異常狀態(tài)實(shí)時(shí)監(jiān)控下網(wǎng)絡(luò)入侵防范系統(tǒng)設(shè)計(jì)

夏海榮

(甘肅省慶陽(yáng)市科技開(kāi)發(fā)中心,甘肅 慶陽(yáng)745000)

隨著互聯(lián)網(wǎng)的使用用戶(hù)隊(duì)伍不斷擴(kuò)大,網(wǎng)民總數(shù)量不斷攀升,人們的上網(wǎng)安全如何保障也提上網(wǎng)絡(luò)專(zhuān)家的研究日程。近幾年數(shù)據(jù)調(diào)查顯示,計(jì)算機(jī)入侵事件平均15 秒就會(huì)發(fā)生一次,除了日常工作中最常見(jiàn)的病毒入侵和木馬攻擊,還有經(jīng)常被我們忽略的垃圾廣告。各大重要機(jī)關(guān)的電腦還會(huì)被黑客惡意攻擊,即使網(wǎng)絡(luò)上安裝上防火墻,也難以抵擋惡性網(wǎng)絡(luò)入侵事件的不斷發(fā)生。個(gè)人計(jì)算機(jī)信息泄露會(huì)導(dǎo)致個(gè)人隱私暴露,同時(shí)也會(huì)給網(wǎng)絡(luò)詐騙、勒索綁架可乘之機(jī)[1]。而公司的方案策略和產(chǎn)品設(shè)計(jì)遭到信息泄露則會(huì)導(dǎo)致不可挽回的經(jīng)濟(jì)損失。經(jīng)濟(jì)損失不僅僅是網(wǎng)絡(luò)被入侵階段損失的營(yíng)業(yè)額,還包括由此而導(dǎo)致的股價(jià)下跌和客戶(hù)流失,國(guó)家和政府的計(jì)算機(jī)被入侵的后果更是我們難以想象的。

若想有效地防御網(wǎng)絡(luò)安全隱患,可以利用網(wǎng)絡(luò)異常狀態(tài)實(shí)時(shí)監(jiān)控。常規(guī)的網(wǎng)絡(luò)實(shí)時(shí)檢測(cè)耗時(shí)耗力,一般運(yùn)用在軍隊(duì)、政府、銀行等重要機(jī)構(gòu)的計(jì)算機(jī)中,日常家用電腦和小型企業(yè)辦公電腦很難使用到實(shí)時(shí)監(jiān)測(cè)的技術(shù)。日常網(wǎng)絡(luò)檢測(cè)一般使用單項(xiàng)網(wǎng)絡(luò)管理協(xié)議,網(wǎng)絡(luò)運(yùn)營(yíng)商開(kāi)發(fā)的網(wǎng)絡(luò)管理模塊對(duì)使用該運(yùn)營(yíng)商網(wǎng)絡(luò)的用戶(hù)進(jìn)行實(shí)時(shí)檢測(cè),系統(tǒng)功能單一,也無(wú)法保證運(yùn)營(yíng)商不泄露用戶(hù)隱私。因此,設(shè)計(jì)出一套網(wǎng)絡(luò)異常狀態(tài)下能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全的系統(tǒng)越發(fā)重要。

1 系統(tǒng)硬件設(shè)計(jì)

網(wǎng)絡(luò)入侵實(shí)時(shí)檢測(cè)系統(tǒng)的硬件設(shè)計(jì),既要做到對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行全面檢測(cè),又要做到遇到異常狀態(tài)的時(shí)候可以馬上進(jìn)行異常處理。處理異常的階段對(duì)其他數(shù)據(jù)的檢測(cè)是不能間斷的,而檢測(cè)系統(tǒng)本身也要進(jìn)行數(shù)據(jù)加密處理,因此需要設(shè)計(jì)安全芯片。

現(xiàn)階段計(jì)算機(jī)不再僅僅是處理數(shù)據(jù)的工具,人們的日常生活中學(xué)習(xí)、工作、娛樂(lè)活動(dòng)也都需要計(jì)算機(jī)來(lái)解決,網(wǎng)絡(luò)運(yùn)轉(zhuǎn)必需要保證實(shí)時(shí)性和快捷性[2]。

1.1 設(shè)計(jì)安全芯片

考慮到現(xiàn)代網(wǎng)絡(luò)的復(fù)雜性以及新系統(tǒng)的合理?yè)p耗,應(yīng)在檢測(cè)系統(tǒng)中設(shè)計(jì)安全芯片。芯片可以增加計(jì)算機(jī)的處理能力,利用安全芯片提高網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)的性能。安全芯片將數(shù)據(jù)加密技術(shù)、管理員身份驗(yàn)證和網(wǎng)絡(luò)實(shí)時(shí)檢測(cè)結(jié)合在一起。

安全芯片可以提高網(wǎng)絡(luò)實(shí)時(shí)檢測(cè)的效率,數(shù)據(jù)加密處理使用DFT 處理器,數(shù)據(jù)儲(chǔ)存器的驅(qū)動(dòng)引擎使用的是HCCV 引擎。安全芯片與計(jì)算機(jī)硬盤(pán)CPU 之間連接也使用DFT 處理器,使安全檢測(cè)保證高速運(yùn)轉(zhuǎn)狀態(tài)。

1.2 感應(yīng)器設(shè)計(jì)

異常狀態(tài)實(shí)時(shí)監(jiān)控下網(wǎng)絡(luò)入侵防范系統(tǒng)的數(shù)據(jù)檢測(cè)設(shè)備首先需要一個(gè)可以感應(yīng)到網(wǎng)絡(luò)入侵的感應(yīng)器,感應(yīng)器的設(shè)計(jì)必須滿(mǎn)足對(duì)網(wǎng)絡(luò)入侵檢測(cè)范圍大、監(jiān)測(cè)時(shí)間長(zhǎng)的特點(diǎn)[3]。為了可以感應(yīng)出網(wǎng)絡(luò)異常,必需要對(duì)正常的網(wǎng)絡(luò)狀態(tài)的數(shù)據(jù)流、和數(shù)據(jù)處理狀態(tài)有所了解。感應(yīng)器的附加功能并非增加感應(yīng)器的負(fù)擔(dān),而是網(wǎng)絡(luò)數(shù)據(jù)入侵的監(jiān)測(cè)所必需的基礎(chǔ)功能。

網(wǎng)絡(luò)日常使用過(guò)程中感應(yīng)器監(jiān)測(cè)數(shù)據(jù)的正常運(yùn)行,對(duì)數(shù)據(jù)初步處理的過(guò)程是將數(shù)據(jù)的正常狀態(tài)寫(xiě)入芯片數(shù)據(jù)庫(kù)的過(guò)程。數(shù)據(jù)監(jiān)測(cè)的過(guò)程也是不斷更新數(shù)據(jù)庫(kù)的過(guò)程,但是對(duì)于數(shù)據(jù)是否出現(xiàn)異常就要進(jìn)行下一步分析,數(shù)據(jù)庫(kù)的建立也是為異常分析做鋪墊的步驟。分析過(guò)程包括對(duì)數(shù)據(jù)包大小的監(jiān)測(cè),正常數(shù)據(jù)包的大小會(huì)根據(jù)傳輸內(nèi)容的多少不斷變化,而出現(xiàn)異常的數(shù)據(jù)包因?yàn)閮?nèi)容遭到破壞大小與常規(guī)不符。對(duì)發(fā)生異常的數(shù)據(jù)包進(jìn)行分揀,進(jìn)行進(jìn)一步異常分析。

1.3 設(shè)計(jì)網(wǎng)絡(luò)異常分析器

發(fā)現(xiàn)異常數(shù)據(jù)包后,需要建立網(wǎng)絡(luò)異常分析器對(duì)網(wǎng)絡(luò)異常進(jìn)行分析歸類(lèi)。監(jiān)測(cè)最重要的環(huán)節(jié)就是對(duì)網(wǎng)絡(luò)入侵起到提示作用,所以網(wǎng)絡(luò)異常分析器需要可以向計(jì)算機(jī)管理員進(jìn)行異常報(bào)警的裝置,考慮到出現(xiàn)網(wǎng)絡(luò)異常,將報(bào)告信息設(shè)計(jì)成可視化彈窗。根據(jù)收集數(shù)據(jù)形成的網(wǎng)絡(luò)異常數(shù)據(jù)庫(kù),將數(shù)據(jù)庫(kù)數(shù)據(jù)和異常數(shù)據(jù)進(jìn)行對(duì)比,得到條件相匹配的數(shù)據(jù)庫(kù)數(shù)據(jù)[4],以此用來(lái)判斷是否發(fā)生異常并通知管理員進(jìn)行處理和防控。報(bào)警平臺(tái)受中心控制器控制,入侵行為被確定后直接由中心控制器對(duì)報(bào)警器發(fā)出報(bào)警指令,報(bào)警器位于異常分析器的廣域網(wǎng)上,將異常數(shù)據(jù)發(fā)送給管理員后還要進(jìn)行數(shù)據(jù)庫(kù)回收。

2 系統(tǒng)軟件設(shè)計(jì)

2.1 整體數(shù)據(jù)采集

作為網(wǎng)絡(luò)異常最基礎(chǔ)的步驟,對(duì)整體數(shù)據(jù)的采集需要具有全面性和科學(xué)性。整體數(shù)據(jù)的采集一部分來(lái)源歷年總結(jié)的計(jì)算機(jī)網(wǎng)絡(luò)異常的原始數(shù)據(jù),另一部分來(lái)源實(shí)時(shí)監(jiān)測(cè)時(shí)取得的新數(shù)據(jù)。使用POI 數(shù)據(jù)導(dǎo)入可以把原有和收集的數(shù)據(jù)傳導(dǎo)進(jìn)系統(tǒng)的數(shù)據(jù)庫(kù)中,每條記錄都是給網(wǎng)絡(luò)異常監(jiān)測(cè)作參考的有效數(shù)據(jù),重復(fù)的、錯(cuò)誤的無(wú)效數(shù)據(jù)在收集篩選的過(guò)程中會(huì)被剔除,避免內(nèi)存浪費(fèi)。新收集的網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)壓縮儲(chǔ)存,利用xp 系統(tǒng)對(duì)壓縮數(shù)據(jù)進(jìn)行解讀分析,每個(gè)壓縮包都有自己的獨(dú)立端口,方便發(fā)生異常時(shí)的數(shù)據(jù)調(diào)取[5],數(shù)據(jù)收集可以根據(jù)電腦系統(tǒng)的程序更新而自動(dòng)更新,而不需要反復(fù)安裝卸載。

2.2 異常數(shù)據(jù)處理模塊

異常數(shù)據(jù)處理模塊和正常數(shù)據(jù)處理模塊需要進(jìn)行分離,異常監(jiān)測(cè)模塊使用SSTY 模式,異常數(shù)據(jù)的處理重點(diǎn)在于實(shí)時(shí)性,SSTY 模式通過(guò)大量對(duì)比數(shù)據(jù),此時(shí)安全芯片發(fā)揮自己的作用,可以兼顧數(shù)據(jù)的收集和異常數(shù)據(jù)的處理,HCCV 引擎可以高速執(zhí)行指令,警報(bào)通知管理員之后,用戶(hù)就可以利用異常數(shù)據(jù)處理模塊對(duì)網(wǎng)絡(luò)入侵進(jìn)行實(shí)時(shí)處理,病毒的查殺、木馬的擊破和對(duì)黑客的防范都可以在這一步實(shí)現(xiàn),異常數(shù)據(jù)的預(yù)處理將數(shù)據(jù)上傳,實(shí)時(shí)監(jiān)測(cè)模塊開(kāi)始審閱數(shù)據(jù)的異常并進(jìn)行分類(lèi)。分析后的異常數(shù)據(jù)依舊會(huì)再次進(jìn)行分類(lèi),利用同類(lèi)別歸納出的新特征,總結(jié)出新的入侵?jǐn)?shù)據(jù)特征。

2.3 數(shù)據(jù)轉(zhuǎn)換預(yù)處理

異常數(shù)據(jù)監(jiān)測(cè)傳導(dǎo)的原始數(shù)據(jù)要進(jìn)行轉(zhuǎn)換,監(jiān)測(cè)字符的編程語(yǔ)言從原始數(shù)據(jù)最小值開(kāi)始,為避免處理過(guò)程復(fù)雜,將語(yǔ)言進(jìn)行統(tǒng)一性處理,將相同特征的數(shù)據(jù)進(jìn)行歸納到一個(gè)區(qū)域內(nèi),避免對(duì)同一特征的數(shù)據(jù)經(jīng)過(guò)多次無(wú)效處理。數(shù)據(jù)歸納處理結(jié)束后,考慮篩選數(shù)據(jù)與異常數(shù)據(jù)的相關(guān)性[6],一方面可以充盈異常數(shù)據(jù)庫(kù),另一方面也為防范此類(lèi)網(wǎng)絡(luò)入侵提供樣本。數(shù)據(jù)集使用函數(shù)進(jìn)行分析,監(jiān)測(cè)樣本中異常數(shù)據(jù)到其他數(shù)據(jù)的離心距離,離心距離反映數(shù)據(jù)的緊湊程度。

3 仿真實(shí)驗(yàn)

為了測(cè)試本文設(shè)計(jì)的系統(tǒng)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)異常的性能,在計(jì)算機(jī)中設(shè)計(jì)仿真實(shí)驗(yàn),使用相同的網(wǎng)絡(luò)入侵系統(tǒng)。與傳統(tǒng)系統(tǒng)進(jìn)行對(duì)比,對(duì)比整體數(shù)據(jù)的測(cè)試和異常數(shù)據(jù)的分析處理,驗(yàn)證本文系統(tǒng)的實(shí)用性和優(yōu)勢(shì)。

3.1 實(shí)驗(yàn)步驟

搭建小規(guī)模的千兆太網(wǎng)測(cè)試環(huán)境,仿真環(huán)境由數(shù)據(jù)分流機(jī)分析監(jiān)測(cè)引擎,為了保證實(shí)驗(yàn)的公平性。模擬的入侵?jǐn)?shù)據(jù)和測(cè)試的電腦硬件設(shè)施應(yīng)一致,發(fā)包機(jī)進(jìn)行入侵?jǐn)?shù)據(jù)的發(fā)送,分流機(jī)分別將數(shù)據(jù)發(fā)送給實(shí)驗(yàn)所用的主機(jī),為了提升實(shí)驗(yàn)速率,入侵?jǐn)?shù)據(jù)只發(fā)送一次數(shù)據(jù),負(fù)責(zé)分流的計(jì)算及內(nèi)存需要8 個(gè)G 以上,CPU 無(wú)特殊要求,常規(guī)標(biāo)準(zhǔn)就能滿(mǎn)足實(shí)驗(yàn)標(biāo)準(zhǔn),使用原始數(shù)據(jù)收集器進(jìn)行數(shù)據(jù)收集,正常數(shù)據(jù)和異常數(shù)據(jù)的發(fā)送概率隨機(jī)設(shè)置,不同類(lèi)型的異常數(shù)據(jù)。數(shù)據(jù)記錄容量控制在20000 條以?xún)?nèi),數(shù)據(jù)形成的最小端點(diǎn)與兩邊的離心點(diǎn)進(jìn)行連接,構(gòu)成最小的數(shù)據(jù)集。數(shù)據(jù)集和數(shù)據(jù)集之間相互組合逐漸形成大的數(shù)據(jù)集,應(yīng)用于傳統(tǒng)方法和本文設(shè)計(jì)的系統(tǒng),開(kāi)始進(jìn)行對(duì)比實(shí)驗(yàn)。

3.2 實(shí)驗(yàn)結(jié)果

在當(dāng)前設(shè)計(jì)實(shí)驗(yàn)的仿真環(huán)境中,通過(guò)不定時(shí)進(jìn)行數(shù)據(jù)入侵,分析傳統(tǒng)方法和本文設(shè)計(jì)的監(jiān)測(cè)系統(tǒng)對(duì)異常數(shù)據(jù)的識(shí)別速度,對(duì)比如圖1 所示。

圖1 識(shí)別速度對(duì)比圖

通過(guò)圖1 可以看出,在仿真環(huán)境中,不間斷地向計(jì)算機(jī)進(jìn)行數(shù)據(jù)入侵。傳統(tǒng)方式的反應(yīng)速度在0.3S 以上,而本文設(shè)計(jì)的系統(tǒng)的反應(yīng)速度在0.1S-0.3S 之間,相比于傳統(tǒng)方式反應(yīng)速度更快。網(wǎng)絡(luò)入侵的后果十分嚴(yán)重,僅僅是0.2S 的差距就可能挽回一個(gè)企業(yè)幾百萬(wàn)的營(yíng)業(yè)損失,異常數(shù)據(jù)識(shí)別地越快,越能保障網(wǎng)絡(luò)的安全。同時(shí),對(duì)于入侵?jǐn)?shù)據(jù)的識(shí)別正確率高也是實(shí)時(shí)監(jiān)測(cè)系統(tǒng)具備監(jiān)測(cè)優(yōu)勢(shì)的體現(xiàn)。將兩個(gè)系統(tǒng)中收集的異常數(shù)據(jù)進(jìn)行整理,對(duì)比實(shí)時(shí)監(jiān)測(cè)到的準(zhǔn)確率如表1 所示。

表1 準(zhǔn)確率對(duì)比結(jié)果

由表1 實(shí)驗(yàn)結(jié)果所示,使用本文設(shè)計(jì)的系統(tǒng),異常數(shù)據(jù)的檢測(cè)率比傳統(tǒng)方法平均提高2 個(gè)百分點(diǎn)。漏檢率也有所下降,安全芯片的植入使網(wǎng)絡(luò)入侵的阻隔率上升。以上兩個(gè)實(shí)驗(yàn)結(jié)果均可以證明本文設(shè)計(jì)的系統(tǒng)滿(mǎn)足網(wǎng)絡(luò)入侵防范的基本要求,并在反應(yīng)速度和識(shí)別正確率上皆比傳統(tǒng)方式具有優(yōu)勢(shì)。

4 結(jié)論

本文基于異常狀態(tài)下的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控設(shè)計(jì)監(jiān)測(cè)系統(tǒng),對(duì)現(xiàn)代網(wǎng)絡(luò)大環(huán)境下的網(wǎng)絡(luò)入侵起到防范作用。實(shí)驗(yàn)論證本文設(shè)計(jì)的系統(tǒng)比傳統(tǒng)方法具有優(yōu)勢(shì),但本系統(tǒng)的硬件設(shè)施較為復(fù)雜,希望在日后的研究中可以設(shè)計(jì)出更簡(jiǎn)單的硬件設(shè)施,減少繁瑣的組裝程序,用最簡(jiǎn)便的方式和最低的成本實(shí)現(xiàn)網(wǎng)絡(luò)安全的保障。