暢祥生

?

網(wǎng)絡(luò)安全與攻擊檢測的關(guān)鍵技術(shù)分析

暢祥生

黃河水利委員會黑河流域管理局，甘肅 蘭州 730030

在現(xiàn)代社會中，網(wǎng)絡(luò)提高了信息傳播速度，擴大了信息輻射范圍，使信息能夠不受時間、空間、地點限制進行高效傳播。計算機與服務(wù)器可能成為DDOS攻擊的一部分，這些攻擊可以使用不同類型的互聯(lián)網(wǎng)分組，網(wǎng)絡(luò)攻擊威脅著網(wǎng)絡(luò)安全，影響著網(wǎng)絡(luò)系統(tǒng)穩(wěn)定性。基于此，對網(wǎng)絡(luò)安全與攻擊檢測的關(guān)鍵技術(shù)進行了分析并給出解決方案。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊檢測；關(guān)鍵技術(shù)分析

1 網(wǎng)絡(luò)安全現(xiàn)狀

最近幾年網(wǎng)絡(luò)安全挑戰(zhàn)無處不在。首先，隨著網(wǎng)絡(luò)空間地位的日益提升，網(wǎng)絡(luò)空間主導(dǎo)權(quán)爭奪激烈，美國等大國紛紛加強網(wǎng)絡(luò)防御，并積極發(fā)展網(wǎng)絡(luò)威懾能力，不斷加大在網(wǎng)絡(luò)空間的部署，爆發(fā)國家級網(wǎng)絡(luò)沖突的風(fēng)險進一步增加，其次，西方國家頻繁啟動貿(mào)易保護安全壁壘，信息安全的影響范圍正不斷被擴大，將波及整個網(wǎng)絡(luò)安全產(chǎn)業(yè)，再次，云計算、物聯(lián)網(wǎng)等新技術(shù)領(lǐng)域?qū)⒗^續(xù)在信息技術(shù)領(lǐng)域得到廣泛應(yīng)用，其帶來的安全風(fēng)險將繼續(xù)對我國網(wǎng)絡(luò)安全防御體系建設(shè)產(chǎn)生影響，網(wǎng)絡(luò)安全保障需求快速增長。

2 網(wǎng)絡(luò)攻擊檢測分析

2.1 網(wǎng)絡(luò)攻擊檢測的重要性

隨著智能終端的普及以及人們對網(wǎng)絡(luò)的日益增強的硬性需求，再者考慮到網(wǎng)絡(luò)接入的方便及快捷，對移動網(wǎng)絡(luò)的需求日益迫切，網(wǎng)絡(luò)攻擊也隨之變得普及與泛化。網(wǎng)絡(luò)攻擊檢測設(shè)備建設(shè)成本更為經(jīng)濟，且可與有線的計算機網(wǎng)絡(luò)實現(xiàn)無縫對接，更好地與有線網(wǎng)絡(luò)實現(xiàn)互補，拓展有線網(wǎng)絡(luò)的服務(wù)范圍。同時DDOS攻擊是網(wǎng)絡(luò)安全防御中的最難解決的問題之一，這是由于互聯(lián)網(wǎng)系統(tǒng)的開放性所導(dǎo)致的。

今后我們可以從DDOS攻擊的特征和DDOS攻擊發(fā)生時的現(xiàn)象入手，針對其獨有的特征，采取一系列的方法，在DDOS攻擊剛發(fā)生時就能檢測出來，并能及時的遏制DDOS的攻擊。

2.2 網(wǎng)絡(luò)攻擊檢測的關(guān)鍵技術(shù)

DDOS防護技術(shù)應(yīng)采用一種更先進的，規(guī)避弊端的技術(shù)，具備更智能的檢測和防護策略，設(shè)備應(yīng)通過多種機制檢測數(shù)據(jù)的合法性，避免誤判和誤殺； 具備獨立的用于檢測和防護DDOS攻擊的芯片，而不是以消耗CPU為代價的冒險式防護；避免設(shè)備串行于主干線路中，網(wǎng)絡(luò)正常時數(shù)據(jù)不需要流經(jīng)設(shè)備，只有發(fā)生攻擊時，設(shè)備才成為流量路徑上的關(guān)卡?？笵DOS由檢測設(shè)備和清洗設(shè)備兩種設(shè)備組成。

檢測設(shè)備采用旁路分光或鏡像模式，確保在物理和邏輯上均不會成為網(wǎng)絡(luò)中的串行節(jié)點。清洗設(shè)備采用旁路模式，出現(xiàn)攻擊時可通過自動改變路由成為網(wǎng)絡(luò)中的串行節(jié)點，起到流量清洗的作用。高效的異常流量檢測和清洗技術(shù)，以支持深度包檢測技術(shù)，兩者以進一步確定隱藏在后臺的流量攻擊報文，輸出NetStreamFlow流量的NetFlow的網(wǎng)絡(luò)設(shè)備的信息，通過分析和對流量的檢測，以實現(xiàn)準確的高效地鑒定。高度的使用和分發(fā)多核硬件配置，以便產(chǎn)生一個高性能清洗異常業(yè)務(wù)到因特網(wǎng)，可以通過智能多裝置簇群集方法來實現(xiàn)自動牽引和業(yè)務(wù)流的靈活重新注入。路由器/交換機到DDOS攻擊，當發(fā)現(xiàn)異常流量的清洗設(shè)備的鄰位路由器。BGP路由更新通過線路自動發(fā)布，快速使用用戶流量。在另一方面，基于策略的路由的MPLS VPN中和通過GRE的VPN清洗設(shè)備，二層透明傳輸，清洗等方法并重新注入高速流量用戶后，正常的流量不會受到影響。

3 網(wǎng)絡(luò)攻擊防御策略

防火墻檢測認證方式，防火墻檢測認證技術(shù)其實用的就是portal技術(shù)，portal是“門戶”的意思，這種技術(shù)的原理是對未得到認證成功的用戶，一旦用戶打開任意的網(wǎng)頁，則會被重定向到指定的認證頁面，該認證頁面事實上就是一個門戶，進入該門戶后不經(jīng)任何認證就可訪問網(wǎng)管人員指定的有限的內(nèi)容。比如下載本地服務(wù)器的上提供的視頻、音樂、文本文檔，最有趣的是可以提供一些休閑小游戲。但是這些共享的內(nèi)容僅限于本地服務(wù)器上的內(nèi)容，如果要訪問互聯(lián)網(wǎng)則需要按提供的方式認證通過才可以。隨著網(wǎng)絡(luò)接入的發(fā)展，防火墻檢測認證越來越展現(xiàn)出其優(yōu)點來，不管實際視角還是商業(yè)視角，防火墻檢測均展現(xiàn)了它的價值： 需要像PPPOE那樣對協(xié)議單元進行額外的封裝，就不會擠占協(xié)議 的有效負載從而不需要分片，不必加大客戶端及鏈路上路由器的設(shè)備壓力。支持基于組播的視頻點播功能?？蛻舳伺cBAS直接可以跨越三層網(wǎng)絡(luò)，不會形成像以太網(wǎng)臃腫肥大的 網(wǎng)絡(luò)，便于管理和網(wǎng)絡(luò)規(guī)劃。檢測用戶離線、上線：這種基于防火墻檢測的認證是在應(yīng)用層完成的，可能在檢測鏈路時會比較麻煩，計費的準確無誤取決于能否即時的感知用戶的上、下線。簡單的放開、終止用戶的網(wǎng)絡(luò)訪問權(quán)限已經(jīng)不能滿足對當今網(wǎng)絡(luò)運營管理的要求。上網(wǎng)痕跡記錄、QoS、訪問限制等這些操作已經(jīng)是比較基本和常見的要求了，處于應(yīng)用層的協(xié)議在這方面當然駕輕就熟，而PPPOE就遠遠的落后了。作為關(guān)卡的防火墻檢測認證服務(wù)器會暴露于所有的用戶，容易受到惡意的攻擊，而且在小眾的場所，人們處于成本的考慮更愿意使用個人計算機提供認證服務(wù)，相對的性能較低，更容易被黑客得手，在大型網(wǎng)絡(luò)中危害是極大的，導(dǎo)致用戶不能介入網(wǎng)絡(luò)，影響生活和辦公。網(wǎng)絡(luò)的發(fā)展日益復(fù)雜多變，能不能適應(yīng)這種多變的環(huán)境，還是很值得驗證的。

[1]李嫵可.基于數(shù)據(jù)的并行入侵檢測系統(tǒng)研究[J].黑龍江科技信息，2016（25）：45.

[2]羅再陽.淺析網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（10）：55.

[3]李東靈.入侵檢測系統(tǒng)現(xiàn)狀及發(fā)展趨勢[J].商丘職業(yè)技術(shù)學(xué)院學(xué)報，2013（5）：65.

[4]趙志宇，黎蔚.入侵檢測系統(tǒng)現(xiàn)狀分析[J].電腦知識與技術(shù)，2013（22）：65.

Analysis on the Key Technologies of Network Security and Attack Detection

Chang Xiangsheng

Heihe River Basin Management Bureau of Yellow River Conservancy Commission, Lanzhou, Gansu Province 730030

In modern society，the network to improve the speed of information dissemination，and expand the scope of information radiation，so that information can not time，space，place restrictions on the efficient dissemination.Computers and servers can be part of a DDoS attack，which can use different types of Internet groups，which threaten network security and affect network stability.In this paper，the key technologies of network security and attack detection are analyzed and the solutions are given.

network security； network attack detection； key technology analysis

TP393.08

A

1009-6434（2016）12-0141-02

暢祥生（1982—），男，漢族，籍貫（精確到市）為甘肅省蘭州市，當前職稱為工程師，學(xué)歷本科，研究方向為信息化建設(shè)。