◆杨 阳 陈 舟 熊 璐
基于云端的安全防御系统设计实例研究
◆杨 阳 陈 舟 熊 璐
(中国银联电子支付研究院 上海 200000)
随着全球科技的快速发展,“云技术”在各行各业得到越来越多的普及与应用,如何确保基于“云技术”下的安全防御问题,避免入侵、攻击等安全性问题就成了当下需要探索的重要课题。本文对“云技术”的优点及系统架构进行了分析,研究常见的应用安全问题,进而提出一种基于云端的安全防御系统设计。
云技术;安全防御系统;设计实例
“云技术”应用的不断增多,使得云端变得极为重要。云端指的是计算机终端,通过云端能够提供相应的云技术服务。通常,云端由各个网络服务器组成,通过远程控制的形式能够实现多个网络服务器间的信息传递,确保各计算机能够正常开展运算工作,从而使数据的存储、计算、处理、共享得以实现的托管技术[1]。运用云技术,能够更灵活、快捷、便利地处理国家、社会、企业乃至个人的各类需求,从而使运行效率、成本效益实现最大化。
“云技术”的概念就是在商业应用模式的基础上,应用技术、管理平台技术、整合技术、信息技术及网络技术等的总称,它能够有机的组成资源池,便利灵活的按需使用。其优点如下:
(1)运算能力强大:基于云端的计算能力得到前所未有的提高,全球知名的供应商,如IBM、微软、雅虎、谷歌等,其用于计算的服务器可达几十万甚至上百万台,为全球用户提供了庞大的计算功能。
(2)便捷性:“云技术”能够支持终端用户在任意位置获得所需要的服务。“云”向用户提供了各类资源,而不是固定在某处的、存在物理形态的某个实体。用户所需要的应用服务均在云中实现存储、计算、反馈等。
(3)可靠性:相较于本地计算机,“云技术”应用了数据多副本容错机制,同时其计算节点也能够实现互换等,这些措施都比本地计算的可靠性更高。
(4)通用性:“云技术”并不特定应用于某项指定的服务,而是能够容纳并支撑各种不同类型的应用同时运行。
(5)可扩展性:“云技术”可随着用户的增长而扩大规模,不再像传统信息技术那样单纯地增加设备,其可扩展性、成本的优化性都是无可比拟的。
云端是一种基于应用虚拟化技术的软件平台,为确保云端的安全,就需要加强对云端所在的服务器的防御能力[4]。只有确保云端的整体安全性,才能够提高云平台的防御能力。通常,云端多配备相应的主动防御系统,在该系统的运行下能够提高运行安全,确保云端不遭受网络攻击。如图1所示为计算机网络安全防御系统功能图。
图1 安全防御系统的设计结构
安全预警模块设计包括漏洞预警设计、攻击趋势预警设计以及行为预警设计等。通过安全预警模块设计,实现了多异构应用软件的集成,同时在不同的开发环境及不同架构下实现不同集成模块间的信息传递及通讯[2]。安全预警模块的设计能够进行行为预警,提升了网络安全防御,同时也能更好抵御不同的漏洞攻击,确保安全防御系统的顺利运行。
在安全防御系统中,安全监测十分关键。通过对不正常流量进行安全监测,能够确保云端网络使用的安全性。因此,在安全监测模块的设计过程中,网络流量的抓包技术以及入侵检测技术等应用十分关键。通过监测技术的应用,能够对云端网络的硬件与软件进行综合流量分析,对不正常的数据进行深入挖掘与跟踪,并对存在的隐藏网络隐患进行安全清除。
随着网络技术的应用与普及,网络技术在为人们提供丰富资源的同时,也同样被别有用心之人用于入侵他人网站、云存储等。这些黑客往往借助自己掌握的计算机、网络技术攻击企业、公司网站窃取信息、篡改数据或盗取他人个人隐私或信息,并加以利用、散布,给社会带来了极大的负面影响与安全隐患[3]。比如前些年给社会、经济造成巨大影响的“熊猫烧香”等病毒,其导致的经济损失与社会影响都是难以估量的。
虽然目前计算机网络技术已经普遍应用于工作、生活的各方各面,人们已经能够熟练运用计算机网络技术,但大部分用户对其仅限于运用,而并未受过专业的计算机网络安全培训,甚至对于如何规范使用计算机、网络也较为模糊,对使用的计算机也不会定期杀毒与维护,同时在上网操作时,随意点击不安全网站、广告、链接等,为计算机网络感染各种病毒、木马程序提供了条件。用户往往会因为这些操作导致个人隐私、信息等泄露,甚至危及公司、企业的内部信息安全。
“云技术”在为人们提供丰富的网络资源、快捷的计算能力的同时,也间接促进了其他智能网络设备的发展,比如平板电脑、智能手机等,人们已经能够不仅仅通过计算机来获取网络信息与资源[4]。在这样的条件下,也给“云技术”网络安全带来了新的挑战与难度,我们所需要应对的入侵途径也呈现多样化的发展。
鉴于“云技术”使用中的安全问题,着手设计一种基于云端的安全防御系统,旨在加强安全防御技术,为“云技术”的实际应用提供安全保障。
(1)功能与实现
对数据作预处理以备分析程序使用;生成报表以备前台展示。对每分钟到达的flow,session,以及“全量”文件做流量次数的统计处理,对入库的数据按照rule规则以分钟为粒度;定时对url数据拆分统计。
(2)方法描述
Save方法:每个“子类”都定义的方法,用来处理对应文件的导入和数据聚合;涉及的子类为Flow,Session,Allnet.
需要处理的文件有3类:flow、all_flow、all_url。这三类数据的处理方法基本一致,可以采用类的继承派生方式实现,定义三个类的公共基类,实现公共方法,三个具体文件的处理通过“基类”的派生来实现,方便代码维护。
(3)访问控制
云端运行过程中,云数据库可采用其他形式的强制性访问,包括控制系统允许的所有访问许可证且在一定程度上不受雇主的控制。以组为基础的访问控制可作为调整访问操作许可证的标签,实现在更为复杂的准入决策控制加强访问控制的切实可行,确保能够满足更多的访问需要[5]。
(1)底层接口与功能描述
底层模块通过采用时序模型算法,依据每个检测项的历史数据建立对应的预测模型,并能依据活动日或节假日进行灵活适配。通过自学习、自评估、自迭代的思路,解决了原有策略阈值需要反复调整才能稳定的问题,大幅降低了人工干预成本,避免了需要人工频繁介入调整的时间消耗,使得预测更为精准实时[6]。
(2)流量基线功能实现
①读取数据库内的流量基线规则配置表,对每一个生效的检测项rule_id循环进行步骤2~13,直至所有rule都完成基线预测。
②输入预测日期,关联查询节假日数据表及活动日配置表,判断该rule_id的“预测日”是否为节假日或活动日。
③当“预测日”当天为活动日或节假日时,直接对历史数据进行重新建模训练。当“预测日”当天为正常的工作日/周末,则读取最近已结束的正常的工作日/周末当天预测基线与实际流量评估基线拟合效果。
④对预测天的数据进行数据预处理后,采用周期分解算法对原始数据进行周期分解,拆分为长期趋势,周期趋势和残差。
⑤采用ARIMA模型对长期趋势进行拟合,并对模型进行固化及预测,生成“预测日”当天的长期预测结果。
⑥对残差进行排序后,将位于正序top5%的值作为基线浮动上限值,将位于倒序top5%的值作为基线浮动下限值,并读取数据库中流量基线配置表当中的基线浮动上下限比例,生成正常流量基线上限及正常流量基线下限。
(1)入侵检测系统功能模块设计
在入侵监测系统模块设计过程中,通常将设计内容分为三个单元,分别是攻击探测设计、攻击处理设计和系统控制设计。入侵监测系统功能模块设计能够有效探测云端入侵情况,确保云端的使用安全。因此,在该模块设计过程中,需要安全管理人员为攻击探测单元的侵入者数据库制定相应标准。而通过入侵探测系统的攻击探测次级构成部分设计,能够从入侵数据库中获取的数据说明,以确定是否发生了网络入侵攻击。在发现可疑攻击时,攻击处理单元迅速发出警报并采取后续的拦截行动[7]。
(2)入侵检测系统的部署设计
为了及时和准确地发现入行为件,入侵探测系统往往与高风险网络的接入流以及需要统计和监测的模块相连接,且离受保护目标的Nids传感器相对较近。因此,为了有效保护云端的机密数据,通过设计入侵探测系统,能够保护云端所存储的关键信息及相关数据。只有确保关键服务器处于安全防御状态,才能够更好提高入侵监测系统部署设计的功能性。
网络安全防御系统作为数据程序的重要屏障,防御和攻击为不可调节的问题。因此,网络安全隐患扫描应网络系统中的其他设备能够联合开展有关工作,针对所存在的漏洞与安全隐患,确保在比较短的时间内迅速查找隐患并在第一时间迅速开展相关修补工作,确保网络运行效率的高效提升。
[1]龚月瑛,乔月圆.大数据时代计算机网络安全防御系统设计研究[J].信息与电脑(理论版),2019,31(20):199-201.
[2]邹雀平.云存储环境下的网络安全防御系统设计[J].数字通信世界,2019(09):56.
[3]李正平,王瑶瑶.一种主动网络安全防御系统研究与设计[J].网络安全技术与应用,2019(10):24-25.
[4]何金奎.基于大数据的网络安全防御系统研究与设计[J].电子世界,2019(15):180-181.
[5]赵德宝. 浅谈大数据时代计算机网络安全防御系统设计[J].电子制作,2019,372(08):68-69.
[6]周军,陈巧云.基于大数据分析的网络安全防御技术研究[J].信息与电脑(理论版),2019(11):231-232.
[7]辛颖,王高飞,余成.计算机网络安全防御措施分析[J].信息系统工程,2017(07):69.