大數據時代防火墻和入侵檢測技術在網絡安全中的應用

摘? 要：隨著移動“互聯網+”的飛速發展，大數據已經滲透到各行各業，未來的時代已經從IT時代轉變為DT時代，大數據與人們的生活息息相關，同時也記錄了用戶大量的個人隱私，隨之帶來新的網絡與信息安全問題，同時傳統網絡安全技術也面臨嚴峻挑戰。本文針對該問題開展探討研究，在通用入侵檢測模型的框架下設計了一個防火墻與入侵檢測系統集成的框架模型，希望能對提升大數據信息網絡安全起到一些積極的作用。

關鍵詞：大數據;防火墻;入侵檢測;安全策略

中圖分類號：TP393.08? ? ? 文獻標識碼：A 文章編號：2096-4706（2019）19-0149-03

Abstract：With the rapid development of mobile “internet plus”，big data has penetrated into all walks of life. The future era has changed from the IT era to the DT era. Big data is closely related to people’s lives. At the same time，it also records a lot of personal privacy，which brings new problems of network and information security，and the traditional network security technology is also facing serious challenges. In this paper，we discuss and study this problem，a framework model of firewall and intrusion detection system integration is designed under the framework of general intrusion detection model. It is hoped that this model can provide some positive effects for improving the security of big data information network.

Keywords：big data;firewall;intrusion detection;security policy

0? 引? 言

隨著移動“互聯網+”的飛速發展，大數據已經滲透到各行各業，大數據在各個領域的作用和價值越來越顯著，未來的時代已經從IT時代轉為DT時代，未來企業之間的競爭將會是數據的競爭。工業和信息化部印發的《大數據產業發展規劃（2016-2020）》中指出：到2020年，大數據相關產品和服務業務收入突破1萬億元，年均復合增長率保持30%左右，大數據產業體系基本形成。大數據與人們的生活息息相關，在線購物、快遞物流、聊天社交、地圖導航等活動所產生的各種痕跡都被大數據記錄起來，當中涉及到用戶大量的個人隱私，大數據的創新深入發展也隨之帶來了新的網絡與信息安全問題。近年來，個人隱私泄露、企業服務器被攻擊等各種網絡安全事故頻繁發生，傳統的防御手段逐漸失效，網絡安全技術面臨嚴峻挑戰。

防范網絡攻擊，最常用的對策是構建防火墻。它將內部可信區域與外部危險區域進行有效隔離，是抵御入侵的重要手段。但防火墻是靜態防御措施，對于實時攻擊和阻止內部襲擊的效果較差。而入侵檢測是緊跟著防火墻的下一個安全關卡，對網絡進行監測的同時并不會影響網絡的性能，還能提供對誤操作的保護，包括從外到內的攻擊的保護。但是入侵檢測做不到主動控制攻擊，且自身也易受攻擊，要更好地解決網絡安全問題，二者缺一不可。本文通過研究，嘗試在通用入侵檢測模型的框架下設計了一個防火墻與入侵檢測系統集成的框架模型。當該模型受到攻擊時，由于引入了入侵檢測，所以能靈活修改防火墻規則，并自動重新配置防火墻來阻擋下一波的攻擊，彌補了防火墻無法識別攻擊的缺點，同時彌補了防火墻不易配置的缺陷。

1? 大數據時代信息安全性

大數據技術不斷創新發展，在各行各業被廣泛深入應用，傳統網絡安全技術也面臨嚴峻挑戰，網絡信息安全問題越來越成為全球關注的焦點，網絡背后錯綜復雜的攻擊手段，不斷威脅著個人和企業的信息安全，大數據背景下的安全保護技術手段亟待強化更新。

大數據時代，人們在擔心個人隱私被泄露的同時，也在享受著大數據技術帶來的許多便利，企業會優先選擇更加安全和穩定的大數據產品。網絡黑客通過大數據挖掘、人工智能等新技術不斷提高網絡攻擊的次數和精確度，攻擊工具的不斷升級也使得攻擊手段在大數據的掩護下變得更加隱蔽，利用傳統安全設備從本地網絡或終端數據中發現未知的威脅，就如同大海撈針，效率極低。

研發大數據安全技術產品，重點在于如何針對大數據環境下的賬戶密碼和重要的內部資料進行大數據加密，如何加強云平臺和虛擬網絡的安全技術，如何提升云計算、防竊取、防泄露、軟件漏洞等大數據保護技術水平，并且通過提高大數據挖掘分析，加強大數據加密手段，加強數據流動監控與追溯，建設網絡信息安全態勢感知大數據平臺，增強網絡信息安全風險檢測、預警和處理能力，共享網絡信息安全數據采集，優化網絡安全管理機制，構建強大穩定的大數據安保體系，充分利用大數據技術維護網絡信息安全。

2? 防火墻技術

2.1? 防火墻的概念

防火墻是提供信息安全服務，實現網絡和信息安全的基礎設施。如圖1所示，防火墻是在外網（Internet）和內網（Intranet）之間建立的一個用于監控、過濾和記錄流量通過的屏障，是軟硬件相結合的一個網絡安全系統，有效隔離了內外網之間的信息流動，是用于保護內部網信息安全以及保護內部網用戶資料的一種手段。

2.2? 防火墻的分類與功能

防火墻大致可分為兩大體系，一個是包過濾防火墻（Packet Filter），包過濾技術是在網絡層根據定義好的過濾規則，當有數據包要通過的時候，負責檢查每個數據包，如果數據包和過濾規則匹配，則允許數據包通過，否則拒絕數據包的流通。另一個是代理防火墻（Application Gateway），代理服務器位于客戶機與Internet服務器之間，將內部網絡與外部網絡完全分開，并針對客戶端不同的應用程序，如FTP、HTTP、Telnet、SMTP等分別進行安全審核。

防火墻的功能主要是對從外部網絡訪問內部網絡的行為進行控制和管理，限制或者攔截不安全的服務，達到過濾出入網絡的數據安全的目的，并且在過濾期間記錄下各種通過防火墻的信息內容，有效地保護內部網絡。

2.3? 防火墻的優缺點

防火墻的優點是：能有效且方便地實現對內部網絡的保護;因為所有進出信息都必須通過防火墻，作為唯一的訪問途徑，防火墻能有效地記錄網絡上的活動;通過防火墻上的安全規則和日志分析可以方便地監視網絡安全。假如防火墻遭到入侵或者發生崩潰時，防火墻能強行斷開內外網之間的連接，確保內網的安全，同時防火墻會進行預警，并追蹤入侵者的來源，確保網管能及時采取應急措施。

防火墻的缺點是：防火墻不能防范不通過它的連接，防火墻的安全控制只能作用于外部訪問內部或者內部訪問外部，而據權威部門統計結果表明，網絡上的安全攻擊事件有很大一部分來自內部攻擊。防火墻可以防止外部的用戶獲得敏感數據，但它無法防止內部用戶拷貝文件，或是盜用信息。如果懷有惡意的內部員工關掉防火墻或將站點設為允許對防火墻后的內部系統進行訪問，那么防火墻將形同虛設。此外，防火墻是一種靜態安全技術，必須事先設置好安全規則，它無法主動跟蹤入侵源，也不能對實時攻擊做出靈活響應。且防火墻無法防范病毒，更不能消除網絡上的病毒。

3? 入侵檢測技術

3.1? 入侵檢測的概念

入侵檢測（Intrusion Detection）是一種通過收集網絡系統的某些關鍵位置的信息然后進行分析比對的機制，它能夠檢查網絡系統是否有被攻擊的跡象，以及是否存在違反安全規則的情況。入侵檢測能夠幫助網絡系統快速甄別網絡攻擊，有效協助網管人員提高網絡安全的管理能力，入侵檢測彌補了防火墻的不足，使得網絡安全體系更加完整。

3.2? 入侵檢測的原理及功能

入侵檢測是防火墻后面的第二次安全關卡，它能隨時監聽網絡，在不影響網絡性能的前提下一旦發現有攻擊或誤操作就能進行實時保護。如圖2所示，入侵檢測系統更像是充當了一個網絡嗅探的角色，它從搜集來的信息中提取數據進行分析，利用儲備的入侵特征進行比對分析，如果發現匹配度較高則判斷為存在入侵，入侵檢測將斷開連接、記錄證據并恢復數據。

入侵檢測系統的主要功能就是監視系統、用戶的運行情況，能夠實時檢測到用戶的非正常活動，進行統計分析，通過查找非法用戶，記錄入侵行為的規律，進一步檢測系統配置的正確性，發現漏洞并提示網管補漏。

3.3? 入侵檢測系統的不足

入侵檢測系統無法彌補安全防御系統中的安全缺陷和漏洞;對攻擊特征庫的更新不及時，大數據時代下，每天都會有大量新的攻擊方法產生，每天都有大量的新漏洞發布，傳統的入侵檢測顯然不能滿足安全要求;入侵檢測系統無法控制外網對內網的訪問，存在安全漏洞;當入侵者頻繁向內部網傳輸大量數據時，容易造成入侵檢測應付不來而崩潰的情況;入侵檢測系統缺乏國際統一的標準。

4? 集成防火墻的入侵檢測系統

如前所述，在大數據背景下，惡意攻擊者入侵的手段越來越復雜越來越隱蔽，而單獨的防火墻和入侵檢測系統都存在自身的不足和缺陷。為了更好地解決大數據背景下的網絡安全問題，我們嘗試研究將防火墻與入侵檢測集成的模型，這種模型同時具備兩者的優點，相互之間又能互相彌補對方的不足。如圖3所示，該模型通過網關應用于外網和內網之間，防火墻與入侵檢測可通過通信機制進行傳遞信息。

入侵檢測中的事件發生器可以動態采集各種流量包并進行比對分析，并將有用的信息發送到分析引擎，分析引擎通過用戶制定的安全策略進行檢測，如果檢測到入侵行為，將觸發響應單元自動修改防火墻的安全策略，從而達到阻止入侵的目的，同時發出預警，使網管可以及時采取有效的應急措施，如圖4所示。

5? 結? 論

在移動“互聯網+”大數據時代的背景下，信息安全的問題只會越來越突出，本文對入侵檢測和防火墻的集成進行了探索研究，使得兩者互相彌補對方的不足，既提高了防火墻的智能訪問控制能力，又解決了傳統入侵檢測不能進行主動控制的問題。經實踐發現，該集成系統使得防火墻和入侵檢測兩者的性能都得到了有效的改善，希望能對提升大數據信息網絡安全起到積極的參考作用。

參考文獻：

[1] 曾凡平.網絡信息安全 [M].北京：機械工業出版社，2015：145-146.

[2] 甘劍.入侵檢測系統的分析研究 [J].武警工程學院學報，2004（2）：77-80.

[3] 張麗紅.計算機網絡入侵檢測技術研究進展 [J].微計算機應用，2004（2）：135-140.

[4] 羅守山.入侵檢測 [M].北京：北京郵電大學出版社. 2004：97-99.

[5] 訊宜捷科技.未來互聯網+大數據時代 [EB/OL].（2018- 06-20）.http：//www.sohu.com/a/236807089_495461.

作者簡介：葉曉兵（1980-），男，漢族，廣西靈山人，教師，講師，工程師，學士學位，研究方向：數據庫管理、軟件技術、信息與安全技術、電子商務。