略談網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)的應(yīng)用

詹莊影

摘?要：安全問(wèn)題一直是制約網(wǎng)絡(luò)技術(shù)發(fā)展的關(guān)鍵，受到了人們廣泛的重視。網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)的提出，可以促使網(wǎng)絡(luò)系統(tǒng)應(yīng)急響應(yīng)能力得到提升，網(wǎng)絡(luò)攻擊造成的危害得到緩解，系統(tǒng)反應(yīng)能力得到提升。因此，就需要深化網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)研究，促使網(wǎng)絡(luò)安全水平得到提高。

關(guān)鍵詞：網(wǎng)絡(luò)安全;監(jiān)測(cè);預(yù)警技術(shù)

進(jìn)入新時(shí)期后，人們?nèi)遮呉蕾囉?jì)算機(jī)網(wǎng)絡(luò)，同時(shí)也對(duì)網(wǎng)絡(luò)安全提出了更高的要求。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)中，主要是將防火墻技術(shù)、殺毒軟件、入侵檢測(cè)等應(yīng)用過(guò)來(lái)，無(wú)法有效應(yīng)對(duì)目前復(fù)雜程度較高的網(wǎng)絡(luò)結(jié)構(gòu)。因此，就需要積極應(yīng)用網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)，以此來(lái)更加主動(dòng)和高效的保護(hù)、預(yù)警網(wǎng)絡(luò)狀況。

1 網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)結(jié)構(gòu)分析

研究發(fā)現(xiàn)，網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)主要是將分布式結(jié)構(gòu)運(yùn)用過(guò)來(lái)，包括檢測(cè)域、預(yù)警代理、區(qū)域預(yù)警中心等組成部分。有若干個(gè)預(yù)警代理分布于每一個(gè)檢測(cè)域當(dāng)中，可以有效獲取、處理和檢測(cè)數(shù)據(jù)包。區(qū)域預(yù)警中心則主要是容和分析報(bào)警信息數(shù)據(jù)。網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)運(yùn)行過(guò)程中，通過(guò)誤用檢測(cè)、異常檢測(cè)等工序的實(shí)施，向區(qū)域預(yù)警中心發(fā)送可疑事件、入侵信息，區(qū)域預(yù)警信息冗余歸并、數(shù)據(jù)融合處理各種報(bào)警信息，對(duì)目前網(wǎng)絡(luò)遭受的攻擊行為以及可能遭受的攻擊行為進(jìn)行預(yù)測(cè)和評(píng)估，進(jìn)而采取針對(duì)性的防護(hù)措施，包括切斷網(wǎng)絡(luò)、發(fā)送警報(bào)等，以便有效應(yīng)對(duì)入侵行為。[1]

2 系統(tǒng)的工作流程

系統(tǒng)工作運(yùn)行中，檢測(cè)域?qū)W(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行采集和處理，向預(yù)警代理發(fā)送報(bào)警信息數(shù)據(jù)，誤用檢測(cè)、異常檢測(cè)這些數(shù)據(jù)信息，區(qū)域預(yù)警中心關(guān)聯(lián)融合、歸并處理這些數(shù)據(jù)，對(duì)入侵事件進(jìn)行確定，向控制響應(yīng)模塊及時(shí)發(fā)送，采取有效的控制防護(hù)措施。同時(shí)，控制響應(yīng)模塊還可以對(duì)入侵模式庫(kù)、過(guò)濾規(guī)則庫(kù)等進(jìn)行實(shí)時(shí)更新，以便避免再次遭受同樣的安全攻擊。

3 關(guān)鍵模塊分析

研究發(fā)現(xiàn)，檢測(cè)域、預(yù)警代理、區(qū)域預(yù)警中心是網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)的主要組成，且在這些模塊中廣泛應(yīng)用了一系列先進(jìn)技術(shù)，包括模式匹配、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)等。

3.1 檢測(cè)域

結(jié)合一定規(guī)則，對(duì)保護(hù)網(wǎng)絡(luò)對(duì)象進(jìn)行劃分，促使有若干個(gè)檢測(cè)域形成。劃分和確定檢測(cè)域之后，即可確定包含網(wǎng)絡(luò)的主機(jī)IP地址，進(jìn)而有效綁定檢測(cè)域與主機(jī)IP地址。其中，主機(jī)、交換機(jī)、防火墻、路由器等都屬于檢測(cè)域的重要組成。

3.2 預(yù)警代理模塊

預(yù)警代理廣泛存在于每一個(gè)網(wǎng)段中，主要功能是獲取、處理、檢測(cè)本網(wǎng)段的數(shù)據(jù)信息。通過(guò)檢測(cè)分析，向區(qū)域預(yù)警中心傳送報(bào)警信息。之所以在預(yù)警代理模塊中進(jìn)行數(shù)據(jù)檢測(cè)分析工序，是因?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)向區(qū)域預(yù)警中心傳送的網(wǎng)絡(luò)開銷可以得到降低，這樣各個(gè)檢測(cè)域的數(shù)據(jù)檢測(cè)效率就能夠平衡，實(shí)時(shí)性得到大幅度提升。

要按照混雜模式來(lái)設(shè)置網(wǎng)卡，以便獲取數(shù)據(jù)。然后預(yù)處理這些獲取到的數(shù)據(jù)，利用規(guī)定的數(shù)據(jù)處理格式轉(zhuǎn)換數(shù)據(jù)，促進(jìn)后續(xù)檢測(cè)分析的順利實(shí)施。在數(shù)據(jù)檢測(cè)過(guò)程中，誤用檢測(cè)的檢測(cè)率較高，但是無(wú)法有效檢測(cè)那些未知的、新的攻擊。因此，誤用檢測(cè)完成之后，還需要進(jìn)行異常檢測(cè)。這樣能將其中存在的一切網(wǎng)絡(luò)攻擊、可疑信息給找出來(lái)，及時(shí)報(bào)警響應(yīng)這些攻擊行為。在誤用檢測(cè)方面，因?yàn)橛休^多的冗余信息存在于數(shù)據(jù)包中，影響到檢測(cè)效率，那么就需要提取特征，將分類算法應(yīng)用過(guò)來(lái)，分類處理這些數(shù)據(jù)。

3.3 區(qū)域預(yù)警中心

在系統(tǒng)運(yùn)行過(guò)程中，區(qū)域預(yù)警中心首先冗余歸并處理預(yù)警代理傳輸過(guò)來(lái)的報(bào)警數(shù)據(jù)，之后融合分析這些數(shù)據(jù)，將事物之間的因果關(guān)系構(gòu)建起來(lái)，促使報(bào)警關(guān)聯(lián)得到實(shí)現(xiàn)。對(duì)網(wǎng)絡(luò)可能遭受的攻擊進(jìn)行預(yù)測(cè)，評(píng)估網(wǎng)絡(luò)安全狀況，及時(shí)響應(yīng)攻擊行為，且將預(yù)警信息發(fā)送給檢測(cè)域。區(qū)域預(yù)警中心檢測(cè)分析所有預(yù)警代理發(fā)送過(guò)來(lái)的報(bào)警信息，在本地知識(shí)庫(kù)的支持下，融合分析這些信息數(shù)據(jù)。如果有預(yù)警產(chǎn)生于區(qū)域預(yù)警中心，則向檢測(cè)域及時(shí)發(fā)送報(bào)警信息。

在網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)中，核心組成為區(qū)域預(yù)警中心。其主要具有這些功能：首先，冗余歸并報(bào)警信息。初步處理所有預(yù)警代理模塊發(fā)送過(guò)來(lái)的報(bào)警信息，及時(shí)優(yōu)先響應(yīng)那些特征明顯且響應(yīng)級(jí)較高的報(bào)警信息。其次，關(guān)聯(lián)融合信息。冗余歸并報(bào)警信息之后，需要進(jìn)一步的融合分析。其中，入侵、異常、正常是數(shù)據(jù)分析的結(jié)果，結(jié)合分析結(jié)果，將針對(duì)性的響應(yīng)模式運(yùn)用過(guò)來(lái)：向控制響應(yīng)模塊發(fā)送入侵信息，控制響應(yīng)模塊則將預(yù)警信息發(fā)送給對(duì)應(yīng)的檢測(cè)域;向攻擊識(shí)別模塊發(fā)送異常信息，結(jié)合攻擊預(yù)測(cè)結(jié)果，對(duì)入侵行為有效識(shí)別，控制響應(yīng)模塊將報(bào)警信息發(fā)送給對(duì)應(yīng)的檢測(cè)域。如果結(jié)果為正常，那么本次報(bào)警信息將會(huì)自動(dòng)忽略。再次，網(wǎng)絡(luò)攻擊識(shí)別。冗余歸并、融合處理所有的報(bào)警信息后，對(duì)網(wǎng)絡(luò)未來(lái)可能遭受的攻擊進(jìn)行預(yù)測(cè)，且將預(yù)警信息及時(shí)發(fā)送出來(lái)。最后，網(wǎng)絡(luò)威脅評(píng)測(cè)。本項(xiàng)功能主要是將一段時(shí)間內(nèi)區(qū)域遭受到的網(wǎng)絡(luò)入侵攻擊行為以及區(qū)域網(wǎng)絡(luò)的安全防護(hù)能力等因素納入考慮范圍，分析區(qū)域網(wǎng)絡(luò)安全受到局部攻擊的影響狀況，及時(shí)實(shí)時(shí)安全預(yù)警。在威脅評(píng)測(cè)實(shí)施中，通常會(huì)依據(jù)LAN、主機(jī)、服務(wù)、漏洞等方面來(lái)劃分網(wǎng)絡(luò)，之后從服務(wù)、主機(jī)、系統(tǒng)LAN等方向來(lái)評(píng)測(cè)系統(tǒng)的安全狀況;結(jié)合每一個(gè)層次的安全狀況，可以向下層各個(gè)節(jié)點(diǎn)的安全狀況進(jìn)行分解，這樣就可以有效聯(lián)系下層各個(gè)節(jié)點(diǎn)，進(jìn)而更加客觀準(zhǔn)確的評(píng)測(cè)上層節(jié)點(diǎn)的安全狀況。此外，區(qū)域預(yù)警中心還可以存儲(chǔ)管理上傳來(lái)的報(bào)警信息，將入侵行為方面的知識(shí)庫(kù)構(gòu)建起來(lái)，以便對(duì)網(wǎng)絡(luò)安全狀況、攻擊歷史等進(jìn)行描述，更好的實(shí)施攻擊識(shí)別和威脅評(píng)測(cè)等活動(dòng)。[2]

4 結(jié)語(yǔ)

綜上所述，傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)技術(shù)存在著較大的局限性和被動(dòng)性，無(wú)法滿足現(xiàn)階段人們對(duì)網(wǎng)絡(luò)安全提出的要求。針對(duì)這種情況，就需要深入研究網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)，促使網(wǎng)絡(luò)信息安全水平得到進(jìn)一步提升。實(shí)踐研究表明，通過(guò)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)的構(gòu)建，可以促使網(wǎng)絡(luò)系統(tǒng)應(yīng)急響應(yīng)能力得到提升，系統(tǒng)反擊能力得到增強(qiáng)，網(wǎng)絡(luò)安全得到有效保證。

參考文獻(xiàn)：

[1]孫玉.淺談網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，3（13）：55-57.

[2]孫騰.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].計(jì)算機(jī)產(chǎn)品與流通，2017，9（11）：66-68.