何 春

(信阳职业技术学院，河南 信阳 464000)

基于纵深层次化的网络防御系统设计

何 春

(信阳职业技术学院，河南 信阳 464000)

互联网在为人们提供自动化、智能化办公的同时，也潜在带来了病毒、木马、黑客等危害，造成许多系统的数据通信被篡改、机密信息被泄露，严重损害了人们的互联网权益，也阻碍互联网在各行各业应用拓展。构建纵深层次化网络安全防御系统，引入了入侵检测、深度包过滤、状态检测、系统恢复等安全防御关键技术，进一步提升了安全防御成效，保证网络安全运行。

层次模型；安全策略；深度包过滤；入侵监测

1.引言

云计算、大数据、多媒体等计算机技术的快速发展和改进促进了人类社会迈入到“互联网+”时代，促进了工业制造、金融证券、智能旅游、在线学习和电子商务在人们工作、生活和学习中的应用，改进了人类社会的智能化、共享化和自动化。为了提高网络安全防御能力，提出了一种多层次的安全防御系统，该系统集成了多种防御技术，动态的改进和优化安全防御规则配置，进一步提高了互联网安全防御能力。

2.网络安全防御现状分析

互联网安全威胁攻击趋势主要表现出四个特点，分别是攻击渠道多样化、安全威胁隐藏周期长期化、威胁范围扩大化、攻击智能化等，具体描述如下：

(1)攻击渠道多样化

目前，光纤通信、移动通信技术的改进促进了互联网接入渠道和设备百花齐放，呈现出来多种多样的局面，原来仅有的台式计算机、笔记本电脑接入网络的局面不复存在，利用移动通信网络的平板电脑、智能手机、无线路由器等开始接入到互联网，这些系统在集成时采用的网络拓扑结构包括星型网络、无线网络、总线型网络等，每一个接入的环节都可能成为攻击的渠道，不同设备的开发技术、系统架构集成在一起，也容易造成系统漏洞，无形中也增加了互联网攻击渠道。

(2)攻击隐藏长期化

目前，互联网病毒、木马等开发技术迅速提升，许多病毒和木马在攻击用户信息时已经不再采用原来的策略，开始伪装成应用程序或嵌入到应用软件中，长期的隐藏在软件中。比如在金融银行信息系统的APT攻击，其采用了复杂的软件开发技术实现了一个长期的、高级的、持续的威胁，持续的盗取金融银行的机密数据，并且能够动态的观察金融银行系统运行状况，发现数据通信的规律，实现机密信息盗用。

(3)威胁范围扩大化

互联网集成了各行各业的应用软件，为各个行业的信息化提供了强大的应用支撑。但是，随着接入系统的扩大，一旦某一个系统受到病毒或木马感染，首先会感染局域网内容所有的服务器，其次会迅速感染互联网中相关的主机和服务器，爆发网络安全事故，为网络带来严重的灾难，造成人们的财产安全严重损失。

3. 基于层次模型的网络安全防御系统设计

网络安全防御系统采用纵深化、层次化模型，可以将多个防御技术集成在一起，提升系统的防御能力。网络安全防御系统采用的关键技术包括入侵检测、状态检测、深度包过滤和系统恢复等多个技术。

(1)入侵检测技术

互联网入侵检测可以实时的采集、分析网络中的流量信息，发现网络中是否存在不正常的数据，从数据中发现病毒、木马和黑客攻击的特征，进而可以及时的启动防御系统。入侵检测作为一个主动防御技术，将其部署于防御系统的第一层，可以积极的对系统进行安全防御，避免攻击威胁利用漏洞攻击网络。

(2)状态检测技术

目前，互联网集成的软件系统越来越多，比如现金管理系统、贷款管理系统、ATM终端管理系统中，这些系统采用了不同的架构、程序设计语言和数据库进行实现，因此将这些系统集成到网络中时，难免会存在一些不兼容的现象，造成系统产生了访问漏洞。状态检测技术可以实时的扫描互联网中接入的所有设备、应用软件运行状况，从而可以感知这些网络组件受到的威胁程度。

(4)系统恢复

互联网中的攻击威胁是动态的、持续改进的，一旦某一个病毒或木马攻破了所有的防御系统，感染了网络中的服务器和数据，此时系统将会运行缓慢、信息被盗用，严重者可以导致系统被破坏，造成不可估量的损失。为了使系统受到的损害降低到最低点，互联网可以采用系统恢复技术，将系统恢复到一个最近的正常节点。网络系统恢复的前提是可以系统备份操作，目前常用的备份技术包括离线备份、在线备份、阶段性备份和增量备份。备份技术可以单独使用或融合使用，提升通信网络的数据实时备份能力，利用冗余的特点保证系统正常运行，如果其遭受攻击，可以将信息资源恢复到最新的备份状态，以降低损失。

4. 结束语

网络安全防御是一个动态的、系统的、复杂的工作，随着大数据、云计算等技术的提升，网络病毒攻击能力更强，因此防御系统也需要具有自学习和自改进技术，及时的采集病毒、木马攻击特征，并且利用数据挖掘技术分析攻击威胁未来的发展方向，构建一个主动的、全面的、层次化的防御系统，并且引入界面式交互技术，提升防御策略配置的效率，保证人们使用互联网的权益，也可以促进互联网在各行业的普及，提高了人类社会信息的共享程度，为人们团队协作提供技术支撑。

[1]谢克峰.计算机网络安全存在的问题与措施探讨[J].信息安全与技术，2015，22(3)：11-12.

[2]刘家卿.计算机网络信息安全及防护措施探讨[J].电子技术与软件工程，2015，22(18)：215-216.

[3]李岱.关于计算机在网络中安全防范措施的探讨[J].网络安全技术与应用，2015，17(9)：18-18.

Design of Network Defense System Based on Hierarchical Model

HE Chun
(Xinyang Vocational and Technical College, Xinyang 464000, China)

The Internet provides intelligent office automation for people, but also brings the potential viruses, Trojans, hackers and other hazards, results that data communication system has been tampered with the leaked confidential information, which is serious damage to people's rights and interests of the Internet, and also hinders the expansion of the Internet application. This paper explores to construct a deep network security defense system, and several security defense technologies are introduced such as intrusion detection, deep packet filtering, state detection and system recovery, thus, further enhancing the effectiveness of security defense, ensuring the safe operation of the network.

hierarchical model; security strategy; deep packet filtering; intrusion detection

2016-11-08

何春(1974- )，男，硕士，信阳职业技术学院讲师，研究方向为计算机网络。

TN918.91

A

1671-3974(2017)01-0068-02