基于大數據技術智能化網絡安全監控系統技術的仿真實現

張紅猛

（鄭州科技學院，河南 鄭州 450064）

1 研究背景及目的

1.1 課題背景及意義

一個國家的信息安全體系，實際上是由政府制定的規章、政策、技術、市場等組成的。在這個問題上，不能從制度設計的角度出發，而應從技術、產業等方面進行研究。政府不但要把發展信息安全作為高科技產業的一部分，還要把發展安全產業作為中國信息安全的一個重要內容。目前，中國的信息安全問題已經引起了人們的廣泛關注，特別是在互聯網、電子商務、政府網站建設等方面。政府部門、企業和使用者越來越需要安全、穩定、可維護、可持續發展的資訊科技。因此，在經濟發展和國家安全的雙重考量下，必須加快發展信息技術。

1.2 研究目的

隨著互聯網技術的發展和應用日益成熟，計算機網絡在現代社會的文化生活中發揮了越來越大的作用。然而由于計算機信息網絡空間具有相對開放性和高共享性特征，很容易受到外界勢力的隨意攻擊入侵和肆意破壞，各種竊取網絡信息技術的黑客入侵行動和各類犯罪活動將隨之而來，會嚴重影響互聯網信息共享的整體安全性水平和安全保密性。因此，網絡隱私及其安全相關技術問題目前也逐漸成為了世界各國政府、企業管理人員和各類普通計算機網絡用戶群體最關心的焦點問題。對計算機網絡環境安全與技術防范的進一步研究也是為了能夠為人民和政府創造一個健康良好的網絡環境，使計算機網絡與安全相關技術產品更好地服務于全國用戶。

1.3 研究現狀

近年來，隨著人工智能、大數據分析、5 G 無線技術的不斷發展，新的信息技術對企業的網絡安全構成了新的威脅。相關統計數據報告表明，2011—2021 年這10 年間，全世界企業因遭受互聯網恐怖主義威脅而導致的總經濟損失高達2 940 億元。互聯網風險的提升，促使政府部門、公司客戶以及個人用戶越來越來重視這一風險，各國紛紛制定了有關數據保護的法律和法規。2019 年上半年，中國互聯網網絡的安全運行形勢大體具有以下新特點：用戶個人信息和重要數據被走漏的風險嚴重；多個重大高風險缺陷事件被公開暴露，給中國網絡信息安全帶來了嚴重的威脅；針對中國主要站點的DDos 攻擊非常頻繁；國家互聯網管理中心從惡意軟件、潛在缺陷、移動互聯網安全、網站信息安全、云數據平臺安全、行業應用系統安全、網絡金融安全角度分析發現，中國網絡安全方面存在很大的問題[1-2]。

2 常見網絡安全問題[3-4]

2.1 網絡系統安全

網絡安全指網絡和電腦自身所面臨的安全問題，即確保網絡的安全和易用性，內容包括計算機物理系統、數據庫、網絡設備和網絡服務的安全問題。

2.2 Web 安全

網站源代碼的程序員在編寫源代碼時，如果沒有對指定的參數進行過濾，這樣就會產生大量的安全漏洞，比如SQL 注入漏洞、XSS 漏洞，文件包含漏洞、越權漏洞等。其實，這種缺陷很容易被清除，但由于工作人員懶惰而沒被清除。除此之外，還有一些其他漏洞，比如普通目錄遍歷、敏感下載、文件上傳、解析漏洞等。這一切都是因為錯誤的服務器配置，黑客可以輕易地獲取他們所需要的資料。

2.3 網絡信息安全

網絡信息安全指網絡上系統信息的安全。例如，在網絡傳輸期間，電子事務信息會被他人非法修改、刪除或重播（僅限一次性信息被重復利用），使其喪失了原本的真實性和完整性；軟件方面的問題造成信息傳輸丟失、謬論和某些惡意程序被毀壞、損害電子商務信息。

2.4 拒絕服務攻擊（DoS 攻擊和DDoS 攻擊）

在企業持續增強網絡安全的同時，黑客的手段也在不斷更新，因此出現了拒絕服務。此類攻擊會給服務器發出很多錯誤的請求，造成服務器負載過大，不能為合法的使用者服務。

2.5 病毒、蠕蟲、木馬和間諜軟件

這是目前最常見的網絡安全問題。使用病毒、蠕蟲、木馬等，對電腦系統進行攻擊，使信息持續擴散，導致資訊泄露或財產受損。

3 相關技術分析

3.1 TCP/IP 協議簡介

TCP/IP 協議本身具有非常廣泛的兼容性和可擴展性，靈活連接不同標準的計算機網絡協議和不同層次的網絡設備。TCP/IP 現在已經成為一個實用的網絡互連標準，廣泛應用于互聯網/內聯網協議標準中。

3.2 網絡協議分析

根據網絡的不同層次將TCP/IP 協議分為以下4 個層次：網絡接口層、網絡層、傳輸層和應用層，如圖1所示。

圖1 網絡協議

網絡接口層：TCP/IP 模型中的網絡接口層對應OSI 參考模型的物理層和數據鏈路層，在TCP/IP 協議棧的最低層，主要負責透明傳輸的比特流，并將網絡層傳下來的IP 數據報組裝成幀。

網絡層：主要任務是完成網絡層協議數據單元從源端到目的地的傳輸，并為分組交換網上的主機提供通信服務。主要功能有路由選擇、流量控制、差錯控制、擁塞控制。主要協議有ARP、IP、ICMP、IGMP。

運輸層：負責主機中2 個進程之間的通信及點對點通信。其基本的功能還可以包括流量控制、差錯控制、服務質量、管理等提供可靠的端到端數據傳輸和不可靠的運輸服務。為了實現可靠的運輸服務，傳輸層規定接收方必須給予確認，并且規定如果數據包丟失或超時，必須再次重傳。

應用層：應用層是TCP/IP 參考模型的頂層，是用戶和網絡的接口。應用層為特定類型的Web 應用程序提供訪問TCP/IP 參考模型環境的方法。由于用戶的實際應用程序不同，它需要應用層使用不同的應用協議來解析不同類型的應用程序要求，并且應用層協議包含HTTP 協議、SMTP 協議、POP3 協議等。

3.3 網絡監聽技術

網絡通信的時候需要對通信數據進行實時監聽，如果監聽到違規通信內容就應該按照規定的策略進行阻止。所以要想達到此目的，需通過軟件和硬件的結合來實現。網絡監聽主要是對網絡通信進行管理，通常網路監控能夠有效地對違規數據進行截取，所以對于網絡安全來說監控技術至關重要。

3.3.1 網絡監聽特點

隱蔽性強。進行網絡監聽時只會被動接受網上傳輸的信息，系統本身基本不會主動發出任何信息，所以很難被發現。

靈活性強。它可以對網絡上任何網段或任何設備進行監聽，如路由器、防火墻網關等。

3.3.2 網絡監聽的種類

廣播監控：共享LAN 通常是廣播信道，主機發出的數據幀會被LAN 上的所有主機收到。所有數據幀都會被傳遞給上層應用程序，以便偵聽共享網絡。

交互式監控：交換式網絡通常指點對點的傳播模式。數據鏈路層中的數據幀目的地地址通常由MAC地址表示，并且最終數據在實際網絡的鏈路上傳輸時，無論網絡層無論使用了哪個協議，發送時必須使用硬件地址。ARP 請求數據包以廣播的方式發出，ARP 響應分組在單播中發出。但是在默認情況下主機會根據ARP 響應分組來動態改變ARP 表，在此之前不一定會有ARP 請求分組發送，所以這就產生了網絡漏洞，需利用網絡監聽技術來確保網絡數據可靠傳輸。

3.4 數據包獲取

此監控系統的主要處理對象是數據包，所以需要對數據傳輸過程中所有的數據包進行抓取獲取，然后再交給下層網絡分析模塊進行網絡分析，只有對數據包進行更深入的分析才能在此基礎上進行網絡安全監控。

Scoket 方式：原始的套接字（Socket-raw）可以對網絡底層的協議進行直接訪問，所以通常都是利用原始套接字對系統的網絡層或應用層進行控制。

Libpcap 方式：Libpcap 主要由2 部分組成，分別是網絡挖掘和數據過濾，首先將網絡上的數據復制得到驅動設備程序，然后數據過濾器利用BPF 算法思想獲取數據包，最后再將過濾獲得的數據交給上層應用層處理。

3.5 違規信息實時TCP 阻斷

TCP 阻斷連接主要有如下3 種阻斷方式：①TCP協議棧異常處理。通信過程中，TCP 協議棧對網絡異常的處理的優先級較高，所以TCP 連接錯誤發生時TCP 連接雙方的任何一方會發送一個復位報文段進行實時阻斷連接，當發送方再傳送數據時接收方不再接受，連接途中發生異常連接就會結束。②TCP 協議棧正常處理。在通信過程中，違規連接后，需要構造FIN報文段并且分別發給連接雙方，告知雙方發現連接違規的現象，雙方都要斷開連接，使得TCP 連接提前結束。③填充窗口。所謂填充窗口就是利用滑動窗口機制，不停地向服務器端或客戶端發送無用的信息或錯誤信息，不停地占用計算機資源，占用TCP 序號，使得發送的數據不被接收端接受，多次發生序號沖突，系統就會判定為異常，協議棧會發送異常來結束連接。

4 網絡安全監控系統技術仿真的設計與實現

4.1 總體設計

信息網絡安全模擬平臺和測試評價體系的運作過程可以分為3 個階段，即前期準備期、實施期和分析期。在前期，使用者利用可視化工具輸入網路環境參數，安全策略、攻防要求等相關參數。針對使用者的安全策略和防御要求，在不同的模擬層中部署不同的安全防護措施，并針對使用者的攻擊要求設定攻擊模式，自動產生攻擊腳本，制作真實的商業設想。在運行過程中，將真實的業務負載到半物理仿真系統中，并通過攻防仿真對系統進行攻防試驗，并收集相關的數據。在分析階段，系統對攻擊順序、時機、方式、效果等進行了初步的分析與處理；安全性評價體系則依據安全保護規范對其進行了細致的處理，并以模擬仿真為基礎，以虛擬仿真為基礎，將它呈現給使用者，并提出相應的解決方案。根據系統的功能，可以將它劃分為3 個主要部分：網絡安全模擬平臺、網絡安全模擬系統和測試評價系統。該平臺主要包括半物理仿真、業務模擬、攻擊仿真、控制仿真等，該平臺的主要功能是對信息網絡系統進行安全仿真，包括網絡平臺、應用服務、攻防等。

4.2 網絡安全仿真平臺

本文主要基于虛擬現實技術、虛擬軟件、數據庫等知識基礎，實現了四級網絡安全仿真：裝置水平模擬、模擬主要的網絡攻擊、對網絡規劃進行模擬、模擬復雜的網絡環境。

4.2.1 半實物模擬仿真系統

半實物模擬，即在模擬系統中插入實物，替代相應的數學模型，從而降低了模擬難度，將難以模擬的部件用實體的方式代替模擬測試，通過網絡技術將模擬器與模擬器連接在一起，確保節點間的數據傳輸。

4.2.2 業務仿真系統

一個業務模擬系統是一個設想產生子系統，一個是業務負載子系統，一個是服務負載子系統，它負責把一個現實的業務抽象成一個虛擬的系統，它可以根據數據的輸入產生各種各樣的服務，儲存在一個數據庫中。

4.2.3 攻擊模擬系統

攻擊仿真系統主要用于模擬不同的攻擊行為，如蟲類病毒、拒絕服務、密碼、欺詐等，并與模擬控制系統一起建立一個統一的管理界面。

4.2.4 仿真控制系統

仿真控制系統是實現網絡信息安全仿真的一種控制工具，實現對仿真的調度，確保仿真順利進行。

5 結論

在信息化時代，網絡發展如此迅速，網絡安全問題日益突出，引起人們的廣泛重視。在嚴加防范來自外網的威脅時，網絡內部監守自盜的現象也時有發生，因此應對單位內部的網絡信息進行審計與監控，防止內網的用戶發送低俗信息、泄露自己單位的機密。