析并處理數(shù)據(jù)鏈路層、傳輸層和網(wǎng)絡(luò)層中的信息域。首先,應(yīng)根據(jù)要監(jiān)聽的鏈路類型確定處理能力。其次,將所捕捉到的數(shù)據(jù)包發(fā)送到鏈路層。

其中,鏈路層的處理功能包括:將各鏈路層之間的信息進行融合,并向各鏈路層發(fā)送與其對應(yīng)的報文,再由網(wǎng)絡(luò)層通過統(tǒng)計分析,確定下一個傳輸目的地。

3.3 數(shù)據(jù)包的預(yù)處理

數(shù)據(jù)包的預(yù)處理由下列幾個部分組成。

3.3.1 HTTP譯碼的預(yù)處理(Pre-processing)函數(shù)

在具體的實現(xiàn)過程中,通過把HTTP字串轉(zhuǎn)化成ASCII字串,能夠?qū)阂夤暨M行有效的識別和應(yīng)對,保證了信息的安全性和穩(wěn)定性[4]。

3.3.2 基于預(yù)處理的端口掃描方法

在具體實施中,需要對多個端口的IP地址進行集中掃描。同時,該協(xié)議具有較多的有效TCP鏈路,為實現(xiàn)多端口的快速搜索奠定了基礎(chǔ)。

3.3.3 分組切分的預(yù)處理函數(shù)

在具體執(zhí)行方面,IP數(shù)據(jù)包是以最大發(fā)送單位的數(shù)據(jù)包為單位進行發(fā)送的。通過對IP的重組和TCP相關(guān)軟件的檢測,可以充分了解完整的入侵過程。同時,在系統(tǒng)運行過程中,運維人員也要注意系統(tǒng)中存在的問題,避免系統(tǒng)崩潰、癱瘓等現(xiàn)象的發(fā)生。

3.4 入侵檢測系統(tǒng)

在實際操作中,研究人員要運用上述方法,把收集到的數(shù)據(jù)和相應(yīng)的數(shù)據(jù)庫相比較,做到及時發(fā)現(xiàn)問題,及時處理問題。

為保證入侵檢測系統(tǒng)的有效運用,入侵檢測系統(tǒng)的規(guī)則庫就需要相關(guān)人員使用。入侵檢測系統(tǒng)可以根據(jù)該規(guī)則,自動地發(fā)送警報。如果找不到符合的條件,則表示該網(wǎng)絡(luò)分組是安全的,以避免在配對過程中出現(xiàn)低效。另外,相關(guān)人員還可以使用BM算法來優(yōu)化匹配過程。模式匹配原理如圖3所示。

圖3 模式匹配原理

3.5 傳感器深度學(xué)習(xí)

深度學(xué)習(xí)作為云安全的核心技術(shù),能夠持續(xù)地提升用戶的感知能力,進而提升網(wǎng)絡(luò)的安全性。傳感器是建立在人類大腦中一個簡單的神經(jīng)元的基礎(chǔ)上的。就像腦中的神經(jīng)元只響應(yīng)于刺激而不是靜止,傳感器的門限是用一個激活函數(shù)來表達的,激活函數(shù)被賦予+1(如果傳感器被激發(fā),超過預(yù)定的閾值)或-1(未超過閾值)[5]。用來確定傳感器激活狀態(tài)的數(shù)學(xué)表達式如公式(1)所示:

(1)

在可以啟動傳感器之前,乘積wx(即對應(yīng)加權(quán)的輸入數(shù)據(jù))必須大于閾值0。因為輸入信號x是預(yù)先確定的,所以其權(quán)值的大小對傳感器激活率有直接的影響。在此基礎(chǔ)上,本文提出了一種基于神經(jīng)網(wǎng)絡(luò)的認知方法。

(1)以一個預(yù)先確定的數(shù)值(典型的是0)對該加權(quán)進行初始化。

(2)對各學(xué)習(xí)圖樣x和對應(yīng)的輸出信號y進行計算。

(3)基于所需的輸出值(即與對應(yīng)的輸入數(shù)據(jù)x的原始分類標記有關(guān)的y值)與預(yù)測(由傳感器估算的y值)之間的距離,對加權(quán)進行更新。每個權(quán)重的更新如公式(2)所示:

w=w+Δw

(2)

其中,Δw表示預(yù)期值y與預(yù)測值y的偏離,得到公式(3):

Δw=λ(y-y)xi

(3)

將預(yù)期值y與預(yù)測值y之差與輸入值xi相乘,并乘以常量λ(表示傳感器的學(xué)習(xí)率)。常量λ經(jīng)常介于0到1.0之間,通常是在傳感器的初始化階段設(shè)定的。

4 測試系統(tǒng)

4.1 功能測試

具體測試需要使用不同的攻擊軟件來確保系統(tǒng)能夠檢測到網(wǎng)絡(luò)攻擊。通過對系統(tǒng)功能的測試,確保該系統(tǒng)能夠有效地檢測到網(wǎng)絡(luò)攻擊,并向用戶發(fā)出相應(yīng)的警報信息。

4.1.1 Nmap攻擊

Nmap是一種被廣泛應(yīng)用的入侵偵測軟件,能夠獲取用戶的狀態(tài)和商業(yè)信息,并對用戶進行有目標的攻擊。

4.1.2 服務(wù)攻擊拒絕

Teardrop是一種基于分時信息攻擊的方法,它通過發(fā)送錯誤的信息將被封鎖的信息傳遞給系統(tǒng),從而導(dǎo)致系統(tǒng)癱瘓、失效、頻繁重新啟動。利用Jolt攻擊技術(shù),Teardrop可以將海量的數(shù)據(jù)傳輸?shù)较到y(tǒng)中,從而有效地阻止了企業(yè)的攻擊[6]。經(jīng)過測試,本系統(tǒng)的各項性能指標均滿足了設(shè)計的要求。

4.2 系統(tǒng)相應(yīng)時間的檢驗

根據(jù)該模型,在此基礎(chǔ)上,本文將網(wǎng)絡(luò)品質(zhì)設(shè)定為50 M,報文設(shè)定為512 B,并進行網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)攻擊警報。(1)判斷誤判率:判斷誤判率通常表現(xiàn)為響應(yīng)程序錯誤。在受到攻擊時,必須計算出系統(tǒng)的錯誤系數(shù)以及被探測到的誤碼率,然后再計算出錯誤等級。首先,應(yīng)該確定合適的攻擊規(guī)則,其次,對Snort攻擊的數(shù)量和系統(tǒng)警報進行統(tǒng)計,準確計算出系統(tǒng)的誤報率[7]。(2)誤報檢測:對有關(guān)資料進行設(shè)定,錄入有關(guān)資料。系統(tǒng)應(yīng)當對網(wǎng)絡(luò)攻擊和未報告的數(shù)目進行統(tǒng)計,以確定受到攻擊的主機。平均響應(yīng)時間、誤報與漏報發(fā)生率如表1所示。表1表明,響應(yīng)時間、誤報與漏報發(fā)生率都達到了規(guī)定的衡量標準和目標,說明系統(tǒng)性能良好。

5 結(jié)語

本文在大數(shù)據(jù)背景下,以云安全技術(shù)為基礎(chǔ),開展了網(wǎng)絡(luò)安全防御功能、安全預(yù)警功能設(shè)計、大數(shù)據(jù)網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計,并以大數(shù)據(jù)網(wǎng)絡(luò)安全防護系統(tǒng)的實現(xiàn)為基礎(chǔ),對其展開了設(shè)計與應(yīng)用實驗。實驗證明,本文所提出的網(wǎng)絡(luò)安全防護系統(tǒng)顯著地提升了網(wǎng)絡(luò)系統(tǒng)的安全性。