大數據背景下基于云安全技術的網絡安全防御體系設計與實現

錢祖良

(中國電信嘉興分公司,浙江 嘉興 314000)

0 引言

網絡技術的發展及其管理和使用方式,從根本上改變了人們的傳統生活方式,推動著人們生活品質的持續提升。然而,網絡本身的開放性、發展性和不完善性,暴露越來越多的安全風險和安全問題。本文在分析當前網絡安全防御手段的基礎上,提出了基于大數據的網絡安全防御技術,并進一步制定了大數據背景下基于云安全技術的網絡安全防御體系,積極建立網絡安全防御體系,確保網絡安全,為數據的基本管理與安全應用提供相應的保障。

1 大數據背景下基于云安全技術的網絡安全概述

云安全技術主要指在網絡通信技術和大數據處理技術等現代技術的影響下,產生的一種新型的網絡計算形式。云安全技術擁有強大的計算、存儲和處理能力[1],正在我國各個領域全面應用。云安全技術有3個特點:(1)功能齊全。在大數據云安全技術環境下,假設數據不被用戶使用,為了保證用戶數據的完整性,不允許其他運營商隨意審查或處理數據。(2)數據的保密性。在大數據云安全技術環境下,數據只能在用戶許可的條件下使用,具有很強的私密性。假設未經用戶許可,數據不能被共享或傳輸[2]。(3)數據驗證。在大數據的云安全技術環境下,用戶數據通常由用戶自己管理。云數據加密后,用戶可以對自己的數據進行安全管理和保護。

2 大數據背景下基于云安全技術的網絡安全防御體系設計

為保證系統全面完成設計和開發,有關人員應該嚴格遵循圖1中的功能模塊分布,保證系統功能的實現。

圖1 網絡安全防御系統的功能模塊定義

如圖1所示,整個系統由兩部分組成,即檢測機制和控制中心。檢測機構的功能主要是對被監測的網絡進行接入、監測、識別和處理,以保證安全。控制中心基于檢測機構實時獲得的信息,監測和管理檢測機構的實時操作,使用戶能夠完整地記錄、統計及還原資料。本系統包含以下幾個主要功能模組。

2.1 網絡數據采集

此模塊不但可以讓使用者更高效地存取網絡界面,還可以實時訪問每個接口的網絡,并傳輸被捕獲的數據包。

2.2 網絡協議分析

本研究以鏈路層、傳輸層、網絡層等為研究對象,在協議層次上,采用集中式的封裝形式,為數據的科學分析與處理提供了良好的條件。

2.3 數據包的預處理

本文提出了一種基于數字水印技術的數字水印方案,并通過數字水印技術實現了對數字水印方案的實時攔截與處理,以確保系統的安全性。而數據包重建則是根據相應的技術規范,對重構圖像進行全方位的探測和攻擊。

2.4 入侵探測模塊

在實踐中,為了實現不同信息的科學匹配,研究人員主要根據相關的入侵標準,采用特征匹配技術,可以檢測、識別和處理網絡攻擊。

3 網絡安全系統的實現

3.1 網絡數據包捕獲

該系統利用 Libpcap對數據鏈路的訪問實現了對數據的捕捉。

3.1.1 獲得網絡裝置

首先,完整地采集網絡界面的目的地址和網絡掩碼,并在此基礎上,完成與網絡界面的連接。其次,開啟網絡裝置,獲取合適的捕捉程序,為網絡裝置提供子網掩碼,完全控制其運行[3]。最后,將指定的封包關閉,使所有的資源得到充分的釋放。

3.1.2 篩選規則的編譯與定義

在篩選規則的編譯與定義階段,首先需安排過濾器。為此,在二進制編碼過程中也使用變量和字符串。

3.1.3 網絡數據包捕獲

成功打開網絡適配器后,首先使用捕捉功能捕獲數據包,并確保網絡正常工作,然后將該組數據包發送到用戶空間并進行路由。

3.2 網絡協議分析

在具體實施中,必須對如圖2所示的協議進行詳細分析并處理數據鏈路層、傳輸層和網絡層中的信息域。首先,應根據要監聽的鏈路類型確定處理能力。其次,將所捕捉到的數據包發送到鏈路層。

其中,鏈路層的處理功能包括:將各鏈路層之間的信息進行融合,并向各鏈路層發送與其對應的報文,再由網絡層通過統計分析,確定下一個傳輸目的地。

3.3 數據包的預處理

數據包的預處理由下列幾個部分組成。

3.3.1 HTTP譯碼的預處理(Pre-processing)函數

在具體的實現過程中,通過把HTTP字串轉化成ASCII字串,能夠對惡意攻擊進行有效的識別和應對,保證了信息的安全性和穩定性[4]。

3.3.2 基于預處理的端口掃描方法

在具體實施中,需要對多個端口的IP地址進行集中掃描。同時,該協議具有較多的有效TCP鏈路,為實現多端口的快速搜索奠定了基礎。

3.3.3 分組切分的預處理函數

在具體執行方面,IP數據包是以最大發送單位的數據包為單位進行發送的。通過對IP的重組和TCP相關軟件的檢測,可以充分了解完整的入侵過程。同時,在系統運行過程中,運維人員也要注意系統中存在的問題,避免系統崩潰、癱瘓等現象的發生。

3.4 入侵檢測系統

在實際操作中,研究人員要運用上述方法,把收集到的數據和相應的數據庫相比較,做到及時發現問題,及時處理問題。

為保證入侵檢測系統的有效運用,入侵檢測系統的規則庫就需要相關人員使用。入侵檢測系統可以根據該規則,自動地發送警報。如果找不到符合的條件,則表示該網絡分組是安全的,以避免在配對過程中出現低效。另外,相關人員還可以使用BM算法來優化匹配過程。模式匹配原理如圖3所示。

圖3 模式匹配原理

3.5 傳感器深度學習

深度學習作為云安全的核心技術,能夠持續地提升用戶的感知能力,進而提升網絡的安全性。傳感器是建立在人類大腦中一個簡單的神經元的基礎上的。就像腦中的神經元只響應于刺激而不是靜止,傳感器的門限是用一個激活函數來表達的,激活函數被賦予+1(如果傳感器被激發,超過預定的閾值)或-1(未超過閾值)[5]。用來確定傳感器激活狀態的數學表達式如公式(1)所示:

(1)

在可以啟動傳感器之前,乘積wx(即對應加權的輸入數據)必須大于閾值0。因為輸入信號x是預先確定的,所以其權值的大小對傳感器激活率有直接的影響。在此基礎上,本文提出了一種基于神經網絡的認知方法。

(1)以一個預先確定的數值(典型的是0)對該加權進行初始化。

(2)對各學習圖樣x和對應的輸出信號y進行計算。

(3)基于所需的輸出值(即與對應的輸入數據x的原始分類標記有關的y值)與預測(由傳感器估算的y值)之間的距離,對加權進行更新。每個權重的更新如公式(2)所示:

w=w+Δw

(2)

其中,Δw表示預期值y與預測值y的偏離,得到公式(3):

Δw=λ(y-y)xi

(3)

將預期值y與預測值y之差與輸入值xi相乘,并乘以常量λ(表示傳感器的學習率)。常量λ經常介于0到1.0之間,通常是在傳感器的初始化階段設定的。

4 測試系統

4.1 功能測試

具體測試需要使用不同的攻擊軟件來確保系統能夠檢測到網絡攻擊。通過對系統功能的測試,確保該系統能夠有效地檢測到網絡攻擊,并向用戶發出相應的警報信息。

4.1.1 Nmap攻擊

Nmap是一種被廣泛應用的入侵偵測軟件,能夠獲取用戶的狀態和商業信息,并對用戶進行有目標的攻擊。

4.1.2 服務攻擊拒絕

Teardrop是一種基于分時信息攻擊的方法,它通過發送錯誤的信息將被封鎖的信息傳遞給系統,從而導致系統癱瘓、失效、頻繁重新啟動。利用Jolt攻擊技術,Teardrop可以將海量的數據傳輸到系統中,從而有效地阻止了企業的攻擊[6]。經過測試,本系統的各項性能指標均滿足了設計的要求。

4.2 系統相應時間的檢驗

根據該模型,在此基礎上,本文將網絡品質設定為50 M,報文設定為512 B,并進行網絡攻擊及網絡攻擊警報。(1)判斷誤判率:判斷誤判率通常表現為響應程序錯誤。在受到攻擊時,必須計算出系統的錯誤系數以及被探測到的誤碼率,然后再計算出錯誤等級。首先,應該確定合適的攻擊規則,其次,對Snort攻擊的數量和系統警報進行統計,準確計算出系統的誤報率[7]。(2)誤報檢測:對有關資料進行設定,錄入有關資料。系統應當對網絡攻擊和未報告的數目進行統計,以確定受到攻擊的主機。平均響應時間、誤報與漏報發生率如表1所示。表1表明,響應時間、誤報與漏報發生率都達到了規定的衡量標準和目標,說明系統性能良好。

5 結語

本文在大數據背景下,以云安全技術為基礎,開展了網絡安全防御功能、安全預警功能設計、大數據網絡安全防護系統設計,并以大數據網絡安全防護系統的實現為基礎,對其展開了設計與應用實驗。實驗證明,本文所提出的網絡安全防護系統顯著地提升了網絡系統的安全性。