詹莊影

摘?要：安全問題一直是制約網(wǎng)絡(luò)技術(shù)發(fā)展的關(guān)鍵，受到了人們廣泛的重視。網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)的提出，可以促使網(wǎng)絡(luò)系統(tǒng)應(yīng)急響應(yīng)能力得到提升，網(wǎng)絡(luò)攻擊造成的危害得到緩解，系統(tǒng)反應(yīng)能力得到提升。因此，就需要深化網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)研究，促使網(wǎng)絡(luò)安全水平得到提高。

關(guān)鍵詞：網(wǎng)絡(luò)安全;監(jiān)測;預(yù)警技術(shù)

進(jìn)入新時期后，人們?nèi)遮呉蕾囉?jì)算機(jī)網(wǎng)絡(luò)，同時也對網(wǎng)絡(luò)安全提出了更高的要求。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)中，主要是將防火墻技術(shù)、殺毒軟件、入侵檢測等應(yīng)用過來，無法有效應(yīng)對目前復(fù)雜程度較高的網(wǎng)絡(luò)結(jié)構(gòu)。因此，就需要積極應(yīng)用網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)，以此來更加主動和高效的保護(hù)、預(yù)警網(wǎng)絡(luò)狀況。

1 網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)結(jié)構(gòu)分析

研究發(fā)現(xiàn)，網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)主要是將分布式結(jié)構(gòu)運(yùn)用過來，包括檢測域、預(yù)警代理、區(qū)域預(yù)警中心等組成部分。有若干個預(yù)警代理分布于每一個檢測域當(dāng)中，可以有效獲取、處理和檢測數(shù)據(jù)包。區(qū)域預(yù)警中心則主要是容和分析報(bào)警信息數(shù)據(jù)。網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)運(yùn)行過程中，通過誤用檢測、異常檢測等工序的實(shí)施，向區(qū)域預(yù)警中心發(fā)送可疑事件、入侵信息，區(qū)域預(yù)警信息冗余歸并、數(shù)據(jù)融合處理各種報(bào)警信息，對目前網(wǎng)絡(luò)遭受的攻擊行為以及可能遭受的攻擊行為進(jìn)行預(yù)測和評估，進(jìn)而采取針對性的防護(hù)措施，包括切斷網(wǎng)絡(luò)、發(fā)送警報(bào)等，以便有效應(yīng)對入侵行為。[1]

2 系統(tǒng)的工作流程

系統(tǒng)工作運(yùn)行中，檢測域?qū)W(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行采集和處理，向預(yù)警代理發(fā)送報(bào)警信息數(shù)據(jù)，誤用檢測、異常檢測這些數(shù)據(jù)信息，區(qū)域預(yù)警中心關(guān)聯(lián)融合、歸并處理這些數(shù)據(jù)，對入侵事件進(jìn)行確定，向控制響應(yīng)模塊及時發(fā)送，采取有效的控制防護(hù)措施。同時，控制響應(yīng)模塊還可以對入侵模式庫、過濾規(guī)則庫等進(jìn)行實(shí)時更新，以便避免再次遭受同樣的安全攻擊。

3 關(guān)鍵模塊分析

研究發(fā)現(xiàn)，檢測域、預(yù)警代理、區(qū)域預(yù)警中心是網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)的主要組成，且在這些模塊中廣泛應(yīng)用了一系列先進(jìn)技術(shù)，包括模式匹配、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)等。

3.1 檢測域

結(jié)合一定規(guī)則，對保護(hù)網(wǎng)絡(luò)對象進(jìn)行劃分，促使有若干個檢測域形成。劃分和確定檢測域之后，即可確定包含網(wǎng)絡(luò)的主機(jī)IP地址，進(jìn)而有效綁定檢測域與主機(jī)IP地址。其中，主機(jī)、交換機(jī)、防火墻、路由器等都屬于檢測域的重要組成。

3.2 預(yù)警代理模塊

預(yù)警代理廣泛存在于每一個網(wǎng)段中，主要功能是獲取、處理、檢測本網(wǎng)段的數(shù)據(jù)信息。通過檢測分析，向區(qū)域預(yù)警中心傳送報(bào)警信息。之所以在預(yù)警代理模塊中進(jìn)行數(shù)據(jù)檢測分析工序，是因?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)向區(qū)域預(yù)警中心傳送的網(wǎng)絡(luò)開銷可以得到降低，這樣各個檢測域的數(shù)據(jù)檢測效率就能夠平衡，實(shí)時性得到大幅度提升。

要按照混雜模式來設(shè)置網(wǎng)卡，以便獲取數(shù)據(jù)。然后預(yù)處理這些獲取到的數(shù)據(jù)，利用規(guī)定的數(shù)據(jù)處理格式轉(zhuǎn)換數(shù)據(jù)，促進(jìn)后續(xù)檢測分析的順利實(shí)施。在數(shù)據(jù)檢測過程中，誤用檢測的檢測率較高，但是無法有效檢測那些未知的、新的攻擊。因此，誤用檢測完成之后，還需要進(jìn)行異常檢測。這樣能將其中存在的一切網(wǎng)絡(luò)攻擊、可疑信息給找出來，及時報(bào)警響應(yīng)這些攻擊行為。在誤用檢測方面，因?yàn)橛休^多的冗余信息存在于數(shù)據(jù)包中，影響到檢測效率，那么就需要提取特征，將分類算法應(yīng)用過來，分類處理這些數(shù)據(jù)。

3.3 區(qū)域預(yù)警中心

在系統(tǒng)運(yùn)行過程中，區(qū)域預(yù)警中心首先冗余歸并處理預(yù)警代理傳輸過來的報(bào)警數(shù)據(jù)，之后融合分析這些數(shù)據(jù)，將事物之間的因果關(guān)系構(gòu)建起來，促使報(bào)警關(guān)聯(lián)得到實(shí)現(xiàn)。對網(wǎng)絡(luò)可能遭受的攻擊進(jìn)行預(yù)測，評估網(wǎng)絡(luò)安全狀況，及時響應(yīng)攻擊行為，且將預(yù)警信息發(fā)送給檢測域。區(qū)域預(yù)警中心檢測分析所有預(yù)警代理發(fā)送過來的報(bào)警信息，在本地知識庫的支持下，融合分析這些信息數(shù)據(jù)。如果有預(yù)警產(chǎn)生于區(qū)域預(yù)警中心，則向檢測域及時發(fā)送報(bào)警信息。

在網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)中，核心組成為區(qū)域預(yù)警中心。其主要具有這些功能：首先，冗余歸并報(bào)警信息。初步處理所有預(yù)警代理模塊發(fā)送過來的報(bào)警信息，及時優(yōu)先響應(yīng)那些特征明顯且響應(yīng)級較高的報(bào)警信息。其次，關(guān)聯(lián)融合信息。冗余歸并報(bào)警信息之后，需要進(jìn)一步的融合分析。其中，入侵、異常、正常是數(shù)據(jù)分析的結(jié)果，結(jié)合分析結(jié)果，將針對性的響應(yīng)模式運(yùn)用過來：向控制響應(yīng)模塊發(fā)送入侵信息，控制響應(yīng)模塊則將預(yù)警信息發(fā)送給對應(yīng)的檢測域;向攻擊識別模塊發(fā)送異常信息，結(jié)合攻擊預(yù)測結(jié)果，對入侵行為有效識別，控制響應(yīng)模塊將報(bào)警信息發(fā)送給對應(yīng)的檢測域。如果結(jié)果為正常，那么本次報(bào)警信息將會自動忽略。再次，網(wǎng)絡(luò)攻擊識別。冗余歸并、融合處理所有的報(bào)警信息后，對網(wǎng)絡(luò)未來可能遭受的攻擊進(jìn)行預(yù)測，且將預(yù)警信息及時發(fā)送出來。最后，網(wǎng)絡(luò)威脅評測。本項(xiàng)功能主要是將一段時間內(nèi)區(qū)域遭受到的網(wǎng)絡(luò)入侵攻擊行為以及區(qū)域網(wǎng)絡(luò)的安全防護(hù)能力等因素納入考慮范圍，分析區(qū)域網(wǎng)絡(luò)安全受到局部攻擊的影響狀況，及時實(shí)時安全預(yù)警。在威脅評測實(shí)施中，通常會依據(jù)LAN、主機(jī)、服務(wù)、漏洞等方面來劃分網(wǎng)絡(luò)，之后從服務(wù)、主機(jī)、系統(tǒng)LAN等方向來評測系統(tǒng)的安全狀況;結(jié)合每一個層次的安全狀況，可以向下層各個節(jié)點(diǎn)的安全狀況進(jìn)行分解，這樣就可以有效聯(lián)系下層各個節(jié)點(diǎn)，進(jìn)而更加客觀準(zhǔn)確的評測上層節(jié)點(diǎn)的安全狀況。此外，區(qū)域預(yù)警中心還可以存儲管理上傳來的報(bào)警信息，將入侵行為方面的知識庫構(gòu)建起來，以便對網(wǎng)絡(luò)安全狀況、攻擊歷史等進(jìn)行描述，更好的實(shí)施攻擊識別和威脅評測等活動。[2]

4 結(jié)語

綜上所述，傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)技術(shù)存在著較大的局限性和被動性，無法滿足現(xiàn)階段人們對網(wǎng)絡(luò)安全提出的要求。針對這種情況，就需要深入研究網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)，促使網(wǎng)絡(luò)信息安全水平得到進(jìn)一步提升。實(shí)踐研究表明，通過網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)的構(gòu)建，可以促使網(wǎng)絡(luò)系統(tǒng)應(yīng)急響應(yīng)能力得到提升，系統(tǒng)反擊能力得到增強(qiáng)，網(wǎng)絡(luò)安全得到有效保證。

參考文獻(xiàn)：

[1]孫玉.淺談網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，3（13）：55-57.

[2]孫騰.淺談計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].計(jì)算機(jī)產(chǎn)品與流通，2017，9（11）：66-68.