异常状态实时监控下网络入侵防范系统设计

2021-06-25夏海荣

科学技术创新 2021年15期

夏海荣

(甘肃省庆阳市科技开发中心,甘肃庆阳745000)

随着互联网的使用用户队伍不断扩大,网民总数量不断攀升,人们的上网安全如何保障也提上网络专家的研究日程。近几年数据调查显示,计算机入侵事件平均15 秒就会发生一次,除了日常工作中最常见的病毒入侵和木马攻击,还有经常被我们忽略的垃圾广告。各大重要机关的电脑还会被黑客恶意攻击,即使网络上安装上防火墙,也难以抵挡恶性网络入侵事件的不断发生。个人计算机信息泄露会导致个人隐私暴露,同时也会给网络诈骗、勒索绑架可乘之机[1]。而公司的方案策略和产品设计遭到信息泄露则会导致不可挽回的经济损失。经济损失不仅仅是网络被入侵阶段损失的营业额,还包括由此而导致的股价下跌和客户流失,国家和政府的计算机被入侵的后果更是我们难以想象的。

若想有效地防御网络安全隐患,可以利用网络异常状态实时监控。常规的网络实时检测耗时耗力,一般运用在军队、政府、银行等重要机构的计算机中,日常家用电脑和小型企业办公电脑很难使用到实时监测的技术。日常网络检测一般使用单项网络管理协议,网络运营商开发的网络管理模块对使用该运营商网络的用户进行实时检测,系统功能单一,也无法保证运营商不泄露用户隐私。因此,设计出一套网络异常状态下能够实时监测网络安全的系统越发重要。

1 系统硬件设计

网络入侵实时检测系统的硬件设计,既要做到对网络数据进行全面检测,又要做到遇到异常状态的时候可以马上进行异常处理。处理异常的阶段对其他数据的检测是不能间断的,而检测系统本身也要进行数据加密处理,因此需要设计安全芯片。

现阶段计算机不再仅仅是处理数据的工具,人们的日常生活中学习、工作、娱乐活动也都需要计算机来解决,网络运转必需要保证实时性和快捷性[2]。

1.1 设计安全芯片

考虑到现代网络的复杂性以及新系统的合理损耗,应在检测系统中设计安全芯片。芯片可以增加计算机的处理能力,利用安全芯片提高网络实时监测的性能。安全芯片将数据加密技术、管理员身份验证和网络实时检测结合在一起。

安全芯片可以提高网络实时检测的效率,数据加密处理使用DFT 处理器,数据储存器的驱动引擎使用的是HCCV 引擎。安全芯片与计算机硬盘CPU 之间连接也使用DFT 处理器,使安全检测保证高速运转状态。

1.2 感应器设计

异常状态实时监控下网络入侵防范系统的数据检测设备首先需要一个可以感应到网络入侵的感应器,感应器的设计必须满足对网络入侵检测范围大、监测时间长的特点[3]。为了可以感应出网络异常,必需要对正常的网络状态的数据流、和数据处理状态有所了解。感应器的附加功能并非增加感应器的负担,而是网络数据入侵的监测所必需的基础功能。

网络日常使用过程中感应器监测数据的正常运行,对数据初步处理的过程是将数据的正常状态写入芯片数据库的过程。数据监测的过程也是不断更新数据库的过程,但是对于数据是否出现异常就要进行下一步分析,数据库的建立也是为异常分析做铺垫的步骤。分析过程包括对数据包大小的监测,正常数据包的大小会根据传输内容的多少不断变化,而出现异常的数据包因为内容遭到破坏大小与常规不符。对发生异常的数据包进行分拣,进行进一步异常分析。

1.3 设计网络异常分析器

发现异常数据包后,需要建立网络异常分析器对网络异常进行分析归类。监测最重要的环节就是对网络入侵起到提示作用,所以网络异常分析器需要可以向计算机管理员进行异常报警的装置,考虑到出现网络异常,将报告信息设计成可视化弹窗。根据收集数据形成的网络异常数据库,将数据库数据和异常数据进行对比,得到条件相匹配的数据库数据[4],以此用来判断是否发生异常并通知管理员进行处理和防控。报警平台受中心控制器控制,入侵行为被确定后直接由中心控制器对报警器发出报警指令,报警器位于异常分析器的广域网上,将异常数据发送给管理员后还要进行数据库回收。

2 系统软件设计

2.1 整体数据采集

作为网络异常最基础的步骤,对整体数据的采集需要具有全面性和科学性。整体数据的采集一部分来源历年总结的计算机网络异常的原始数据,另一部分来源实时监测时取得的新数据。使用POI 数据导入可以把原有和收集的数据传导进系统的数据库中,每条记录都是给网络异常监测作参考的有效数据,重复的、错误的无效数据在收集筛选的过程中会被剔除,避免内存浪费。新收集的网络实时数据压缩储存,利用xp 系统对压缩数据进行解读分析,每个压缩包都有自己的独立端口,方便发生异常时的数据调取[5],数据收集可以根据电脑系统的程序更新而自动更新,而不需要反复安装卸载。

2.2 异常数据处理模块

异常数据处理模块和正常数据处理模块需要进行分离,异常监测模块使用SSTY 模式,异常数据的处理重点在于实时性,SSTY 模式通过大量对比数据,此时安全芯片发挥自己的作用,可以兼顾数据的收集和异常数据的处理,HCCV 引擎可以高速执行指令,警报通知管理员之后,用户就可以利用异常数据处理模块对网络入侵进行实时处理,病毒的查杀、木马的击破和对黑客的防范都可以在这一步实现,异常数据的预处理将数据上传,实时监测模块开始审阅数据的异常并进行分类。分析后的异常数据依旧会再次进行分类,利用同类别归纳出的新特征,总结出新的入侵数据特征。

2.3 数据转换预处理

异常数据监测传导的原始数据要进行转换,监测字符的编程语言从原始数据最小值开始,为避免处理过程复杂,将语言进行统一性处理,将相同特征的数据进行归纳到一个区域内,避免对同一特征的数据经过多次无效处理。数据归纳处理结束后,考虑筛选数据与异常数据的相关性[6],一方面可以充盈异常数据库,另一方面也为防范此类网络入侵提供样本。数据集使用函数进行分析,监测样本中异常数据到其他数据的离心距离,离心距离反映数据的紧凑程度。

3 仿真实验

为了测试本文设计的系统实时监测网络异常的性能,在计算机中设计仿真实验,使用相同的网络入侵系统。与传统系统进行对比,对比整体数据的测试和异常数据的分析处理,验证本文系统的实用性和优势。

3.1 实验步骤

搭建小规模的千兆太网测试环境,仿真环境由数据分流机分析监测引擎,为了保证实验的公平性。模拟的入侵数据和测试的电脑硬件设施应一致,发包机进行入侵数据的发送,分流机分别将数据发送给实验所用的主机,为了提升实验速率,入侵数据只发送一次数据,负责分流的计算及内存需要8 个G 以上,CPU 无特殊要求,常规标准就能满足实验标准,使用原始数据收集器进行数据收集,正常数据和异常数据的发送概率随机设置,不同类型的异常数据。数据记录容量控制在20000 条以内,数据形成的最小端点与两边的离心点进行连接,构成最小的数据集。数据集和数据集之间相互组合逐渐形成大的数据集,应用于传统方法和本文设计的系统,开始进行对比实验。

3.2 实验结果

在当前设计实验的仿真环境中,通过不定时进行数据入侵,分析传统方法和本文设计的监测系统对异常数据的识别速度,对比如图1 所示。

图1 识别速度对比图

通过图1 可以看出,在仿真环境中,不间断地向计算机进行数据入侵。传统方式的反应速度在0.3S 以上,而本文设计的系统的反应速度在0.1S-0.3S 之间,相比于传统方式反应速度更快。网络入侵的后果十分严重,仅仅是0.2S 的差距就可能挽回一个企业几百万的营业损失,异常数据识别地越快,越能保障网络的安全。同时,对于入侵数据的识别正确率高也是实时监测系统具备监测优势的体现。将两个系统中收集的异常数据进行整理,对比实时监测到的准确率如表1 所示。