何黎明,周劍濤,張 靜

江西省信息中心,江西 南昌 330001

0 引言

盡管網(wǎng)絡空間安全檢測、防御技術不斷演進,但仍存在諸如通信數(shù)據(jù)惡意篡改、數(shù)據(jù)存儲結構不合理、入侵檢測時間過長(檢測時間通常大于50 ms)、主動安全預警防御功能較差(預警防御誤差率大于10%)等問題。對于精密度、安全性、應用性較高的網(wǎng)絡空間信息系統(tǒng)而言,解決上述問題無疑能夠成倍地提升系統(tǒng)的數(shù)據(jù)安全性、應用可靠性和防御有效性。

星際文件系統(tǒng)(IPFS)是一種基于私有云區(qū)塊鏈的數(shù)據(jù)存儲、提取、備份和查詢系統(tǒng)[1],CamShift算法具有對網(wǎng)絡數(shù)據(jù)安全進行主動監(jiān)測、跟蹤、處理等功能,綜合兩者的技術優(yōu)勢[2],設計網(wǎng)絡空間數(shù)據(jù)安全主動防御系統(tǒng),相較于常規(guī)的安全架構而言,具有數(shù)據(jù)存儲結構更合理、預警跟蹤能力更強、安全防護性能更優(yōu)越等特征,是一種新穎、高效的網(wǎng)絡數(shù)據(jù)安全防御解決方案。

1 系統(tǒng)整體結構設計

本文設計的系統(tǒng)基于3層網(wǎng)絡數(shù)據(jù)存儲架構及CamShift主動防御算法設計,部署在以太坊和智能合約2個區(qū)塊鏈平臺上,構建成“3+1”網(wǎng)絡數(shù)據(jù)安全主動防御體系。其中,以太坊能夠為用戶提供智能合約機制,方便系統(tǒng)設置數(shù)據(jù)安全監(jiān)測、預警和防御機制,智能合約則根據(jù)用戶所需,基于區(qū)塊鏈的去中心化原理設計。此外,系統(tǒng)由跨鏈技術Polkadot保護,在減少數(shù)據(jù)傳輸冗余的同時,提升了區(qū)塊鏈間數(shù)據(jù)的傳輸隱私性。系統(tǒng)的整體結構如圖1所示。

圖1 系統(tǒng)整體結構

1)IPFS層。遠程傳感器采集網(wǎng)絡數(shù)據(jù)傳輸、通信、交換實時信息后,存儲在IPFS系統(tǒng)中,并生成若干IPFS散列,上傳至樣本數(shù)據(jù)鏈層上。

2)樣本數(shù)據(jù)鏈層。樣本數(shù)據(jù)鏈層在接收到IPFS層發(fā)送的網(wǎng)絡數(shù)據(jù)散列后,按照數(shù)據(jù)類型、大小、內容等進行分類,生成若干個散列指針。由于在IPFS層上已經(jīng)對數(shù)據(jù)進行了初步處理,因此樣本數(shù)據(jù)鏈層所處理的數(shù)據(jù)更加精簡,且便于后期維護。

3)以太坊。樣本數(shù)據(jù)鏈層將分類好的區(qū)塊散列上傳到以太坊上進行備份和查詢。以太坊中制定好了智能合約、去中心化機制,形成高安全性的區(qū)塊鏈數(shù)據(jù)存儲查詢體系。

4)主動防御系統(tǒng)?；贑amShift算法設計,加持在3層網(wǎng)絡數(shù)據(jù)存儲架構外部,能夠實時主動地檢測系統(tǒng)外部入侵情況,一旦遭遇入侵,便啟動主動防御功能。

2 系統(tǒng)防御工作流程

2.1 數(shù)據(jù)存儲與傳輸防御

系統(tǒng)自下而上通過“IPFS層—樣本數(shù)據(jù)鏈層—以太坊”流程完成網(wǎng)絡空間數(shù)據(jù)的采集、傳輸和通信。除了常規(guī)的基于區(qū)塊鏈的數(shù)據(jù)傳輸存儲外,內部自帶了數(shù)據(jù)存儲與傳輸防御功能。具體的工作流程如下。

1)IPFS層防御。IPFS本身擁有分布式協(xié)議,能夠對內部的網(wǎng)絡數(shù)據(jù)進行多樣化加密,如智能合約、密碼算法[3]等,能夠有效確保數(shù)據(jù)傳輸和存儲環(huán)節(jié)的私密性、完整性。

2)樣本數(shù)據(jù)鏈層防御。內部的散列指針以穩(wěn)定性、可靠性更強的MPT對象樹的形式存儲,并通過Polkadot 跨鏈技術[4]與以太坊之間進行信息交換,防止網(wǎng)絡數(shù)據(jù)被偽造和篡改。

3)以太坊層。以太坊本身即是成熟的安全生態(tài)系統(tǒng),通過賬戶樹、智能合約等構件大量的外圍安全維護體系,攻擊者需要強制分解區(qū)塊散列值,才能有效侵入以太坊內部實施攻擊,難度非常大。

當然,上述3層網(wǎng)絡架構的防御是一種內部、被動的防御模式,缺少主動監(jiān)測、預警和防御功能,為提升系統(tǒng)的可靠性、穩(wěn)定性,構建外部入侵監(jiān)測主動預警防御體系,給系統(tǒng)安全增加“雙保險”,十分重要。

2.2 入侵檢測主動預警防御

入侵檢測主動預警防御系統(tǒng)是基于數(shù)據(jù)挖掘技術對網(wǎng)絡入侵行為進行動態(tài)監(jiān)測,并應用CamShift算法對入侵個體進行實時跟蹤,在確認入侵檢測類型、數(shù)量、危害程度等基礎上,調用主動預警和防御功能,對入侵個體進行排除和主動反應。其中,CamShift算法是該功能的核心,與常規(guī)的網(wǎng)絡安全防御算法相比,CamShift算法具有更強的預警和防御自適應能力,具體的算法思想為:在針對入侵個體進行判斷和跟蹤過程中,首先對入侵區(qū)域進行選擇判斷,假定入侵區(qū)域用(A,B)表示;之后對區(qū)域內的入侵個體目標特征進行提取,創(chuàng)建目標特征的反向投影圖,用T(A,B)表示;最后對T(A,B)的零階矩和一階矩進行計算,確定入侵個體中心位置的橫坐標和縱坐標信息。CamShift算法中關于T(A,B)零階矩和一階矩的計算公式為[5]:

C00= ∑A∑BT(A,B)

(1)

C10=∑A∑BAT(A,B)

(2)

C01=∑A∑BBT(A,B)

式中:C00表示T(A,B)的零階矩,C10和C01表示T(A,B)的一階矩。

基于式(1)和式(2)運算可得到入侵個體的中心位置信息表達式為:

(3)

式中:AC和BC分別表示入侵個體中心的橫坐標和縱坐標位置信息。調用CamShift算法進行主動防御的實質是實時循環(huán)掃描,且整個過程需要進行迭代運算,直到入侵個體的位置信息呈現(xiàn)收斂狀態(tài),才會輸出跟蹤結果。這種“掃描—運算—收斂—輸出”的算法思想和監(jiān)測過程,能夠更加精準地定位和查殺入侵個體。

此外,調用CamShift算法定位入侵個體前,需要編訂入侵監(jiān)測規(guī)則庫,依據(jù)規(guī)則庫信息對入侵個體的類型、數(shù)量等進行匹配,為入侵預警、跟蹤和查殺提供依據(jù)。表1為系統(tǒng)匹配的CamShift算法規(guī)則庫。

表1 主動預警防御規(guī)則庫

3 系統(tǒng)測試結果與分析

3.1 測試環(huán)境

以某公司內部辦公網(wǎng)絡為測試環(huán)境,設置相應的網(wǎng)絡數(shù)據(jù)檢測點、預警點,配置系統(tǒng)進行試驗測試。該公司內部系統(tǒng)基于Ubuntu 18.04環(huán)境搭建,網(wǎng)絡速度為500 Mbps,區(qū)塊鏈結構使用(Go-ethereum)構建。具體測試中,向該系統(tǒng)人為地發(fā)送6組入侵信號,通過收集系統(tǒng)對這些入侵信號的檢測時間、誤差率來判斷本系統(tǒng)的主動防御效果。

3.2 測試過程

在以CamShift算法為核心的主動安全防御測試中,本系統(tǒng)對入侵區(qū)域(A,B)的所有攻擊個體目標特征進行了提取,在對成功提取個體目標后進行計算,確定了入侵個體中心的坐標位置信息為(A1035,B2067),在中心坐標范圍內入侵對象的數(shù)量為276個,經(jīng)過進一步迭代運算,生成對應的攻擊數(shù)量柱狀信息,并將這些信息存儲在區(qū)塊鏈上,方便主動防御系統(tǒng)調用對比后,啟動對應的主動防御措施。整體上看,通過區(qū)塊鏈收集形成的網(wǎng)絡數(shù)據(jù)安全防御信息集合,包含防御攻擊次數(shù)、正常訪問信息、攻擊攔截次數(shù)、主動防御監(jiān)控次數(shù)等,還能夠通過百分比餅狀圖形和柱狀圖形的形式,向用戶呈現(xiàn)DDOS、CC、OWASP等全局攻擊行為,體現(xiàn)了較好的UI呈現(xiàn)性,也便于向用戶呈現(xiàn)網(wǎng)絡安全主動防御的大數(shù)據(jù)信息。

3.3 測試結果分析

測試結果如表2所示,由表2數(shù)據(jù)可知:發(fā)送6組入侵信號的過程中,系統(tǒng)對這些信號的檢測時間范圍為18.52～22.33 ms,預警處理誤差率范圍為2.04%～4.02%。整體來說,入侵檢測時間和預警處理誤差率均較低,且由于設計了基于CamShift算法的入侵信號主動預警、檢測和防御功能,應用該系統(tǒng)能夠更為精準、高效地定位入侵檢測信號的位置信息,因此檢測時間和處理誤差率非常優(yōu)越,能夠為用戶提供更為優(yōu)質、安全的網(wǎng)絡環(huán)境。

表2 系統(tǒng)測試結果統(tǒng)計

4 結束語

針對網(wǎng)絡數(shù)據(jù)安全防御存在的問題,本文提出了一種基于IPFS和CamShift算法的雙區(qū)塊鏈防御系統(tǒng)設計思路,系統(tǒng)通過以太坊和樣本數(shù)據(jù)鏈對網(wǎng)絡數(shù)據(jù)進行采集、存儲、查詢,并應用CamShift算法主動循環(huán)掃描、精準定位、預警防御外部入侵信號,現(xiàn)場模擬測試結果證實了系統(tǒng)的應用優(yōu)越性。未來將從擴展性和兼容性入手,對系統(tǒng)進行優(yōu)化升級,不斷提升系統(tǒng)的應用實效性和先進性。