数据通信网网络安全监测系统研究

赵运海，刘中岭

（中国铁路北京局集团公司北京通信段，北京 100000）

0 引言

信息化和数字化时代应用最广的技术之一就是“大智云物联”，它包括大数据、云计算、人工智能、物联网等等技术的应用，这些技术在金融证券、仓储物流、智慧城市和政务事务方面都有非常广泛的应用，而在视频监控和网络安全方面的预防方面，时代的变化和进步对互联网的装载、安全防护等能力提出了更高的要求。本文通过对BP神经网络技术的导入，通过数据挖掘的方式实现互联网风险分析和监控，实现了构建安全网络，防止风险入侵。与此同时，从根本上评价了该监视系统的缺失性和漏洞性，通过威胁发现、异常分析、判定决策、响应处置的逻辑分析方式，强化互联网防御能力，并提出相应的安全防护系统设计方案。

1 研究网络安全入侵风险监测系统的目的及意义

1.1 研究目的

21世纪互联网已经发展到了一个新高度，互联网的发现与普及将计算机与计算机也联系在一起。信息安全的内容也从一般的防卫变成了日常的预防，而且由原本的专业领域发展为一种计算机普遍具备的技术。网络安全技术主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术以及其他方面的网络安全服务和安全策略。网络安全技术研究的重点是要保证个人利益和集体利益的协调性，在保证个人上网良好体验的条件下，能够保证国家重要资料不被泄露，保证国家的网络环境适合每一个人健康的心灵成长，这也是网络技术应用的根本原则和根本实施目标。

1.2 研究意义

信息安全问题不但是政府安全防护的需要，也是社会化生产安全的需要。特别是随着电子商务的发展，信息技术和信息安全已经成为整个经济社会发展的根本条件和重要基础，从经济社会发展和国家安全的层面来讲，加强信息安全技术的发展，促进信息安全产业的繁荣发展，已经是势在必行的一种趋势。

对于一个国家来说，信息安全系统的建设不仅仅是相关法律法规的制定，还包括一个成熟的技术应用市场和健全的发展平台，我们想要构建一种安全性的信息防御系统的时候，除了对安全产品的构建和开发——以此来解决网络安全问题，最终的目标还是致力于促进国家网络安全的整体性提高，促进民生民安。建立网络安全风险监测系统不仅对国家信息发展和网络建设有帮助，还有利于保证在大数据的网络背景下信息的安全性和有效性，以及网络环境的正常运行，因此需要建立网络安全监测系统，避免网络环境因木马病毒的非法入侵、黑客的恶意攻击等行为造成无法估量的损失，确保网络环境的安全性。

2 当前网络时代面临的安全风险

可以说从2017年开始，网络安全逐渐受到了人们的重视，因为它已经造成了巨大的经济损失，所以网络安全防护系统的应用与需求呈现出日益增长的局面。截至当前，互联网上还存在着很多顽固性很强的病毒。例如，特洛伊木马经过多年的更新换代，伪装成正常的数据文件保存在电脑中，360和金山等杀毒软件对其都不能有效地识别。这些网络病毒的进化严重威胁着网络安全，它们变得更聪明、更加隐蔽、更加难清除、更具有顽固性。更严重的问题是，网络应用系统的软硬件资源被整合化，实现了不同的开发框架和技术的融合，容易形成针对各种类型框架的脆弱性病毒攻击，使网络被攻击的途径变得更多。目前网络时代面临的安全问题主要如下。

2.1 主动防御能力弱

现有的安全系统采用静态预配置方式，网络管理者事先人工配置计算机的防护参数，对于未知的攻击手段无法做到及时检测、快速响应。另外，由于不同系统之间的集成很难，无法实现联动。对于敌人的瞬间攻击缺少应对手段，对于已经遭受到的攻击没有可以用作分析的底层数据，所以无法做到对攻击事件的溯源反制。

2.2 应对新型攻击的反应迟钝

现在的反病毒系统，检查主要根据特征代码技术，采取“捕捉处理升级”的方式，不断升级防御规则提高自身的防御性能，因此过分依赖于对新型病毒的检测能力和速度。且当已知系统感染病毒后，缺少确认病毒的扩散范围、扩散时间、最初感染时间等因素的手段，无法阻止病毒的进一步扩散，及时止损。

2.3 安全漏洞大

我国大多数网络采用的安全技术，防护功能单一，存在较大安全隐患。安全漏洞更新迭代较快，每段时间都会在已有的系统框架中曝出新的漏洞，针对已经暴露出来的安全漏洞，缺乏针对老旧漏洞的检测能力以及对新生漏洞的排查能力。侵入检查系统以旁听方式检查数据包，不能立即切断攻击，难以检测踩点式攻击、再生攻击、间接攻击、网络旁听、DDos等攻击行为。

2.4 很难融合安全系统

防止病毒、补丁分发、脆弱性扫描、侵入检查、主机监视、身份认证等系统分别由不同的机构开发，通信协议不一致、系统接口不统一、数据格式不一致、信息资源难以共享、系统间的联动无法实现，并且各系统间的功能重复，在操作系统的底层容易发生冲突，严重影响计算机的正常运行，影响业务的正常效率。

3 网络安全入侵风险监测系统

3.1 网络安全入侵风险监视系统功能

防止网络风险入侵的监视系统采用了很多集合性的技术，比如说数据收集功能、风险分析功能、安全评价功能、安全响应功能。这些安防技术构成了集成化的安全防御系统，能够对网络安全实行全面的监视和防御功能。

（1）数据收集功能。数据收集功能是通过接入网络应用系统的软件和硬件资源的集成设备来完成数据资源捕获的收集功能。软件系统包括应用系统、操作系统、防御系统和数据系统，而硬件设备包括服务器、交换机、智能终端和路由器等。在这些软件资源和硬件资源共同的运行过程中，会产生很多系统运行的信息记录，如系统日志、数据流量等。数据收集可以将这些信息记录进行定期收集，获取系统日志、数据流量，并进行数据资源的存储。当发生异常事件时，这些数据资源可以为风险分析提供数据支撑。

（2）风险分析功能。风险分析功能是在拥有系统数据作为支撑之后，将数据发送到风险分析模块，进行不同的数据矩阵化处理，例如通过BP神经网络、K均算法、支持向量机等预处理后，数据得到有效的分析。在风险安全规则的建立下，完成数据向风险结果转化。风险分析模块能够分析数据中存有的潜在威胁数据，并对这些威胁数据根据危险等级进行有效分类，建立强大的网络安全风险入侵监测系统。

（3）安全评价功能。在针对收集到的系统数据完成风险分析之后，对这些结果进行定量或定性化的评估，从而获取系统存在的安全漏洞类型。对系统的脆弱性和系统漏洞的缺失性进行既定标准的评价，而针对重大安全防御事件的脆弱性，启动安全响应机制。

（4）安全响应功能。最后一个步骤是进行系统的安全响应及对安全评价结果进行分类处理，发现其中的网络安全漏洞，对这些漏洞和威胁进行清理，防止进一步的威胁。安全响应功能会设立一定的防御机制，对病毒进行有效的规划，利用积极防御的思想，防止病毒的进一步侵入。同时，利用360杀毒软件等防御性系统的设立，修复系统的脆弱性，启动系统的防御规则，及时清除网络内的安全防御机制，控制病毒等风险因素。

3.2 网络安全入侵风险监测系统

用户在进行风险监测系统登录的时候，可以方便地采用IE浏览器登陆端进行风险评估操作，使用动态前页的交互接口来输入评估信息。这种方式是利用先进的SOA构架设计网络来进行安全入侵风险监控系统的评估实施。评估信息通过组件传送到相应的应用服务器。这些安全风险信息位于服务器的逻辑业务层，服务器能够根据这些数据请求进行逻辑处理，从而分析出应用程序想要达到的分析结果。在逻辑业务层，服务器的分析原理是根据BP神经网络的分析模式，发现潜在的系统安全漏洞，并且及时将这些信息存储在数据库中，在系统用的时候随时进行调取，用来提高网络安全的评估能力。

4 网络安全入侵风险检查系统的关键技术

在开发网络安全侵入风险监视系统的过程中，所采用的关键技术包括SOA架构、消息传输机制等，以下详细说明。

（1）SOA架构。SOA网络构架可以为各种类型的软件计算平台提供强大的服务支持。它是以服务为中心的软件开发组件，其核心内容是以组件管理为对象进行分布式的计算。分析组件的操作和技术支持之间存在着很多差异性，这取决于计算环境的差异。组件之间可以进行不断的复用，以确保不同技术的不同支持。SOA网络构架采用的是Web service 等服务模式，这些服务模式可以将更高级别的组件交互操作来进行交叉式的服务。SOA可以实现标准的组件封装，实现各个服务组件之间的配置和安装，实现不同程序语言之间和开发架构之间的复用。同时，SOA网络构架可与各厂家的软件进行兼容，实现动态式的多路复用网络构架。

（2）消息结构。客户可以调用常规组件来完成某些消息的传递功能，这些常规组件可以使用COM、CORBA等消息编译成一个二进制编码对象，从服务器端发送到客户端。在开放网络环境中，不同平台数据的数据结构不同。只有通过二进制编译，才能在不同的服务之间发送信件对象，实现信息的共享组合。

（3）自我学习BP神经网络。BP神经网络能够解决数据延迟、组件丢失的情况。计算机网络仿真技术（BP神经网络）有效把握了计算机网络性能可能发生的问题，将计算机网络模拟所表现的问题直接反馈给服务器的逻辑业务层，通过网络数据传输设计，进一步对网络环境进行防护。BP神经网络是通过计算机网络系统进行不断的模拟分析，检查计算机网络系统中可能存在的瑕疵和漏洞，促进计算机网络数据传输功能的完美实施。

5 网络安全风险监测系统的功能特征

5.1 整体联动、多层防御

将反病毒、防火墙、侵入检查及身份认证、脆弱性扫描、蜜罐等安全技术组织按照系统有机地结合起来，实现整体的连动。实时响应，牵制、转移检测到的网络攻击，分析黑客入侵方法，验证网络入侵，跟踪、反击入侵者，实现主动欺诈、应急响应、灾难恢复、自动反击等功能，最大限度保证网络环境和信息的安全。

5.2 自动监控、自动识别

运用基于程序行动进行自主判断，从而进行实时的保护。根据最原始的病毒定义将直接程序的行为作为判断依据，正确判别新型病毒和攻击。

5.3 动态防御、自动进化

本地特征库升级，具有自动更新能力，自动收集新型病毒的特征值，缩短特征值扫描技术和病毒出现时间差，实现“捕获、分析、升级”自动化。同时，实现系统防护战略的自动配置，不断动态进化系统防护，及时更新强化网络安全防御系统。

6 网络安全风险监测系统的应用

（1）全流量监控分析模块：

对所有流量都进行采集存储，以此作为研判的支撑；可根据业务画像梳理出业务数据流的交互情况，在排除正常业务行为的同时可精确筛选出异常流量；可针对网络、应用等多维度进行流量检索，完整解析数据包，获取数据包的详细信息。

当铁路局发生网络端以及应用端的安全事件时，可通过数据流量为异常事件分析提供依据，百分百还原安全事件全过程，做到分析有因，研判有据。

（2）网络状态分析模块：

1.对全网流量实时分析，结合相关业务情况，定制基于业务的端到端网络路径图，对路径中的各个节点有针对性地设定网络运行监控阈值，实现网络状态的实时分析、实时监控、实时故障预警、快速准确故障定位。

2.有人反映铁路局网络存在延迟、业务系统卡顿、业务无法访问等问题时，可通过流量实时分析网络时延、丢包、连接性等指标，确认网络环境状态；

3.对于网络路径中的关键节点、关键路由可设置点对点针对性监控，根据不同节点详细情况，设置专属监控指标，7*24小时实时监测网络状态；

4.对于业务无法访问情况可通过Traceroute探测功能，对访问过程中网络的每一次路由跳转进行详细展示，快速定位故障路由，保证业务访问畅通性；

5.对于网络连通性可通过主动探测的拨测探针对网络环境进行定时拨测，实时分析拨测结果，提供网络连通性详细展示指标，确保网络联通状态。

（3）安全日志审计模块：

对铁路局不同的日志源（路由器、主机系统、网络设备、安全设备等）所产生的日志进行收集并统一管理；平台内置解析规则，不用手动录入，可自动解析统一异构日志格式，便于观察；根据需求制定相关日志告警规则，对网管系统不能发现的安全事件，进行相关告警，快速响应，急速处置，确保网络环境稳定性。

（4）资产风险管理模块：

采用主动识别的方式，进行资产指纹对比，指纹可对应到具体的服务及应用框架协议等；识别结果包括高危端口开放情况、资产漏洞情况、服务开放情况、资产系统版本等信息。

7 结语

在大数据的网络时代进行安全防御系统，没有任何方法是一劳永逸的，在防护过程中要确保对网络接口、网络服务器、数据存储器等进行管理检测，运用大数据技术及时对信息进行木马、病毒甄别，进行安全防护，保证网络环境的安全运行。