智能化計算機安全監(jiān)控信息網(wǎng)絡(luò)技術(shù)探析

喻 會

（長江職業(yè)學院 湖北 武漢 430074）

1 引言

本文通過實現(xiàn)（Netflow）基礎(chǔ)分析系統(tǒng)的安全性優(yōu)勢，提出了一種新的用于流分析和流記錄管理的開源應用程序。NetFlow數(shù)據(jù)提供有關(guān)網(wǎng)絡(luò)會話和行為的重要信息。

2 計算機安全監(jiān)控的重要性

NetFlow統(tǒng)計可以滿足幾個不同應用的需求，例如blling、網(wǎng)絡(luò)規(guī)劃和固定流量工程，文章對這些應用進行了詳細的分析，以評估網(wǎng)絡(luò)的狀態(tài)。流記錄是UDP數(shù)據(jù)包，缺乏有效載荷數(shù)據(jù)，但仍然為網(wǎng)絡(luò)管理員提供了足夠的數(shù)據(jù)，是一種有價值的分析工具。NetFlow分析是一種適度的方法[1]。

數(shù)據(jù)庫的技術(shù)在近些年以來已經(jīng)取得了較快的發(fā)展，而且在數(shù)據(jù)庫的相關(guān)幫助之下，我們的計算機安全監(jiān)控也實現(xiàn)了很大的進步。在近些年以來，數(shù)據(jù)庫的應用幫助我們的工作變得更加高效，也實現(xiàn)了工作效率的提升。然后我們必須要準確結(jié)合計算機安全具體的應用情況，將數(shù)據(jù)庫技術(shù)應用到計算機安全監(jiān)控之中，可以幫助我們更快地找到安全的漏洞，可以及時發(fā)現(xiàn)安全監(jiān)控的信息。我們可以利用數(shù)據(jù)庫的技術(shù)，監(jiān)控數(shù)據(jù)獲取的流程，然后通過這些網(wǎng)絡(luò)監(jiān)控的方向進一步控制這些風險的要素。目前，在具體的應用過程中，數(shù)據(jù)庫的技術(shù)還需要進一步提高，將這些抽象模型系統(tǒng)應用在具體的網(wǎng)絡(luò)環(huán)境去豐富我們的數(shù)據(jù)要素，從而讓信息加密。在現(xiàn)代網(wǎng)絡(luò)機構(gòu)的使用之中，需要牢牢掌握這些方向，提高計算機使用的水平，讓在其他非工作的時間也可以用數(shù)據(jù)庫加密，從而使我們的計算機安全水平進一步提高[2]。Netflow提供了對流量、連接信息和異常元工作行為的實時分析。對路由器上的NetFlow數(shù)據(jù)進行采樣，其采樣速率實際上滿足已設(shè)置為監(jiān)視輸入流量的條件，然后定期進行比較，通過檢查數(shù)據(jù)包序列來測試傳入序列是否為DOS或可能對網(wǎng)絡(luò)構(gòu)成威脅。本文利用一個叫做“突發(fā)性”的參數(shù)來衡量網(wǎng)絡(luò)的性能，這是一種測量網(wǎng)絡(luò)流量的方法[2]。

在具體應用范圍中，我們的數(shù)據(jù)安全沒有具體保障的措施，只能夠通過簡單的存儲系統(tǒng)實現(xiàn)信息的運轉(zhuǎn)。但是這種方法會使我們的工作效率很低，而且達不到文件保存的要求。在計算機進行存儲的時候也會耗費大量的空間，導致計算機的性能進一步降低，讓工作人員的工作效率變得更慢。在現(xiàn)代化的網(wǎng)絡(luò)計算機影響下，我們需要用數(shù)據(jù)加密的方法進一步提高數(shù)據(jù)的應用，在這個基礎(chǔ)上進一步提高網(wǎng)絡(luò)安全監(jiān)控的水平。這就要求我們根據(jù)數(shù)據(jù)流的技術(shù)構(gòu)建一定的模型，實現(xiàn)網(wǎng)絡(luò)運行狀態(tài)的實時監(jiān)測。利用這樣的方法可以進一步減少數(shù)據(jù)的損耗，也可以讓數(shù)據(jù)在傳播過程中提高自己的保密性，而且在數(shù)據(jù)流管理之下，實現(xiàn)了工作效率的飛升，保障了網(wǎng)絡(luò)安全[3]。

3 計算機網(wǎng)絡(luò)安全事件監(jiān)控的總體結(jié)構(gòu)設(shè)計

Netflow分析是一個很好的選擇，它在細節(jié)和框架之間取得了平衡。該方法具有網(wǎng)絡(luò)無關(guān)性，能夠適應任何類型網(wǎng)絡(luò)的需求。這種類型的數(shù)據(jù)對拒絕服務(wù)(DoS)攻擊和網(wǎng)絡(luò)超載證明是非常寶貴的。設(shè)計的Perl腳本對接收到的Netflow v5數(shù)據(jù)包進行解碼，該腳本引用某些以前設(shè)計的模塊，這些模塊有效地捕獲和分隔了各個字段。此腳本還記錄數(shù)據(jù)，這些數(shù)據(jù)可以在此基礎(chǔ)上，提出一種可用于設(shè)計流量放大數(shù)據(jù)處理系統(tǒng)的算法。上述安全事件監(jiān)控系統(tǒng)的一般結(jié)構(gòu)之間的關(guān)系[4]。

4 基于數(shù)據(jù)流處理模型的網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)設(shè)計

監(jiān)控系統(tǒng)包括路由器，路由器被配置為將Netflow信息導出到由Perl腳本組織的流數(shù)據(jù)庫。腳本每天將流信息存儲在一個單獨的文件中，每個月都存儲一個單獨的文件夾。然后對Netflow數(shù)據(jù)進行定期比較，通過檢查路由器運行的數(shù)據(jù)包序列來測試輸入序列是DOS還是網(wǎng)絡(luò)可能受到的威脅。清楚地描述了這一點。

監(jiān)測站是一臺小型機器，它讀取導出的流并將它們與存在的惡意數(shù)據(jù)包序列數(shù)據(jù)庫進行比較。當匹配和檢測惡意數(shù)據(jù)包的順序時，系統(tǒng)將生成警報狀態(tài)。然后由網(wǎng)絡(luò)管理員對此進行進一步的分析，以確定該威脅是否需要注意。路由器被用戶用于存儲流信息，并將這些信息傳輸?shù)揭粋€正在監(jiān)聽它的數(shù)據(jù)庫。在所提出的模擬案例中，路由器通過特定端口(2055 Intest Case)將Netflow v 5信息以UDP數(shù)據(jù)包的形式發(fā)送給正在偵聽該端口的客戶端。一旦接收到數(shù)據(jù)包，將使用Perl模塊(+)來幫助解碼分組和提取流信息，這些模塊讀取傳入的UDP數(shù)據(jù)包，提取所需的流記錄，并將信息存儲在日志文件中。ADATABASE是使用Perl模塊創(chuàng)建的，該模塊周期性地重復其功能，在相應地組織這些日志的同時，主要是按月、按年生成新的數(shù)據(jù)日志[5]。

根據(jù)需要創(chuàng)建了一個小的Perl代碼段，可以很容易地修改它，為記錄的和預處理的數(shù)據(jù)提供高效的組織方法。對記錄進行了有效的索引，并制定最優(yōu)搜索算法，有效地檢索了所需的流量數(shù)據(jù)。路由器上的可用Netflow數(shù)據(jù)以每秒Z采樣的可變速率采樣，這與實際滿足已設(shè)置為監(jiān)視傳入Netflow數(shù)據(jù)包的條件的數(shù)據(jù)包相對應，只允許這些數(shù)據(jù)包進入處理系統(tǒng)，處理系統(tǒng)將對傳入流量進行詳細分析并檢查是否有異常[6]。

這是我們正在設(shè)法找到解決辦法的核心問題。因此，使用Netflow將所有數(shù)據(jù)包登錄并提取詳細信息。例如，Ifan攻擊者試圖攻擊仍然使用不同IP地址的系統(tǒng)，但是數(shù)據(jù)包的行為與數(shù)據(jù)庫中的有害模式相匹配，這樣就可以適當?shù)馗櫵?，并采取預防措施。如果啟用了IfNetflow，并且將檢查文件轉(zhuǎn)儲，盡管我們將得到該文件，但我們將無法從轉(zhuǎn)儲數(shù)據(jù)中解碼任何內(nèi)容。因此，必須對數(shù)據(jù)進行適當?shù)慕獯a，才能從Netflow數(shù)據(jù)包中獲取信息。因此，在系統(tǒng)中，在端口2055上運行解碼腳本，解碼數(shù)據(jù)并將其轉(zhuǎn)儲到文本文件中。在沒有任何解碼的情況下，在端口上轉(zhuǎn)儲Netflow數(shù)據(jù)。因此，正如onecan從這個數(shù)字中推斷出來的那樣，這是胡言亂語，毫無意義。但是，一旦數(shù)據(jù)包被正確解碼，就可以從這些數(shù)據(jù)包中提取非常有用的參數(shù)。

監(jiān)測站的作用是利用該系統(tǒng)來判斷是否需要關(guān)注和詳細的威脅分析。該站被設(shè)計用于隔離流入處理模塊的數(shù)據(jù)包和剛剛發(fā)送給存儲的數(shù)據(jù)包。通過評估一個或多個簽名，可以建立拒絕服務(wù)攻擊或網(wǎng)絡(luò)超載的條件。主監(jiān)視系統(tǒng)借用了先前識別的攻擊模式和序列的數(shù)據(jù)庫值，這些攻擊模式和序列與傳入的通信量同時進行比較。此系統(tǒng)監(jiān)視最容易受到攻擊的端口上的通信量，有效地監(jiān)控系統(tǒng)充當兩個數(shù)據(jù)庫之間的接口，即集合數(shù)據(jù)庫和Threat數(shù)據(jù)庫。

帶有陌生IP選項字段的數(shù)據(jù)包，它們通常是由網(wǎng)絡(luò)上配置不當?shù)南到y(tǒng)發(fā)送的，并且具有明顯無效的目標地址。這種格式錯誤的數(shù)據(jù)包很可能是精心構(gòu)建的，并且常常是DOS攻擊的一部分。因此，設(shè)置一個過濾器來檢查表單IP。路由器沒有檢測到啟用選項字段的IP數(shù)據(jù)包，因此可以很容易地使用帶有Toomany選項的IP數(shù)據(jù)包來構(gòu)建DOS攻擊。嚴格監(jiān)視和過濾這些類型的數(shù)據(jù)包，以保護系統(tǒng)資源不被耗盡或濫用。

5 結(jié)語

在本系統(tǒng)中，數(shù)據(jù)流管理平臺通過優(yōu)化執(zhí)行注冊系統(tǒng)，大量的連續(xù)查詢、過濾、連續(xù)流網(wǎng)絡(luò)連接等操作，完成各種安全事件的監(jiān)控和報警，從而有效地支持實時監(jiān)控系統(tǒng)的靈活性和準確性要求。