张 勇

（寿光市社会治理服务中心 山东 寿光 262700）

0 引言

随着互联网的发展，现阶段网络安全已成为计算机网络系统的主要问题，因此相关人员应对此方面的问题给予高度关注，对于自身系统进行全面研究和设计，从而提升自身计算机网络系统的安全性，为相关人员提供安全的网络使用环境。

1 计算机网络技术安全

计算机网络安全主要是指运用特定的技术手段提升网络自身的监管能力，从而保障用户操作环境的安全性[1]。运用网络的安全性及自身安全性主要由两方面组成，一方面是物理安全保护，主要为计算机自身的硬件设施，组合最优化，以此降低硬件设施的损害。另一方面为计算机逻辑安全词方面，主要是指提升计算机自身数据的稳定性，其在实际运用过程中需要运用特定运算方式进行数据分析，从而为用户的使用安全保驾护航。

2 网络安全防御系统设计与实现

2.1 系统架构设计

当网络受到外界攻击的时候，首先是外部拓扑结构进行防御，所采用的技术是分布式防火墙，可以作为“第一级别的防御”[2]。如果防火墙技术没有成功拦截网络攻击，那么系统将进行“第二级别的防御”，即进行入侵检测与防御系统的保护工作。入侵检测与防御系统包括网络探测器、主机探测器与策略管理中心和控制台4个功能组件。网络安全防御系统整体架构见图1。

2.2 入侵检测与防御系统主要组件功能描述

2.2.1 网络探测器组件

网络探测器组件按照不同的功能应用可以划分为节点控制模块、规则库、规则分析器、预处理器与嗅探器[3]。依据实际的功能模块则可以划分为数据收集模块、数据分析模块、规则解析模块、报警模块与节点控制模块。不同功能模块的作用如下。

（1）数据收集模块：主要负责在网络系统中对数据信息的检测与控制，同时将数据包信息传递给不同的节点进行实时的交互与通信。

（2）数据分析模块：将获取到的数据信息进行研究与分析操作，同时将数据的结构域格式一并传递给下一个通信节点，按照不同的规则与应用将不同节点之间的通信进行交互式连合。

（3）规则解析模块：根据不同的规则与匹配算法，将接收到的节点信息向下一个节点进行交互式的传递。同时对数据包中的数据信息进行封装处理，如果有受到网络攻击的节点，那么将转发给解析模块。

（4）报警模块：依据网络所给定的数据格式进行数据的解析与传递操作。将接收到的报警信息传递给策略管理中心，进行统一的管理与相关操作。

（5）节点控制模块：该模块是实现所有遭受到网络攻击的节点信息的处理与管理操作，在对其进行解析操作的同时，实现相应的控制与管理。

2.2.2 主机探测器组件

主机探测器主要是安装在服务器端，目的是实现对所有遭受网络攻击的主机节点的异常检测与保护操作。

由于主机探测器节点的安装位置在服务器端，因此可以将其看作是入侵检测与防御系统中针对攻击进行保护的核心构成部分[4]。其中所涉及的内容还有异常检测，当防火墙技术无法对网络攻击进行良好检测与保护的时候，那么入侵检测与防御系统将会进行更深一步的检测与防御操作。在这个过程中，主机探测器作为核心的控制管理部分，首要是对异常检测器进行检测与防御。如果主机探测器检测出相关的网络攻击信息，那么将会把网络的攻击信息提交给策略管理中心，由策略管理中心做出下一步的选择与评价。

2.2.3 策略管理中心组件

网络探测器和主机探测器都是对异常与网络攻击进行处理与控制的关键部分，而对这些功能组件的控制管理则是由策略管理中心进行。策略管理中心组件可以看作是入侵检测与防御系统中的核心处理模块，负责掌管着所有模块的交互式通信与操作功能。

策略管理中心可以实现不同的功能模块之间的交互式通信，并且具有对异常进行检测与报警处理的功能[5]。当网络接收到网络攻击的时候，策略管理中心将会直接调用异常与报警处理模块，这一模块一旦接收到报警与异常处理信息，立即报警处理，同时将数据库中的数据信息进行更新，并且将日志记录进行更新操作。

2.2.4 控制台组件

控制台组件主要实现用户与入侵检测与防御系统的交互功能。控制台实际上是用户的信息操作界面，其不负责报警信息的处理和分析，但是可以通过多种形式把报警信息显示给用户。当用户以合法身份登录后，可以对报警信息、网络攻击行为、处理结果进行统计与分析。控制台组件具体分为管理模块、统计与分析模块、信息查询模块3部分。

2.3 关键功能模块设计

2.3.1 规则解析模块设计

在异常入侵检测中，为检测入侵行为，需要对报文进行规则匹配，通过对入侵行为进行分析，提取入侵行为的特征值，并与规则库中的正常行为进行比较，当入侵行为与正常行为有重大偏离时，认为是入侵。规则格式根据逻辑被分为规则头以及规则选型两部。规则头定义了规则的行为，所匹配报文的协议、源地址、目标地址以及网络掩码、源端口和目标端口信息；规则选项部分则包含了所要显示给用户看的警告信息以及用来判断此报文是否为攻击报文的其他信息。由于规则库是文本文件，不能作为直接的数据结构给检测引擎调用，因此在进行启动的过程中还应对在规则库中对文件进行及时解析，使其生成能够被引擎进行运作的数据机构。在规则解析模块中，设计的主要函数见表1。

表1 主要函数

2.3.2 报警信息处理模块设计

基于异常检测的入侵检测与防御系统通常需要处理数量巨大的报警信息，为减轻报警信息对系统产生的负载，针对报警响应的处理，将采用队列结构进行信息的存储。为方便发现警报真正的产生根源，系统采用聚类方法为警报信息进行无监督分类，从而提供警报根源分析依据，进一步消除根源。在本系统中，通过对报警信息数据预处理抽象出属性特征，报警信息的无监督分类处理采用K-means聚类算法。算法过程如下：首先，从无数的警报中选择若干个警报作为质心。其次，在实际进行警报测量的过程中还应对剩余的警报到质心的距离进行检测，并将其划分到与其自身最近的分类中。再次，在上述的分析之后进行各个类别的质心重新计算。最后，再进行质心与原质心的全面计算，在迭代2～3步骤之后，将得到与新的质心与原质心取值范围≤的阈值，结束此算法，并在开展K-means运作的过程中运用距离作为其相似性评价指标，若是两个对象距离逐渐增加，则其中的相似度就越大。通过无监督分类处理，对每一个类簇中的警报进行计数，所有警报信息按照所在类簇中的警报数按大小分类排序，等待用户分析与处理。

2.3.3 服务器线程类设计及控制流程

关于网络的外部拓扑结构将采用防火墙技术进行构化，而对于内部拓扑结构则采用入侵检测与防御系统。在入侵检测与防御系统中最为核心的是对数据管理与策略的实现过程。服务器线程类设计如State_SyslogServer类所示。

publicclassState_SyslogServer

{

privatebooleanSyslogServerOn=false;

privatebooleanSyslogServerIsRunning=fasle;

privateBooleanavailable=true;

publicsynchronizedbooleanget_SyslogSeverOn();

publicsynchronizedvoidset_SyslogSeverOn(booleanvalue);

publicsynchronizedbooleanget_SyslogSeverIsRunning();

publicsynchronizedvoidget_SyslogSeverIsRunning(booleanvalue);

publicsynchronizedvoidwait_SyslogSeverIs(booleanflag);

}

2.4 数据中心安全

随着互联网技术的不断发展，网络管理也朝着集中化、高细粒度以及多维度的方向发展。随着业务的需求以及管理流程的不断完善，对内部数据的集中归类和处理工作变得更为重要，这就需要加速完善对数据中心的建立和保障体系。本着多层实施防护以及分布工作的原则，实现对该数据中心的安全设计任务。在这一设计方案中，通过外部的三层防护机制来实现对数据中心的安全设计。在这一体系中，第1层是基于网络层面的保护，在这一层通过部署安全特性丰富的网络交换，实现对数据中心的保护；第2层为对IDC应用层的保护，入侵防御系统的部署能够实现对数据中心网络边缘的保护；第3层为保护数据中心管网络边缘，主要途径为将高性能防火墙部署在数据中心的网络接口处。

对来自外部数据访问请求进行管理和控制，是防火墙的主要功能，入侵防御系统能够阻挡蠕虫病毒之类防火墙难以深度检测的攻击。主动防御系统可以对应用层的信息进行深度检测和分析，通过分析外来数据中带有攻击性的成分，达到及时阻断外来入侵的目的，保护数据中心的应用层不被入侵。状态防火墙可以实现对IDC网络边界安全的保障工作，将安全信任和非安全信任网络进行分离，防御多种形式的畸形报文攻击。网络交换机的部署工作是保障数据中心安全的基础，进一步实现对数据链路层的安全防御工作。除此，不同安全特征的网络设备有着不同的安全需求，这就要求我们组建不同的信任模型以及执行一系列安全策略。以区域划分和多层部署方案为引导，还需要建立对IDC服务区的多层部署工作。

其中，接入产品与首层建立直接的链接，Web服务层为提供网站；第2层扮演了中间人的角色，将用户的应用程序、存储服务器以及服务器数据库三者联系起来，与应用层相衔接；最后，数据库层即为第3层，这一层主要负责进行网络相关信息和数据的存储工作，并将数据库系统布置在该层，方便进行数据的收集工作。

3 系统运行与测试

3.1 系统运行

在网络环境中，外部拓扑中采取防火墙技术，具体将相关的硬件设备进行实现，而针对内部的拓扑结构则应用入侵检测与防御系统。对于规模较小的，入侵与检测防御系统可以安装在同一台服务器上，即将网络探测器组件、主机探测器组件、策略管理中心组件和控制台组件可以在同一操作系统上运行。对于网络结构比较复杂的，可以采用多级结构，实现级联管理，见图2。在图2中，网络探测器组件可以安装在各个内部子网络中，策略管理中心组件和主机探测器组件可以安装在网络服务器中。在这种结构中，网络局部受到攻击和侵害的时候，系统能够集合各终端信息，进行综合分析，对网络全局做出严密的监控和响应，以使网络威胁造成的损失最小。

3.2 系统测试

在进行系统测试前，入侵与检测防御系统安装在一台服务器上，对此服务器进行非法入侵与攻击。

3.2.1 测试环境

（1）硬件：CPU：IntelCorei7-45903.3 GHz；内存：8 G；硬盘：500 G；网卡：10/100 M自适应。（2）软件：操作系统：Windows2020；应用软件：入侵检测与防御系统。

3.2.2 测试

（1）应用进程开启与关闭测试。首先，进入入侵检测与防御系统操作界面查看服务器当前运行的进程。其次，打开QQ程序，查看QQ进程信息。最后，结束QQ进程，查看QQ进程结束成功。通过以上操作，操作结果与预期结果一致，测试通过。

（2）远程访问测试。首先，进入入侵检测与防御系统操作界面查看服务器当前运行的进程。其次，远程ping服务器，查看ping信息。再次，ping结束，查看ping结束成功。同时，远程Telnet服务器，查看Telnet进程信息。最后，Telnet结束，查看Telnet结束成功。通过以上操作，操作结果与预期结果一致，测试通过。

3.2.3 性能测试

（1）丢包率测试。丢包率反映入侵检测与防御系统的数据包的处理能力，与数据包的长度和发送频率有关，入侵检测与防御系统在测试中系统平均丢包率不到0.5‰。

（2）延迟时间。延迟时间指的是在攻击发生至IDS检测到入侵之间的延迟时间。延迟时间的长短直接关系着入侵攻击破坏的程度。在40%负载下，入侵检测与防御系统测试的平均延迟都在毫秒级。

（3）负荷能力。入侵检测与防御系统之间的设计有着一定的负荷能力，在超出负荷的过程中，其自身的性能会不断下降，因此在实际运行过程中需要以负荷能力作为标准，对入侵检测和防御系统进行衡量。在一般情况下，IDS的运行能够对某攻击进行有效检测，但是在其负荷变大的情况下，其检测水平会下降。

（4）检测率。检测率是指被监控系统在受到入侵攻击时，检测系统能够正确报警的概率。通过两周的测试，入侵检测与防御系统的平均检测率在98%。

（5）虚警率。虚警率是指检测系统在检测时出现虚警的概率。通过两周的测试，入侵检测与防御系统的平均虚警率在2%。

4 结语

而研制现阶段计算机网络安全问题，已经得到社会广泛关注，但是真正实现计算机网络安全还需相关人员进行全面研究，根据运用环境的需要和实际问题进行全面优化，以此提升计算机网络运用的安全，为我国计算机网络技术的提升提供基础保障。