低敏感路由協議攻擊自適應監測系統設計

，

(1.廣州商學院 實驗實訓中心，廣州 511363；2.廣東創新科技職業學院 信息工程學院，廣東 東莞 523960)

0 引言

隨著計算機技術和互聯網技術的快速發展，云計算、物聯網、電子商務和三網融合的技術得到廣泛的普及[1]。人們對網絡的依賴越來越嚴重，對網絡技術的依賴推動了網絡技術發展的同時，也給信息的安全帶來了隱患，尤其是給路由協議網絡基礎設施的安全帶來了嚴峻的考驗[2]。

當前路由協議和網絡基礎設施在設計時只考慮到了網絡通信的便利，并沒有考慮網絡的安全問題[3]。導致目前的網絡安全形式較為嚴峻，因此也出現了海量針對網絡協議尤其是路由協議的攻擊方式[4]。大量網絡安全事件的發生和網絡空間問題的不斷擴大，使網絡安全問題逐漸被網絡安全研究人員和各國政府所關注[5]。目前被廣泛使用的路由協議不能對企業通信和OSPF通信進行加密和認證，對新型的攻擊方式存在諸多的防范漏洞，使系統中存在較多的錯誤信號[6]。為解決上述問題，提出了一種低敏感路由協議攻擊自適應監測系統設計方法，該方法對新型的攻擊方式進行研究，可以在最短的時間內了解其攻擊方式，給出有效的防范措施來保障網絡信息的安全，該方法的提出得到了廣泛的關注。

路由協議攻擊監測系統保障了網絡用戶的信息安全[7]。為了使路由協議攻擊監測系統可以更好的應用到網絡安全中，需要對路由協議攻擊監測系統進行深入的研究和分析[8]。基于虛擬器技術的路由協議攻擊監測系統以PXIe-5196數字化儀器為主要硬件，采用虛擬儀器技術對網絡信號進行監測和識別，該方法具有信號采集和數據存儲的功能，通過數字濾波和觸發限制對網絡信號進行處理，該方法可以有效的降低系統存儲數據的壓力，但系統的數據傳輸速度較慢、響應時間較長[9]。基于鏈路覆蓋的路由協議攻擊監測系統對網絡中所有的節點都進行監測，網絡節點根據自身的內存閾值加載路由協議監測系統的功能模塊，并采用優化協調機制對網絡節點進行優化，每條通信鏈路上都由多個網絡節點進行覆蓋和監測，該方法監測的可靠性較高，但系統的帶寬占有率高和誤比特率高[10]。

1 路由協議解析

對路由協議進行解析，是完成低敏感路由協議攻擊自適應監測系統的基礎。路由協議是由不同層次的多個協議組成的，低敏感路由協議攻擊自適應監測系統中上層協議的各種工作需要通過下層協議來完成并實現，低敏感路由協議攻擊自適應監測系統的路由協議層次結構圖如圖1所示。

圖1 路由協議攻擊監測系統的路由協議層次結構圖

從低敏感路由協議攻擊自適應監測系統的路由協議層次分類上看，下層協議是上層協議數據包的大類，要先確保下層協議數據包的特征滿足之后才能考慮到上層協議數據包的特征。在低敏感路由協議攻擊自適應監測系統中下層協議可以體現上層協議事項的一些細節，如可以通過IP首部的協議字段確定協議是UDP協議還是TCP協議。協議解析可以將數據鏈路層中獲取的數據包通過協議層次的結構解析后傳送到Packet結構中并儲存，在解析數據包時可以檢查數據包的合法性。低敏感路由協議攻擊自適應監測系統設計協議解析的流程圖如圖2所示。

圖2 路由協議攻擊監測系統的路由協議解析流程圖

路由協議解析體現了協議分析的基本思想，進行規則匹配時，先進行協議層首部的匹配，若匹配成功，進行數據匹配，進行數據匹配時，可以跳過低敏感路由協議攻擊自適應監測系統協議層首部的匹配，提高了低敏感路由協議攻擊自適應監測系統的監測效率。

2 監測系統的構建

2.1 帶寬占有率的降低

低敏感路由協議攻擊自適應監測系統在采集數據時會占用一定的帶寬，系統通過審計數據采集功能可以對數據采集的頻率進行控制，減少系統的帶寬占有率。系統的審計數據采集由數據接收、數據請求、數據儲存和代理庫構成，圖3為監測系統的帶寬監測界面。

1)監測系統通過數據接收和請求方式完成了數據在系統中的需求，系統的數據請求主要是向代理庫中傳輸數據，并通過數據接收功能接收代理庫中的數據。

2)采用數據儲存功能將數據存入低敏感路由協議攻擊自適應監測系統的數據庫中。

3)代理庫的主要功能是記錄用戶登錄監測系統的時間、退出監測系統的時間和登錄主機的IP地址。

圖3 監測系統的帶寬監測界面

2.2 誤比特率的降低

網絡數據采集是截獲網絡協議模型中各個協議層次數據包的主要途徑，在截獲網絡數據包時，需要將低敏感路由協議攻擊自適應監測系統的網卡調設為混合工作的模式，網絡數據采集是低敏感路由協議攻擊自適應監測系統中監測引擎數據的來源。低敏感路由協議攻擊自適應監測系統完成網絡數據的截獲分為兩部分，分別是網絡數據包過濾器和網絡分接頭。

1)網絡分接頭從低敏感路由協議攻擊自適應監測系統的驅動設備中采集網絡數據包拷貝，將數據包拷貝傳輸給低敏感路由協議攻擊自適應監測系統的監聽設備。

2)過濾器決定了網絡數據包的接收方式和拒絕方式，并將數據包中的一部分數據進行拷貝傳送到應用程序中。

當網絡數據包到達低敏感路由協議攻擊自適應監測系統的網絡接口設備時，一般采用鏈路層設備的驅動器將數據包傳送到系統協議進行處理，低敏感路由協議攻擊自適應監測系統驅動器會調用網絡接口監聽中的數據包，并將數據包傳送到每個監控設備的過濾器中，過濾器對數據包是否被接收并保存進行判斷。

1)若網絡數據包鎖定的目標地址不是本機地址，則終止驅動程序并返回，

2)若數據包鎖定的目標地址為本機地址，則繼續運行路由協議的處理過程。

網絡數據采集通過網絡數據包過濾器和網絡分接頭決定了網絡數據包接收和拒絕的方式，并將采集到的數據包拷貝傳送到系統的監聽設備，減少了系統信息中存在的錯誤比特數，降低了系統的誤比特率。誤比特率顯示界面如圖4所示。

圖4 誤比特率顯示界面

2.3 頁面刷新響應時間的減少

低敏感路由協議攻擊自適應監測系統通過報警響應功能對系統所產生的警報信息進行排序和轉發。當低敏感路由協議攻擊自適應監測系統中出現特殊情況和異常時，系統通過報警響應功能發出警報信號，系統包含多個目的地址，在發送報警信號時使用，可以快速的將警報信息傳送到用戶客戶端，確保用戶可以及時的看到報警信息，減少系統頁面刷新的響應時間。

攻擊模式數據庫中含有三種動作，分別是Alert、Pass和Log，警報響應只對Alert事件的觸發發送警報信號，警報信號發送的地址是可以配置的。系統用戶可以自己創建目的地址，并采用第三方程序傳真和電子郵件的方式發送警報信息，每個警報信息可以傳送到多個目的地址。

2.4 數據包的規則描述

低敏感路由協議攻擊自適應監測系統的攻擊模式庫對網絡數據包進行規則描述時具有以下幾個要求。首先，要在單獨的一行內完成對數據包的規則描述。其次，網絡數據包的規則描述分為兩個部分，分別是規則選項和規則頭。其中規則頭包含了目的地址、規則動作、IP源地址、協議、源端口、目標端口值和子網掩碼等。規則選項包含了需要檢查的數據包區域位置信息和警報信息。

2.5 信息發布方式

經過低敏感路由協議攻擊自適應監測系統監測引擎的數據都被保存在系統的數據庫中，系統用戶可以通過信息備份和數據庫維護對信息進行查詢，信息備份是基于web方式，數據庫維護方式是通過進入監測系統的管理平臺。

3 實驗方法及步驟

本次測試在Solr平臺完成，低敏感路由協議攻擊自適應監測系統在獲取網絡中的數據信息時，會對網絡資源造成一定的消耗，使路由協議攻擊監測系統的監測結果受到一定的影響，若路由協議攻擊監測系統采集數據的頻率過低，得到的參數結果與實際結果相差較大。若路由協議攻擊監測系統采集數據的頻率過高，會使帶寬的消耗增加，對路由協議攻擊監測系統的路由器性能造成影響。因為低敏感路由協議攻擊自適應監測系統在采集數據時會占用一定的帶寬，因此用系統帶寬的占有率來判斷對正常端口流量的影響，表1為低敏感路由協議攻擊自適應監測系統的帶寬占有率測試結果。帶寬占有率的計算公式如下：

帶寬占有率=管理所占的節數/所有字節數

(1)

表1 低敏感路由協議攻擊監測系統帶寬占有率

分析表1可知，在低敏感路由協議攻擊自適應監測系統測試中管理所占字節數平均為138字節，所有字節數平均為22694字節，帶寬的平均占有率為0.609%。監測結果對系統的影響很小，可以忽略不計，低敏感路由協議攻擊自適應監測系統較為穩定。

為了檢驗低敏感路由協議攻擊自適應監測系統的性能，需要對低敏感路由協議攻擊自適應監測系統進行性能測試，創建一千五百萬條攻擊事件，包括路由協議攻擊事件、網站攻擊事件和終端攻擊事件，監測低敏感路由協議攻擊自適應監測系統頁面刷新的響應時間和監控響應時間CPU的使用率，測試結果如表2所示。

表2 低敏感路由協議攻擊監測系統性能測試結果

分析表2可知，無論攻擊事件數為五十萬條、一百萬條、五百萬條、一千萬條、一千五百萬條低敏感路由協議攻擊自適應監測系統的頁面刷新響應時間都小于3秒，響應時間CPU在70%以下，說明低敏感路由協議攻擊自適應監測系統在受到路由協議攻擊、網站攻擊和終端攻擊事件時，系統頁面刷新的速度不受到影響，能夠快速的加載出頁面，系統響應時間CPU的使用率不因受到事件攻擊而升高，低敏感路由協議攻擊自適應監測系統的可用性較高。

誤比特率指的是在數據通信中，在一段時間內系統收到的數字信號中含有錯誤的比特數與這段時間內收到的總數字信號數的比，誤比特率越低系統的精確性越高。采用本文方法和文獻[9]方法、文獻[10]方法進行測試。

分析圖5可知本文方法的誤比特率為0.17%，本文方法通過數據采集中的網絡數據包過濾器和網絡分接頭決定了網絡數據包接收和拒絕的方式，并將采集到的數據包拷貝傳送到系統的監聽設備，減少了系統信息中存在的錯誤比特數，降低了系統的誤比特率。分析圖6可知，文獻[9]方法的誤比特率為19.29%，該方法采用虛擬儀器技術對網絡信號進行監測和識別，通過數字濾波和觸發限制對網絡信號進行處理，在處理的過程中存在大量的計算，易出現誤差，使系統中的錯誤比特數增加，系統的誤比特率升高。分析圖7可知，文獻[10]方法的誤比特率為41.44%，該方法對網絡中的所有節點進行監測，采用優化協調機制對網絡節點進行優化，每條通信鏈路上都有多個網絡節點進行覆蓋和監測，該方法對網絡數據進行監測時，所用算法較為繁瑣，用時較長，當大量的網絡信息對系統進行訪問時，該方法由于計算所用時間較長無法對大量的網絡信息進行監測，使系統信息中的錯誤比特數較多，誤比特率高。

圖5 本文方法的誤比特率

圖6 文獻[9]方法的誤比特率

圖7 文獻[10]方法的誤比特率

4 結論

從實驗和實際運行結果看出，本文所提的低敏感路由協議攻擊自適應監測系統已經達到了帶寬占有率低、頁面刷新的響應時間少、誤比特率低的要求，提供了一個全新的路由協議攻擊監測系統，為網絡安全提供了保障。