基于預防策略的計算機網(wǎng)絡防御技術研究

郭華良

（新疆水利水電學校，新疆烏魯木齊，830013）

1 研究目的

現(xiàn)階段，計算機網(wǎng)絡的開放性雖然為人們的生活、工作帶來了極大的便利，但該特性也使得計算機網(wǎng)絡運行期間需要面臨一定的信息安全風險，影響了計算機的應用效果。在此過程中，Dos攻擊以及由該攻擊發(fā)展出的惡意攻擊作為影響計算機網(wǎng)絡運行的典型信息安全威脅，該類型攻擊通常會通過操作多臺僵尸主機，一起對受害計算機進行攻擊，使其受害計算機的資源、有效寬帶被大量占用，導致其不能正常運行服務功能，同時，由于目前計算機網(wǎng)絡中的TCP/IP協(xié)議存在一定缺陷，使得該類型攻擊無法被徹底杜絕，而運用基于預防策略的防御技術，可以有效攔截惡意流量，防止僵尸主機占用受害計算機資源、寬帶，極大地提高了信息安全防護效果，因此，在此次防御技術研究中，研究者以Dos類攻擊為研究背景、研究案例，通過分析防御技術在Dos類攻擊防御系統(tǒng)構建中的應用，對該技術展開研究，以期為信息安全技術的發(fā)展提供助力。

2 研究過程

2.1 機器學習技術分析

（1）技術需求分析

在傳統(tǒng)防御技術下，防護裝置通常會被按照中間件的處理方式，設置在網(wǎng)絡拓撲中，然后根據(jù)預設好的定義閾值、規(guī)則、簽名，識別Dos類攻擊，但這種方式僅能識別已知的攻擊方式，一旦攻擊方式稍微做出了改變，該防御則無法區(qū)分正常和攻擊流量。在此過程中，可以采用添加編程的方式，使防御系統(tǒng)能夠識別新的攻擊方式，但該項防御技術操作過于被動而且受硬件限制，因此，為了增強防御效果，可以將機器學習技術引入防御技術體系的建設，通過數(shù)據(jù)訓練的方式，在無需編程的情況下，使防御系統(tǒng)能夠識別更多種Dos類攻擊方式，達到更好的計算機網(wǎng)絡防御技術應用效果。

（2）算法選擇

機器學習技術雖然是一種新型的計算機網(wǎng)絡防御技術，但從本質上來說，其防御Dos類攻擊的作用機理依然是對流量加以分類，實現(xiàn)對正常業(yè)務流量、惡意攻擊流量的區(qū)分，因此，在Dos類攻擊防御系統(tǒng)的建設中，應當使用分類算法承載該項技術，使該項技術能夠順利發(fā)揮效用。目前，能夠承載機器學習技術的分類算法有樸素葉貝斯、K-近鄰算法、決策樹算法、邏輯回歸算法、神經(jīng)網(wǎng)絡算法、支持向量機算法等，其優(yōu)劣勢對比如表1，應對上述分類算法進行優(yōu)劣勢對比，根據(jù)實際需求，進行分類算法選擇，以構建出有效的計算機網(wǎng)絡防御系統(tǒng)，增強防御技術應用效果。在此過程中，可以通過使用第三方工具，對各類算法進行性能測試，以準確選用分類算法。在性能測試中，可以準備攻擊類報文6000個，其中應包括cldap攻擊包、syn大包等多種類型，同時，正常報文4000個，其中包括ack、dns等類型，用于數(shù)據(jù)訓練，再準備攻擊報文1300個、正常報文700個，用于測試，最后，采用交叉驗證的方式，查看分類算法的分類準確度結果，然后確定Dos防御系統(tǒng)中用于塑造機器學習性能的算法。

表1 算法優(yōu)劣勢對比表

2.2 數(shù)據(jù)包系統(tǒng)分析

（1）數(shù)據(jù)包系統(tǒng)部署

在防御系統(tǒng)中，數(shù)據(jù)包系統(tǒng)主要用于，區(qū)分正常業(yè)務流量、攻擊流量的區(qū)分，并在不影響正常業(yè)務流量運行的情況下，對Dos類攻擊流量進行處理，以免攻擊流量為服務器帶來危害。一般來說，數(shù)據(jù)包系統(tǒng)通常被部署在服務器上，但上述一系列防御流程的運行需要耗費大量的資源，如果系統(tǒng)在服務器上，則會導致服務器資源被大量占用，使計算機網(wǎng)絡防御技術無法正常起到作用，因此，應將其部署在服務器之前，使攻擊流量能夠被系統(tǒng)過濾，而無法到達服務器。而服務器的上一層為核心轉發(fā)設備，流量會從該設備流向服務器，所以可以采用串聯(lián)的方式，將系統(tǒng)設置在核心轉發(fā)設備之后，服務器之前，以便于在不影響計算機網(wǎng)絡運行的前提下，實現(xiàn)攻擊流量的過濾，落實計算機網(wǎng)絡防御技術。

（2）系統(tǒng)功能設計

為了達到更好的計算機網(wǎng)絡防御技術應用效果，在具體的數(shù)據(jù)包系統(tǒng)功能設計上，應當設置好實時監(jiān)控、非功能性需求滿足功能。其中，在實時監(jiān)控功能方面，系統(tǒng)應可以基于流量歷史數(shù)據(jù)，評估該流量為攻擊流量的概率，然后將概率數(shù)據(jù)輸入分類算法模型中，以提高流量分類的準確性和效率，同時，由于監(jiān)控功能難以直接參與控制，因此，還要為其設置配套的控制模塊，使監(jiān)控結果可以被轉化為控制指令，實現(xiàn)整體調度、控制，以便于在正常流量不足時，及時從核心設備處引入流量。在非功能性需求方面，設計者應為系統(tǒng)設計日志分析、流量展示等功能，使用戶能夠更好地了解系統(tǒng)功能的運行過程，并在有需要時，進行功能管理，增強防御技術的落實效果。

2.3 系統(tǒng)總體設計分析

（1）整體防御流程設計

在計算機網(wǎng)絡防御系統(tǒng)的整體流程設計中，設計者需基于機器學習技術、數(shù)據(jù)包系統(tǒng)，構建出一個主動的防御機制，以實現(xiàn)自動化的Dos類攻擊防御策略運行，有效落實計算機網(wǎng)絡防御技術。在此過程中，數(shù)據(jù)包系統(tǒng)會實時監(jiān)測核心設備輸入的流量，當系統(tǒng)認定該流量為攻擊流量時，數(shù)據(jù)包系統(tǒng)的監(jiān)測控制器就會下達流量引導指令，并將流量引入輸入輸出模塊處，該模塊會再將流量送往預處理模塊，并為該預處理模塊的輸出端規(guī)劃兩條鏈路，一條通往分類器，另一條通往存儲模塊。其中，分類器主要是用于識別、銷毀攻擊流量，而存儲模塊則是存儲從攻擊流量中提取的網(wǎng)絡數(shù)據(jù)包，用于分類器的學習，形成一個完整的防御流程，實現(xiàn)計算機網(wǎng)絡防御技術。

（2）模塊功能設計

根據(jù)上述流程，防御系統(tǒng)所需的模塊包括，流量輸入輸出模塊、預處理模塊、數(shù)據(jù)存儲模塊、特征提取模塊、分類器模塊。其中，流量輸入輸出模塊的功能為，分發(fā)來自于核心設備的流量數(shù)據(jù)。預處理模塊的功能為，利用傳統(tǒng)的防御措施，對流量初步處理，減少分類器所需判別的流量，減輕分類器的工作負擔，提高防御系統(tǒng)的反應效率。數(shù)據(jù)存儲模塊的功能為，存儲分類器訓練所需的樣本數(shù)據(jù)。特征提取模塊方面，由于數(shù)據(jù)存儲模塊中的樣本數(shù)據(jù)是以數(shù)據(jù)包的形式存在的，而該形式的樣本數(shù)據(jù)無法被直接應用于分類器訓練，因此，需要特征提取模塊，將樣本數(shù)據(jù)包中的特征數(shù)據(jù)提取出來，傳輸給分類器以保證數(shù)據(jù)訓練的正常進行。分類器模塊的功能則為Dos攻擊類型的識別、判定，是整體系統(tǒng)的核心功能。

2.4 模塊功能實現(xiàn)設計

為了有效運作計算機網(wǎng)絡防御技術，設計者還要對上述功能模塊的運行進行設計，以保證防御工作效果。基于上述論述，模塊功能的實現(xiàn)設計包含以下幾個重點：

2.5 高速收發(fā)數(shù)據(jù)包功能實現(xiàn)設計

（1）驅動程序設計

在防御技術的應用中，為了提高防御體系的反應速度，設計者塑造出數(shù)據(jù)包系統(tǒng)的高速收發(fā)功能，以應對大量攻擊流量的防御工作，增強計算機網(wǎng)絡運行的安全性。在該項功能的實現(xiàn)設計中，應先保證驅動程序的性能，使系統(tǒng)具備足夠的驅動，來完成數(shù)據(jù)包的高速收發(fā)任務。在此過程中，可以考慮使用DPDK創(chuàng)新技術，并利用該技術支持海量數(shù)據(jù)吞吐、彌補內核協(xié)議棧數(shù)據(jù)包處理缺陷的能力，結合由API、用戶空間驅動程序組成PMD驅動，開展網(wǎng)卡調動運行，實現(xiàn)輪詢方式下的數(shù)據(jù)包處理，以消除其他方式下，中斷操作所導致的性能開銷[2]。

（2）其他設計

在高速收發(fā)數(shù)據(jù)包功能實現(xiàn)設計中，考慮到Linux默認每頁內存為4k，因此，在存儲過程中，如果物理內存較大，那么其所映射出的條目規(guī)模也比較大，很容易降低CPU的檢索效率。為此，設計者需要采用Hugepage內存方式，設置虛擬內存空間，以加快映射，減少對CPU檢索效率的影響。一般來說，將內存頁控制在2Mb，設置使用命令echo 2048＞/sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages，實現(xiàn)Hugepage的應用，其中，預留Hugepage大小=頁面大小*頁面?zhèn)€數(shù)，頁面?zhèn)€數(shù)為2048。

3 結果分析

經(jīng)過上述設計研究環(huán)節(jié)，設計者將設計出的計算機網(wǎng)絡防御系統(tǒng)投入了測試。在測試中，硬件條件為，交換機1臺、物理服務器3臺、萬兆網(wǎng)卡4塊，軟件條件為，ubuntu 14.04.1操作系統(tǒng)、內存128G。此次測試所使用的工具為，Linux系統(tǒng)下的hping3。經(jīng)過此次測試后，設計者發(fā)現(xiàn)，該計算機網(wǎng)絡防御系統(tǒng)在10Gb流量寬帶攻擊下，才會出現(xiàn)少量的丟包現(xiàn)象，而常規(guī)的網(wǎng)絡防御系統(tǒng)，在超過5G時，就已經(jīng)會呈現(xiàn)出較高的丟包率，由此說明該系統(tǒng)能夠有效應對Dos攻擊，同時，也說明上述計算機網(wǎng)絡防御技術的部署應用方法可行[3]。

4 結論

增強防御技術的應用效果，能夠減少信息安全事故發(fā)生的幾率。經(jīng)過上述研究可以看出，將計算機網(wǎng)絡安全防御技術應用到惡意入侵的攔截機制建設中，能夠有效避免惡意流量干擾計算機的正常運行，保證計算機的網(wǎng)絡安全，從而構建出更加可靠的計算機網(wǎng)絡運行條件。