大數(shù)據(jù)環(huán)境中基于分布式設(shè)計的網(wǎng)絡(luò)入侵安全防御方案

于坤

【摘要】大數(shù)據(jù)環(huán)境中的入侵形式多樣，傳統(tǒng)防御方案由于技術(shù)限制，應(yīng)對難度較大。因此本文圍繞大數(shù)據(jù)環(huán)境的安全防御的主要難點，提出了基于分布式設(shè)計的網(wǎng)絡(luò)入侵安全防御方案。通過構(gòu)建分布式入侵檢測系統(tǒng)、實現(xiàn)實時數(shù)據(jù)分析與智能響應(yīng)機制，提升防御系統(tǒng)的可擴展性、靈活性和準確性，期望能為相關(guān)網(wǎng)絡(luò)防御的設(shè)計提供學(xué)術(shù)參考和幫助。

【關(guān)鍵詞】大數(shù)據(jù)；分布式設(shè)計；網(wǎng)絡(luò)入侵；安全防御；實時數(shù)據(jù)分析

中圖分類號：TN929? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? ? ?DOI：10.12246/j.issn.1673-0348.2024.11.014

在大數(shù)據(jù)環(huán)境下，數(shù)據(jù)規(guī)模的爆炸式增長、數(shù)據(jù)類型的多樣化、網(wǎng)絡(luò)攻擊的復(fù)雜性和隱蔽性。傳統(tǒng)的網(wǎng)絡(luò)入侵防御系統(tǒng)通常采用集中式的架構(gòu)，難以應(yīng)對大規(guī)模數(shù)據(jù)的處理和分析。同時，由于網(wǎng)絡(luò)攻擊手段的不斷翻新和復(fù)雜化，單一的防御手段已難以滿足安全需求。為了應(yīng)對上述挑戰(zhàn)，本文提出采用分布式架構(gòu)來構(gòu)建網(wǎng)絡(luò)防御方案的措施，以實現(xiàn)對大數(shù)據(jù)環(huán)境中網(wǎng)絡(luò)入侵的有效應(yīng)對。

1. 大數(shù)據(jù)環(huán)境中網(wǎng)絡(luò)入侵安全防御的主要難點

1.1 數(shù)據(jù)量龐大

數(shù)據(jù)量的龐大為網(wǎng)絡(luò)攻擊者提供了更多的機會和可能性，尤其是針對DDoS（分布式拒絕服務(wù)）攻擊的利用，DDoS攻擊通過控制多個計算機或網(wǎng)絡(luò)設(shè)備（通常稱為“無魂人網(wǎng)絡(luò)”），向目標系統(tǒng)發(fā)送大量的請求或流量，使得目標系統(tǒng)的資源（如帶寬、處理器等）被耗盡，從而無法正常為合法用戶提供服務(wù)，這種攻擊方式的關(guān)鍵在于攻擊者能夠控制大量的設(shè)備發(fā)起攻擊[1]。大數(shù)據(jù)環(huán)境也意味著復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和多樣化的數(shù)據(jù)處理方式，使得網(wǎng)絡(luò)中的安全漏洞和隱患也相應(yīng)增多，攻擊者可以利用這些漏洞，輕易地滲透進網(wǎng)絡(luò)，控制更多的設(shè)備加入無魂人網(wǎng)絡(luò)，從而發(fā)起更大規(guī)模的DDoS攻擊。

1.2 數(shù)據(jù)流動快速

數(shù)據(jù)流動速度的加快，不僅意味著數(shù)據(jù)處理能力的提升，也意味著攻擊者有了更多機會和方式實施網(wǎng)絡(luò)入侵。快速的數(shù)據(jù)交換和處理使得傳統(tǒng)的安全檢測機制難以適應(yīng)。傳統(tǒng)的安全系統(tǒng)依賴于對數(shù)據(jù)的靜態(tài)分析或周期性掃描，但在大數(shù)據(jù)環(huán)境下，這種方法的效率和準確性都大打折扣，數(shù)據(jù)的高速流動使得攻擊者有機會在檢測機制完成掃描之前，就完成攻擊行為，導(dǎo)致安全漏洞被利用[2]。

在大數(shù)據(jù)環(huán)境中，由于數(shù)據(jù)量巨大、流動速度快，安全團隊難以在有限的時間內(nèi)完成這些工作，即使安全系統(tǒng)能夠?qū)崟r檢測到異常行為，安全團隊也來不及進行深入的調(diào)查和分析。他們需要在極短的時間內(nèi)做出決策，否則攻擊者就容易利用這段時間進行更深入的滲透或破壞。因此，大數(shù)據(jù)環(huán)境中數(shù)據(jù)的巨大量和快速流動，使得安全團隊的工作變得異常艱難。

1.3 異構(gòu)網(wǎng)絡(luò)環(huán)境問題

異構(gòu)網(wǎng)絡(luò)環(huán)境，簡而言之，就是一個大型網(wǎng)絡(luò)環(huán)境中混雜了多種不同類型、性能以及操作系統(tǒng)的設(shè)備和系統(tǒng)。在這樣的環(huán)境中，每一個組成部分都有其獨特的工作方式和安全需求。大數(shù)據(jù)環(huán)境多是呈現(xiàn)出這種異構(gòu)特性。它包含了從高性能服務(wù)器到低功耗傳感器的各種設(shè)備，這些設(shè)備運行著不同的操作系統(tǒng)，如Linux、Windows或者嵌入式系統(tǒng)。此外，它們還服務(wù)于不同的任務(wù)場景，比如數(shù)據(jù)存儲、數(shù)據(jù)處理、用戶交互等[3]。

設(shè)備和系統(tǒng)的這種多樣性帶來了安全上的挑戰(zhàn)。由于每個設(shè)備或系統(tǒng)采用不同的安全標準和協(xié)議，即使某個設(shè)備或系統(tǒng)采用了業(yè)界領(lǐng)先的安全技術(shù)，也因為與其他設(shè)備或系統(tǒng)的不兼容而難以充分發(fā)揮其效用。

2. 基于分布式設(shè)計的網(wǎng)絡(luò)入侵安全防御方案

2.1 訪問控制

在分布式環(huán)境中，訪問控制策略需要跨多個節(jié)點和層面進行協(xié)調(diào)，因此不僅要考慮單個節(jié)點的安全，還要保證整個網(wǎng)絡(luò)的連貫性和安全性。

訪問控制策略在分布式系統(tǒng)中的一般形式可以表示為：

Access Control Policy

（主體，對象，環(huán)境）→權(quán)限決策? ? ? （1）

在式（1）中的主體指的是試圖訪問資源的用戶或者進程。對象是指被請求訪問的資源，可以是文件、數(shù)據(jù)庫、設(shè)備等。環(huán)境包含了影響權(quán)限決策的其他上下文信息，如時間、地點、資源的使用狀態(tài)等。

訪問控制方案的設(shè)計還要考慮的因素包括用戶身份、用戶所在組織、文件的安全等級別、文件的物理位置等。基于這些因素，可以建立一個更為復(fù)雜的訪問控制決策，用一個訪問控制矩陣定義主體（例如用戶、進程或設(shè)備）與客體（例如文件、數(shù)據(jù)庫或網(wǎng)絡(luò)資源）之間的訪問權(quán)限，表示為一個二進制矩陣，其中的元素表示特定主體對特定客體的訪問權(quán)限（讀、寫、執(zhí)行等），如下：

（2）

在分布式系統(tǒng)中，訪問控制列表定義了特定資源可以被哪些主體訪問。ACL主體對資源的訪問權(quán)限表示如下：

ACL（j）={i|ACM[i][j]|=1}? ? ? ? ?（3）

在分布式系統(tǒng)中，用戶可能需要跨多個節(jié)點訪問資源，這就需要權(quán)限在節(jié)點間傳遞。權(quán)限委派定義了權(quán)限如何在不同主體和資源之間轉(zhuǎn)移，表述如下：

（4）

2.2 入侵檢測

從分布式角度看，入侵檢測技術(shù)可以被設(shè)計成在不同的節(jié)點上執(zhí)行不同的任務(wù)，以構(gòu)建一個多層次、全方位的檢測體系。在分布式入侵檢測系統(tǒng)中，主要包括兩個部分：硬件防御和系統(tǒng)防御。硬件防御是指在網(wǎng)絡(luò)設(shè)備（如交換機、路由器）和入侵檢測系統(tǒng)（IDS）之間的數(shù)據(jù)交換，系統(tǒng)防御是指入侵檢測系統(tǒng)與安全管理中心之間的數(shù)據(jù)交互。

在分布式系統(tǒng)中，每個網(wǎng)絡(luò)節(jié)點都會收集其所在節(jié)點的流量數(shù)據(jù)和行為數(shù)據(jù)。假設(shè)有一個網(wǎng)絡(luò)節(jié)點Di，其收集的數(shù)據(jù)可以表示為：

（5）

在公式（5）中，tj是數(shù)據(jù)包的到達時間，pj是數(shù)據(jù)包的內(nèi)容，aj是數(shù)據(jù)包的源和目的地址，ni代表的是節(jié)點Di的網(wǎng)絡(luò)接口編號或者是該節(jié)點在收集數(shù)據(jù)時的特定標識符，j表示數(shù)據(jù)包的編號從數(shù)字x（公式中為1）開始計數(shù)，是數(shù)據(jù)包集合的起始點。

對收集到的數(shù)據(jù)進行特征提取，以便于后續(xù)的分析和判斷。假設(shè)用Fi表示從節(jié)點Ni提取的特征集合，那么可以表示為：

Fi=f（Di）? ? ? ? ? ? ? ? ?（6）

公式（6）中的f屬于一個映射函數(shù)，它將原始數(shù)據(jù)轉(zhuǎn)化為可以用于分析的特征向量。

利用提取出的特征進行異常檢測。假設(shè)Ai表示節(jié)點Ni的異常檢測結(jié)果，那么異常檢測可以表示為：

Ai=g（Fi，θi）? ? ? ? ? ? ? （7）

公式（7）中的g是一個分類函數(shù)，θi是該節(jié)點的模型參數(shù)。

在分布式系統(tǒng)中，需要對各個節(jié)點的檢測結(jié)果進行匯總，以得到全局的決策。假設(shè)D是所有節(jié)點的檢測結(jié)果集合，G是全局決策結(jié)果，那么全局決策可以表示為：

G=h（A1，A2，……An）? ? ? ? ? ? ? ?（8）

公式（8）中h屬于一個全局決策函數(shù)，它根據(jù)所有節(jié)點的檢測結(jié)果來做出最終決策。

通過上述方式可以構(gòu)建一個分布式入侵檢測框架，以提高安全性。

2.3 虛擬專網(wǎng)

在網(wǎng)絡(luò)中，虛擬專網(wǎng)技術(shù)可以有效地實現(xiàn)大數(shù)據(jù)網(wǎng)絡(luò)的安全承載，從分布式角度看，虛擬專網(wǎng)（VPN）策略的實施涉及多個網(wǎng)絡(luò)節(jié)點和資源，其目的是優(yōu)化網(wǎng)絡(luò)性能、增強安全性并確保任務(wù)的連續(xù)性和高效性[4]。為了表述這種策略，可以使用網(wǎng)絡(luò)分割和資源分配的方程式來展示如何在多個網(wǎng)絡(luò)節(jié)點上分配資源以滿足特定的服務(wù)質(zhì)量（Quality of Service）要求。為了在分布式網(wǎng)絡(luò)中實現(xiàn)任務(wù)隔離，可以使用分割矩陣來定義不同任務(wù)流在網(wǎng)絡(luò)中的路徑。設(shè)V為網(wǎng)絡(luò)節(jié)點集合，E為網(wǎng)絡(luò)邊集合，A為分割矩陣，其中aij表示從節(jié)點i到節(jié)點j的任務(wù)流是否被分割，表示如下：

（9）

如果aij=1，則表示任務(wù)流i和j是被分割的，即它們在不同的虛擬專網(wǎng)中；如果aij=0，則表示任務(wù)流i和j沒有被分割，它們可以共享相同的網(wǎng)絡(luò)資源。

設(shè)R為網(wǎng)絡(luò)資源矩陣，其中rij表示節(jié)點i到節(jié)點j的可用資源量，則資源分配可以通過以下方程進行：

（10）

對于每個任務(wù)流i，需要保證rij≧f（aij，sij），其中f是一個函數(shù)，表示為滿足服務(wù)質(zhì)量＼（s_{ij}＼）所需要的資源量。

通過建立網(wǎng)絡(luò)分割、資源分配的方程式，可以有效地從分布式角度規(guī)劃和實施虛擬專網(wǎng)策略，切片隔離技術(shù)是一種利用網(wǎng)絡(luò)切片的特性，實現(xiàn)不同切片之間的資源和數(shù)據(jù)的隔離，防止切片間的干擾和攻擊的技術(shù)。利用切片隔離技術(shù)防護網(wǎng)絡(luò)安全的主要思路是，根據(jù)大數(shù)據(jù)網(wǎng)絡(luò)的不同類型和安全等級，為每種任務(wù)分配一個合適的切片網(wǎng)絡(luò)，實現(xiàn)任務(wù)之間的隔離和保護，避免資源競爭和故障影響，當需要高安全可靠的傳輸時，可以采用硬切片技術(shù)提供TDM硬隔離切片，通過切片隔離技術(shù)，可以實現(xiàn)網(wǎng)絡(luò)的安全隔離和可靠傳輸，支撐專網(wǎng)的建設(shè)和運營。

2.4 網(wǎng)絡(luò)準入認證

網(wǎng)絡(luò)準入認證技術(shù)的核心目的在于確保只有那些經(jīng)過驗證的用戶和終端能夠合法地接入網(wǎng)絡(luò)資源，從而有效阻止未授權(quán)訪問以及潛在的惡意活動。從分布式網(wǎng)絡(luò)架構(gòu)的角度來看，網(wǎng)絡(luò)準入認證策略的實施不僅涉及單一節(jié)點的安全控制，更是一個跨地域、跨平臺、多層次的復(fù)雜安全體系構(gòu)建過程[5]。

對于用戶認證，分布式網(wǎng)絡(luò)環(huán)境要求認證系統(tǒng)能夠支持跨域認證，確保不同網(wǎng)絡(luò)環(huán)境下的用戶身份能夠得到準確驗證，可采用基于角色的訪問控制（RBAC）模型，用戶的權(quán)限和身份信息存儲在中心服務(wù)器上，分布在不同網(wǎng)絡(luò)段的用戶在訪問資源時，可以通過認證代理進行身份驗證和權(quán)限查詢。終端完整性檢測在分布式網(wǎng)絡(luò)中意味著需要實現(xiàn)中心化的監(jiān)控與分布式執(zhí)行的結(jié)合。網(wǎng)絡(luò)準入系統(tǒng)可以采用agents或網(wǎng)關(guān)設(shè)備來定期收集終端的安全狀態(tài)信息，并將其發(fā)送到中心監(jiān)控系統(tǒng)進行分析。

對于非法終端的網(wǎng)絡(luò)阻斷，分布式網(wǎng)絡(luò)準入認證策略需要具備動態(tài)適應(yīng)性。在云端可以部署智能決策引擎，實時分析終端接入請求，對于不符合安全策略的終端，可以立即執(zhí)行阻斷或限制措施。此外，通過分布式入侵防御系統(tǒng)（IDS）和入侵檢測系統(tǒng)（IPS），可以對網(wǎng)絡(luò)進行全天候監(jiān)控，快速發(fā)現(xiàn)并響應(yīng)非法接入行為。

在強制訪問控制方面，分布式網(wǎng)絡(luò)準入認證策略需要能夠跨域?qū)嵤┘毩６鹊脑L問控制，可采用attribute-based access control（ABAC）模型，可以根據(jù)用戶、終端、資源等多維屬性制定訪問規(guī)則，實現(xiàn)更為靈活的權(quán)限管理。在網(wǎng)絡(luò)安全的審計和取證方面，分布式網(wǎng)絡(luò)準入認證技術(shù)要求實現(xiàn)日志的集中收集與分析。通過在網(wǎng)絡(luò)各個節(jié)點部署日志收集器，并利用大數(shù)據(jù)分析和人工智能技術(shù)進行日志解析，可以有效記錄網(wǎng)絡(luò)事件，為網(wǎng)絡(luò)安全的持續(xù)監(jiān)控和管理提供強有力的支持。

2.5 網(wǎng)絡(luò)態(tài)勢感知

分布式網(wǎng)絡(luò)態(tài)勢感知技術(shù)需要對這些海量數(shù)據(jù)進行高效處理。由于數(shù)據(jù)來源廣泛且格式多樣，數(shù)據(jù)處理階段需要對數(shù)據(jù)進行清洗、分類、標準化等操作，確保數(shù)據(jù)的準確性和一致性[6]。同時，通過關(guān)聯(lián)分析和標簽化技術(shù)，將分散在各個節(jié)點的數(shù)據(jù)關(guān)聯(lián)起來，形成完整的網(wǎng)絡(luò)態(tài)勢圖景。

在數(shù)據(jù)分析階段，分布式網(wǎng)絡(luò)態(tài)勢感知技術(shù)充分利用數(shù)據(jù)挖掘和智能分析算法，提取出網(wǎng)絡(luò)中的安全特征和風(fēng)險指標。這些算法能夠在海量數(shù)據(jù)中發(fā)現(xiàn)潛在的安全威脅和異常行為，并通過模式識別和機器學(xué)習(xí)技術(shù)，對網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測和評估。

分布式網(wǎng)絡(luò)態(tài)勢感知技術(shù)的另一個重要特點是可視化展示。通過圖形化界面和可視化工具，將分析結(jié)果以直觀的方式呈現(xiàn)給管理人員和決策者。這不僅有助于快速了解網(wǎng)絡(luò)的整體安全狀況，還能幫助定位風(fēng)險源頭，指導(dǎo)安全響應(yīng)和處置。分布式網(wǎng)絡(luò)態(tài)勢感知技術(shù)還具備強大的審計和取證功能。通過對網(wǎng)絡(luò)事件的記錄和分析，能夠追溯攻擊來源、分析攻擊路徑、評估攻擊影響，為網(wǎng)絡(luò)安全事件的應(yīng)對和處置提供有力支持。

3. 應(yīng)用實踐

我司作為以信息業(yè)務(wù)為主的運營機構(gòu)，面臨網(wǎng)絡(luò)安全風(fēng)險隱患較大，為實施上述防御方案，投入3萬元用于軟件購置或開發(fā)，2萬元用于服務(wù)器硬件和網(wǎng)絡(luò)設(shè)備的采購，2萬元用于購置或開發(fā)入侵檢測軟件，1萬元用于部署在網(wǎng)絡(luò)節(jié)點上的硬件設(shè)備，4萬元用于購買或租用VPN服務(wù)，1萬元用于網(wǎng)絡(luò)節(jié)點的硬件升級以支持VPN，3萬元用于認證系統(tǒng)的軟件購置或開發(fā)，2萬元用于認證代理和網(wǎng)關(guān)設(shè)備的采購，4萬元用于數(shù)據(jù)處理和分析軟件的開發(fā)或購置，1萬元用于日志收集器的部署和維護。總計投入約17萬元用于軟硬件購置、開發(fā)和部署。實施防御方案后，平臺每月異常訪問次數(shù)從原來的300次降低至50次，減少了83%，有效提升了網(wǎng)絡(luò)安全防護能力。分布式入侵檢測系統(tǒng)使得威脅檢測時間從原來的4小時縮短至15分鐘，提高了安全響應(yīng)速度。新方案的實施使得平臺在安全性能、響應(yīng)速度、穩(wěn)定性和用戶體驗等方面都取得了顯著的提升，降低了運維成本，提高了運維效率。實施新方案后，運維成本降低了30%。

4. 結(jié)束語

大數(shù)據(jù)環(huán)境下，網(wǎng)絡(luò)數(shù)據(jù)呈現(xiàn)爆炸式增長，使得網(wǎng)絡(luò)攻擊變得更為復(fù)雜和隱蔽。傳統(tǒng)的安全防御系統(tǒng)往往采用集中式的處理方式，無法有效應(yīng)對大規(guī)模、高并發(fā)的網(wǎng)絡(luò)攻擊。因此，基于分布式設(shè)計的網(wǎng)絡(luò)入侵安全防御方案應(yīng)運而生，在大數(shù)據(jù)環(huán)境下，網(wǎng)絡(luò)流量龐大、數(shù)據(jù)類型繁多，傳統(tǒng)的網(wǎng)絡(luò)入侵防御系統(tǒng)面臨著處理性能瓶頸、誤報率高等問題。因此，采用分布式架構(gòu)成為必然選擇。分布式入侵檢測系統(tǒng)、實時數(shù)據(jù)分析與智能響應(yīng)機制、虛擬專網(wǎng)技術(shù)、網(wǎng)絡(luò)準入認證以及網(wǎng)絡(luò)態(tài)勢感知等策略的實施，可以有效提升大數(shù)據(jù)環(huán)境中的網(wǎng)絡(luò)安全防護能力，實現(xiàn)對網(wǎng)絡(luò)攻擊的精準識別和快速響應(yīng)。

參考文獻：

[1]劉建蘭.基于大數(shù)據(jù)的網(wǎng)絡(luò)異常行為檢測技術(shù)研究[D].綿陽：西南科技大學(xué)，2020.

[2]李新新.大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)入侵檢測的應(yīng)用[J].信息技術(shù)與信息化，2021（05）：235-237.

[3]唐風(fēng)揚.基于大數(shù)據(jù)的網(wǎng)絡(luò)威脅感知技術(shù)研究[D].綿陽：西南科技大學(xué)，2022.

[4]黃濤.基于分布式實時數(shù)據(jù)分析的入侵檢測方法研究[D].張家口：河北建筑工程學(xué)院，2023.

[5]樊田梅，張琪.大數(shù)據(jù)技術(shù)在計算機網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2023（12）：216-218.

[6]宋文超，王燁，黃勇等.大數(shù)據(jù)環(huán)境下的云計算網(wǎng)絡(luò)安全入侵檢測模型仿真[J].中國西部科技，2015（08）：86-88.