基于多屬性評價綜合的網絡安全防范機制設計*

大慶師范學院 張連子

針對傳統的網絡安全防范機制不能夠精準抵抗外來攻擊，提出基于多屬性評價綜合的網絡安全防范機制設計。利用多屬性評價綜合構建信任模型，配置機制防火墻和入侵檢測模塊，設計出網絡安全防范機制。通過實驗結果得出，基于多屬性評價綜合的網絡安全防范機制相較于傳統網絡安全方法機制能夠精準識別阻攔攻擊。

網絡的普及不僅提高了人們的工作效率，同樣反向促進了科學技術的發展，同時也帶來了一定的安全隱患。網絡信息的泄露、盜竊等情況時有發生，這使得網絡安全成為網絡發展的重要工作。如何進一步優化網絡安全，是當下十分熱點的話題。大數據計算機網絡時代的安全防范與之前相比盡管有進步，但隨著網絡信息負荷量不斷增大，網絡安全還存在許多風險。傳統網絡安全防范機制不能夠精準的抵抗越來越新穎的網絡攻擊和計算機黑洞。因此提出基于多屬性評價綜合的網絡安全防范機制設計。多屬性評價是指在評估一件事情的結果時，從多個角度進行分析，將多個角度的評估結果融合在一個數學模型中，實現關聯關系的顯性化表述，得到綜合多方面影響因素后的評價結論。藉由多屬性評價的全面性優勢，可以為網絡安全防范機制提供全面的考評，實現對決策的參考，加強網絡安全機制的性能。

1 基于多屬性評價綜合的網絡安全防范機制設計

1.1 建立基于多屬性評價的信任模型

建立多屬性評價信任模型的基本思路為：（1）搜索目標服務提供者，根據目標服務提供者的所提供的基本信息搜索是否含有評價相同的推薦用戶；（2）篩選推薦用戶的評價，根據普遍用戶的評價判斷是否可信；（3）對評價的不穩定性進行校準調整；（4）通過推薦評價的可信度和推薦評價的數量規模得到間接信任的數值；（5）利用直接信任和間接信任來綜合計算，得到綜合評價信

任模型。信任模型流程圖如圖1所示。

圖1 信任模型流程圖Fig.1 Trust model flowchart

在圖1信任模型中，用戶身份確認是關鍵步驟，決定了用戶在信任模型中的地位和作用。在確定用戶信任身份前提下，對其賦予信任度值，作為模型的基礎。對于由信任用戶推薦的使用者，判斷其網絡使用過程中的合規性，評價既往使用過程中的意圖特征，在確認合法合規后，升級為信任客戶。通過迭代，構建信任用戶集，形成信任模型框架，如圖2所示。

圖2 信任模型基本框架Fig.2 Trust model basic framework

根據以上流程構建出多屬性評價的信任模型。模型包含四個大部分，期間通過五個小部分運行。

（1）使用者：為模型整體中的一個獨立的個體，也是使用主體。使用者根據自己的需求申請交互，在交互行為完成后，使用者能夠根據自身體驗進行評價，成為模型的推薦者。使用者在接受其他推薦者評價的同時也能向其他使用者提供推薦建議。

（2）服務提供者：是模型中相對獨特的存在。接收使用者的請求，根據使用者的需要提供相應的服務，并接受評價。

（3）本地信任模塊：將使用者申請和使用過的交互服務、應用評價儲存下來，將數據上傳數據庫，根據使用者的使用次數和行為進行時刻更新，保持數據信息的新鮮有效。

（4）推薦信任模塊：使用者通過搜索，將自己的需求輸入模型，模型根據交互需求查找相關推薦者的推薦評價，通過對推薦評價的信任度判斷確認是否聯系服務提供，并進行交互操作。

1.2 配置防火墻

網絡安全防范機制采用屏蔽子網防火墻隔離攻擊，將內網與外網分模塊隔離。將終端主機、內外部網絡公用路由器、服務器設置在防火墻保護范圍內，形成用戶級保護屏障。如圖3所示為屏蔽子網絡防火墻設置圖。

圖3 屏蔽子網防火墻設置圖Fig.3 Shielded subnet firewall settings diagram

內部網絡中需要針對某一點的攻擊設計內部防范機制，采用包過濾防火墻，對數據流進行監控。在防火墻網絡終端中，設置包過濾規則，將異常數據控制在單機狀態，限制數據的進出，以保證內部網絡數據信息的安全。包過濾防火墻的示意圖如圖4所示。

圖4 包過濾防火墻示意圖Fig.4 Packet filtering firewall diagram

包過濾防火墻在實現安全防范作用的同時，由于不占用網絡帶寬，大幅降低了對硬件設備的支撐要求，適用于小型網絡的免維護場景需求。

1.3 設計入侵檢測模塊

入侵檢測模塊的設置能夠增加網絡安全防范機制對于網絡中攻擊的抵抗能力。

（1）監視、分析用戶行為和模塊活動；（2）模塊構造和弱點的審計；（3）抓取信息并進行分析，判斷是否存在攻擊行為，同時向網絡終端匯報生成警告；（4）對接入網絡的終端中的攻擊行為進行匯總；（5）隨時監測網絡中重要數據和文件是否遭到破壞；（6）審計、跟蹤、管理操作模塊活動，抓取分析使用者的計算機終端中的攻擊性行為。如圖5所示為入侵檢測模塊的應用原理圖。

圖5 入侵檢測模塊原理圖Fig.5 Schematic diagram of intrusion detection module

對于單位的上級機構，選擇網絡入侵檢測模塊，主要擔負著監測并保護整個單位內部網絡的安全運行；對于單位的下級機構，設計為主機入侵檢測模式，對網絡中的傳輸信息進行監測，并同步分析行為性質。

1.4 構建網絡安全防范機制

構建網絡安全防范機制，通常包括：對內部網絡的安全防范機制、對外部網絡的安全防范機制、意外信息泄露防范機制。在信任模型、防火墻和入侵檢測模塊配置完成的基礎上對以上三個部分進行設計。

（1）對內部網絡的安全防范機制設計。內部網絡的安全威脅主要為用戶權限的分級和控制，杜絕越權操作。分析內部網絡的使用者構成，針對不同角色用戶，確定其使用范圍和操作權限，并在用戶注冊中完成權限劃定。內部網絡的安全防范機制是在角色確認后即分配相應的權限，在使用中嚴格按照分配的權限使用網絡資源，防止意外的誤操作或惡意破壞行為，提高網絡的安全性，保證網絡正常運行。

（2）設計對外部網絡的安全防范機制。外部網絡存在用戶身份不可確定，行為性質不易確定的風險，因此需要對外部網絡的數據進行有序管理。為防范攻擊行為對網絡產生安全風險，主要采用身份識別和限定的方法，規范網絡訪問和使用行為。對于頻繁嘗試破解網絡安全防范機制的行為，以其IP地址作為特征，識別為入侵行為，加入黑名單，拒絕該IP的一切訪問申請，實現對網絡的保護。

（3）設計意外信息泄露防范機制。具體步驟如下：

1）用戶數據的加密，在網絡安全防范機制設計中，對網絡每一名授權用戶的敏感信息分類進行加密處理，且加密算法獨立運行于服務器中，避免意外破解。

2）加嚴日志管理，對操作者的動作記錄存檔，并作為后續分析的數據基礎，定期匯總特征結果，及時發現網絡中的漏洞，做出修補。

3）設定熱啟動周期，限制非預期的多重訪問。在限定時間內，用戶可自由訪問網絡，一旦超過時間，則重新認證用戶身份，實現對非授權用戶訪問網絡的限制，達到保護資源不被限定權限外用戶獲取的保護目的。時間超時后，網站各項服務即刻終止。

2 實驗論證分析

實驗以實驗室仿真的形式開展，設定用戶的模擬訪問以及攻擊樣例，驗證本文所設計的基于多屬性評價綜合的網絡安全防范機制是否有效。

首先測試本文所設計的機制能否抵抗服務提供者的一類經典攻擊類型：ON-OFF攻擊。假定一個攻擊者的行為如下述4個階段：

（1）首先行為表現良好20次；

（2）然后行為表現惡劣20次；

（3）接著恢復表現良好20次；

（4）最后繼續表現惡劣20次。

用戶與服務提供者無任何交互的情況下，基于推薦者對服務提供者的推薦評價完成信任建模，并對比了本文方法和傳統模型的性能表現。假定實驗中有100個推薦者，1個服務提供商，1個用戶。

如圖6所示顯示了對于此種類型攻擊者網絡安全機制的變化。水平坐標表示其交互的次數，而垂直坐標則顯示其當前信任值。圖中曲線表明，本文所設計的網絡安全防范機制能夠有效的檢測出ON-OFF攻擊，因此其性能要優于傳統的網絡安全機制。

圖6 直接信任算法比較Fig.6 Direct trust algorithm comparison

3 結語

因為計算機網絡技術十分開放、靈活、具有強互動性等特點，在不斷發展的進程中也暴露出許多問題。本文所設計的基于多屬性評價綜合的網絡安全防范機制能夠很好識別并抵抗網絡攻擊，大大提高了網絡的運行安全。但由于時間限制，沒有進行多次測試，還需要在今后的研究中不斷完善。