基于大數據的計算機網絡安全防御系統建構分析

項建德

(西北政法大學 陜西 西安 710122)

0 引言

傳統計算機網絡安全防御中的防火墻、入侵檢測、漏洞修補等手段早已無法應對多元化、智能化的網絡攻擊形式,但計算機領域軟件、硬件、算法的快速發展,使得大數據、人工智能技術在自主學習、信息處理、判斷能力、選擇能力等方面具有明顯優勢,借助大數據技術的數據挖掘功能,可以為計算機網絡安全防御系統提供更安全可靠的驗證結果。基于此,在大數據、人工智能技術的支持下可以積極建構計算機網絡安全防御系統,有效應對新時代背景下各種復雜的網絡攻擊。

1 計算機網絡安全現狀

1.1 網絡攻擊手段智能化

隨著大數據、智能技術的快速發展和進步,網絡攻擊方式逐漸朝著智能化的方向發展,大數據技術為廣大社會公眾提供了數據提取、關聯的便利,使得網絡攻擊手段智能化、多元化的同時,網絡攻擊的隱蔽性和規模也隨之不斷增加,一旦網絡攻擊與安全防御之間失去平衡,將直接助長網絡犯罪風氣,這也對網絡安全工程師的安全思想和安全手段轉變提出了一定的要求。

1.2 網絡攻擊方式多元化

由于計算機網絡系統漏洞在基層參考模型中所處的位置不同,在攻擊者的物理可用性的影響下很可能使得物理設備遭到多種攻擊,一旦攻擊者獲得物理訪問權限,即可對邊緣設備進行篡改或者開展反向工程,從而獲取整個計算機網絡系統的訪問權限。因特網作為計算機網絡系統的重要通信載體,通信層極容易遭到已知、未知等多種類型的協議攻擊,或者從軟件計算、數據積累或數據抽象等方面著手采取網絡攻擊手段。此外,第三方代碼和軟件錯誤同樣會影響計算機網絡系統中的通信層,結構化查詢語言(structured query language,SQL)注入、數據存儲滲透等攻擊手段也主要集中于不完善的軟件和應用程序。

1.3 系統身份驗證機制及用戶隱私保護機制薄弱

當前的計算機網絡組件和運行環境仍缺乏統一的度量標準,無法切實保障參考模型中一層或多層的使用安全,計算機網絡系統中的網絡服務、互聯網或應用程序接口(application programming interface,API)、網絡系統更新機制、數據流通也缺乏可供參考的度量標準。與此同時,計算機網絡運行環境中的身份驗證機制和用戶隱私保護機制也有待完善,但計算機網絡系統中的某些軟件或程序需要面向用戶公開,因此需要利用身份驗證機制避免用戶獲取訪問權限或其他可能影響計算機網絡系統運行的行為。在計算機網絡系統優化、升級的過程中,還需要考慮持續監控、風險評估、升級措施的一致性,以免增大不必要的計算機網絡系統運行風險。

2 基于大數據的計算機網絡安全防御系統建構意義

傳統計算機網絡信息安全防御主要采用分析日志、網絡流量、系統事件等手段,以此達到網絡信息安全檢測、取證入侵等目的,但傳統技術手段很難滿足長期的大規模分析需求,而新型大數據技術在大規模異構數據集成方面具有明顯優勢,這些技術為安全信息存儲、維護、分析等工作提供了強有力的支持,計算機網絡安全的防御方式也隨之發生明顯變化。首先,入侵檢測系統(intrusion detection system,IDS)傳感器市場發展,為企業網絡提供了網絡監視傳感器及日志記錄工具,但相關技術人員很難針對不同數據源的警報進行管理。這也使得網絡安全廠商愈發重視安全信息、事件管理工具的開發和設計,如安全、信息和事件管理(security,information and event management,SIEM)可以將關聯警報及其他網絡統計信息進行有效整合,利用儀表板為安全分析人員提供所需信息,基于大數據工具全方位關聯、整合各種數據源,以此為安全分析人員提供技術、信息層面的便利。其次,傳統技術手段在不完整、含噪聲的大型非結構化數據及執行分析、查詢等方面具有工作效率低的缺點,但運用新型大數據技術即可有效處理、查詢異構、不完整、含噪聲的數據。如傳統SIEM系統需要處理大量數據信息和分析事件,但在Hadoop系統中運用Hive運行查詢功能可以在短時間內快速獲得所需的結果。最后,大數據工具可以高效化檢測、取證高級持續性威脅(advanced persistent threat,APT),如APT具有低速模式、長期運行的特點,在長時間內檢測、取證高級持續性威脅,在此過程中可以利用大數據技術對內部數據源和外部共享的情報數據進行采集,通過長期的歷史關聯驗證攻擊信息,最后將其錄入網絡防御的歷史數據庫。

3 基于大數據的計算機網絡安全防御系統建構

基于大數據技術的計算機網絡安全保密系統建構需要從整體角度出發,采取科學可行的措施優化系統運行中可能出現的漏洞,考慮所有系統組件之間的相互依賴性及其與外部信息交互時產生的期望行為。基于此,在計算機網絡安全防御系統設計過程中應全面分析、整合操作數據,通過這種方式檢測系統運行性能及其中存在的漏洞。計算機網絡防御系統中的通用架構以大數據架構為背景,根據計算機網絡安全系統設計及操作原理,依托于高速度的現代計算機網絡運行系統,高度并發處理大數據容量。

3.1 網絡數據存儲與通信子系統

利用專門的存儲模塊對計算機網絡安全系統中的所有數據進行存儲時,通常需要借助核心組件、邊緣設備、第三方服務數據保證系統的正常運行。當系統數據靜止時,即可對其采取加密處理,切實保障系統數據運行的安全性。大數據計算服務主要通過公開訪問的區塊鏈模塊通信,而不直接與數據存儲模塊通信。區塊鏈模塊可以面向計算服務和第三方服務提供公開訪問的數據集,在優化系統安全設計的同時,還能加強第三方系統及系統用戶之間的交互關系。在數據公開訪問服務中可以充分利用區塊鏈模塊具有的不可更改的特質,并以此為基礎構建智能合約,全方位監管計算服務、第三方服務的行為。另外,智能合約還能自動處理第三方供應商服務水平協議驅動的事件,并對網絡設備的許可證管理進行控制。

3.2 大數據分析與處理子系統

大數據分析與處理子系統綜合涵蓋了預處理模塊、事件協調模塊、智能分析引擎等,在預處理模塊中接收邊緣設備傳達的數據信息后,即可對網絡設備的驗證和授權進行處理,同時嚴格把控網絡設備在系統中的通信能力。在事件協調模塊處理經授權的流量后,還可以面向智能分析引擎提供輸出數據,最后完成整個系統評估的過程。邊緣設備及最終用戶輸入不但能保證系統的整體性,還能提高系統數據的安全性及可靠性。在事件協調模塊處理源于網絡設備的授權流量時,需要將易失性操作送回網絡設備,事務性事件和操作事件則需要分配到智能分析引擎,基于區塊鏈模塊將其傳送到數據存儲模塊。

大數據分析與處理子系統主要起到銜接溝通的作用,在保證所有子系統之間的相互關系的同時,還能將所有事務記錄為已完成或錯誤。智能分析引擎主要用于處理事件協調模塊中接收的事件,利用預先訓練的預測模型評估事件后,在特殊情況下可以通過事件和預測模型發出相應的警報,以便于相關技術人員及時開展審查工作。在此過程中相關工作人員應對新數據模型進行重新訓練,從而有效避免狀態變化或參數漂移的情況。事件協調模塊可以對系統日志及關鍵績效指標中的事件進行集中處理,為系統工作人員提供所需的數據信息,深化相關工作人員對系統操作的理解,保證任務管理效率的同時,還能促使相關工作人員在系統日常操作中采取正確的措施。

3.3 接口管理子系統

接口管理子系統主要以管理模塊為中心,以便于技術人員完成系統交互界面,并完成配置更改、解除威脅、保證系統持續運行等操作。在接口管理子系統與智能分析引擎的雙重配合下,系統人員可以利用智能分析引擎中包括的儀表板、報告以及警報采取各種處理措施。在客戶與核心網絡系統的接口中,可以為用戶提供相應的實用程序和服務。由于篡改和逆向工程極容易破壞網絡設備的物理可用性,因此在計算機網絡安全防御系統中還需要設計安全通信協議,利用區塊鏈分類賬中的智能合約保證不可變性質,并為邊緣設備提供不可變數據。

4 基于大數據的計算機網絡安全防御系統設計

4.1 系統入侵檢測報警模塊

基于大數據技術構建計算機網絡安全防御系統時,應以計算機網絡安全防御的入侵檢測報警模塊為中心,快速識別計算機遭到攻擊后的信息及現實數據,并將其作為計算機網絡安全防御管理工作的重要數據參考,通過計算機屏幕向管理人員發布警報信號。在計算機網絡安全防御系統設計中,為保證入侵檢測報警模塊的運行效果,設計人員可以將重心放在報警速度與精準性檢測兩方面,并在系統匹配模式、協議以及行為分析模式中積極引入大數據技術,在系統高性能傳感器的共同配合下做好計算機網絡安全防御工作,整體提高系統入侵檢測報警模塊的運行效率。

在入侵檢測警報模塊設計過程中,必須保證計算機網絡安全防御系統可以針對不同網段完成高效監聽工作,借助千兆網絡適配器提高入侵檢測警報模塊的工作效率,配合行為分析、精準協議分析等智能技術完成報文檢測工作,同時全面檢測、采集報警特征。對系統安全防御原始事件進行分析時,可以借助智能事件分析技術,縮短信息傳遞到智能控制處理模塊的時間。在系統入侵檢測報警模塊運行過程中,借助零系統調用技術、零拷貝流水線技術同樣能保證數據檢測、分析的速度,并將事件漏報、誤報發生的概率控制在最小范圍內,從根本上保障系統入侵檢測報警模塊運行的精準性與可靠性。

4.2 系統智能處理模塊

在計算機網絡安全防御系統設計與應用中,可以利用智能處理模塊獲取入侵檢測報警模塊中采集的安全防御信息,結合多方面的因素判斷被攻擊的網絡端口,并及時切斷該端口的網絡連接,以免計算機網絡安全防御系統遭到更嚴重的入侵攻擊。在智能處理模塊設計中還可以積極引進智能處理知識庫,建構防火墻、交換機、路由器于一體的智能聯動控制機制,從而對計算機存儲資源起到安全防護的作用,避免計算機存儲信息資源遭到惡意調用或損毀等問題。

在計算機網絡安全防御系統運行過程中,可以將智能控制處理模塊與人工智能技術相結合,使得智能處理模塊具有良好的自主適應能力與自主學習能力,同時不斷優化、升級系統知識庫中的內容,整體提高計算機網絡安全防御系統的智能化水平。借助系統智能處理模塊開展計算機網絡安全防御工作時,可以針對實際情況采取不同的行動處理方式,從而把握計算機網絡安全防御系統的工作重點。首先,緊急行動。緊急行動指對計算機網絡安全入侵事件作出快速的處置反應,利用智能處理模塊第一時間對計算機網絡安全防御系統的入侵情況作出緊急行動,并對計算機網絡入侵事件采取阻斷處理。其次,適時行動。適時行動的執行速度相對緩慢,一旦計算機網絡安全防御系統出現入侵問題,系統需要經歷幾天的反應和處理時間。在適時行動機制的影響下計算機網絡入侵事件需要配合智能控制處理模塊,或者在網絡工具跟蹤或攻擊細節記錄等手段的支持下,向計算機網絡安全防御控制中心反饋相關數據信息。再次,本地長期性行動。相對于緊急行動、適時行動,本地長期性行動的緊迫性相對較低,但該行動的內容詳細度更高,可以為安全防御人員提供安全事件分析、統計表編制等信息層面的支持。在計算機網絡安全防御工作中,本地長期性行動對系統部署單位本地有著直接的影響。最后,全局長期性行動。該行動的執行時間最長,不僅全方位覆蓋計算機網絡安全防御系統行為,其中涉及的工作內容也更為復雜。

在全局長期性行動中,通常需要面向計算機網絡安全防御系統制定更嚴格的要求和標準。計算機網絡安全防御系統中的智能控制處理模塊主要包括存儲、控制臺、數據采集組件以及其他安全產品或網絡設備,其中響應組件可以配合輔助決策專家模塊、自動追蹤分析模塊完成系統數據信息傳輸工作,輔助決策專家模塊主要與分析組件相連接,而系統入侵檢測報警模塊則與數據收集組件相連接,這三種連接方式均可以達成數據流傳輸的目的。此外,在智能控制處理模塊運行過程中,必須保證各組件之間數據信息交換的時效性,并在模塊設計中添加統一的接口。在智能控制處理模塊實踐中還可以積極引入系統恢復技術,以此保證計算機網絡安全防御系統的數據共享、數據修復等功能,確保系統遭到不良攻擊時能第一時間恢復正常,從而有效避免計算機網絡安全防御系統運行可能面臨的損失。

4.3 系統自動追蹤分析模塊

大數據技術下的計算機網絡安全防御系統可以設置自動追蹤分析模塊,利用該模塊對計算機網絡系統運行中出現的威脅進行自動化分析,為計算機網絡安全管理人員提供多元化的知識信息。一旦信息源、全過程信息遭到攻擊,即可利用系統自動追蹤分析模塊中的主動攻擊程序抵抗入侵行為,并將其作為計算機入侵事件調查工作的參考依據,進一步優化、完善計算機網絡安全防御方案。系統自動追蹤分析模塊主要包括追蹤定位、網絡陷阱、網絡取證三個部分,盡管三個模塊相互獨立,但在系統自動追蹤分析模塊運行過程中必須將其與智能控制處理模塊相結合,按照智能模塊下達的指令,完成智能控制發布的管理任務,并將任務信息反饋給智能控制模塊,充分利用智能模塊的學習功能提高計算機網絡安全防御系統的工作質量。

5 結語

大數據及人工智能技術為計算機網絡安全問題的解決提供了強有力的支持,在計算機網絡安全防御系統運行中必須積極迎合新時代技術發展帶來的機遇與挑戰,本文基于大數據技術構建計算機網絡安全防御系統,切實保障計算機網絡安全,結合計算機網絡安全現狀,正確看待基于大數據的計算機網絡安全防御系統建構意義及建構策略,同時不斷優化基于大數據的計算機網絡安全防御系統設計,充分發揮大數據、人工智能在網絡防御安全系統中具有的技術優勢。