基于大数据的计算机网络安全与应对措施分析

檀香超

（中通服网盈科技有限公司 江苏 南京 210000）

引言

大数据时代常常通过某一个或者几个特征信息，输入到电脑软件中，就能找到该目标的匹配信息。有的时候会使用其他IP地址，从而使被查看人无法进行网络追踪，面对这种情况，人们往往只能使用代理IP，但这也恰恰说明人类已经开始走进了一个新的智能化时代：大数据时代[1]。

1 IP地址欺骗攻击

IP 欺骗攻击，通常是利用两台通信 PC之间的信任来实现的。例如，攻击者为了进行IP欺骗，首先使被信任关系的主机失去工作能力或阻断其通信，然后由自己伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。攻击者一般会使用SYN洪水攻击、TTN、Land等进行欺骗攻击[2-3]。

假设甲与乙两台PC正在通信，通过了解TCP/IP协议我们知道，必须要先进行“三次握手”来建立TCP连接。

第一次握手：甲发送SYN包(seq=x)到乙，并进入SYN发送状态，等待乙确认。第二次握手：乙收到SYN包，必须确认甲的SYN-(ack=x+1)，同时自己也发送一个SYN包(seq=y)，即SYN+ACK包，此时乙进入SYN接收状态。第三次握手：甲收到乙的SYN+ACK包，向乙发送确认包ACK(ack=y+1)，完成三次握手。

TCP会为每一个连接建立一个ISN，但ISN的变化是有规律的，对于攻击者来说，一旦掌握了规律，就可以对目标主机进行攻击，现在很多攻击软件就是对ISN进行计算和伪造数据包来实现的，这是因为协议自身的缺陷造成的。

2 防止IP欺骗攻击的方法

2.1 设置路由

即便攻击者掌握了攻击原理，若要实施欺骗攻击，操作起来是比较困难的，如对序列号的猜测。但也并不是完全没有可能，一般的攻击步骤分为：①寻找并发现信任关系；②通过操作，使被信任的主机失去连接目标主机的工作能力；③获取并伪造TCP数据包，同时找出序列号规律；④攻击者与目标主机建立连接，并获取目标主机的权限；⑤进一步提升权限，从而达到控制目标主机的目的[4-5]。

经分析具体IP欺骗攻击案例发现，通过对防火墙及入侵检测系统进行有针对性的配置与部署，可以检测发现并阻止攻击。但这就涉及到另外一个网络设备：路由器。在整个网络体系中，对边界路由器进行防攻击配置，过滤掉从外部网络进入，却声明具体内部网络IP地址的数据包，来保证目标主机的安全。但这样做有个前提：第一，目标主机IP不可以与外部网络主机建立信任关系；第二，攻击者所使用的IP必须来自于外部网络。因为路由器是用于连接两个完全不同的网络组，如果攻击者来自于内部网络，那么路由器的设置就会不起作用。

由此可见，通过对路由器进行设置，只能在一定程度上降低目标主机被攻击的概率，却不能从根本上解决问题。

2.2 智能化入侵检测系统

通过对IP欺骗攻击的步骤进行分析发现，入侵检测系统通常只是对单个的数据包进行检测（即一个一个的检测），在微观上起到了防止被攻击的作用，但在宏观的把握上所有欠缺。如果将入侵检测系统智能化，可以做到对大量数据包之间的潜在联系进行分析，同时筛选出可疑的数据包与已掌握的攻击模式进行对比，若有威胁马上阻止。

2.3 检查主机日志

这种办法比较简单，但却很麻烦。它是通过对主机之间的日志一致性进行核对来实现。攻击者对信任主机进行模拟，并伪装成信任主机，来对目标主机实施欺骗行为。所以，对两台已产生信任关系的主机进行日志检查，就可以发现数据是否有被伪造。但这只限于局域网环境下使用。

2.4 API网关在网络安全中的角色

API网关是一个服务器，是整体系统中唯一的一个入口。API网关封装了系统内部架构，为每个客户端提供一个定制的API。同时也具有其他的一些作用，如身份验证、监控、负载均衡、缓存、请求分片与管理、静态响应处理等，因此它具有一定的防护功能，如果没有防护，API网关的集成服务基本上是不安全的。当然，API网关是建立在API平台的架构上，关于API的具体应用和开发，这里不做详述，只从安全性的角度阐述。

API网关的安全性一般体现在以下几个方面：①认证授权：OAuth2、OpenID、API Key、IP限制；②传输安全：SSL、TLS；③流量控制：配额、过载保护、频率限制；④威胁防护：防抓站、防撞库、DDoS/CC防护；⑤编排转换：服务分组、7层理由、协议格式转换；⑥监控分析：访问量实时统计、性能监控、访问分析；⑦统计计费：针对不同用户、不同API分组；⑧缓存加速：毫秒级缓存、请求队列、异步化。

3 结束语

综上所述，大数据时代的到来，为计算机行业的发展，提供了新的方向，但也对网络安全提出了更高的要求。本文只是针对IP欺骗攻击这一个点来分析的。以上防止IP欺骗攻击的方法各有各的优势，但也有各自的缺陷。