基于预防策略的计算机网络防御技术研究

郭华良

（新疆水利水电学校，新疆乌鲁木齐，830013）

1 研究目的

现阶段，计算机网络的开放性虽然为人们的生活、工作带来了极大的便利，但该特性也使得计算机网络运行期间需要面临一定的信息安全风险，影响了计算机的应用效果。在此过程中，Dos攻击以及由该攻击发展出的恶意攻击作为影响计算机网络运行的典型信息安全威胁，该类型攻击通常会通过操作多台僵尸主机，一起对受害计算机进行攻击，使其受害计算机的资源、有效宽带被大量占用，导致其不能正常运行服务功能，同时，由于目前计算机网络中的TCP/IP协议存在一定缺陷，使得该类型攻击无法被彻底杜绝，而运用基于预防策略的防御技术，可以有效拦截恶意流量，防止僵尸主机占用受害计算机资源、宽带，极大地提高了信息安全防护效果，因此，在此次防御技术研究中，研究者以Dos类攻击为研究背景、研究案例，通过分析防御技术在Dos类攻击防御系统构建中的应用，对该技术展开研究，以期为信息安全技术的发展提供助力。

2 研究过程

2.1 机器学习技术分析

（1）技术需求分析

在传统防御技术下，防护装置通常会被按照中间件的处理方式，设置在网络拓扑中，然后根据预设好的定义阈值、规则、签名，识别Dos类攻击，但这种方式仅能识别已知的攻击方式，一旦攻击方式稍微做出了改变，该防御则无法区分正常和攻击流量。在此过程中，可以采用添加编程的方式，使防御系统能够识别新的攻击方式，但该项防御技术操作过于被动而且受硬件限制，因此，为了增强防御效果，可以将机器学习技术引入防御技术体系的建设，通过数据训练的方式，在无需编程的情况下，使防御系统能够识别更多种Dos类攻击方式，达到更好的计算机网络防御技术应用效果。

（2）算法选择

机器学习技术虽然是一种新型的计算机网络防御技术，但从本质上来说，其防御Dos类攻击的作用机理依然是对流量加以分类，实现对正常业务流量、恶意攻击流量的区分，因此，在Dos类攻击防御系统的建设中，应当使用分类算法承载该项技术，使该项技术能够顺利发挥效用。目前，能够承载机器学习技术的分类算法有朴素叶贝斯、K-近邻算法、决策树算法、逻辑回归算法、神经网络算法、支持向量机算法等，其优劣势对比如表1，应对上述分类算法进行优劣势对比，根据实际需求，进行分类算法选择，以构建出有效的计算机网络防御系统，增强防御技术应用效果。在此过程中，可以通过使用第三方工具，对各类算法进行性能测试，以准确选用分类算法。在性能测试中，可以准备攻击类报文6000个，其中应包括cldap攻击包、syn大包等多种类型，同时，正常报文4000个，其中包括ack、dns等类型，用于数据训练，再准备攻击报文1300个、正常报文700个，用于测试，最后，采用交叉验证的方式，查看分类算法的分类准确度结果，然后确定Dos防御系统中用于塑造机器学习性能的算法。

表1 算法优劣势对比表

2.2 数据包系统分析

（1）数据包系统部署

在防御系统中，数据包系统主要用于，区分正常业务流量、攻击流量的区分，并在不影响正常业务流量运行的情况下，对Dos类攻击流量进行处理，以免攻击流量为服务器带来危害。一般来说，数据包系统通常被部署在服务器上，但上述一系列防御流程的运行需要耗费大量的资源，如果系统在服务器上，则会导致服务器资源被大量占用，使计算机网络防御技术无法正常起到作用，因此，应将其部署在服务器之前，使攻击流量能够被系统过滤，而无法到达服务器。而服务器的上一层为核心转发设备，流量会从该设备流向服务器，所以可以采用串联的方式，将系统设置在核心转发设备之后，服务器之前，以便于在不影响计算机网络运行的前提下，实现攻击流量的过滤，落实计算机网络防御技术。

（2）系统功能设计

为了达到更好的计算机网络防御技术应用效果，在具体的数据包系统功能设计上，应当设置好实时监控、非功能性需求满足功能。其中，在实时监控功能方面，系统应可以基于流量历史数据，评估该流量为攻击流量的概率，然后将概率数据输入分类算法模型中，以提高流量分类的准确性和效率，同时，由于监控功能难以直接参与控制，因此，还要为其设置配套的控制模块，使监控结果可以被转化为控制指令，实现整体调度、控制，以便于在正常流量不足时，及时从核心设备处引入流量。在非功能性需求方面，设计者应为系统设计日志分析、流量展示等功能，使用户能够更好地了解系统功能的运行过程，并在有需要时，进行功能管理，增强防御技术的落实效果。

2.3 系统总体设计分析

（1）整体防御流程设计

在计算机网络防御系统的整体流程设计中，设计者需基于机器学习技术、数据包系统，构建出一个主动的防御机制，以实现自动化的Dos类攻击防御策略运行，有效落实计算机网络防御技术。在此过程中，数据包系统会实时监测核心设备输入的流量，当系统认定该流量为攻击流量时，数据包系统的监测控制器就会下达流量引导指令，并将流量引入输入输出模块处，该模块会再将流量送往预处理模块，并为该预处理模块的输出端规划两条链路，一条通往分类器，另一条通往存储模块。其中，分类器主要是用于识别、销毁攻击流量，而存储模块则是存储从攻击流量中提取的网络数据包，用于分类器的学习，形成一个完整的防御流程，实现计算机网络防御技术。

（2）模块功能设计

根据上述流程，防御系统所需的模块包括，流量输入输出模块、预处理模块、数据存储模块、特征提取模块、分类器模块。其中，流量输入输出模块的功能为，分发来自于核心设备的流量数据。预处理模块的功能为，利用传统的防御措施，对流量初步处理，减少分类器所需判别的流量，减轻分类器的工作负担，提高防御系统的反应效率。数据存储模块的功能为，存储分类器训练所需的样本数据。特征提取模块方面，由于数据存储模块中的样本数据是以数据包的形式存在的，而该形式的样本数据无法被直接应用于分类器训练，因此，需要特征提取模块，将样本数据包中的特征数据提取出来，传输给分类器以保证数据训练的正常进行。分类器模块的功能则为Dos攻击类型的识别、判定，是整体系统的核心功能。

2.4 模块功能实现设计

为了有效运作计算机网络防御技术，设计者还要对上述功能模块的运行进行设计，以保证防御工作效果。基于上述论述，模块功能的实现设计包含以下几个重点：

2.5 高速收发数据包功能实现设计

（1）驱动程序设计

在防御技术的应用中，为了提高防御体系的反应速度，设计者塑造出数据包系统的高速收发功能，以应对大量攻击流量的防御工作，增强计算机网络运行的安全性。在该项功能的实现设计中，应先保证驱动程序的性能，使系统具备足够的驱动，来完成数据包的高速收发任务。在此过程中，可以考虑使用DPDK创新技术，并利用该技术支持海量数据吞吐、弥补内核协议栈数据包处理缺陷的能力，结合由API、用户空间驱动程序组成PMD驱动，开展网卡调动运行，实现轮询方式下的数据包处理，以消除其他方式下，中断操作所导致的性能开销[2]。

（2）其他设计

在高速收发数据包功能实现设计中，考虑到Linux默认每页内存为4k，因此，在存储过程中，如果物理内存较大，那么其所映射出的条目规模也比较大，很容易降低CPU的检索效率。为此，设计者需要采用Hugepage内存方式，设置虚拟内存空间，以加快映射，减少对CPU检索效率的影响。一般来说，将内存页控制在2Mb，设置使用命令echo 2048＞/sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages，实现Hugepage的应用，其中，预留Hugepage大小=页面大小*页面个数，页面个数为2048。

3 结果分析

经过上述设计研究环节，设计者将设计出的计算机网络防御系统投入了测试。在测试中，硬件条件为，交换机1台、物理服务器3台、万兆网卡4块，软件条件为，ubuntu 14.04.1操作系统、内存128G。此次测试所使用的工具为，Linux系统下的hping3。经过此次测试后，设计者发现，该计算机网络防御系统在10Gb流量宽带攻击下，才会出现少量的丢包现象，而常规的网络防御系统，在超过5G时，就已经会呈现出较高的丢包率，由此说明该系统能够有效应对Dos攻击，同时，也说明上述计算机网络防御技术的部署应用方法可行[3]。

4 结论

增强防御技术的应用效果，能够减少信息安全事故发生的几率。经过上述研究可以看出，将计算机网络安全防御技术应用到恶意入侵的拦截机制建设中，能够有效避免恶意流量干扰计算机的正常运行，保证计算机的网络安全，从而构建出更加可靠的计算机网络运行条件。