关键词:流量分析;网络安全防御系统;优化
1网络攻击主要手段
(1)端口扫描。端口扫描通常指的是利用端口扫描程序对网络上的主机进行扫描从而获取该主机上的主要信息,被扫描主机的操作系统则可以通过扫描端口的数量和端口号进行判断,再结合其他扫描信息就能够基本掌握局域网的整体构造情况。针对这种网络攻击手段,比较有效的方法就是对于不经常使用的端口进行及时关闭。
(2)对TCP/IP弱点进行攻击。在网络协议设计初期,人们对网络安全问题考虑的不够充分,网络协议的认证机制和数据保密性都有所欠缺,因此攻击者往往利用网络协议这种弱点进行网络攻击。这种攻击手段主要包括以下几种:第一,网络监听。网络监听就是攻击者通过网络监听工具对网络的状态、网络数据流动情况以及网络数据信息传输情况进行窃取,对他人造成严重损失。预防网络监听主要可以使用安全网络拓扑结构对网络进行隔断处理,并且针对重要数据和重要信息要进行文件加密处理。第二,电子邮件攻击。顾名思义电子邮件攻击指的是网络攻击者通过向目标主机发送电子邮件破坏其系统文件,或者对端口25施行SYN-FLOOD攻击。防止不法分子利用电子邮件进行网络攻击的有效方法是采用加密签名技术。第三,Web欺骗攻击。这种欺骗方法指的是攻击者伪造一个与信任安全网站相同的Web页站点,这样当被攻击者点入网站链接时,其与真实Web站点之间的所有信息都会受到攻击者的掌控,这样攻击者就能够轻而易举监视被攻击者的一切活动。人们可以通过使用安全级别较高的浏览器,避免Web欺骗攻击的发生。
(3)通过程序进行攻击。第一,计算机病毒。计算机病毒就是一些具有破坏性的计算机程序,它能够将自己无限复制于计算机原有程序中,对目标机器产生影响。当计算机中毒时,计算机的系统会出现异常甚至是系统瘫痪,因此人们应该在使用计算机过程中定期对其进行杀毒处理并不断更新病毒库。第二,木马程序。木马程序中提供了计算机使用者正常需求的功能,但同时也隐藏了一些使用者不需求甚至是不知道的其它程序代码。当计算机启动程序时,木马程序页启动并进行监听,一旦达到某一条件,程序中的非法代码就会执行一些列非法操作,影响计算机的正常运行,例如对计算机内部的文件进行传输和删除,盗取计算机内部保留的口令密码等。使用杀毒软件能够在一定程度上对木马程序进行监测和防范。
2网络安全防御技术应用现状
(1)加密算法。互联网传输的数据资源非常多,为了保证通信传输不被非法分子破坏和窃取,通信学者提出了128位或256位的非对称加密算法,可以大幅度提升数据传输的安全性,进一步增强加密数据的安全能力。互联网也可以利用先进的区块链技术,构建一个分布式的、无中心的共识机制,进一步提高通信数据认证可靠度,具有较强的准确性。
(2)防火墙和杀毒软件。防火墙是一种部署于应用层、传输层的互联网安全防御系统,可以引入先进的网络控制规则,分析传输的数据包中是否包含病毒或木马,如果一旦确定某个数据包包含病毒或木马,就可以禁止数据包通过防火墙。杀毒软件与防火墙类似,其首先也需要检查数据包中是否存在病毒威胁,一旦发现网络数据包存在攻击威胁,比如木马特征或病毒特征,此时就可以启动脱壳技术,将伪装的病毒或木马外衣去除,然后将病毒或木马数据清除网络,提高网络的安全服务性能。
(3)深度包过滤。深度包过滤是一种引入深度学习、固件理论的安全防御技术,利用深度学习可以识别、分析网络数据包,深入到数据包的每一个协议字段,这样就可以提高网络病毒或木马的特征片段,从而可以将其杀灭。深度包过滤作为一个软件,为了满足“互联网+”时代大数据传输需求,可以将其固化在一个硬件设备中,利用硬件电路实现软件功能,提高深度包过滤的处理速度。目前,深度包过滤已经得到广泛应用,进一步提高了网络安全性,满足人们的工作、生活和学习需求。
(4)免疫网络
免疫网络是一种非常先进的自动化网络,其可以根据感染网络病毒或木马的实际情况,利用自动化愈合技术修复网络架构,比如将网络数据传输线路转移到备份线路,也可以实现病毒或木马的自我免疫,隔离网络中的木马或病毒,形成一个非常深度的防御规则及机制。
3流量分析技术的概念
作为网络安全保障技术簇中极为重要的一个环节,流量分析技术的准确程度一直备受瞩目。既要能够分析异常流量,又不会过于敏感,导致常规流量波动列入异常范围。网络环境中,异常网络流量来源主要包括异常网络操作、蠕虫病毒传播、闪存拥挤以及网络资源滥用。这几个方面在实际网络环境中,都有一些特征,在此仅对流量影响表现展开说明。对异常网络操作而言,主要包括网络配置变化引发的流量异常状况,网络设备本身的存储及处理能力发生耗损,也在此类问题范畴中。这不属于一种异常攻击,但却是一种需要优化网络的重要信号。因此,其危害通常表现为网络传输性能下降,诸如拥堵等问题,不会带来更大的安全问题。对于蠕虫病毒传播,主要是此类病毒的不停复制和传播,占用大量网络传输资源。对于蠕虫造成的网络异常流量,会随着病毒的复制逐步占据网络资源,不会呈现一个比较突出的爆发期,很难以第一时间有效监测。对这一方面来说,通常只能通过收集流量测量有关数据展开分析,才能确定蠕虫的异常传播行为。
像网络突发拥挤,主要是公众用户共同行为造成。这虽然被归在流量异常方面,但是只是一种网络环境中正常行为的结果,且会随着时间的推移逐步减少。网络滥用指端口查看、DoS或者DDoS频繁,通常是外部攻击的重要表现。此种异常类型经字节流量、包流量、位流量等有关数据测量,可以通过网络流数据技术异常特征进行判断。
4基于流量分析的网络安全防御系统研究
4.1模型设计
基于流量分析的网络安全防御系统的主要功能包括三个方面,分别是流量采集功能、流量分析挖掘功能、分析结果应用。详细功能描述如下:(1)流量采集功能。
期刊文章分类查询,尽在期刊图书馆目前基于大数据、云计算等构建而成的数据中心承载的业务非常多,结构也日趋复杂,网络安全流量分析需要部署硬件探针采集相关流量,将这些流量进行初步过滤之后发送给挖掘分析模块。(2)流量分析挖掘功能。指具备快速的数据检索能力,并对已发生的网络行为、应用数据和主机数据进行回溯分析。回溯是可随时分类查看及调用任意时间段的数据,当发现问题时提供一定时间范围内的回溯,为迅速定位问题发生原因提供了更全面的分析依据,同时为网络安全提供了强有力的数据佐证。分析挖掘是,利用机器学习和建模构建若干个情景下的网络流量模型,对接入的任何数据自动形成全数据智能基线。进而通过比对特征库、比对异常数据场景模型,机器自动匹配,从网络中发现异常流量。(3)分析结果应用。流量异常对象出来之后,进行初步识别和建议,进而人工验证是属于病毒木马攻击或是网络安全防御系统异常。若为防御系统,则根据异常识别情况进行优化调试或检修。
4.2模型实施
(1)某能源企业信息网络现状
随着某能源企业的信息化程度越来越高,生产、管理及营销的信息集成度越来越高,信息部门承载的业务工作也日益沉重,尽管各种业务在上线前都有过严格的测试,但实际环境的复杂程度远远高于单纯的压力测试环境,各种业务系统在上线后总是会遇到各种无法预测的问题。网络带宽、网元健康状况、网络策略、终端性能、用户使用习惯、服务器性能、程序设计等等,众多相互关联的因素都会影响到业务的质量,任何一个环境都可能造成业务质量的下降,孤立的去监控某个元素无法保证整个端到端的传输质量。作为这个企业网络的管理者之一,需要从网络的角度监控、分析整个业务的流程,实现网络可视化管理,把握实际环境中各因素对业务质量的影响,用量化数据指导信息化建设,从科学的角度去规划、优化网络与业务系统。
基于对该企业当前网络与业务管理工作现状的分析,为解决其中存在的各种问题和困难,部署了流量分析系统,针对核心链路、关键业务应用的主要环节进行了持续地监控,掌握各种应用的使用情况,深入分析应用的流量模型及性能变化模型,用以故障预防,并为网络与应用的规划和运行管理提供依据。
(2)设备部署
为保证企业网络的安全运行,已实施了大量的安全防范举措。例如,物理方式隔离内外网、部署防火墙和入侵检测系统、安装防病毒软件等。本案例在该企业关键网络环节上部署流量分析系统,使用硬件探针收集骨干核心链路的流量信息,对业务应用流量进行分析和响应时延的监测。
(3)实施开展效果
有了监测嗅探和回溯系统后,可以对企业各类型业务作持续的监测,根据业务模型定制合适的监测模型。如大部分的生产类业务出现工作期间双波峰状态,大部分同步业务出现业务持续状态,而几乎所有的业务的数据收发比也稳定在一定区间。因此本案例做了多个数据模型,如其中一个比较简单的是:若“一台主机,10秒内,发包>10000,且收包<50个”,则可以判定这台主机处于异常状态,这个数据模型看简单,但实际工作中,几乎做到“每报(警)必中”,可成为匹配主机侧的主要模型。
而从安全防御系统侧也验证解决了一项问题。管理员反映该企业DNS服务间歇性响应缓慢,原因不明。若无流量分析,排查方向容易导向为病毒干扰、网元异常、服务器异常等。但经过流量分析逐段排查发现,实属核心防火墙的抗DDOS阈值设置过低导致,当根DNS无法响应请求时,所有负荷被引流至子DNS,触发防火墙拦截机制。由此结论,管理员调整了防火墙防御阈值策略,DNS服务状态立即恢复到正常应有的水平。
4.3 研究结论
从实践经验来看,流量分析可以实现:(1)对异常问题的快速定位。(2)作为网络安全防御系统优化建议的数据依据。(3)发现潜在性能问题,及时处理。
结束语:流量分析技术,对网络安全防御系统的改良有不容忽视的积极价值。网络安全防御技术随着攻击技术的进化而发展,实践过程中可能引发难以察觉的隐患。因此,发展的道路上,唯有不断深入分析防御技术在实践中的表现,对症下药,才能切实打造可靠的网络防御系统。
参考文献:
[1]孙选安.捷普入侵防御安全解决方案[J].计算机安全,2011(06):101-103.
[2]黄成兵.计算机网络安全与防御分析[J].福建电脑,2011,27(06):39-40.
[3]穆逸诚,柯珊珊.网络安全的可视化分析[J].科技创业月刊,2017,30(03):20-22.
[4]王楠,孙璐.基于安全态势感知在网络攻击防御中的应用[J].电信技术,2017(03):86-88.
[5]何明,刘东鑫,沈军.网络安全架构演进思路探讨[J].电信科学,2013,29(S1):250-253.
[6]池义勇.探讨计算机网络安全与防御[J].网络安全技术与应用,2013(07):71-72+74.
[7]谭红斌,郑鑫.网络安全防御系统的安全策略及系统框架研究[J].电脑开发与应用,2008(11):76-77.
[8]郑成兴.网络流量预测方法和实际预测分析[J].计算机工程与应用,2006(23):127-130.
[9]单玉洁,殷旭东,张书启.基于流量分析的网络安全检测研究[J].信息与电脑(理论版),2018(06):205-207.
[10]王帅,汪来富,金华敏,沈军.网络安全分析中的大数据技术应用[J].电信科学,2015,31(07):145-150
论文作者:彭锴
论文发表刊物:《中国电业》2019年第20期
论文发表时间:2020/4/7
标签:网络论文; 流量论文; 网络安全论文; 数据论文; 异常论文; 业务论文; 系统论文; 《中国电业》2019年第20期论文;