略談網絡安全監測預警技術的應用

詹莊影

摘?要：安全問題一直是制約網絡技術發展的關鍵，受到了人們廣泛的重視。網絡安全監測預警技術的提出，可以促使網絡系統應急響應能力得到提升，網絡攻擊造成的危害得到緩解，系統反應能力得到提升。因此，就需要深化網絡安全監測預警技術研究，促使網絡安全水平得到提高。

關鍵詞：網絡安全;監測;預警技術

進入新時期后，人們日趨依賴計算機網絡，同時也對網絡安全提出了更高的要求。傳統的網絡安全防護中，主要是將防火墻技術、殺毒軟件、入侵檢測等應用過來，無法有效應對目前復雜程度較高的網絡結構。因此，就需要積極應用網絡安全監測預警技術，以此來更加主動和高效的保護、預警網絡狀況。

1 網絡安全監測預警系統結構分析

研究發現，網絡安全監測預警系統主要是將分布式結構運用過來，包括檢測域、預警代理、區域預警中心等組成部分。有若干個預警代理分布于每一個檢測域當中，可以有效獲取、處理和檢測數據包。區域預警中心則主要是容和分析報警信息數據。網絡安全監測預警系統運行過程中，通過誤用檢測、異常檢測等工序的實施，向區域預警中心發送可疑事件、入侵信息，區域預警信息冗余歸并、數據融合處理各種報警信息，對目前網絡遭受的攻擊行為以及可能遭受的攻擊行為進行預測和評估，進而采取針對性的防護措施，包括切斷網絡、發送警報等，以便有效應對入侵行為。[1]

2 系統的工作流程

系統工作運行中，檢測域對網絡數據包進行采集和處理，向預警代理發送報警信息數據，誤用檢測、異常檢測這些數據信息，區域預警中心關聯融合、歸并處理這些數據，對入侵事件進行確定，向控制響應模塊及時發送，采取有效的控制防護措施。同時，控制響應模塊還可以對入侵模式庫、過濾規則庫等進行實時更新，以便避免再次遭受同樣的安全攻擊。

3 關鍵模塊分析

研究發現，檢測域、預警代理、區域預警中心是網絡安全監測預警系統的主要組成，且在這些模塊中廣泛應用了一系列先進技術，包括模式匹配、數據挖掘、神經網絡等。

3.1 檢測域

結合一定規則，對保護網絡對象進行劃分，促使有若干個檢測域形成。劃分和確定檢測域之后，即可確定包含網絡的主機IP地址，進而有效綁定檢測域與主機IP地址。其中，主機、交換機、防火墻、路由器等都屬于檢測域的重要組成。

3.2 預警代理模塊

預警代理廣泛存在于每一個網段中，主要功能是獲取、處理、檢測本網段的數據信息。通過檢測分析，向區域預警中心傳送報警信息。之所以在預警代理模塊中進行數據檢測分析工序，是因為網絡數據向區域預警中心傳送的網絡開銷可以得到降低，這樣各個檢測域的數據檢測效率就能夠平衡，實時性得到大幅度提升。

要按照混雜模式來設置網卡，以便獲取數據。然后預處理這些獲取到的數據，利用規定的數據處理格式轉換數據，促進后續檢測分析的順利實施。在數據檢測過程中，誤用檢測的檢測率較高，但是無法有效檢測那些未知的、新的攻擊。因此，誤用檢測完成之后，還需要進行異常檢測。這樣能將其中存在的一切網絡攻擊、可疑信息給找出來，及時報警響應這些攻擊行為。在誤用檢測方面，因為有較多的冗余信息存在于數據包中，影響到檢測效率，那么就需要提取特征，將分類算法應用過來，分類處理這些數據。

3.3 區域預警中心

在系統運行過程中，區域預警中心首先冗余歸并處理預警代理傳輸過來的報警數據，之后融合分析這些數據，將事物之間的因果關系構建起來，促使報警關聯得到實現。對網絡可能遭受的攻擊進行預測，評估網絡安全狀況，及時響應攻擊行為，且將預警信息發送給檢測域。區域預警中心檢測分析所有預警代理發送過來的報警信息，在本地知識庫的支持下，融合分析這些信息數據。如果有預警產生于區域預警中心，則向檢測域及時發送報警信息。

在網絡安全監測預警系統中，核心組成為區域預警中心。其主要具有這些功能：首先，冗余歸并報警信息。初步處理所有預警代理模塊發送過來的報警信息，及時優先響應那些特征明顯且響應級較高的報警信息。其次，關聯融合信息。冗余歸并報警信息之后，需要進一步的融合分析。其中，入侵、異常、正常是數據分析的結果，結合分析結果，將針對性的響應模式運用過來：向控制響應模塊發送入侵信息，控制響應模塊則將預警信息發送給對應的檢測域;向攻擊識別模塊發送異常信息，結合攻擊預測結果，對入侵行為有效識別，控制響應模塊將報警信息發送給對應的檢測域。如果結果為正常，那么本次報警信息將會自動忽略。再次，網絡攻擊識別。冗余歸并、融合處理所有的報警信息后，對網絡未來可能遭受的攻擊進行預測，且將預警信息及時發送出來。最后，網絡威脅評測。本項功能主要是將一段時間內區域遭受到的網絡入侵攻擊行為以及區域網絡的安全防護能力等因素納入考慮范圍，分析區域網絡安全受到局部攻擊的影響狀況，及時實時安全預警。在威脅評測實施中，通常會依據LAN、主機、服務、漏洞等方面來劃分網絡，之后從服務、主機、系統LAN等方向來評測系統的安全狀況;結合每一個層次的安全狀況，可以向下層各個節點的安全狀況進行分解，這樣就可以有效聯系下層各個節點，進而更加客觀準確的評測上層節點的安全狀況。此外，區域預警中心還可以存儲管理上傳來的報警信息，將入侵行為方面的知識庫構建起來，以便對網絡安全狀況、攻擊歷史等進行描述，更好的實施攻擊識別和威脅評測等活動。[2]

4 結語

綜上所述，傳統的網絡安全保護技術存在著較大的局限性和被動性，無法滿足現階段人們對網絡安全提出的要求。針對這種情況，就需要深入研究網絡安全監測預警技術，促使網絡信息安全水平得到進一步提升。實踐研究表明，通過網絡安全監測預警系統的構建，可以促使網絡系統應急響應能力得到提升，系統反擊能力得到增強，網絡安全得到有效保證。

參考文獻：

[1]孫玉.淺談網絡安全分析中的大數據技術應用[J].網絡安全技術與應用，2017，3（13）：55-57.

[2]孫騰.淺談計算機網絡安全技術在網絡安全維護中的應用[J].計算機產品與流通，2017，9（11）：66-68.