云計算背景下的網絡安全技術實現路徑

李景清

（中國電信集團系統集成有限責任公司 北京市 100082）

對于云計算背景下的網絡安全來說，內部工作人員風險、資源共享威脅、濫用和惡意使用云計算環境、虛擬化級別攻擊威脅、數據存儲安全威脅均屬于威脅網絡安全的主要風險。為保證云計算背景下的網絡安全，傳統的防火墻技術、加密技術需得到充分應用，各類新型網絡安全技術的應用也需要得到重視。

1 云計算背景下的網絡安全技術

1.1 云網絡安全態勢感知技術

云網絡安全態勢感知技術屬于典型的云計算背景下網絡安全技術，該技術能夠獲取云網絡安全態勢要素，并以此開展云網絡安全態勢評估及預測。基于獲取云網絡安全態勢要素進行分析可以發現，在云計算機網絡環境下，運行大量虛擬機的物理機會部署防火墻、IDS 等多種安全設備，以此實現監控和防護，而通過利用入侵檢測設備、防火墻等網絡安全設備，即可獲取云網絡的安全態勢要素，網絡中重要影響因素和態勢數據的實時采集、挖掘可由此實現。通過針對性預處理采集的數據，關鍵的態勢要素可順利獲得，具體可采用粗糙集理論、灰色關聯法等技術；基于評估云網絡安全態勢進行分析可以發現，這一評估需要以云網絡環境中的用戶行為、網絡行為、各種網絡設備運行狀況等因素為前提，以此融合、關聯分析網絡安全態勢要素，具體分析需采用數學模型或數學工具，如層次分析法、貝葉斯網絡、模糊邏輯、神經網絡、支持向量機，以此對整體網絡的運行狀態開展綜合評價。作為云網絡安全態勢感知的核心，針對性的評估能夠為云計算背景下的網絡安全保障提供有力支持；基于預測云網絡安全態勢進行分析可以發現，作為態勢評估的后續工作，預測需要以態勢評估為基礎，并結合當前網絡狀態和歷史數據，以此對未來的網絡發展趨勢進行預測，即可為網絡管理人員的相關決策提供依據，網絡的風險或安全狀態可由此直觀傳達給網絡管理人員，各類防御措施的優選也能夠實現，神經網絡預測、灰色理論預測、時間序列預測均屬于典型的云網絡安全態勢預測技術[1]。

1.2 云環境入侵檢測技術

云端存儲數據很容易受到安全威脅，為設法應對這種威脅，云環境入侵檢測技術所發揮的作用必須得到重視，該技術可依托入侵檢測系統較好保護云計算背景下的網絡安全，大數據檢測在實時性層面存在的缺陷也能夠由此彌補，云環境受到攻擊和侵害的幾率將大幅下降。在云環境入侵檢測技術的具體應用中，可建立由用戶交互接口模塊、系統管理模塊、容忍模塊、數據采集預處理模塊、檢測分析模塊組成的云環境入侵檢測模型，該模型同時包括云服務資源池、網絡數據采集預處理器等構成，該模型可由此提升云系統抵抗入侵攻擊的能力，并同時協助云技術開展數據的分析、處理和挖掘，更好保證云計算下的網絡安全。用戶交互接口模塊主要負責提供云服務接口，客戶可在該接口支持下實現對服務器等云服務資源的直接訪問，各種服務對象可通過云服務目錄顯示，客戶可由此優選服務類型；系統管理模塊負責各模塊間通信以及資源分配，同時還負責IDS 管理模塊調用、云服務資源池管理，對于定時連續提出檢測請求的IDS 模塊，準備就緒的系統管理會發送消息給IDS，具體分析基于數據采集模塊調用開展，采集模塊負責存儲預處理后的數據，基于各模塊當前的服務情況，系統會動態分配任務；容忍模塊負責在網絡或系統受到攻擊入侵、出現錯誤情況下，保證全部或部分功能繼續運行或提供服務，服務可由此在故障或入侵發生時在一定時間內持續完成。不同于傳統安全技術，入侵容忍技術屬于故障發生后的一種生存能力，具備系統重新配置、自身修復能力；數據采集預處理模塊可圍繞網絡數據包應用軟件工具進行采集，網絡中的數據包可在該模塊啟動后進行監聽和截取，網絡流量測試也可由此實現。來自Libpcap 函數庫的Snort、dump、tcp-均屬于現階段較為流行的網絡采集工具，系統云平臺可得到Libpcap 提供的用戶編程接口支持，如具備網絡功能、高安全性、跨平臺等特性的JAVA 類庫，程序代碼可由此直接編寫；檢測分析模塊可較好應對猛增的網絡流量，保證采集數據的全面、準確、可靠、安全。基于啟動的IDS 管理模塊，采集到的樣本數據可通過檢測分析模塊進行運行檢測，云環境異常行為是否存在可由此判斷，云環境入侵檢測技術也能夠由此更好服務于云計算背景下的網絡安全保障[2]。

1.3 云計算網絡雪崩效應防御技術

云計算網絡攻擊下的雪崩效應會直接影響云計算背景下的網絡安全，這種雪崩效應源于應用服務間邏輯耦合效應的連帶影響，網絡健壯性會受到雪崩效應的直接威脅，整個網絡會因此在很短時間內停止服務。為有效抵抗云計算網絡雪崩效應，基于網絡關鍵節點保護的云計算網絡雪崩效應防御技術必須得到重視。在云計算網絡雪崩效應防御技術的應用中，需基于節點度的大小選取關鍵點，相較于較小度的節點，較大度的節點能夠更好提升網絡健壯性。為深入了解云計算網絡雪崩效應防御技術，可假設受保護節點可實現對網絡攻擊的完全免疫，這種情況下受到保護的節點便能夠在雪崩擴散的過程中有效阻止其擴散。以選擇度最高的關鍵位置節點為例，通過賦予該節點免疫網絡攻擊的能力，免疫節點加入后大聯通子圖的規模即可相應增大，因此云計算網絡的健壯穩定性能可在關鍵節點保護后有效提升，復雜的網絡攻擊也能夠更好抵抗。相較于在云計算內移至傳統網絡安全設備的方法，云計算網絡雪崩效應防御技術可針對性分析云計算網絡，以此對其中的關鍵節點進行針對性保護，整個云計算網絡健全性可在較少成本投入前提下得到保障。云計算網絡面臨的威脅可通過云計算網絡雪崩效應防御技術有效解決，由此提出的新型方法也能夠通過建立虛擬網絡與物理網絡的拓撲，更為深入的分析復雜云計算網絡下的威脅，并最終選用科學合理的解決辦法[3]。

2 云計算背景下網絡安全技術的具體應用

2.1 節點保護方法

在云計算網絡雪崩效應防御技術的具體應用中，被動節點保護方法的選用極為關鍵，具體的選用需結合虛擬安全設備。虛擬化計算可實現網絡、存儲、計算數據庫、防火墻、IDS 等設施的虛擬，SDN 技術則能夠對網絡拓撲結構進行針對性探測，這種情況下所有節點度大小可由此快速獲得。通過利用便利化程度較高的虛擬化網絡安全設備，即可對度較高的關鍵節點進行保護，FWaaS 為網絡組件OpenStack 帶有的虛擬化網絡安全設備，這種虛擬防火墻的應用可實現網絡數據包的過濾流入和流出，虛擬防火墻所在的物理主機可由針對性處理數據，并在完成處理后將其發送至虛擬主機。通過部署虛擬防火墻于網絡中的關鍵節點，即可基于數據包過濾的能力在一定程度上保證云計算背景下的網絡安全，但對于云計算提供商來說，缺乏對應聯系的不同虛擬防火墻將導致關鍵節點位置優勢無法發揮；主動節點保護方法也需要得到重視，該方法以自身加固為基礎，通過分離安全服務與業務，即可保證兩臺虛擬機分別負責安全服務與業務的運行，由此組成一個子網，輔以反向代理服務，即可真正在內部不同虛擬機上分離安全數據和業務，安全系統與業務互不影響目的可順利實現。云計算提供商的安全防御設施部署可在對用戶透明的前提下實現，由于同樣采用虛擬機作為安全節點，安全節點的開啟和關閉開銷較小，可云計算網絡動態特性需求可由此較好滿足[3]。

2.2 云計算網絡安全防御系統架構

每個虛擬機在云計算中均可視作具備簡單日志分析和處理能力的節點，因此每個虛擬機可允許一個輕量的、可裁剪的系統監控與告警程序，系統運行狀態感知可由此實現，監控程序的優化和裁剪可結合虛擬機的處理性能實現。對于負載較重或性能較弱的機器，監控軟件可僅負責CPU、網絡流量、內存等基本信息分析，處理能力較強或負載較輕主機的監控軟件則需要對運行進程信息、數據指紋、網絡IP 等信息進行記錄，虛擬機節點在運行監控程序后可被稱作傳感器節點。傳感器節點可同時實現免疫處理模塊能力啟動，結合具體防御策略，節點即可攔截和阻塞網絡病毒、惡意軟件，保護云計算背景下的網絡安全。此外，還需要建立防御策略生成節點，該節點負責監控數據處理和防御策略生成，每個傳感器節點發送的日志和告警數據可通過防御策略生成節點負責收集和匯聚，以此開展針對性分析，輔以監控黑名單、防御規則匹配，即可科學選擇防御策略并下發，相應的防御機制可由接收策略的傳感器節點啟動。可基于傳感器節點與防御策略生成節點建設云計算網絡防御系統，虛擬機可由此分別負責邏輯業務運行，以及分析、生成、下發防御策略。防御策略生成節點包含安全響應與業務處理兩部分，因此防御策略生成節點可基于安全響應節點的升級較為便利獲得。

在云計算網絡安全防御系統的具體應用中，該系統的威脅處理由四部分組成，即：“檢測威脅→上報日志→處理威脅→部署防御規則”。相較于傳統的威脅處理，云計算下的威脅處理具備較高特殊性，這是由于不同用戶的邏輯子網可能成為云計算的攻擊目標，因此相關處理需要合并處理類別相同的攻擊。如存在己知攻擊，被攻擊的節點和未被攻擊的節點均需要得到保護，同時云計算平臺規模帶來的影響也不容忽視。在云計算網絡安全防御系統的具體應用中，整個防御處理以檢測威脅和上報日志為第一部分，產生異常的被攻擊節點可觸發監測程序的告警系統，以此檢測威脅，防御策略生成節點即可接收告警信息，針對性進行威脅分類，輔以規則集匹配，最終向規則產生器發送匹配的結果，相應的規則即可生成，防御規則的針對性部署也可由此獲得依據，系統防御策略生成優化也能夠順利實現，云計算背景下的網絡安全自然可得到更好保障。

2.3 云計算網絡安全防御系統的具體應用

在檢測威脅環節，云計算網絡安全防御系統可基于傳感器節點通過事件觸發模式和輪詢模式進行數據采集，一個或多個觸發事件的針對性設置、基于一定時間間隔的關鍵信息掃描和采集屬于其中關鍵，傳感器節點威脅檢測流程可概括為：“開始掃描→登錄用戶、進程、端口等基本信息掃描→判斷是否存在超過閾值的負載→是/否→結束/圍繞數據包、內存進行高級掃描→結束”；在上報日志環節，云計算網絡安全防御系統需初步分析威脅，以此決定是否上報，決定上報后需針對性開展數據預處理，預處理包括合并和去重數據、過濾數據、壓縮數據，以此去除重復數據、過濾正常觸發的威脅告警，數據壓縮可結合實際情況考慮是否采用；在處理威脅環節，云計算網絡安全防御系統需針對性分類威脅、匯總威脅、生成規則、下發規則。在針對性分類威脅的過程中，可按照HTTP 攻擊、網絡攻擊、惡意軟件進行分類。在匯總威脅的過程中，相關的攻擊信息合并屬于其中關鍵，如在一次DDoS 攻擊中，可匯總相關傳感器節點的報告的威脅，后續的處理流程簡化也由此獲得支持。在生成規則的過程中，系統基于自我學習和手動定義形成的規則集屬于其中關鍵，通過對各類威脅處理方法進行定義，即可更好服務于云計算網絡安全防御。下發規則需在防御部署節點開始前，以此優選下發路徑和下發選路算法，如廣度優先算法、Dijkstra 算法，即可適應不同任務需要，如Dijkstra 算法適用于緊急任務，廣度優先算法適用于策略接收端較多的任務；在部署防御規則環節，云計算網絡安全防御系統可基于下發的防御規則進行解壓縮處理，傳感器節點可由此向自身規則集中導入防御程序，規則中關聯的防御軟件可基于防御程序的導入而調動，更好保護云計算背景下的網絡安全。

3 結論

綜上所述，云計算背景下的網絡安全技術具備較高應用價值。在此基礎上，本文涉及的云網絡安全態勢感知技術、云環境入侵檢測技術、云計算網絡雪崩效應防御技術等內容，則提供了可行性較高的云計算背景下網絡安全技術應用路徑。為更好適應云計算發展現狀，相關網絡安全技術的研發和應用還需要結合大數據等新型技術，智能化的相關探索也需要引起重視。