計算機網絡技術的應用及安全防御

張 勇

（壽光市社會治理服務中心 山東 壽光 262700）

0 引言

隨著互聯網的發(fā)展，現階段網絡安全已成為計算機網絡系統的主要問題，因此相關人員應對此方面的問題給予高度關注，對于自身系統進行全面研究和設計，從而提升自身計算機網絡系統的安全性，為相關人員提供安全的網絡使用環(huán)境。

1 計算機網絡技術安全

計算機網絡安全主要是指運用特定的技術手段提升網絡自身的監(jiān)管能力，從而保障用戶操作環(huán)境的安全性[1]。運用網絡的安全性及自身安全性主要由兩方面組成，一方面是物理安全保護，主要為計算機自身的硬件設施，組合最優(yōu)化，以此降低硬件設施的損害。另一方面為計算機邏輯安全詞方面，主要是指提升計算機自身數據的穩(wěn)定性，其在實際運用過程中需要運用特定運算方式進行數據分析，從而為用戶的使用安全保駕護航。

2 網絡安全防御系統設計與實現

2.1 系統架構設計

當網絡受到外界攻擊的時候，首先是外部拓撲結構進行防御，所采用的技術是分布式防火墻，可以作為“第一級別的防御”[2]。如果防火墻技術沒有成功攔截網絡攻擊，那么系統將進行“第二級別的防御”，即進行入侵檢測與防御系統的保護工作。入侵檢測與防御系統包括網絡探測器、主機探測器與策略管理中心和控制臺4個功能組件。網絡安全防御系統整體架構見圖1。

2.2 入侵檢測與防御系統主要組件功能描述

2.2.1 網絡探測器組件

網絡探測器組件按照不同的功能應用可以劃分為節(jié)點控制模塊、規(guī)則庫、規(guī)則分析器、預處理器與嗅探器[3]。依據實際的功能模塊則可以劃分為數據收集模塊、數據分析模塊、規(guī)則解析模塊、報警模塊與節(jié)點控制模塊。不同功能模塊的作用如下。

（1）數據收集模塊：主要負責在網絡系統中對數據信息的檢測與控制，同時將數據包信息傳遞給不同的節(jié)點進行實時的交互與通信。

（2）數據分析模塊：將獲取到的數據信息進行研究與分析操作，同時將數據的結構域格式一并傳遞給下一個通信節(jié)點，按照不同的規(guī)則與應用將不同節(jié)點之間的通信進行交互式連合。

（3）規(guī)則解析模塊：根據不同的規(guī)則與匹配算法，將接收到的節(jié)點信息向下一個節(jié)點進行交互式的傳遞。同時對數據包中的數據信息進行封裝處理，如果有受到網絡攻擊的節(jié)點，那么將轉發(fā)給解析模塊。

（4）報警模塊：依據網絡所給定的數據格式進行數據的解析與傳遞操作。將接收到的報警信息傳遞給策略管理中心，進行統一的管理與相關操作。

（5）節(jié)點控制模塊：該模塊是實現所有遭受到網絡攻擊的節(jié)點信息的處理與管理操作，在對其進行解析操作的同時，實現相應的控制與管理。

2.2.2 主機探測器組件

主機探測器主要是安裝在服務器端，目的是實現對所有遭受網絡攻擊的主機節(jié)點的異常檢測與保護操作。

由于主機探測器節(jié)點的安裝位置在服務器端，因此可以將其看作是入侵檢測與防御系統中針對攻擊進行保護的核心構成部分[4]。其中所涉及的內容還有異常檢測，當防火墻技術無法對網絡攻擊進行良好檢測與保護的時候，那么入侵檢測與防御系統將會進行更深一步的檢測與防御操作。在這個過程中，主機探測器作為核心的控制管理部分，首要是對異常檢測器進行檢測與防御。如果主機探測器檢測出相關的網絡攻擊信息，那么將會把網絡的攻擊信息提交給策略管理中心，由策略管理中心做出下一步的選擇與評價。

2.2.3 策略管理中心組件

網絡探測器和主機探測器都是對異常與網絡攻擊進行處理與控制的關鍵部分，而對這些功能組件的控制管理則是由策略管理中心進行。策略管理中心組件可以看作是入侵檢測與防御系統中的核心處理模塊，負責掌管著所有模塊的交互式通信與操作功能。

策略管理中心可以實現不同的功能模塊之間的交互式通信，并且具有對異常進行檢測與報警處理的功能[5]。當網絡接收到網絡攻擊的時候，策略管理中心將會直接調用異常與報警處理模塊，這一模塊一旦接收到報警與異常處理信息，立即報警處理，同時將數據庫中的數據信息進行更新，并且將日志記錄進行更新操作。

2.2.4 控制臺組件

控制臺組件主要實現用戶與入侵檢測與防御系統的交互功能。控制臺實際上是用戶的信息操作界面，其不負責報警信息的處理和分析，但是可以通過多種形式把報警信息顯示給用戶。當用戶以合法身份登錄后，可以對報警信息、網絡攻擊行為、處理結果進行統計與分析。控制臺組件具體分為管理模塊、統計與分析模塊、信息查詢模塊3部分。

2.3 關鍵功能模塊設計

2.3.1 規(guī)則解析模塊設計

在異常入侵檢測中，為檢測入侵行為，需要對報文進行規(guī)則匹配，通過對入侵行為進行分析，提取入侵行為的特征值，并與規(guī)則庫中的正常行為進行比較，當入侵行為與正常行為有重大偏離時，認為是入侵。規(guī)則格式根據邏輯被分為規(guī)則頭以及規(guī)則選型兩部。規(guī)則頭定義了規(guī)則的行為，所匹配報文的協議、源地址、目標地址以及網絡掩碼、源端口和目標端口信息；規(guī)則選項部分則包含了所要顯示給用戶看的警告信息以及用來判斷此報文是否為攻擊報文的其他信息。由于規(guī)則庫是文本文件，不能作為直接的數據結構給檢測引擎調用，因此在進行啟動的過程中還應對在規(guī)則庫中對文件進行及時解析，使其生成能夠被引擎進行運作的數據機構。在規(guī)則解析模塊中，設計的主要函數見表1。

表1 主要函數

2.3.2 報警信息處理模塊設計

基于異常檢測的入侵檢測與防御系統通常需要處理數量巨大的報警信息，為減輕報警信息對系統產生的負載，針對報警響應的處理，將采用隊列結構進行信息的存儲。為方便發(fā)現警報真正的產生根源，系統采用聚類方法為警報信息進行無監(jiān)督分類，從而提供警報根源分析依據，進一步消除根源。在本系統中，通過對報警信息數據預處理抽象出屬性特征，報警信息的無監(jiān)督分類處理采用K-means聚類算法。算法過程如下：首先，從無數的警報中選擇若干個警報作為質心。其次，在實際進行警報測量的過程中還應對剩余的警報到質心的距離進行檢測，并將其劃分到與其自身最近的分類中。再次，在上述的分析之后進行各個類別的質心重新計算。最后，再進行質心與原質心的全面計算，在迭代2～3步驟之后，將得到與新的質心與原質心取值范圍≤的閾值，結束此算法，并在開展K-means運作的過程中運用距離作為其相似性評價指標，若是兩個對象距離逐漸增加，則其中的相似度就越大。通過無監(jiān)督分類處理，對每一個類簇中的警報進行計數，所有警報信息按照所在類簇中的警報數按大小分類排序，等待用戶分析與處理。

2.3.3 服務器線程類設計及控制流程

關于網絡的外部拓撲結構將采用防火墻技術進行構化，而對于內部拓撲結構則采用入侵檢測與防御系統。在入侵檢測與防御系統中最為核心的是對數據管理與策略的實現過程。服務器線程類設計如State_SyslogServer類所示。

publicclassState_SyslogServer

{

privatebooleanSyslogServerOn=false;

privatebooleanSyslogServerIsRunning=fasle;

privateBooleanavailable=true;

publicsynchronizedbooleanget_SyslogSeverOn();

publicsynchronizedvoidset_SyslogSeverOn(booleanvalue);

publicsynchronizedbooleanget_SyslogSeverIsRunning();

publicsynchronizedvoidget_SyslogSeverIsRunning(booleanvalue);

publicsynchronizedvoidwait_SyslogSeverIs(booleanflag);

}

2.4 數據中心安全

隨著互聯網技術的不斷發(fā)展，網絡管理也朝著集中化、高細粒度以及多維度的方向發(fā)展。隨著業(yè)務的需求以及管理流程的不斷完善，對內部數據的集中歸類和處理工作變得更為重要，這就需要加速完善對數據中心的建立和保障體系。本著多層實施防護以及分布工作的原則，實現對該數據中心的安全設計任務。在這一設計方案中，通過外部的三層防護機制來實現對數據中心的安全設計。在這一體系中，第1層是基于網絡層面的保護，在這一層通過部署安全特性豐富的網絡交換，實現對數據中心的保護；第2層為對IDC應用層的保護，入侵防御系統的部署能夠實現對數據中心網絡邊緣的保護；第3層為保護數據中心管網絡邊緣，主要途徑為將高性能防火墻部署在數據中心的網絡接口處。

對來自外部數據訪問請求進行管理和控制，是防火墻的主要功能，入侵防御系統能夠阻擋蠕蟲病毒之類防火墻難以深度檢測的攻擊。主動防御系統可以對應用層的信息進行深度檢測和分析，通過分析外來數據中帶有攻擊性的成分，達到及時阻斷外來入侵的目的，保護數據中心的應用層不被入侵。狀態(tài)防火墻可以實現對IDC網絡邊界安全的保障工作，將安全信任和非安全信任網絡進行分離，防御多種形式的畸形報文攻擊。網絡交換機的部署工作是保障數據中心安全的基礎，進一步實現對數據鏈路層的安全防御工作。除此，不同安全特征的網絡設備有著不同的安全需求，這就要求我們組建不同的信任模型以及執(zhí)行一系列安全策略。以區(qū)域劃分和多層部署方案為引導，還需要建立對IDC服務區(qū)的多層部署工作。

其中，接入產品與首層建立直接的鏈接，Web服務層為提供網站；第2層扮演了中間人的角色，將用戶的應用程序、存儲服務器以及服務器數據庫三者聯系起來，與應用層相銜接；最后，數據庫層即為第3層，這一層主要負責進行網絡相關信息和數據的存儲工作，并將數據庫系統布置在該層，方便進行數據的收集工作。

3 系統運行與測試

3.1 系統運行

在網絡環(huán)境中，外部拓撲中采取防火墻技術，具體將相關的硬件設備進行實現，而針對內部的拓撲結構則應用入侵檢測與防御系統。對于規(guī)模較小的，入侵與檢測防御系統可以安裝在同一臺服務器上，即將網絡探測器組件、主機探測器組件、策略管理中心組件和控制臺組件可以在同一操作系統上運行。對于網絡結構比較復雜的，可以采用多級結構，實現級聯管理，見圖2。在圖2中，網絡探測器組件可以安裝在各個內部子網絡中，策略管理中心組件和主機探測器組件可以安裝在網絡服務器中。在這種結構中，網絡局部受到攻擊和侵害的時候，系統能夠集合各終端信息，進行綜合分析，對網絡全局做出嚴密的監(jiān)控和響應，以使網絡威脅造成的損失最小。

3.2 系統測試

在進行系統測試前，入侵與檢測防御系統安裝在一臺服務器上，對此服務器進行非法入侵與攻擊。

3.2.1 測試環(huán)境

（1）硬件：CPU：IntelCorei7-45903.3 GHz；內存：8 G；硬盤：500 G；網卡：10/100 M自適應。（2）軟件：操作系統：Windows2020；應用軟件：入侵檢測與防御系統。

3.2.2 測試

（1）應用進程開啟與關閉測試。首先，進入入侵檢測與防御系統操作界面查看服務器當前運行的進程。其次，打開QQ程序，查看QQ進程信息。最后，結束QQ進程，查看QQ進程結束成功。通過以上操作，操作結果與預期結果一致，測試通過。

（2）遠程訪問測試。首先，進入入侵檢測與防御系統操作界面查看服務器當前運行的進程。其次，遠程ping服務器，查看ping信息。再次，ping結束，查看ping結束成功。同時，遠程Telnet服務器，查看Telnet進程信息。最后，Telnet結束，查看Telnet結束成功。通過以上操作，操作結果與預期結果一致，測試通過。

3.2.3 性能測試

（1）丟包率測試。丟包率反映入侵檢測與防御系統的數據包的處理能力，與數據包的長度和發(fā)送頻率有關，入侵檢測與防御系統在測試中系統平均丟包率不到0.5‰。

（2）延遲時間。延遲時間指的是在攻擊發(fā)生至IDS檢測到入侵之間的延遲時間。延遲時間的長短直接關系著入侵攻擊破壞的程度。在40%負載下，入侵檢測與防御系統測試的平均延遲都在毫秒級。

（3）負荷能力。入侵檢測與防御系統之間的設計有著一定的負荷能力，在超出負荷的過程中，其自身的性能會不斷下降，因此在實際運行過程中需要以負荷能力作為標準，對入侵檢測和防御系統進行衡量。在一般情況下，IDS的運行能夠對某攻擊進行有效檢測，但是在其負荷變大的情況下，其檢測水平會下降。

（4）檢測率。檢測率是指被監(jiān)控系統在受到入侵攻擊時，檢測系統能夠正確報警的概率。通過兩周的測試，入侵檢測與防御系統的平均檢測率在98%。

（5）虛警率。虛警率是指檢測系統在檢測時出現虛警的概率。通過兩周的測試，入侵檢測與防御系統的平均虛警率在2%。

4 結語

而研制現階段計算機網絡安全問題，已經得到社會廣泛關注，但是真正實現計算機網絡安全還需相關人員進行全面研究，根據運用環(huán)境的需要和實際問題進行全面優(yōu)化，以此提升計算機網絡運用的安全，為我國計算機網絡技術的提升提供基礎保障。