基于大数据的网络安全防御系统研究与设计
2019-12-24◆马浩
◆马 浩
(运城学院数学与信息技术学院 山西 044000)
0 引言
随着光纤网络、5G移动通信网络等技术的快速发展和改进,人们已经进入到“互联网+”时代,基于互联网开发了许多的应用软件和部署了信息服务中心,为人们提供证券交易、高清视频、旅游消费、科研学习、医疗卫生等便捷性服务工具,实现了数据信息的共享和处理[1]。但是,互联网在为人们提供便捷服务的同时也面临着海量的攻击威胁,诸如勒索病毒、DDoS攻击、蠕虫木马等,这些都会阻止人们正常使用互联网。因此,为了提高网络安全防御能力,许多网络安全专家和企业研发了防御软件,比如防火墙、杀毒软件、访问控制列表等[2]。
防火墙作为信息系统内外部网络之间部署的一个过滤器,可以设置一些网络过滤规则,允许或阻止网络中的数据通过防火墙,防火墙部署于信息系统的网络层,能够过滤和分析IP数据协议,利用枚举的原则分析所有的数据包,查看这些 IP地址及传输数据内容是否存在问题,如果存在问题则禁止其通过防火墙[3]。杀毒软件也是一个程序代码,其数据库保存了很多的木马或病毒的片段基因,这些片段基因可以与信息系统网络中的病毒或木马进行匹配对比,然后分析信息系统中是否存在病毒或木马,如果存在则及时地将其清除。杀毒软件采用了很多的先进技术,用来识别和分析网络中是否存在攻击威胁,这些技术包括脱壳技术、修复技术、自我保护技术等。信息系统网络目前采用的杀毒软件包括卡巴斯基、瑞星杀毒、360安全卫士等,杀毒软件可以与防火墙集成在一起使用,查杀病毒或木马[4]。访问控制列表是一种非常重要的信息系统安全保护工具,这个工具可以设置一个白名单和黑名单,白名单中收录的 IP地址可以通过访问控制列表的限制访问服务器资源;黑名单中收录的 IP地址无法访问服务器资源。访问控制列表的部署级别包括四个层次,分别是目录级控制、入网访问控制、属性控制和权限控制,访问控制列表应用时也存在一些问题,比如人工配置工作效率慢,无法实时地提升访问控制列表性能[5]。
防火墙、杀毒软件虽然可以为人们提供一定程度上的安全防御能力,但是当前互联网发展迅速,木马病毒研发技术改进速度也非常快,这些防御技术也需要与时俱进,引入更加先进的大数据分析,利用大数据处理技术及时地从海量信息中识别、发现、响应病毒,具有重要的作用和意义。
1 网络安全防御系统功能分析
网络安全防御系统引入大数据技术,其主要功能经过丰富和扩展,可以分为以下几个方面,分别是数据采集和监控、数据分析和处理、安全防御软件启动、杀毒效果评估,这样就可以提高网络安全防御性能。
(1)数据采集和监控。“互联网+”时代,网络部署的软件系统和硬件工具非常多,这些软硬件之间实现传输和信息共享,因此网络安全防御系统需要实现数据采集和互联网监控,能够将数据信息发送给大数据分析软件。
(2)数据分析和处理。大数据分析软件利用先进的模式识别技术,可以根据一些网络病毒的基因片段进行特征处理,与采集的网络数据进行对比,这样就可以发现网络中是否存在潜在的病毒或木马。
(3)安全防御软件启动。数据分析和处理之后,如果发现网络中存在病毒或木马,此时就可以启动杀毒软件,利用杀毒软件将病毒或木马清除。
(4)杀毒效果评估。网络病毒清除之后,大数据分析软件还需要对网络系统进行杀毒效果评估,从而可以确认网络中安全无毒,不影响用户正常使用网络。
2 大数据在网络安全防御系统中的应用与设计
“互联网+”时代网络安全防御软件已经无法满足实际需求,比如防火墙、访问控制列表或杀毒软件等采用被动防御模式,不能够及时地发现和清除网络中存在的病毒信息,因此利用先进的大数据技术,可以构建一个主动式的安全防御系统。
大数据是当前人工智能时代最为先进的一种计算机技术,其可以从海量的数据中发现期望的知识,并对这些数据进行分类,进一步提高数据的应用性能。网络是一个大型的信息通信和数据共享中心,中心的数据流量非常大,关联的网络设备也非常多,包括DDoS监控、网站防篡改监控、漏洞监控、态势感知、攻击溯源,比如DDoS监控器可以分析网络的流量状态,发现网络的流量是否存在异常,如果存在异常就可以及时地启动模式识别技术,利用模式识别技术提高非正常流量中潜藏的安全威胁。网络承载的软硬件资源非常多,这些软硬件资源集成在一起产生了海量的数据,但是也存在一些漏洞,因此网络安全管理需要加强漏洞监控,进一步感知网络数据流量的态势,追踪攻击源头,进一步提高数据防御能力。具体的,基于大数据的网络安全应用系统可以包括深度包过滤或自治网络。
(1)深度包过滤
传统的包过滤技术类似于防火墙,简单地分析数据包的头部IP地址,以便能够发现这些数据包是否满足通过规则,因此应用非常简单。深度包过滤集成了软硬件资源,利用先进的数据包分析工具,穿透每一个网络数据包的包头、包内容等,能够为网络提供一个开放的、深层次的网络安全防御工具。深度包过滤最大的特点就是查看和分析数据包中每一个协议字段的内容,这样就可以更加准确地检测网络中的威胁。深度包过滤引入了固件技术,该固件可以将软件功能集成在硬件上,这样就可以大幅度提升网络数据包过滤的处理速度,适应当前网络流量大、数据包多的特点。
(2)自治网络
自治网络采用先进的主动网络安全防御思想,基于大数据构建一个功能完善的网络拓扑结构,积极地适应当前网络的应用形式,调动网络安全防御资源,隔离网络中的木马或病毒,建立一个先进的自我防御和免疫机制。自治网络还可以与深度包过滤、数据挖掘技术等积极地结合在一起,形成一个多层次的防御规则,进一步提高网络通信性能保障能力,加强网络病毒的可信计算服务能力,避免恶意代码攻击网络,提高网络的自我免疫能力。
3 结束语
“互联网+”时代促进了分布式管理系统的应用和普及,许多领域引入了先进的计算机信息系统,大大地提高了人们的信息化、共享化,方便人们工作、生活和学习。但是,由于许多不法分子觊觎信息系统存储的内容,一直在使用木马或病毒攻击信息系统,获取不当盈利,破坏信息安全。防火墙、访问控制列表或杀毒软件均是一种基于被动的防御工具,只有在病毒或木马爆发之后才可以杀灭,没有预知或主动防御的基本思想,因此本文为了解决这个问题,提出利用先进的大数据分析技术,构建一个主动防御体系,同时结合未来信息安全防御技术发展趋势,提高信息系统安全防御能力,保证网络应用系统的安全。