數據通信網網絡安全監測系統研究

趙運海，劉中嶺

（中國鐵路北京局集團公司北京通信段，北京 100000）

0 引言

信息化和數字化時代應用最廣的技術之一就是“大智云物聯”，它包括大數據、云計算、人工智能、物聯網等等技術的應用，這些技術在金融證券、倉儲物流、智慧城市和政務事務方面都有非常廣泛的應用，而在視頻監控和網絡安全方面的預防方面，時代的變化和進步對互聯網的裝載、安全防護等能力提出了更高的要求。本文通過對BP神經網絡技術的導入，通過數據挖掘的方式實現互聯網風險分析和監控，實現了構建安全網絡，防止風險入侵。與此同時，從根本上評價了該監視系統的缺失性和漏洞性，通過威脅發現、異常分析、判定決策、響應處置的邏輯分析方式，強化互聯網防御能力，并提出相應的安全防護系統設計方案。

1 研究網絡安全入侵風險監測系統的目的及意義

1.1 研究目的

21世紀互聯網已經發展到了一個新高度，互聯網的發現與普及將計算機與計算機也聯系在一起。信息安全的內容也從一般的防衛變成了日常的預防，而且由原本的專業領域發展為一種計算機普遍具備的技術。網絡安全技術主要包括物理安全分析技術、網絡結構安全分析技術、系統安全分析技術以及其他方面的網絡安全服務和安全策略。網絡安全技術研究的重點是要保證個人利益和集體利益的協調性，在保證個人上網良好體驗的條件下，能夠保證國家重要資料不被泄露，保證國家的網絡環境適合每一個人健康的心靈成長，這也是網絡技術應用的根本原則和根本實施目標。

1.2 研究意義

信息安全問題不但是政府安全防護的需要，也是社會化生產安全的需要。特別是隨著電子商務的發展，信息技術和信息安全已經成為整個經濟社會發展的根本條件和重要基礎，從經濟社會發展和國家安全的層面來講，加強信息安全技術的發展，促進信息安全產業的繁榮發展，已經是勢在必行的一種趨勢。

對于一個國家來說，信息安全系統的建設不僅僅是相關法律法規的制定，還包括一個成熟的技術應用市場和健全的發展平臺，我們想要構建一種安全性的信息防御系統的時候，除了對安全產品的構建和開發——以此來解決網絡安全問題，最終的目標還是致力于促進國家網絡安全的整體性提高，促進民生民安。建立網絡安全風險監測系統不僅對國家信息發展和網絡建設有幫助，還有利于保證在大數據的網絡背景下信息的安全性和有效性，以及網絡環境的正常運行，因此需要建立網絡安全監測系統，避免網絡環境因木馬病毒的非法入侵、黑客的惡意攻擊等行為造成無法估量的損失，確保網絡環境的安全性。

2 當前網絡時代面臨的安全風險

可以說從2017年開始，網絡安全逐漸受到了人們的重視，因為它已經造成了巨大的經濟損失，所以網絡安全防護系統的應用與需求呈現出日益增長的局面。截至當前，互聯網上還存在著很多頑固性很強的病毒。例如，特洛伊木馬經過多年的更新換代，偽裝成正常的數據文件保存在電腦中，360和金山等殺毒軟件對其都不能有效地識別。這些網絡病毒的進化嚴重威脅著網絡安全，它們變得更聰明、更加隱蔽、更加難清除、更具有頑固性。更嚴重的問題是，網絡應用系統的軟硬件資源被整合化，實現了不同的開發框架和技術的融合，容易形成針對各種類型框架的脆弱性病毒攻擊，使網絡被攻擊的途徑變得更多。目前網絡時代面臨的安全問題主要如下。

2.1 主動防御能力弱

現有的安全系統采用靜態預配置方式，網絡管理者事先人工配置計算機的防護參數，對于未知的攻擊手段無法做到及時檢測、快速響應。另外，由于不同系統之間的集成很難，無法實現聯動。對于敵人的瞬間攻擊缺少應對手段，對于已經遭受到的攻擊沒有可以用作分析的底層數據，所以無法做到對攻擊事件的溯源反制。

2.2 應對新型攻擊的反應遲鈍

現在的反病毒系統，檢查主要根據特征代碼技術，采取“捕捉處理升級”的方式，不斷升級防御規則提高自身的防御性能，因此過分依賴于對新型病毒的檢測能力和速度。且當已知系統感染病毒后，缺少確認病毒的擴散范圍、擴散時間、最初感染時間等因素的手段，無法阻止病毒的進一步擴散，及時止損。

2.3 安全漏洞大

我國大多數網絡采用的安全技術，防護功能單一，存在較大安全隱患。安全漏洞更新迭代較快，每段時間都會在已有的系統框架中曝出新的漏洞，針對已經暴露出來的安全漏洞，缺乏針對老舊漏洞的檢測能力以及對新生漏洞的排查能力。侵入檢查系統以旁聽方式檢查數據包，不能立即切斷攻擊，難以檢測踩點式攻擊、再生攻擊、間接攻擊、網絡旁聽、DDos等攻擊行為。

2.4 很難融合安全系統

防止病毒、補丁分發、脆弱性掃描、侵入檢查、主機監視、身份認證等系統分別由不同的機構開發，通信協議不一致、系統接口不統一、數據格式不一致、信息資源難以共享、系統間的聯動無法實現，并且各系統間的功能重復，在操作系統的底層容易發生沖突，嚴重影響計算機的正常運行，影響業務的正常效率。

3 網絡安全入侵風險監測系統

3.1 網絡安全入侵風險監視系統功能

防止網絡風險入侵的監視系統采用了很多集合性的技術，比如說數據收集功能、風險分析功能、安全評價功能、安全響應功能。這些安防技術構成了集成化的安全防御系統，能夠對網絡安全實行全面的監視和防御功能。

（1）數據收集功能。數據收集功能是通過接入網絡應用系統的軟件和硬件資源的集成設備來完成數據資源捕獲的收集功能。軟件系統包括應用系統、操作系統、防御系統和數據系統，而硬件設備包括服務器、交換機、智能終端和路由器等。在這些軟件資源和硬件資源共同的運行過程中，會產生很多系統運行的信息記錄，如系統日志、數據流量等。數據收集可以將這些信息記錄進行定期收集，獲取系統日志、數據流量，并進行數據資源的存儲。當發生異常事件時，這些數據資源可以為風險分析提供數據支撐。

（2）風險分析功能。風險分析功能是在擁有系統數據作為支撐之后，將數據發送到風險分析模塊，進行不同的數據矩陣化處理，例如通過BP神經網絡、K均算法、支持向量機等預處理后，數據得到有效的分析。在風險安全規則的建立下，完成數據向風險結果轉化。風險分析模塊能夠分析數據中存有的潛在威脅數據，并對這些威脅數據根據危險等級進行有效分類，建立強大的網絡安全風險入侵監測系統。

（3）安全評價功能。在針對收集到的系統數據完成風險分析之后，對這些結果進行定量或定性化的評估，從而獲取系統存在的安全漏洞類型。對系統的脆弱性和系統漏洞的缺失性進行既定標準的評價，而針對重大安全防御事件的脆弱性，啟動安全響應機制。

（4）安全響應功能。最后一個步驟是進行系統的安全響應及對安全評價結果進行分類處理，發現其中的網絡安全漏洞，對這些漏洞和威脅進行清理，防止進一步的威脅。安全響應功能會設立一定的防御機制，對病毒進行有效的規劃，利用積極防御的思想，防止病毒的進一步侵入。同時，利用360殺毒軟件等防御性系統的設立，修復系統的脆弱性，啟動系統的防御規則，及時清除網絡內的安全防御機制，控制病毒等風險因素。

3.2 網絡安全入侵風險監測系統

用戶在進行風險監測系統登錄的時候，可以方便地采用IE瀏覽器登陸端進行風險評估操作，使用動態前頁的交互接口來輸入評估信息。這種方式是利用先進的SOA構架設計網絡來進行安全入侵風險監控系統的評估實施。評估信息通過組件傳送到相應的應用服務器。這些安全風險信息位于服務器的邏輯業務層，服務器能夠根據這些數據請求進行邏輯處理，從而分析出應用程序想要達到的分析結果。在邏輯業務層，服務器的分析原理是根據BP神經網絡的分析模式，發現潛在的系統安全漏洞，并且及時將這些信息存儲在數據庫中，在系統用的時候隨時進行調取，用來提高網絡安全的評估能力。

4 網絡安全入侵風險檢查系統的關鍵技術

在開發網絡安全侵入風險監視系統的過程中，所采用的關鍵技術包括SOA架構、消息傳輸機制等，以下詳細說明。

（1）SOA架構。SOA網絡構架可以為各種類型的軟件計算平臺提供強大的服務支持。它是以服務為中心的軟件開發組件，其核心內容是以組件管理為對象進行分布式的計算。分析組件的操作和技術支持之間存在著很多差異性，這取決于計算環境的差異。組件之間可以進行不斷的復用，以確保不同技術的不同支持。SOA網絡構架采用的是Web service 等服務模式，這些服務模式可以將更高級別的組件交互操作來進行交叉式的服務。SOA可以實現標準的組件封裝，實現各個服務組件之間的配置和安裝，實現不同程序語言之間和開發架構之間的復用。同時，SOA網絡構架可與各廠家的軟件進行兼容，實現動態式的多路復用網絡構架。

（2）消息結構。客戶可以調用常規組件來完成某些消息的傳遞功能，這些常規組件可以使用COM、CORBA等消息編譯成一個二進制編碼對象，從服務器端發送到客戶端。在開放網絡環境中，不同平臺數據的數據結構不同。只有通過二進制編譯，才能在不同的服務之間發送信件對象，實現信息的共享組合。

（3）自我學習BP神經網絡。BP神經網絡能夠解決數據延遲、組件丟失的情況。計算機網絡仿真技術（BP神經網絡）有效把握了計算機網絡性能可能發生的問題，將計算機網絡模擬所表現的問題直接反饋給服務器的邏輯業務層，通過網絡數據傳輸設計，進一步對網絡環境進行防護。BP神經網絡是通過計算機網絡系統進行不斷的模擬分析，檢查計算機網絡系統中可能存在的瑕疵和漏洞，促進計算機網絡數據傳輸功能的完美實施。

5 網絡安全風險監測系統的功能特征

5.1 整體聯動、多層防御

將反病毒、防火墻、侵入檢查及身份認證、脆弱性掃描、蜜罐等安全技術組織按照系統有機地結合起來，實現整體的連動。實時響應，牽制、轉移檢測到的網絡攻擊，分析黑客入侵方法，驗證網絡入侵，跟蹤、反擊入侵者，實現主動欺詐、應急響應、災難恢復、自動反擊等功能，最大限度保證網絡環境和信息的安全。

5.2 自動監控、自動識別

運用基于程序行動進行自主判斷，從而進行實時的保護。根據最原始的病毒定義將直接程序的行為作為判斷依據，正確判別新型病毒和攻擊。

5.3 動態防御、自動進化

本地特征庫升級，具有自動更新能力，自動收集新型病毒的特征值，縮短特征值掃描技術和病毒出現時間差，實現“捕獲、分析、升級”自動化。同時，實現系統防護戰略的自動配置，不斷動態進化系統防護，及時更新強化網絡安全防御系統。

6 網絡安全風險監測系統的應用

（1）全流量監控分析模塊：

對所有流量都進行采集存儲，以此作為研判的支撐；可根據業務畫像梳理出業務數據流的交互情況，在排除正常業務行為的同時可精確篩選出異常流量；可針對網絡、應用等多維度進行流量檢索，完整解析數據包，獲取數據包的詳細信息。

當鐵路局發生網絡端以及應用端的安全事件時，可通過數據流量為異常事件分析提供依據，百分百還原安全事件全過程，做到分析有因，研判有據。

（2）網絡狀態分析模塊：

1.對全網流量實時分析，結合相關業務情況，定制基于業務的端到端網絡路徑圖，對路徑中的各個節點有針對性地設定網絡運行監控閾值，實現網絡狀態的實時分析、實時監控、實時故障預警、快速準確故障定位。

2.有人反映鐵路局網絡存在延遲、業務系統卡頓、業務無法訪問等問題時，可通過流量實時分析網絡時延、丟包、連接性等指標，確認網絡環境狀態；

3.對于網絡路徑中的關鍵節點、關鍵路由可設置點對點針對性監控，根據不同節點詳細情況，設置專屬監控指標，7*24小時實時監測網絡狀態；

4.對于業務無法訪問情況可通過Traceroute探測功能，對訪問過程中網絡的每一次路由跳轉進行詳細展示，快速定位故障路由，保證業務訪問暢通性；

5.對于網絡連通性可通過主動探測的撥測探針對網絡環境進行定時撥測，實時分析撥測結果，提供網絡連通性詳細展示指標，確保網絡聯通狀態。

（3）安全日志審計模塊：

對鐵路局不同的日志源（路由器、主機系統、網絡設備、安全設備等）所產生的日志進行收集并統一管理；平臺內置解析規則，不用手動錄入，可自動解析統一異構日志格式，便于觀察；根據需求制定相關日志告警規則，對網管系統不能發現的安全事件，進行相關告警，快速響應，急速處置，確保網絡環境穩定性。

（4）資產風險管理模塊：

采用主動識別的方式，進行資產指紋對比，指紋可對應到具體的服務及應用框架協議等；識別結果包括高危端口開放情況、資產漏洞情況、服務開放情況、資產系統版本等信息。

7 結語

在大數據的網絡時代進行安全防御系統，沒有任何方法是一勞永逸的，在防護過程中要確保對網絡接口、網絡服務器、數據存儲器等進行管理檢測，運用大數據技術及時對信息進行木馬、病毒甄別，進行安全防護，保證網絡環境的安全運行。