网络安全监测与预警系统的建设及应用,为用户及企业创建优质的网络环境,从而全面防控计算机病毒以及黑客攻击。从技术驱动角度来讲,网络安全监测与预警功能的实现需要按照外部架构以及内部数据两个方面进行设定,而云计算技术与数据挖掘技术可以很好解决网络运行中的问题。基于此,立足网络安全监测与预警的重要指标,从云计算与数据挖掘技术两个方面,对网络安全监测与预警系统进行研究。
一、云计算在网络安全监测与预警中的设计实现
1.云计算网络安全监测与预警的方案设计。(1)网络安全态势感知。网络安全态势感知是云计算技术对网络系统安全性能的一种感应机制,通过数据信息采集与分析,保证网络系统内部分布节点中的数据按照云计算架构进行逐一比对。网络环境中面临的信息威胁可以通过态势感知与数据溯源精准体现,那么网络中存在的安全隐患及相关预警工作,也可以通过精密的部署进行监测,提高网络运行的安全性。(2)vWAF。网站应用级入侵防御系统简称WAF,国际上公认的说法是WAP应用防火墙,通过执行一系列针对HTTP安全策略,专门为Web应用提供的一个服务产品。vWAF则是指绿盟网站安全防护系统,它具有更为强大的包容性且在主流虚拟网络环境以及云环境之中,均能够提供有效的防护作用。从技术角度来讲,它是对WAF系统具备的虚拟化与集群化功能进行联合部署,通过搭载云计算中心前端LB,在多台vWAF上实现了分发。当云计算中心前端LB存在缺失问题时,vWAF可进行转换,确保业务流量能够在云计算系统中完成转发,在资源平等后,再统一将信息发回Web服务器;在数据处理中,vWAF平台能够检测网络防护层,来分析出防御应用层对Web安全发起的各种攻击,比如XSS攻击、开放式攻击、OWASP攻击等,都可以通过vWAF实现云环境视域下的安全防控。(3)虚拟防火墙。虚拟防火墙是将一台防火墙在逻辑上划分为多台具有虚拟性质的防火墙,且每一个虚拟防火墙系统均可以被看成一台实体性质的防火墙设备,它具有单独的系统资源、管理员、安全策略以及用户认证数据库。每一个虚拟防火墙都是独立的,且系统之间的流量相互隔离,具有较高的安全性。设计方案可以看出,基于云计算的网络安全监测与预警系统,要想精准地完成数据全过程监管,需要在虚拟机、可视化技术以及引流技术的共同驱动之下,搭建出完整的监管体系。为了在可视化状态下直观展示出数据监测机理,提高审计的可操作性,需要进行统一规划。
2.云计算网络安全监测与预警的实现。利用云计算平台实现态势感知主要通过部署期间的旁路方式,让数据信息的采集与分析更具全面性。例如,服务器日志、终端日志、流量探针等均可以通过云平台的审计进行过滤,实现统一的存储及管理。每一项数据信息的关联均可以反映出当前网络运行中存在的异常故障问题,产生异常现象时,可以由内部系统的感知服务为用户提供信息定位。流量探针也能够对网络运行中的流量消耗情况进行搜集与检索,生成日志报告,并定向发送到服务器中。vWAF在部署时是通过反向代理的方式,对外部服务器、防火墙、相关端口的信息传输流程进行修改,确保互联网用户在访问Web时,能够无感知地接入、认证。虚拟防火墙是通过串行的方式部署到网络中的,在虚拟机端口的支撑下,对内部数据信息的流入及流出情况进行策略控制,确保虚拟机不会出现恶意访问的现象,提高防范能力。
二、数据挖掘技术在网络安全监测与预警中的设计实现
数据挖掘网络安全监测与预警的设计。(1)数据采集阶段。数据采集包含TAP与TEND组件。TAP组件旁路接入需要采集数据的互联网与局域网,数据采集是由HIGHCAP所支撑并实现的,其最大效率可以达到1GB/s网络数据分流,如下为数据采集在不同模块中的实现过程。1)rink_sock。由TAP组件传来的数据写入到缓存区,并通过定位,保证数据在索引的过程中,能够自动排列数据队列的末尾,这样在缓存区的环形结构驱使下,不再需要单独对缓存区分配资源,从而降低损耗。检测节点在读取数据的过程中需要通过用户获得缓存区的数据,而为了避免内核模块与用户模块之间的空间复制问题,则采用了DMA技术,直接将数据映射到用户模块之中,提高读取效率。2)highcap。旁路接入互联网或物联网之中捕获互联网链路层中的数据帧并将MAC地址转变为监控端,通过复制与传输,保证接入网络的物理线路处于监控区域内。监控端捕获数据包后做负载均衡,按照网络运行环境的常态运行模式,在遇到较多的荷载压力时,自主进行分流,将数据写入TEND组件中。由于TEND组件在TAP之后,串联的数据传输方式可以提高数据在缓存区的捕获能力,间接降低资源损耗率。(2)数据处理阶段。数据处理过程主要是通过网络中的子节点去检索基于事件引擎所实现的数据记录。例如,网络协议以及事件特征属性的记录及分析,并通过策略解释引擎分析网络运行中的各类异常行为,最终由监控分析分辨出网络入侵检测及行为警告相对标的阈值并发送到终端。数据处理层的事件引擎以及策略解释主要是采取Bro语言脚本,通过该语言脚本的事件驱动机制,对主流网络中的协议进行预设以及分析。Bro语言的数据类型包括整数、浮点数、布尔值、字符、字符串、记录、函数和网络流等。每个数据类型都有其特定的用途和特点,整数用于计数,浮点数用于精确计算,布尔值表示真或假,字符表示单个字母或符号,字符串表示一串字符等。上述数据类型可以在脚本中定义不同的策略以及触发函数,进而借助脚本内容生成不同的日志文件。(3)数据分析阶段。数据分析层主要是针对代码特征库以及大数据分析所建立出的数据检测模型进行设定,此模型是以scikit数据挖掘算法对网络环境中存在的恶意行为进行预测。(4)网络安全预测。数据挖掘是在海量数据中找到存在异常的数据,并对目标内容进行挖掘、计算。此过程可以归纳为三个阶段,其一是数据挖掘结果的对标阶段,确保数据信息可视化地呈现给用户。其二是数据结果评价阶段。此过程是在数据挖掘目标的基础上,给予数据挖掘结果适当的、客观的评价。其三是预测网络安全态势,需要在完成数据挖掘以后对数据信息进行分析,以此评价与反映网络安全态势。所以,在进行网络安全态势预测的时候,需要将挖掘到的知识与系统进行融合,显示并评价知识的机制,以此对异常数据进行准确的判断,将筛选出的异常数据与可信度较高的数据进行对比,有效解决网络安全的具体问题。
总之,应当建立健全网络系统,以技术角度为切入点,分析系统运行中存在的问题,并建构更为完整的网络安全防护体系,营造良好的上网环境。期待未来发展中,积极引入先进的技术、理念,及时更新网络防护系统,从基础层面提高网络系统的防护性能。
参考文献:
[1]黄润泽,基于云计算与数据挖掘技术的网络安全监测与预警探讨.2023.
