基于預防策略的計算機網絡防御技術研究

郭華良

（新疆水利水電學校，新疆烏魯木齊，830013）

1 研究目的

現階段，計算機網絡的開放性雖然為人們的生活、工作帶來了極大的便利，但該特性也使得計算機網絡運行期間需要面臨一定的信息安全風險，影響了計算機的應用效果。在此過程中，Dos攻擊以及由該攻擊發展出的惡意攻擊作為影響計算機網絡運行的典型信息安全威脅，該類型攻擊通常會通過操作多臺僵尸主機，一起對受害計算機進行攻擊，使其受害計算機的資源、有效寬帶被大量占用，導致其不能正常運行服務功能，同時，由于目前計算機網絡中的TCP/IP協議存在一定缺陷，使得該類型攻擊無法被徹底杜絕，而運用基于預防策略的防御技術，可以有效攔截惡意流量，防止僵尸主機占用受害計算機資源、寬帶，極大地提高了信息安全防護效果，因此，在此次防御技術研究中，研究者以Dos類攻擊為研究背景、研究案例，通過分析防御技術在Dos類攻擊防御系統構建中的應用，對該技術展開研究，以期為信息安全技術的發展提供助力。

2 研究過程

2.1 機器學習技術分析

（1）技術需求分析

在傳統防御技術下，防護裝置通常會被按照中間件的處理方式，設置在網絡拓撲中，然后根據預設好的定義閾值、規則、簽名，識別Dos類攻擊，但這種方式僅能識別已知的攻擊方式，一旦攻擊方式稍微做出了改變，該防御則無法區分正常和攻擊流量。在此過程中，可以采用添加編程的方式，使防御系統能夠識別新的攻擊方式，但該項防御技術操作過于被動而且受硬件限制，因此，為了增強防御效果，可以將機器學習技術引入防御技術體系的建設，通過數據訓練的方式，在無需編程的情況下，使防御系統能夠識別更多種Dos類攻擊方式，達到更好的計算機網絡防御技術應用效果。

（2）算法選擇

機器學習技術雖然是一種新型的計算機網絡防御技術，但從本質上來說，其防御Dos類攻擊的作用機理依然是對流量加以分類，實現對正常業務流量、惡意攻擊流量的區分，因此，在Dos類攻擊防御系統的建設中，應當使用分類算法承載該項技術，使該項技術能夠順利發揮效用。目前，能夠承載機器學習技術的分類算法有樸素葉貝斯、K-近鄰算法、決策樹算法、邏輯回歸算法、神經網絡算法、支持向量機算法等，其優劣勢對比如表1，應對上述分類算法進行優劣勢對比，根據實際需求，進行分類算法選擇，以構建出有效的計算機網絡防御系統，增強防御技術應用效果。在此過程中，可以通過使用第三方工具，對各類算法進行性能測試，以準確選用分類算法。在性能測試中，可以準備攻擊類報文6000個，其中應包括cldap攻擊包、syn大包等多種類型，同時，正常報文4000個，其中包括ack、dns等類型，用于數據訓練，再準備攻擊報文1300個、正常報文700個，用于測試，最后，采用交叉驗證的方式，查看分類算法的分類準確度結果，然后確定Dos防御系統中用于塑造機器學習性能的算法。

表1 算法優劣勢對比表

2.2 數據包系統分析

（1）數據包系統部署

在防御系統中，數據包系統主要用于，區分正常業務流量、攻擊流量的區分，并在不影響正常業務流量運行的情況下，對Dos類攻擊流量進行處理，以免攻擊流量為服務器帶來危害。一般來說，數據包系統通常被部署在服務器上，但上述一系列防御流程的運行需要耗費大量的資源，如果系統在服務器上，則會導致服務器資源被大量占用，使計算機網絡防御技術無法正常起到作用，因此，應將其部署在服務器之前，使攻擊流量能夠被系統過濾，而無法到達服務器。而服務器的上一層為核心轉發設備，流量會從該設備流向服務器，所以可以采用串聯的方式，將系統設置在核心轉發設備之后，服務器之前，以便于在不影響計算機網絡運行的前提下，實現攻擊流量的過濾，落實計算機網絡防御技術。

（2）系統功能設計

為了達到更好的計算機網絡防御技術應用效果，在具體的數據包系統功能設計上，應當設置好實時監控、非功能性需求滿足功能。其中，在實時監控功能方面，系統應可以基于流量歷史數據，評估該流量為攻擊流量的概率，然后將概率數據輸入分類算法模型中，以提高流量分類的準確性和效率，同時，由于監控功能難以直接參與控制，因此，還要為其設置配套的控制模塊，使監控結果可以被轉化為控制指令，實現整體調度、控制，以便于在正常流量不足時，及時從核心設備處引入流量。在非功能性需求方面，設計者應為系統設計日志分析、流量展示等功能，使用戶能夠更好地了解系統功能的運行過程，并在有需要時，進行功能管理，增強防御技術的落實效果。

2.3 系統總體設計分析

（1）整體防御流程設計

在計算機網絡防御系統的整體流程設計中，設計者需基于機器學習技術、數據包系統，構建出一個主動的防御機制，以實現自動化的Dos類攻擊防御策略運行，有效落實計算機網絡防御技術。在此過程中，數據包系統會實時監測核心設備輸入的流量，當系統認定該流量為攻擊流量時，數據包系統的監測控制器就會下達流量引導指令，并將流量引入輸入輸出模塊處，該模塊會再將流量送往預處理模塊，并為該預處理模塊的輸出端規劃兩條鏈路，一條通往分類器，另一條通往存儲模塊。其中，分類器主要是用于識別、銷毀攻擊流量，而存儲模塊則是存儲從攻擊流量中提取的網絡數據包，用于分類器的學習，形成一個完整的防御流程，實現計算機網絡防御技術。

（2）模塊功能設計

根據上述流程，防御系統所需的模塊包括，流量輸入輸出模塊、預處理模塊、數據存儲模塊、特征提取模塊、分類器模塊。其中，流量輸入輸出模塊的功能為，分發來自于核心設備的流量數據。預處理模塊的功能為，利用傳統的防御措施，對流量初步處理，減少分類器所需判別的流量，減輕分類器的工作負擔，提高防御系統的反應效率。數據存儲模塊的功能為，存儲分類器訓練所需的樣本數據。特征提取模塊方面，由于數據存儲模塊中的樣本數據是以數據包的形式存在的，而該形式的樣本數據無法被直接應用于分類器訓練，因此，需要特征提取模塊，將樣本數據包中的特征數據提取出來，傳輸給分類器以保證數據訓練的正常進行。分類器模塊的功能則為Dos攻擊類型的識別、判定，是整體系統的核心功能。

2.4 模塊功能實現設計

為了有效運作計算機網絡防御技術，設計者還要對上述功能模塊的運行進行設計，以保證防御工作效果。基于上述論述，模塊功能的實現設計包含以下幾個重點：

2.5 高速收發數據包功能實現設計

（1）驅動程序設計

在防御技術的應用中，為了提高防御體系的反應速度，設計者塑造出數據包系統的高速收發功能，以應對大量攻擊流量的防御工作，增強計算機網絡運行的安全性。在該項功能的實現設計中，應先保證驅動程序的性能，使系統具備足夠的驅動，來完成數據包的高速收發任務。在此過程中，可以考慮使用DPDK創新技術，并利用該技術支持海量數據吞吐、彌補內核協議棧數據包處理缺陷的能力，結合由API、用戶空間驅動程序組成PMD驅動，開展網卡調動運行，實現輪詢方式下的數據包處理，以消除其他方式下，中斷操作所導致的性能開銷[2]。

（2）其他設計

在高速收發數據包功能實現設計中，考慮到Linux默認每頁內存為4k，因此，在存儲過程中，如果物理內存較大，那么其所映射出的條目規模也比較大，很容易降低CPU的檢索效率。為此，設計者需要采用Hugepage內存方式，設置虛擬內存空間，以加快映射，減少對CPU檢索效率的影響。一般來說，將內存頁控制在2Mb，設置使用命令echo 2048＞/sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages，實現Hugepage的應用，其中，預留Hugepage大小=頁面大小*頁面個數，頁面個數為2048。

3 結果分析

經過上述設計研究環節，設計者將設計出的計算機網絡防御系統投入了測試。在測試中，硬件條件為，交換機1臺、物理服務器3臺、萬兆網卡4塊，軟件條件為，ubuntu 14.04.1操作系統、內存128G。此次測試所使用的工具為，Linux系統下的hping3。經過此次測試后，設計者發現，該計算機網絡防御系統在10Gb流量寬帶攻擊下，才會出現少量的丟包現象，而常規的網絡防御系統，在超過5G時，就已經會呈現出較高的丟包率，由此說明該系統能夠有效應對Dos攻擊，同時，也說明上述計算機網絡防御技術的部署應用方法可行[3]。

4 結論

增強防御技術的應用效果，能夠減少信息安全事故發生的幾率。經過上述研究可以看出，將計算機網絡安全防御技術應用到惡意入侵的攔截機制建設中，能夠有效避免惡意流量干擾計算機的正常運行，保證計算機的網絡安全，從而構建出更加可靠的計算機網絡運行條件。