基于大數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)研究

熊群毓

（湖南化工職業(yè)技術(shù)學(xué)院 湖南 株洲 412000）

0 引言

在現(xiàn)代化社會(huì)發(fā)展中，科技水平也在不斷地提高。 目前，大數(shù)據(jù)技術(shù)的應(yīng)用充分展現(xiàn)出精準(zhǔn)性、靈活性的優(yōu)勢［1］。 在此背景下，在計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)系統(tǒng)中使用大數(shù)據(jù)技術(shù)，能夠滿足硬件設(shè)備虛擬化處理的需求，實(shí)現(xiàn)安全體系的創(chuàng)建［2］。 基于此理念，滿足計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的需求，能夠提高網(wǎng)絡(luò)運(yùn)行過程中的穩(wěn)定性、安全性。

1 系統(tǒng)的架構(gòu)設(shè)計(jì)

本文將某高校為例設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)，學(xué)校校園網(wǎng)等級(jí)安全需求為：第一等級(jí)為互聯(lián)網(wǎng)接入安全；第二等級(jí)為不同院校子網(wǎng)相互連接；第三等級(jí)為服務(wù)安全訪問和入侵檢測，圖1 為計(jì)算機(jī)網(wǎng)絡(luò)安全規(guī)劃。

圖1 計(jì)算機(jī)網(wǎng)絡(luò)安全規(guī)劃

在邊界防火墻中實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域的劃分，包括對(duì)外服務(wù)子網(wǎng)等。 利用現(xiàn)代計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的需求表示，計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)需求包括加密需求、訪問控制、身份鑒別、病毒防護(hù)、漏洞掃描等。 網(wǎng)絡(luò)安全防御體系架構(gòu)要對(duì)安全機(jī)制和對(duì)象充分考慮，比如計(jì)算機(jī)病毒防治、信息、數(shù)據(jù)庫等［3］。

2 系統(tǒng)的模塊化設(shè)計(jì)

2.1 智能入侵檢測和跟蹤模塊

在設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的過程中，智能入侵檢測模塊能夠使傳統(tǒng)入侵檢測模塊的被動(dòng)防御進(jìn)行改善，使無法對(duì)網(wǎng)絡(luò)環(huán)境中不同攻擊行為的問題得到解決，避免出現(xiàn)系統(tǒng)安全威脅情況。 另外，還能夠?qū)崿F(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)攻擊的主動(dòng)安全防御，使入侵檢測功能得到加強(qiáng)，提高網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行等級(jí)［4］。 另外，此模塊設(shè)計(jì)過程中融入人工智能技術(shù)，構(gòu)成感知層數(shù)據(jù)采集功能。 根據(jù)此功能精準(zhǔn)、高效地實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)入侵異常行為的定性，在計(jì)算機(jī)網(wǎng)絡(luò)中出現(xiàn)異常入侵檢測的過程中，此模塊能夠?qū)崟r(shí)監(jiān)測惡意攻擊，并且及時(shí)報(bào)警，實(shí)現(xiàn)安全機(jī)制響應(yīng)，使計(jì)算機(jī)網(wǎng)絡(luò)安全防御功能得到提高，圖2 為智能入侵檢測模塊的結(jié)構(gòu)。

圖2 智能入侵檢測模塊的結(jié)構(gòu)

自動(dòng)追蹤能夠?qū)崿F(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)在運(yùn)行過程中的威脅深入性、自動(dòng)化分析，從而得出相關(guān)攻擊過程、攻擊源等信息情況，將其作為基礎(chǔ)阻止主動(dòng)攻擊，使網(wǎng)絡(luò)中異常入侵行為得到解決，提高計(jì)算機(jī)網(wǎng)絡(luò)安全防御能力［5］。 主要包括網(wǎng)絡(luò)陷阱、追蹤定位和網(wǎng)絡(luò)確證功能，不同功能獨(dú)立設(shè)計(jì)。 在此模塊應(yīng)用的過程中，能夠結(jié)合智能控制處理模塊。 以此，在智能控制處理模塊控制和管理下，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵行為進(jìn)行自動(dòng)化、智能化的處理，使系統(tǒng)防御能力得到提高，以此保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。

2.2 傳輸加密模塊

加密的過程就是使明文轉(zhuǎn)變?yōu)槊芪?，解密為密文轉(zhuǎn)變?yōu)槊魑?，圖3 為數(shù)據(jù)加解密的變換過程。 使用網(wǎng)絡(luò)七層協(xié)議實(shí)現(xiàn)數(shù)據(jù)加密，以加密技術(shù)分析邏輯位置。 端對(duì)端加密利用OST 參考模型實(shí)現(xiàn)網(wǎng)絡(luò)層與傳輸層的創(chuàng)建，傳輸數(shù)據(jù)源端，不會(huì)改變密文狀態(tài)［6］。 假如通信鏈路出現(xiàn)問題，不會(huì)對(duì)數(shù)據(jù)整體安全性造成影響。 端到端加密能夠加密自身的信息，利用加密算法實(shí)現(xiàn)主機(jī)信息的加密，通過針對(duì)性手段實(shí)現(xiàn)加密。 軟件編程在使用過程中的密鑰管理機(jī)制比較復(fù)雜，應(yīng)用在網(wǎng)絡(luò)系統(tǒng)中能夠使接收方傳輸更加地方便，主要代碼為：

圖3 防火墻結(jié)構(gòu)

2.3 數(shù)據(jù)收集和處理

網(wǎng)絡(luò)中存在大量的內(nèi)部數(shù)據(jù)，包括網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)等。 平臺(tái)還要對(duì)外部網(wǎng)絡(luò)安全資料進(jìn)行收集，比如社會(huì)信息、網(wǎng)絡(luò)安全信息等［7］。 通過輕量級(jí)實(shí)現(xiàn)原始數(shù)據(jù)的集成，根據(jù)不同業(yè)務(wù)需求實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)和處理。 為了解決多源異構(gòu)復(fù)雜數(shù)據(jù)的問題，平臺(tái)數(shù)據(jù)源通過不同系統(tǒng)和數(shù)據(jù)庫對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)。 比如，使用時(shí)序數(shù)據(jù)庫存儲(chǔ)密集數(shù)據(jù)，使用關(guān)系型數(shù)據(jù)庫存儲(chǔ)數(shù)據(jù)。

在對(duì)數(shù)據(jù)處理的過程中，主要模式有離線和在線兩種，使不同數(shù)據(jù)處理的需求得到滿足。 利用數(shù)據(jù)流技術(shù)處理在線數(shù)據(jù)，快速響應(yīng)網(wǎng)絡(luò)安全異常情況，從而實(shí)時(shí)感知網(wǎng)絡(luò)安全態(tài)勢［8］。 在此過程中要使數(shù)據(jù)存儲(chǔ)性能消耗得到降低，根據(jù)設(shè)計(jì)需求對(duì)數(shù)據(jù)進(jìn)行清洗和轉(zhuǎn)換，對(duì)數(shù)據(jù)質(zhì)量進(jìn)行保證。 通過大數(shù)據(jù)技術(shù)處理離線數(shù)據(jù)，如果對(duì)性能要求不高，就要實(shí)現(xiàn)數(shù)據(jù)精細(xì)化處理。 對(duì)離線模式和在線模式進(jìn)行對(duì)比，離線模式要犧牲部分性能對(duì)數(shù)據(jù)進(jìn)行大范圍的融合和繼承，以此將數(shù)據(jù)提供給上層數(shù)據(jù)分析。

通過異常檢測技術(shù)挖掘數(shù)據(jù)的價(jià)值，利用網(wǎng)絡(luò)安全資料實(shí)現(xiàn)數(shù)據(jù)的融合，對(duì)相關(guān)知識(shí)抽取，創(chuàng)建網(wǎng)絡(luò)安全知識(shí)圖譜，設(shè)計(jì)平臺(tái)上層的應(yīng)用處置方案。 在數(shù)據(jù)生命周期外，通過數(shù)據(jù)監(jiān)理收集數(shù)據(jù)，保證平臺(tái)數(shù)據(jù)的安全性［9］。

2.4 動(dòng)態(tài)加密與上傳

在開始處理前，通過公鑰庫使云端加密程序得出數(shù)據(jù)接收的RSA 公鑰。 在數(shù)據(jù)加密過程中，通過DES 密鑰生成器實(shí)現(xiàn)校驗(yàn)信息密鑰的生成，通過算法對(duì)數(shù)值N 進(jìn)行選擇，利用元數(shù)據(jù)N 字節(jié)讀取，實(shí)現(xiàn)密文的生成［10-11］。 另外，通過接收端公鑰實(shí)現(xiàn)密文的加密。 在密文加密之后存儲(chǔ)在云端，客戶端進(jìn)行工作，隨機(jī)DES 密鑰重新生成。 使上述過程重復(fù)發(fā)送其他數(shù)據(jù)包，以此實(shí)現(xiàn)整體加密。

在整個(gè)過程中，實(shí)現(xiàn)動(dòng)態(tài)數(shù)據(jù)的加密，從而生成加密數(shù)據(jù)，每個(gè)密鑰對(duì)應(yīng)一段數(shù)據(jù)加密，各個(gè)密鑰通過接收端公鑰加密，將密鑰數(shù)據(jù)在云端倉庫中存儲(chǔ)。 為了使數(shù)據(jù)接收端解析更加的方便，要在中斷之后續(xù)傳，加密數(shù)據(jù)包的結(jié)構(gòu)［12］。 不同數(shù)據(jù)包都能夠利用加密實(shí)現(xiàn)密文和密鑰的生成，通過算法實(shí)現(xiàn)密文長度的生成。 各個(gè)數(shù)據(jù)包具有不同的長度，在分包為S 時(shí)傳輸數(shù)據(jù)，實(shí)現(xiàn)加密密鑰的生成，以下為主要代碼：

2.5 防火墻模塊設(shè)計(jì)

在防火墻系統(tǒng)設(shè)計(jì)中，防火墻技術(shù)包括：第一，包過濾技術(shù)。 此技術(shù)是基于網(wǎng)絡(luò)層實(shí)現(xiàn)的，能夠創(chuàng)建過濾路由器，只有對(duì)傳輸文件進(jìn)行劃分，保證網(wǎng)絡(luò)信息數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃院头€(wěn)定性；第二，代理技術(shù)。 基于網(wǎng)絡(luò)應(yīng)用層實(shí)現(xiàn)研發(fā)，通過防火墻系統(tǒng)的內(nèi)部代理服務(wù)器實(shí)現(xiàn)多網(wǎng)管連接過程中的可靠性。 另外，不同應(yīng)用服務(wù)器的代理也各有不同，能夠保證內(nèi)外部網(wǎng)絡(luò)創(chuàng)建連接關(guān)系［13］。 通過上述技術(shù)創(chuàng)建防火墻模塊，之后通過代理服務(wù)器的防護(hù)模塊使防火墻系統(tǒng)安全防護(hù)能力得到提高。 要先保證防火墻信息安全體系結(jié)構(gòu)的合理性、科學(xué)性，就要對(duì)網(wǎng)絡(luò)保護(hù)安全級(jí)別進(jìn)行確定，對(duì)系統(tǒng)維護(hù)升級(jí)成本進(jìn)行考慮，設(shè)計(jì)合適防火墻系統(tǒng)體系結(jié)構(gòu)。

防火墻模塊通過代理和路由器構(gòu)成，主要包括雙宿主主機(jī)結(jié)構(gòu)、主網(wǎng)關(guān)的屏蔽，在主機(jī)中實(shí)現(xiàn)不同網(wǎng)卡的嵌入，從而對(duì)硬件連接穩(wěn)定性和可靠性進(jìn)行保證。 屏蔽主網(wǎng)關(guān)結(jié)構(gòu)利用過濾路由器和代理主機(jī)進(jìn)行安全保護(hù)。 防火墻模塊的中心主機(jī)為代理主機(jī)，屏蔽主網(wǎng)關(guān)結(jié)構(gòu)能夠?qū)⒋碇鳈C(jī)和路由器結(jié)合，從而構(gòu)成中間過濾子網(wǎng)。 之后，通過中間過濾子網(wǎng)分離內(nèi)外部網(wǎng)。 但是，不管是內(nèi)外網(wǎng)絡(luò)，工作人員都能夠?qū)χ虚g過濾子網(wǎng)進(jìn)行隨意訪問，表示此結(jié)構(gòu)的安全性比較高。 圖3 為防火墻結(jié)構(gòu)，在防火墻模塊運(yùn)行過程中，首先技術(shù)人員要對(duì)此系統(tǒng)運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控，并且將異常信息向系統(tǒng)管理員反饋，在防火墻系統(tǒng)中安裝監(jiān)視系統(tǒng)，方便對(duì)非法訪問行為及時(shí)組織。 其次，使監(jiān)控軟件配置合理性、科學(xué)性得到增強(qiáng)，提高監(jiān)視系統(tǒng)有效性。 最后，防火墻系統(tǒng)還能夠?qū)ψ陨砦募暾宰詣?dòng)化監(jiān)視，對(duì)被修改文件進(jìn)行識(shí)別，實(shí)現(xiàn)自我保護(hù)。

3 測試實(shí)驗(yàn)

為了對(duì)本文設(shè)計(jì)系統(tǒng)實(shí)用性進(jìn)行測試，對(duì)比本文方法和傳統(tǒng)方法的防御效果，從而驗(yàn)證本文設(shè)計(jì)方案的先進(jìn)性。

3.1 實(shí)驗(yàn)準(zhǔn)備

在實(shí)驗(yàn)過程中設(shè)置兩個(gè)數(shù)據(jù)發(fā)送點(diǎn)，攻擊數(shù)據(jù)發(fā)送點(diǎn)為第一個(gè)，第二個(gè)為實(shí)驗(yàn)正常數(shù)據(jù)發(fā)送點(diǎn)。 利用混合傳輸?shù)姆绞綄?shí)現(xiàn)數(shù)據(jù)的傳輸，提高了安全防御對(duì)于數(shù)據(jù)辨別的難度。 利用交換機(jī)結(jié)合數(shù)據(jù)，在指定網(wǎng)絡(luò)中發(fā)送。 安全監(jiān)控、IPOS 探針、數(shù)據(jù)庫、邏輯層構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)，還能夠監(jiān)控?cái)?shù)據(jù)傳輸。

邏輯層能夠?qū)崿F(xiàn)數(shù)據(jù)庫的數(shù)據(jù)書寫，解析通信命令之后轉(zhuǎn)發(fā)。 邏輯層為此實(shí)驗(yàn)主要構(gòu)成部分，在接收并且識(shí)別攻擊信號(hào)時(shí)生成數(shù)據(jù)傳輸危險(xiǎn)信號(hào)。

3.2 實(shí)驗(yàn)結(jié)果

利用實(shí)驗(yàn)中的三種方法對(duì)網(wǎng)絡(luò)入侵攻擊信息進(jìn)行攔截，如果攻擊數(shù)據(jù)包和正常數(shù)據(jù)包不發(fā)生改變，就要開展攻擊數(shù)據(jù)的識(shí)別實(shí)驗(yàn)，得到平均識(shí)別攻擊數(shù)據(jù)包數(shù)據(jù)，測試樣本數(shù)據(jù)詳見表1。 利用攻擊數(shù)據(jù)識(shí)別平均數(shù)據(jù)，本文設(shè)計(jì)防范的攻擊數(shù)據(jù)包最高，從而提高了其安全性。

表1 測試樣本數(shù)據(jù) 單位：個(gè)

4 結(jié)語

目前，互聯(lián)網(wǎng)已經(jīng)成為主要網(wǎng)絡(luò)工具，主要特征為互聯(lián)、互通。 雖然相應(yīng)軟件資源具有多樣性、豐富化的特點(diǎn)，但是此狀態(tài)會(huì)導(dǎo)致病毒入侵。 假如病毒惡意攻擊網(wǎng)絡(luò)內(nèi)部，就會(huì)威脅到系統(tǒng)安全，泄露系統(tǒng)重要信息。 所以，計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)尤為重要。 能夠提高網(wǎng)絡(luò)安全防護(hù)能力，使網(wǎng)絡(luò)信息傳輸具備保密性、真實(shí)性的特點(diǎn)，從而使安全使用需求得到滿足。