夏海榮

(甘肅省慶陽市科技開發(fā)中心,甘肅 慶陽745000)

隨著互聯(lián)網(wǎng)的使用用戶隊伍不斷擴大,網(wǎng)民總數(shù)量不斷攀升,人們的上網(wǎng)安全如何保障也提上網(wǎng)絡(luò)專家的研究日程。近幾年數(shù)據(jù)調(diào)查顯示,計算機入侵事件平均15 秒就會發(fā)生一次,除了日常工作中最常見的病毒入侵和木馬攻擊,還有經(jīng)常被我們忽略的垃圾廣告。各大重要機關(guān)的電腦還會被黑客惡意攻擊,即使網(wǎng)絡(luò)上安裝上防火墻,也難以抵擋惡性網(wǎng)絡(luò)入侵事件的不斷發(fā)生。個人計算機信息泄露會導(dǎo)致個人隱私暴露,同時也會給網(wǎng)絡(luò)詐騙、勒索綁架可乘之機[1]。而公司的方案策略和產(chǎn)品設(shè)計遭到信息泄露則會導(dǎo)致不可挽回的經(jīng)濟損失。經(jīng)濟損失不僅僅是網(wǎng)絡(luò)被入侵階段損失的營業(yè)額,還包括由此而導(dǎo)致的股價下跌和客戶流失,國家和政府的計算機被入侵的后果更是我們難以想象的。

若想有效地防御網(wǎng)絡(luò)安全隱患,可以利用網(wǎng)絡(luò)異常狀態(tài)實時監(jiān)控。常規(guī)的網(wǎng)絡(luò)實時檢測耗時耗力,一般運用在軍隊、政府、銀行等重要機構(gòu)的計算機中,日常家用電腦和小型企業(yè)辦公電腦很難使用到實時監(jiān)測的技術(shù)。日常網(wǎng)絡(luò)檢測一般使用單項網(wǎng)絡(luò)管理協(xié)議,網(wǎng)絡(luò)運營商開發(fā)的網(wǎng)絡(luò)管理模塊對使用該運營商網(wǎng)絡(luò)的用戶進行實時檢測,系統(tǒng)功能單一,也無法保證運營商不泄露用戶隱私。因此,設(shè)計出一套網(wǎng)絡(luò)異常狀態(tài)下能夠?qū)崟r監(jiān)測網(wǎng)絡(luò)安全的系統(tǒng)越發(fā)重要。

1 系統(tǒng)硬件設(shè)計

網(wǎng)絡(luò)入侵實時檢測系統(tǒng)的硬件設(shè)計,既要做到對網(wǎng)絡(luò)數(shù)據(jù)進行全面檢測,又要做到遇到異常狀態(tài)的時候可以馬上進行異常處理。處理異常的階段對其他數(shù)據(jù)的檢測是不能間斷的,而檢測系統(tǒng)本身也要進行數(shù)據(jù)加密處理,因此需要設(shè)計安全芯片。

現(xiàn)階段計算機不再僅僅是處理數(shù)據(jù)的工具,人們的日常生活中學(xué)習(xí)、工作、娛樂活動也都需要計算機來解決,網(wǎng)絡(luò)運轉(zhuǎn)必需要保證實時性和快捷性[2]。

1.1 設(shè)計安全芯片

考慮到現(xiàn)代網(wǎng)絡(luò)的復(fù)雜性以及新系統(tǒng)的合理損耗,應(yīng)在檢測系統(tǒng)中設(shè)計安全芯片。芯片可以增加計算機的處理能力,利用安全芯片提高網(wǎng)絡(luò)實時監(jiān)測的性能。安全芯片將數(shù)據(jù)加密技術(shù)、管理員身份驗證和網(wǎng)絡(luò)實時檢測結(jié)合在一起。

安全芯片可以提高網(wǎng)絡(luò)實時檢測的效率,數(shù)據(jù)加密處理使用DFT 處理器,數(shù)據(jù)儲存器的驅(qū)動引擎使用的是HCCV 引擎。安全芯片與計算機硬盤CPU 之間連接也使用DFT 處理器,使安全檢測保證高速運轉(zhuǎn)狀態(tài)。

1.2 感應(yīng)器設(shè)計

異常狀態(tài)實時監(jiān)控下網(wǎng)絡(luò)入侵防范系統(tǒng)的數(shù)據(jù)檢測設(shè)備首先需要一個可以感應(yīng)到網(wǎng)絡(luò)入侵的感應(yīng)器,感應(yīng)器的設(shè)計必須滿足對網(wǎng)絡(luò)入侵檢測范圍大、監(jiān)測時間長的特點[3]。為了可以感應(yīng)出網(wǎng)絡(luò)異常,必需要對正常的網(wǎng)絡(luò)狀態(tài)的數(shù)據(jù)流、和數(shù)據(jù)處理狀態(tài)有所了解。感應(yīng)器的附加功能并非增加感應(yīng)器的負擔(dān),而是網(wǎng)絡(luò)數(shù)據(jù)入侵的監(jiān)測所必需的基礎(chǔ)功能。

網(wǎng)絡(luò)日常使用過程中感應(yīng)器監(jiān)測數(shù)據(jù)的正常運行,對數(shù)據(jù)初步處理的過程是將數(shù)據(jù)的正常狀態(tài)寫入芯片數(shù)據(jù)庫的過程。數(shù)據(jù)監(jiān)測的過程也是不斷更新數(shù)據(jù)庫的過程,但是對于數(shù)據(jù)是否出現(xiàn)異常就要進行下一步分析,數(shù)據(jù)庫的建立也是為異常分析做鋪墊的步驟。分析過程包括對數(shù)據(jù)包大小的監(jiān)測,正常數(shù)據(jù)包的大小會根據(jù)傳輸內(nèi)容的多少不斷變化,而出現(xiàn)異常的數(shù)據(jù)包因為內(nèi)容遭到破壞大小與常規(guī)不符。對發(fā)生異常的數(shù)據(jù)包進行分揀,進行進一步異常分析。

1.3 設(shè)計網(wǎng)絡(luò)異常分析器

發(fā)現(xiàn)異常數(shù)據(jù)包后,需要建立網(wǎng)絡(luò)異常分析器對網(wǎng)絡(luò)異常進行分析歸類。監(jiān)測最重要的環(huán)節(jié)就是對網(wǎng)絡(luò)入侵起到提示作用,所以網(wǎng)絡(luò)異常分析器需要可以向計算機管理員進行異常報警的裝置,考慮到出現(xiàn)網(wǎng)絡(luò)異常,將報告信息設(shè)計成可視化彈窗。根據(jù)收集數(shù)據(jù)形成的網(wǎng)絡(luò)異常數(shù)據(jù)庫,將數(shù)據(jù)庫數(shù)據(jù)和異常數(shù)據(jù)進行對比,得到條件相匹配的數(shù)據(jù)庫數(shù)據(jù)[4],以此用來判斷是否發(fā)生異常并通知管理員進行處理和防控。報警平臺受中心控制器控制,入侵行為被確定后直接由中心控制器對報警器發(fā)出報警指令,報警器位于異常分析器的廣域網(wǎng)上,將異常數(shù)據(jù)發(fā)送給管理員后還要進行數(shù)據(jù)庫回收。

2 系統(tǒng)軟件設(shè)計

2.1 整體數(shù)據(jù)采集

作為網(wǎng)絡(luò)異常最基礎(chǔ)的步驟,對整體數(shù)據(jù)的采集需要具有全面性和科學(xué)性。整體數(shù)據(jù)的采集一部分來源歷年總結(jié)的計算機網(wǎng)絡(luò)異常的原始數(shù)據(jù),另一部分來源實時監(jiān)測時取得的新數(shù)據(jù)。使用POI 數(shù)據(jù)導(dǎo)入可以把原有和收集的數(shù)據(jù)傳導(dǎo)進系統(tǒng)的數(shù)據(jù)庫中,每條記錄都是給網(wǎng)絡(luò)異常監(jiān)測作參考的有效數(shù)據(jù),重復(fù)的、錯誤的無效數(shù)據(jù)在收集篩選的過程中會被剔除,避免內(nèi)存浪費。新收集的網(wǎng)絡(luò)實時數(shù)據(jù)壓縮儲存,利用xp 系統(tǒng)對壓縮數(shù)據(jù)進行解讀分析,每個壓縮包都有自己的獨立端口,方便發(fā)生異常時的數(shù)據(jù)調(diào)取[5],數(shù)據(jù)收集可以根據(jù)電腦系統(tǒng)的程序更新而自動更新,而不需要反復(fù)安裝卸載。

2.2 異常數(shù)據(jù)處理模塊

異常數(shù)據(jù)處理模塊和正常數(shù)據(jù)處理模塊需要進行分離,異常監(jiān)測模塊使用SSTY 模式,異常數(shù)據(jù)的處理重點在于實時性,SSTY 模式通過大量對比數(shù)據(jù),此時安全芯片發(fā)揮自己的作用,可以兼顧數(shù)據(jù)的收集和異常數(shù)據(jù)的處理,HCCV 引擎可以高速執(zhí)行指令,警報通知管理員之后,用戶就可以利用異常數(shù)據(jù)處理模塊對網(wǎng)絡(luò)入侵進行實時處理,病毒的查殺、木馬的擊破和對黑客的防范都可以在這一步實現(xiàn),異常數(shù)據(jù)的預(yù)處理將數(shù)據(jù)上傳,實時監(jiān)測模塊開始審閱數(shù)據(jù)的異常并進行分類。分析后的異常數(shù)據(jù)依舊會再次進行分類,利用同類別歸納出的新特征,總結(jié)出新的入侵數(shù)據(jù)特征。

2.3 數(shù)據(jù)轉(zhuǎn)換預(yù)處理

異常數(shù)據(jù)監(jiān)測傳導(dǎo)的原始數(shù)據(jù)要進行轉(zhuǎn)換,監(jiān)測字符的編程語言從原始數(shù)據(jù)最小值開始,為避免處理過程復(fù)雜,將語言進行統(tǒng)一性處理,將相同特征的數(shù)據(jù)進行歸納到一個區(qū)域內(nèi),避免對同一特征的數(shù)據(jù)經(jīng)過多次無效處理。數(shù)據(jù)歸納處理結(jié)束后,考慮篩選數(shù)據(jù)與異常數(shù)據(jù)的相關(guān)性[6],一方面可以充盈異常數(shù)據(jù)庫,另一方面也為防范此類網(wǎng)絡(luò)入侵提供樣本。數(shù)據(jù)集使用函數(shù)進行分析,監(jiān)測樣本中異常數(shù)據(jù)到其他數(shù)據(jù)的離心距離,離心距離反映數(shù)據(jù)的緊湊程度。

3 仿真實驗

為了測試本文設(shè)計的系統(tǒng)實時監(jiān)測網(wǎng)絡(luò)異常的性能,在計算機中設(shè)計仿真實驗,使用相同的網(wǎng)絡(luò)入侵系統(tǒng)。與傳統(tǒng)系統(tǒng)進行對比,對比整體數(shù)據(jù)的測試和異常數(shù)據(jù)的分析處理,驗證本文系統(tǒng)的實用性和優(yōu)勢。

3.1 實驗步驟

搭建小規(guī)模的千兆太網(wǎng)測試環(huán)境,仿真環(huán)境由數(shù)據(jù)分流機分析監(jiān)測引擎,為了保證實驗的公平性。模擬的入侵數(shù)據(jù)和測試的電腦硬件設(shè)施應(yīng)一致,發(fā)包機進行入侵數(shù)據(jù)的發(fā)送,分流機分別將數(shù)據(jù)發(fā)送給實驗所用的主機,為了提升實驗速率,入侵數(shù)據(jù)只發(fā)送一次數(shù)據(jù),負責(zé)分流的計算及內(nèi)存需要8 個G 以上,CPU 無特殊要求,常規(guī)標準就能滿足實驗標準,使用原始數(shù)據(jù)收集器進行數(shù)據(jù)收集,正常數(shù)據(jù)和異常數(shù)據(jù)的發(fā)送概率隨機設(shè)置,不同類型的異常數(shù)據(jù)。數(shù)據(jù)記錄容量控制在20000 條以內(nèi),數(shù)據(jù)形成的最小端點與兩邊的離心點進行連接,構(gòu)成最小的數(shù)據(jù)集。數(shù)據(jù)集和數(shù)據(jù)集之間相互組合逐漸形成大的數(shù)據(jù)集,應(yīng)用于傳統(tǒng)方法和本文設(shè)計的系統(tǒng),開始進行對比實驗。

3.2 實驗結(jié)果

在當(dāng)前設(shè)計實驗的仿真環(huán)境中,通過不定時進行數(shù)據(jù)入侵,分析傳統(tǒng)方法和本文設(shè)計的監(jiān)測系統(tǒng)對異常數(shù)據(jù)的識別速度,對比如圖1 所示。

圖1 識別速度對比圖

通過圖1 可以看出,在仿真環(huán)境中,不間斷地向計算機進行數(shù)據(jù)入侵。傳統(tǒng)方式的反應(yīng)速度在0.3S 以上,而本文設(shè)計的系統(tǒng)的反應(yīng)速度在0.1S-0.3S 之間,相比于傳統(tǒng)方式反應(yīng)速度更快。網(wǎng)絡(luò)入侵的后果十分嚴重,僅僅是0.2S 的差距就可能挽回一個企業(yè)幾百萬的營業(yè)損失,異常數(shù)據(jù)識別地越快,越能保障網(wǎng)絡(luò)的安全。同時,對于入侵數(shù)據(jù)的識別正確率高也是實時監(jiān)測系統(tǒng)具備監(jiān)測優(yōu)勢的體現(xiàn)。將兩個系統(tǒng)中收集的異常數(shù)據(jù)進行整理,對比實時監(jiān)測到的準確率如表1 所示。

表1 準確率對比結(jié)果

由表1 實驗結(jié)果所示,使用本文設(shè)計的系統(tǒng),異常數(shù)據(jù)的檢測率比傳統(tǒng)方法平均提高2 個百分點。漏檢率也有所下降,安全芯片的植入使網(wǎng)絡(luò)入侵的阻隔率上升。以上兩個實驗結(jié)果均可以證明本文設(shè)計的系統(tǒng)滿足網(wǎng)絡(luò)入侵防范的基本要求,并在反應(yīng)速度和識別正確率上皆比傳統(tǒng)方式具有優(yōu)勢。

4 結(jié)論

本文基于異常狀態(tài)下的網(wǎng)絡(luò)實時監(jiān)控設(shè)計監(jiān)測系統(tǒng),對現(xiàn)代網(wǎng)絡(luò)大環(huán)境下的網(wǎng)絡(luò)入侵起到防范作用。實驗論證本文設(shè)計的系統(tǒng)比傳統(tǒng)方法具有優(yōu)勢,但本系統(tǒng)的硬件設(shè)施較為復(fù)雜,希望在日后的研究中可以設(shè)計出更簡單的硬件設(shè)施,減少繁瑣的組裝程序,用最簡便的方式和最低的成本實現(xiàn)網(wǎng)絡(luò)安全的保障。