基于多属性评价综合的网络安全防范机制设计*
2022-08-23大庆师范学院张连子
大庆师范学院 张连子
针对传统的网络安全防范机制不能够精准抵抗外来攻击,提出基于多属性评价综合的网络安全防范机制设计。利用多属性评价综合构建信任模型,配置机制防火墙和入侵检测模块,设计出网络安全防范机制。通过实验结果得出,基于多属性评价综合的网络安全防范机制相较于传统网络安全方法机制能够精准识别阻拦攻击。
网络的普及不仅提高了人们的工作效率,同样反向促进了科学技术的发展,同时也带来了一定的安全隐患。网络信息的泄露、盗窃等情况时有发生,这使得网络安全成为网络发展的重要工作。如何进一步优化网络安全,是当下十分热点的话题。大数据计算机网络时代的安全防范与之前相比尽管有进步,但随着网络信息负荷量不断增大,网络安全还存在许多风险。传统网络安全防范机制不能够精准的抵抗越来越新颖的网络攻击和计算机黑洞。因此提出基于多属性评价综合的网络安全防范机制设计。多属性评价是指在评估一件事情的结果时,从多个角度进行分析,将多个角度的评估结果融合在一个数学模型中,实现关联关系的显性化表述,得到综合多方面影响因素后的评价结论。藉由多属性评价的全面性优势,可以为网络安全防范机制提供全面的考评,实现对决策的参考,加强网络安全机制的性能。
1 基于多属性评价综合的网络安全防范机制设计
1.1 建立基于多属性评价的信任模型
建立多属性评价信任模型的基本思路为:(1)搜索目标服务提供者,根据目标服务提供者的所提供的基本信息搜索是否含有评价相同的推荐用户;(2)筛选推荐用户的评价,根据普遍用户的评价判断是否可信;(3)对评价的不稳定性进行校准调整;(4)通过推荐评价的可信度和推荐评价的数量规模得到间接信任的数值;(5)利用直接信任和间接信任来综合计算,得到综合评价信
任模型。信任模型流程图如图1所示。
图1 信任模型流程图Fig.1 Trust model flowchart
在图1信任模型中,用户身份确认是关键步骤,决定了用户在信任模型中的地位和作用。在确定用户信任身份前提下,对其赋予信任度值,作为模型的基础。对于由信任用户推荐的使用者,判断其网络使用过程中的合规性,评价既往使用过程中的意图特征,在确认合法合规后,升级为信任客户。通过迭代,构建信任用户集,形成信任模型框架,如图2所示。
图2 信任模型基本框架Fig.2 Trust model basic framework
根据以上流程构建出多属性评价的信任模型。模型包含四个大部分,期间通过五个小部分运行。
(1)使用者:为模型整体中的一个独立的个体,也是使用主体。使用者根据自己的需求申请交互,在交互行为完成后,使用者能够根据自身体验进行评价,成为模型的推荐者。使用者在接受其他推荐者评价的同时也能向其他使用者提供推荐建议。
(2)服务提供者:是模型中相对独特的存在。接收使用者的请求,根据使用者的需要提供相应的服务,并接受评价。
(3)本地信任模块:将使用者申请和使用过的交互服务、应用评价储存下来,将数据上传数据库,根据使用者的使用次数和行为进行时刻更新,保持数据信息的新鲜有效。
(4)推荐信任模块:使用者通过搜索,将自己的需求输入模型,模型根据交互需求查找相关推荐者的推荐评价,通过对推荐评价的信任度判断确认是否联系服务提供,并进行交互操作。
1.2 配置防火墙
网络安全防范机制采用屏蔽子网防火墙隔离攻击,将内网与外网分模块隔离。将终端主机、内外部网络公用路由器、服务器设置在防火墙保护范围内,形成用户级保护屏障。如图3所示为屏蔽子网络防火墙设置图。
图3 屏蔽子网防火墙设置图Fig.3 Shielded subnet firewall settings diagram
内部网络中需要针对某一点的攻击设计内部防范机制,采用包过滤防火墙,对数据流进行监控。在防火墙网络终端中,设置包过滤规则,将异常数据控制在单机状态,限制数据的进出,以保证内部网络数据信息的安全。包过滤防火墙的示意图如图4所示。
图4 包过滤防火墙示意图Fig.4 Packet filtering firewall diagram
包过滤防火墙在实现安全防范作用的同时,由于不占用网络带宽,大幅降低了对硬件设备的支撑要求,适用于小型网络的免维护场景需求。
1.3 设计入侵检测模块
入侵检测模块的设置能够增加网络安全防范机制对于网络中攻击的抵抗能力。
(1)监视、分析用户行为和模块活动;(2)模块构造和弱点的审计;(3)抓取信息并进行分析,判断是否存在攻击行为,同时向网络终端汇报生成警告;(4)对接入网络的终端中的攻击行为进行汇总;(5)随时监测网络中重要数据和文件是否遭到破坏;(6)审计、跟踪、管理操作模块活动,抓取分析使用者的计算机终端中的攻击性行为。如图5所示为入侵检测模块的应用原理图。
图5 入侵检测模块原理图Fig.5 Schematic diagram of intrusion detection module
对于单位的上级机构,选择网络入侵检测模块,主要担负着监测并保护整个单位内部网络的安全运行;对于单位的下级机构,设计为主机入侵检测模式,对网络中的传输信息进行监测,并同步分析行为性质。
1.4 构建网络安全防范机制
构建网络安全防范机制,通常包括:对内部网络的安全防范机制、对外部网络的安全防范机制、意外信息泄露防范机制。在信任模型、防火墙和入侵检测模块配置完成的基础上对以上三个部分进行设计。
(1)对内部网络的安全防范机制设计。内部网络的安全威胁主要为用户权限的分级和控制,杜绝越权操作。分析内部网络的使用者构成,针对不同角色用户,确定其使用范围和操作权限,并在用户注册中完成权限划定。内部网络的安全防范机制是在角色确认后即分配相应的权限,在使用中严格按照分配的权限使用网络资源,防止意外的误操作或恶意破坏行为,提高网络的安全性,保证网络正常运行。
(2)设计对外部网络的安全防范机制。外部网络存在用户身份不可确定,行为性质不易确定的风险,因此需要对外部网络的数据进行有序管理。为防范攻击行为对网络产生安全风险,主要采用身份识别和限定的方法,规范网络访问和使用行为。对于频繁尝试破解网络安全防范机制的行为,以其IP地址作为特征,识别为入侵行为,加入黑名单,拒绝该IP的一切访问申请,实现对网络的保护。
(3)设计意外信息泄露防范机制。具体步骤如下:
1)用户数据的加密,在网络安全防范机制设计中,对网络每一名授权用户的敏感信息分类进行加密处理,且加密算法独立运行于服务器中,避免意外破解。
2)加严日志管理,对操作者的动作记录存档,并作为后续分析的数据基础,定期汇总特征结果,及时发现网络中的漏洞,做出修补。
3)设定热启动周期,限制非预期的多重访问。在限定时间内,用户可自由访问网络,一旦超过时间,则重新认证用户身份,实现对非授权用户访问网络的限制,达到保护资源不被限定权限外用户获取的保护目的。时间超时后,网站各项服务即刻终止。
2 实验论证分析
实验以实验室仿真的形式开展,设定用户的模拟访问以及攻击样例,验证本文所设计的基于多属性评价综合的网络安全防范机制是否有效。
首先测试本文所设计的机制能否抵抗服务提供者的一类经典攻击类型:ON-OFF攻击。假定一个攻击者的行为如下述4个阶段:
(1)首先行为表现良好20次;
(2)然后行为表现恶劣20次;
(3)接着恢复表现良好20次;
(4)最后继续表现恶劣20次。
用户与服务提供者无任何交互的情况下,基于推荐者对服务提供者的推荐评价完成信任建模,并对比了本文方法和传统模型的性能表现。假定实验中有100个推荐者,1个服务提供商,1个用户。
如图6所示显示了对于此种类型攻击者网络安全机制的变化。水平坐标表示其交互的次数,而垂直坐标则显示其当前信任值。图中曲线表明,本文所设计的网络安全防范机制能够有效的检测出ON-OFF攻击,因此其性能要优于传统的网络安全机制。
图6 直接信任算法比较Fig.6 Direct trust algorithm comparison
3 结语
因为计算机网络技术十分开放、灵活、具有强互动性等特点,在不断发展的进程中也暴露出许多问题。本文所设计的基于多属性评价综合的网络安全防范机制能够很好识别并抵抗网络攻击,大大提高了网络的运行安全。但由于时间限制,没有进行多次测试,还需要在今后的研究中不断完善。