異常狀態實時監控下網絡入侵防范系統設計

夏海榮

(甘肅省慶陽市科技開發中心,甘肅 慶陽745000)

隨著互聯網的使用用戶隊伍不斷擴大,網民總數量不斷攀升,人們的上網安全如何保障也提上網絡專家的研究日程。近幾年數據調查顯示,計算機入侵事件平均15 秒就會發生一次,除了日常工作中最常見的病毒入侵和木馬攻擊,還有經常被我們忽略的垃圾廣告。各大重要機關的電腦還會被黑客惡意攻擊,即使網絡上安裝上防火墻,也難以抵擋惡性網絡入侵事件的不斷發生。個人計算機信息泄露會導致個人隱私暴露,同時也會給網絡詐騙、勒索綁架可乘之機[1]。而公司的方案策略和產品設計遭到信息泄露則會導致不可挽回的經濟損失。經濟損失不僅僅是網絡被入侵階段損失的營業額,還包括由此而導致的股價下跌和客戶流失,國家和政府的計算機被入侵的后果更是我們難以想象的。

若想有效地防御網絡安全隱患,可以利用網絡異常狀態實時監控。常規的網絡實時檢測耗時耗力,一般運用在軍隊、政府、銀行等重要機構的計算機中,日常家用電腦和小型企業辦公電腦很難使用到實時監測的技術。日常網絡檢測一般使用單項網絡管理協議,網絡運營商開發的網絡管理模塊對使用該運營商網絡的用戶進行實時檢測,系統功能單一,也無法保證運營商不泄露用戶隱私。因此,設計出一套網絡異常狀態下能夠實時監測網絡安全的系統越發重要。

1 系統硬件設計

網絡入侵實時檢測系統的硬件設計,既要做到對網絡數據進行全面檢測,又要做到遇到異常狀態的時候可以馬上進行異常處理。處理異常的階段對其他數據的檢測是不能間斷的,而檢測系統本身也要進行數據加密處理,因此需要設計安全芯片。

現階段計算機不再僅僅是處理數據的工具,人們的日常生活中學習、工作、娛樂活動也都需要計算機來解決,網絡運轉必需要保證實時性和快捷性[2]。

1.1 設計安全芯片

考慮到現代網絡的復雜性以及新系統的合理損耗,應在檢測系統中設計安全芯片。芯片可以增加計算機的處理能力,利用安全芯片提高網絡實時監測的性能。安全芯片將數據加密技術、管理員身份驗證和網絡實時檢測結合在一起。

安全芯片可以提高網絡實時檢測的效率,數據加密處理使用DFT 處理器,數據儲存器的驅動引擎使用的是HCCV 引擎。安全芯片與計算機硬盤CPU 之間連接也使用DFT 處理器,使安全檢測保證高速運轉狀態。

1.2 感應器設計

異常狀態實時監控下網絡入侵防范系統的數據檢測設備首先需要一個可以感應到網絡入侵的感應器,感應器的設計必須滿足對網絡入侵檢測范圍大、監測時間長的特點[3]。為了可以感應出網絡異常,必需要對正常的網絡狀態的數據流、和數據處理狀態有所了解。感應器的附加功能并非增加感應器的負擔,而是網絡數據入侵的監測所必需的基礎功能。

網絡日常使用過程中感應器監測數據的正常運行,對數據初步處理的過程是將數據的正常狀態寫入芯片數據庫的過程。數據監測的過程也是不斷更新數據庫的過程,但是對于數據是否出現異常就要進行下一步分析,數據庫的建立也是為異常分析做鋪墊的步驟。分析過程包括對數據包大小的監測,正常數據包的大小會根據傳輸內容的多少不斷變化,而出現異常的數據包因為內容遭到破壞大小與常規不符。對發生異常的數據包進行分揀,進行進一步異常分析。

1.3 設計網絡異常分析器

發現異常數據包后,需要建立網絡異常分析器對網絡異常進行分析歸類。監測最重要的環節就是對網絡入侵起到提示作用,所以網絡異常分析器需要可以向計算機管理員進行異常報警的裝置,考慮到出現網絡異常,將報告信息設計成可視化彈窗。根據收集數據形成的網絡異常數據庫,將數據庫數據和異常數據進行對比,得到條件相匹配的數據庫數據[4],以此用來判斷是否發生異常并通知管理員進行處理和防控。報警平臺受中心控制器控制,入侵行為被確定后直接由中心控制器對報警器發出報警指令,報警器位于異常分析器的廣域網上,將異常數據發送給管理員后還要進行數據庫回收。

2 系統軟件設計

2.1 整體數據采集

作為網絡異常最基礎的步驟,對整體數據的采集需要具有全面性和科學性。整體數據的采集一部分來源歷年總結的計算機網絡異常的原始數據,另一部分來源實時監測時取得的新數據。使用POI 數據導入可以把原有和收集的數據傳導進系統的數據庫中,每條記錄都是給網絡異常監測作參考的有效數據,重復的、錯誤的無效數據在收集篩選的過程中會被剔除,避免內存浪費。新收集的網絡實時數據壓縮儲存,利用xp 系統對壓縮數據進行解讀分析,每個壓縮包都有自己的獨立端口,方便發生異常時的數據調取[5],數據收集可以根據電腦系統的程序更新而自動更新,而不需要反復安裝卸載。

2.2 異常數據處理模塊

異常數據處理模塊和正常數據處理模塊需要進行分離,異常監測模塊使用SSTY 模式,異常數據的處理重點在于實時性,SSTY 模式通過大量對比數據,此時安全芯片發揮自己的作用,可以兼顧數據的收集和異常數據的處理,HCCV 引擎可以高速執行指令,警報通知管理員之后,用戶就可以利用異常數據處理模塊對網絡入侵進行實時處理,病毒的查殺、木馬的擊破和對黑客的防范都可以在這一步實現,異常數據的預處理將數據上傳,實時監測模塊開始審閱數據的異常并進行分類。分析后的異常數據依舊會再次進行分類,利用同類別歸納出的新特征,總結出新的入侵數據特征。

2.3 數據轉換預處理

異常數據監測傳導的原始數據要進行轉換,監測字符的編程語言從原始數據最小值開始,為避免處理過程復雜,將語言進行統一性處理,將相同特征的數據進行歸納到一個區域內,避免對同一特征的數據經過多次無效處理。數據歸納處理結束后,考慮篩選數據與異常數據的相關性[6],一方面可以充盈異常數據庫,另一方面也為防范此類網絡入侵提供樣本。數據集使用函數進行分析,監測樣本中異常數據到其他數據的離心距離,離心距離反映數據的緊湊程度。

3 仿真實驗

為了測試本文設計的系統實時監測網絡異常的性能,在計算機中設計仿真實驗,使用相同的網絡入侵系統。與傳統系統進行對比,對比整體數據的測試和異常數據的分析處理,驗證本文系統的實用性和優勢。

3.1 實驗步驟

搭建小規模的千兆太網測試環境,仿真環境由數據分流機分析監測引擎,為了保證實驗的公平性。模擬的入侵數據和測試的電腦硬件設施應一致,發包機進行入侵數據的發送,分流機分別將數據發送給實驗所用的主機,為了提升實驗速率,入侵數據只發送一次數據,負責分流的計算及內存需要8 個G 以上,CPU 無特殊要求,常規標準就能滿足實驗標準,使用原始數據收集器進行數據收集,正常數據和異常數據的發送概率隨機設置,不同類型的異常數據。數據記錄容量控制在20000 條以內,數據形成的最小端點與兩邊的離心點進行連接,構成最小的數據集。數據集和數據集之間相互組合逐漸形成大的數據集,應用于傳統方法和本文設計的系統,開始進行對比實驗。

3.2 實驗結果

在當前設計實驗的仿真環境中,通過不定時進行數據入侵,分析傳統方法和本文設計的監測系統對異常數據的識別速度,對比如圖1 所示。

圖1 識別速度對比圖

通過圖1 可以看出,在仿真環境中,不間斷地向計算機進行數據入侵。傳統方式的反應速度在0.3S 以上,而本文設計的系統的反應速度在0.1S-0.3S 之間,相比于傳統方式反應速度更快。網絡入侵的后果十分嚴重,僅僅是0.2S 的差距就可能挽回一個企業幾百萬的營業損失,異常數據識別地越快,越能保障網絡的安全。同時,對于入侵數據的識別正確率高也是實時監測系統具備監測優勢的體現。將兩個系統中收集的異常數據進行整理,對比實時監測到的準確率如表1 所示。

表1 準確率對比結果

由表1 實驗結果所示,使用本文設計的系統,異常數據的檢測率比傳統方法平均提高2 個百分點。漏檢率也有所下降,安全芯片的植入使網絡入侵的阻隔率上升。以上兩個實驗結果均可以證明本文設計的系統滿足網絡入侵防范的基本要求,并在反應速度和識別正確率上皆比傳統方式具有優勢。

4 結論

本文基于異常狀態下的網絡實時監控設計監測系統,對現代網絡大環境下的網絡入侵起到防范作用。實驗論證本文設計的系統比傳統方法具有優勢,但本系統的硬件設施較為復雜,希望在日后的研究中可以設計出更簡單的硬件設施,減少繁瑣的組裝程序,用最簡便的方式和最低的成本實現網絡安全的保障。