大数据时代防火墙和入侵检测技术在网络安全中的应用

摘  要：随着移动“互联网+”的飞速发展，大数据已经渗透到各行各业，未来的时代已经从IT时代转变为DT时代，大数据与人们的生活息息相关，同时也记录了用户大量的个人隐私，随之带来新的网络与信息安全问题，同时传统网络安全技术也面临严峻挑战。本文针对该问题开展探讨研究，在通用入侵检测模型的框架下设计了一个防火墙与入侵检测系统集成的框架模型，希望能对提升大数据信息网络安全起到一些积极的作用。

关键词：大数据;防火墙;入侵检测;安全策略

中图分类号：TP393.08      文献标识码：A 文章编号：2096-4706（2019）19-0149-03

Abstract：With the rapid development of mobile “internet plus”，big data has penetrated into all walks of life. The future era has changed from the IT era to the DT era. Big data is closely related to people’s lives. At the same time，it also records a lot of personal privacy，which brings new problems of network and information security，and the traditional network security technology is also facing serious challenges. In this paper，we discuss and study this problem，a framework model of firewall and intrusion detection system integration is designed under the framework of general intrusion detection model. It is hoped that this model can provide some positive effects for improving the security of big data information network.

Keywords：big data;firewall;intrusion detection;security policy

0  引  言

隨着移动“互联网+”的飞速发展，大数据已经渗透到各行各业，大数据在各个领域的作用和价值越来越显著，未来的时代已经从IT时代转为DT时代，未来企业之间的竞争将会是数据的竞争。工业和信息化部印发的《大数据产业发展规划（2016-2020）》中指出：到2020年，大数据相关产品和服务业务收入突破1万亿元，年均复合增长率保持30%左右，大数据产业体系基本形成。大数据与人们的生活息息相关，在线购物、快递物流、聊天社交、地图导航等活动所产生的各种痕迹都被大数据记录起来，当中涉及到用户大量的个人隐私，大数据的创新深入发展也随之带来了新的网络与信息安全问题。近年来，个人隐私泄露、企业服务器被攻击等各种网络安全事故频繁发生，传统的防御手段逐渐失效，网络安全技术面临严峻挑战。

防范网络攻击，最常用的对策是构建防火墙。它将内部可信区域与外部危险区域进行有效隔离，是抵御入侵的重要手段。但防火墙是静态防御措施，对于实时攻击和阻止内部袭击的效果较差。而入侵检测是紧跟着防火墙的下一个安全关卡，对网络进行监测的同时并不会影响网络的性能，还能提供对误操作的保护，包括从外到内的攻击的保护。但是入侵检测做不到主动控制攻击，且自身也易受攻击，要更好地解决网络安全问题，二者缺一不可。本文通过研究，尝试在通用入侵检测模型的框架下设计了一个防火墙与入侵检测系统集成的框架模型。当该模型受到攻击时，由于引入了入侵检测，所以能灵活修改防火墙规则，并自动重新配置防火墙来阻挡下一波的攻击，弥补了防火墙无法识别攻击的缺点，同时弥补了防火墙不易配置的缺陷。

1  大数据时代信息安全性

大数据技术不断创新发展，在各行各业被广泛深入应用，传统网络安全技术也面临严峻挑战，网络信息安全问题越来越成为全球关注的焦点，网络背后错综复杂的攻击手段，不断威胁着个人和企业的信息安全，大数据背景下的安全保护技术手段亟待强化更新。

大数据时代，人们在担心个人隐私被泄露的同时，也在享受着大数据技术带来的许多便利，企业会优先选择更加安全和稳定的大数据产品。网络黑客通过大数据挖掘、人工智能等新技术不断提高网络攻击的次数和精确度，攻击工具的不断升级也使得攻击手段在大数据的掩护下变得更加隐蔽，利用传统安全设备从本地网络或终端数据中发现未知的威胁，就如同大海捞针，效率极低。

研发大数据安全技术产品，重点在于如何针对大数据环境下的账户密码和重要的内部资料进行大数据加密，如何加强云平台和虚拟网络的安全技术，如何提升云计算、防窃取、防泄露、软件漏洞等大数据保护技术水平，并且通过提高大数据挖掘分析，加强大数据加密手段，加强数据流动监控与追溯，建设网络信息安全态势感知大数据平台，增强网络信息安全风险检测、预警和处理能力，共享网络信息安全数据采集，优化网络安全管理机制，构建强大稳定的大数据安保体系，充分利用大数据技术维护网络信息安全。

2  防火墙技术

2.1  防火墙的概念

防火墙是提供信息安全服务，实现网络和信息安全的基础设施。如图1所示，防火墙是在外网（Internet）和内网（Intranet）之间建立的一个用于监控、过滤和记录流量通过的屏障，是软硬件相结合的一个网络安全系统，有效隔离了内外网之间的信息流动，是用于保护内部网信息安全以及保护内部网用户资料的一种手段。

2.2  防火墙的分类与功能

防火墙大致可分为两大体系，一个是包过滤防火墙（Packet Filter），包过滤技术是在网络层根据定义好的过滤规则，当有数据包要通过的时候，负责检查每个数据包，如果数据包和过滤规则匹配，则允许数据包通过，否则拒绝数据包的流通。另一个是代理防火墙（Application Gateway），代理服务器位于客户机与Internet服务器之间，将内部网络与外部网络完全分开，并针对客户端不同的应用程序，如FTP、HTTP、Telnet、SMTP等分别进行安全审核。

防火墙的功能主要是对从外部网络访问内部网络的行为进行控制和管理，限制或者拦截不安全的服务，达到过滤出入网络的数据安全的目的，并且在过滤期间记录下各种通过防火墙的信息内容，有效地保护内部网络。

2.3  防火墙的优缺点

防火墙的优点是：能有效且方便地实现对内部网络的保护;因为所有进出信息都必须通过防火墙，作为唯一的访问途径，防火墙能有效地记录网络上的活动;通过防火墙上的安全规则和日志分析可以方便地监视网络安全。假如防火墙遭到入侵或者发生崩溃时，防火墙能强行断开内外网之间的连接，确保内网的安全，同时防火墙会进行预警，并追踪入侵者的来源，确保网管能及时采取应急措施。

防火墙的缺点是：防火墙不能防范不通过它的连接，防火墙的安全控制只能作用于外部访问内部或者内部访问外部，而据权威部门统计结果表明，网络上的安全攻击事件有很大一部分来自内部攻击。防火墙可以防止外部的用户获得敏感数据，但它无法防止内部用户拷贝文件，或是盗用信息。如果怀有恶意的内部员工关掉防火墙或将站点设为允许对防火墙后的内部系统进行访问，那么防火墙将形同虚设。此外，防火墙是一种静态安全技术，必须事先设置好安全规则，它无法主动跟踪入侵源，也不能对实时攻击做出灵活响应。且防火墙无法防范病毒，更不能消除网络上的病毒。

3  入侵检测技术

3.1  入侵检测的概念

入侵检测（Intrusion Detection）是一种通过收集网络系统的某些关键位置的信息然后进行分析比对的机制，它能够检查网络系统是否有被攻击的迹象，以及是否存在违反安全规则的情况。入侵检测能够帮助网络系统快速甄别网络攻击，有效协助网管人员提高网络安全的管理能力，入侵检测弥补了防火墙的不足，使得网络安全体系更加完整。

3.2  入侵检测的原理及功能

入侵检测是防火墙后面的第二次安全关卡，它能随时监听网络，在不影响网络性能的前提下一旦发现有攻击或误操作就能进行实时保护。如图2所示，入侵检测系统更像是充当了一个网络嗅探的角色，它从搜集来的信息中提取數据进行分析，利用储备的入侵特征进行比对分析，如果发现匹配度较高则判断为存在入侵，入侵检测将断开连接、记录证据并恢复数据。

入侵检测系统的主要功能就是监视系统、用户的运行情况，能够实时检测到用户的非正常活动，进行统计分析，通过查找非法用户，记录入侵行为的规律，进一步检测系统配置的正确性，发现漏洞并提示网管补漏。

3.3  入侵检测系统的不足

入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞;对攻击特征库的更新不及时，大数据时代下，每天都会有大量新的攻击方法产生，每天都有大量的新漏洞发布，传统的入侵检测显然不能满足安全要求;入侵检测系统无法控制外网对内网的访问，存在安全漏洞;当入侵者频繁向内部网传输大量数据时，容易造成入侵检测应付不来而崩溃的情况;入侵检测系统缺乏国际统一的标准。

4  集成防火墙的入侵检测系统

如前所述，在大数据背景下，恶意攻击者入侵的手段越来越复杂越来越隐蔽，而单独的防火墙和入侵检测系统都存在自身的不足和缺陷。为了更好地解决大数据背景下的网络安全问题，我们尝试研究将防火墙与入侵检测集成的模型，这种模型同时具备两者的优点，相互之间又能互相弥补对方的不足。如图3所示，该模型通过网关应用于外网和内网之间，防火墙与入侵检测可通过通信机制进行传递信息。

入侵检测中的事件发生器可以动态采集各种流量包并进行比对分析，并将有用的信息发送到分析引擎，分析引擎通过用户制定的安全策略进行检测，如果检测到入侵行为，将触发响应单元自动修改防火墙的安全策略，从而达到阻止入侵的目的，同时发出预警，使网管可以及时采取有效的应急措施，如图4所示。

5  结  论

在移动“互联网+”大数据时代的背景下，信息安全的问题只会越来越突出，本文对入侵检测和防火墙的集成进行了探索研究，使得两者互相弥补对方的不足，既提高了防火墙的智能访问控制能力，又解决了传统入侵检测不能进行主动控制的问题。经实践发现，该集成系统使得防火墙和入侵检测两者的性能都得到了有效的改善，希望能对提升大数据信息网络安全起到积极的参考作用。

参考文献：

[1] 曾凡平.网络信息安全 [M].北京：机械工业出版社，2015：145-146.

[2] 甘剑.入侵检测系统的分析研究 [J].武警工程学院学报，2004（2）：77-80.

[3] 张丽红.计算机网络入侵检测技术研究进展 [J].微计算机应用，2004（2）：135-140.

[4] 罗守山.入侵检测 [M].北京：北京邮电大学出版社. 2004：97-99.

[5] 讯宜捷科技.未来互联网+大数据时代 [EB/OL].（2018- 06-20）.http：//www.sohu.com/a/236807089_495461.

作者简介：叶晓兵（1980-），男，汉族，广西灵山人，教师，讲师，工程师，学士学位，研究方向：数据库管理、软件技术、信息与安全技术、电子商务。