基于大数据的计算机网络安全防御系统建构分析

项建德

(西北政法大学 陕西 西安 710122)

0 引言

传统计算机网络安全防御中的防火墙、入侵检测、漏洞修补等手段早已无法应对多元化、智能化的网络攻击形式,但计算机领域软件、硬件、算法的快速发展,使得大数据、人工智能技术在自主学习、信息处理、判断能力、选择能力等方面具有明显优势,借助大数据技术的数据挖掘功能,可以为计算机网络安全防御系统提供更安全可靠的验证结果。基于此,在大数据、人工智能技术的支持下可以积极建构计算机网络安全防御系统,有效应对新时代背景下各种复杂的网络攻击。

1 计算机网络安全现状

1.1 网络攻击手段智能化

随着大数据、智能技术的快速发展和进步,网络攻击方式逐渐朝着智能化的方向发展,大数据技术为广大社会公众提供了数据提取、关联的便利,使得网络攻击手段智能化、多元化的同时,网络攻击的隐蔽性和规模也随之不断增加,一旦网络攻击与安全防御之间失去平衡,将直接助长网络犯罪风气,这也对网络安全工程师的安全思想和安全手段转变提出了一定的要求。

1.2 网络攻击方式多元化

由于计算机网络系统漏洞在基层参考模型中所处的位置不同,在攻击者的物理可用性的影响下很可能使得物理设备遭到多种攻击,一旦攻击者获得物理访问权限,即可对边缘设备进行篡改或者开展反向工程,从而获取整个计算机网络系统的访问权限。因特网作为计算机网络系统的重要通信载体,通信层极容易遭到已知、未知等多种类型的协议攻击,或者从软件计算、数据积累或数据抽象等方面着手采取网络攻击手段。此外,第三方代码和软件错误同样会影响计算机网络系统中的通信层,结构化查询语言(structured query language,SQL)注入、数据存储渗透等攻击手段也主要集中于不完善的软件和应用程序。

1.3 系统身份验证机制及用户隐私保护机制薄弱

当前的计算机网络组件和运行环境仍缺乏统一的度量标准,无法切实保障参考模型中一层或多层的使用安全,计算机网络系统中的网络服务、互联网或应用程序接口(application programming interface,API)、网络系统更新机制、数据流通也缺乏可供参考的度量标准。与此同时,计算机网络运行环境中的身份验证机制和用户隐私保护机制也有待完善,但计算机网络系统中的某些软件或程序需要面向用户公开,因此需要利用身份验证机制避免用户获取访问权限或其他可能影响计算机网络系统运行的行为。在计算机网络系统优化、升级的过程中,还需要考虑持续监控、风险评估、升级措施的一致性,以免增大不必要的计算机网络系统运行风险。

2 基于大数据的计算机网络安全防御系统建构意义

传统计算机网络信息安全防御主要采用分析日志、网络流量、系统事件等手段,以此达到网络信息安全检测、取证入侵等目的,但传统技术手段很难满足长期的大规模分析需求,而新型大数据技术在大规模异构数据集成方面具有明显优势,这些技术为安全信息存储、维护、分析等工作提供了强有力的支持,计算机网络安全的防御方式也随之发生明显变化。首先,入侵检测系统(intrusion detection system,IDS)传感器市场发展,为企业网络提供了网络监视传感器及日志记录工具,但相关技术人员很难针对不同数据源的警报进行管理。这也使得网络安全厂商愈发重视安全信息、事件管理工具的开发和设计,如安全、信息和事件管理(security,information and event management,SIEM)可以将关联警报及其他网络统计信息进行有效整合,利用仪表板为安全分析人员提供所需信息,基于大数据工具全方位关联、整合各种数据源,以此为安全分析人员提供技术、信息层面的便利。其次,传统技术手段在不完整、含噪声的大型非结构化数据及执行分析、查询等方面具有工作效率低的缺点,但运用新型大数据技术即可有效处理、查询异构、不完整、含噪声的数据。如传统SIEM系统需要处理大量数据信息和分析事件,但在Hadoop系统中运用Hive运行查询功能可以在短时间内快速获得所需的结果。最后,大数据工具可以高效化检测、取证高级持续性威胁(advanced persistent threat,APT),如APT具有低速模式、长期运行的特点,在长时间内检测、取证高级持续性威胁,在此过程中可以利用大数据技术对内部数据源和外部共享的情报数据进行采集,通过长期的历史关联验证攻击信息,最后将其录入网络防御的历史数据库。

3 基于大数据的计算机网络安全防御系统建构

基于大数据技术的计算机网络安全保密系统建构需要从整体角度出发,采取科学可行的措施优化系统运行中可能出现的漏洞,考虑所有系统组件之间的相互依赖性及其与外部信息交互时产生的期望行为。基于此,在计算机网络安全防御系统设计过程中应全面分析、整合操作数据,通过这种方式检测系统运行性能及其中存在的漏洞。计算机网络防御系统中的通用架构以大数据架构为背景,根据计算机网络安全系统设计及操作原理,依托于高速度的现代计算机网络运行系统,高度并发处理大数据容量。

3.1 网络数据存储与通信子系统

利用专门的存储模块对计算机网络安全系统中的所有数据进行存储时,通常需要借助核心组件、边缘设备、第三方服务数据保证系统的正常运行。当系统数据静止时,即可对其采取加密处理,切实保障系统数据运行的安全性。大数据计算服务主要通过公开访问的区块链模块通信,而不直接与数据存储模块通信。区块链模块可以面向计算服务和第三方服务提供公开访问的数据集,在优化系统安全设计的同时,还能加强第三方系统及系统用户之间的交互关系。在数据公开访问服务中可以充分利用区块链模块具有的不可更改的特质,并以此为基础构建智能合约,全方位监管计算服务、第三方服务的行为。另外,智能合约还能自动处理第三方供应商服务水平协议驱动的事件,并对网络设备的许可证管理进行控制。

3.2 大数据分析与处理子系统

大数据分析与处理子系统综合涵盖了预处理模块、事件协调模块、智能分析引擎等,在预处理模块中接收边缘设备传达的数据信息后,即可对网络设备的验证和授权进行处理,同时严格把控网络设备在系统中的通信能力。在事件协调模块处理经授权的流量后,还可以面向智能分析引擎提供输出数据,最后完成整个系统评估的过程。边缘设备及最终用户输入不但能保证系统的整体性,还能提高系统数据的安全性及可靠性。在事件协调模块处理源于网络设备的授权流量时,需要将易失性操作送回网络设备,事务性事件和操作事件则需要分配到智能分析引擎,基于区块链模块将其传送到数据存储模块。

大数据分析与处理子系统主要起到衔接沟通的作用,在保证所有子系统之间的相互关系的同时,还能将所有事务记录为已完成或错误。智能分析引擎主要用于处理事件协调模块中接收的事件,利用预先训练的预测模型评估事件后,在特殊情况下可以通过事件和预测模型发出相应的警报,以便于相关技术人员及时开展审查工作。在此过程中相关工作人员应对新数据模型进行重新训练,从而有效避免状态变化或参数漂移的情况。事件协调模块可以对系统日志及关键绩效指标中的事件进行集中处理,为系统工作人员提供所需的数据信息,深化相关工作人员对系统操作的理解,保证任务管理效率的同时,还能促使相关工作人员在系统日常操作中采取正确的措施。

3.3 接口管理子系统

接口管理子系统主要以管理模块为中心,以便于技术人员完成系统交互界面,并完成配置更改、解除威胁、保证系统持续运行等操作。在接口管理子系统与智能分析引擎的双重配合下,系统人员可以利用智能分析引擎中包括的仪表板、报告以及警报采取各种处理措施。在客户与核心网络系统的接口中,可以为用户提供相应的实用程序和服务。由于篡改和逆向工程极容易破坏网络设备的物理可用性,因此在计算机网络安全防御系统中还需要设计安全通信协议,利用区块链分类账中的智能合约保证不可变性质,并为边缘设备提供不可变数据。

4 基于大数据的计算机网络安全防御系统设计

4.1 系统入侵检测报警模块

基于大数据技术构建计算机网络安全防御系统时,应以计算机网络安全防御的入侵检测报警模块为中心,快速识别计算机遭到攻击后的信息及现实数据,并将其作为计算机网络安全防御管理工作的重要数据参考,通过计算机屏幕向管理人员发布警报信号。在计算机网络安全防御系统设计中,为保证入侵检测报警模块的运行效果,设计人员可以将重心放在报警速度与精准性检测两方面,并在系统匹配模式、协议以及行为分析模式中积极引入大数据技术,在系统高性能传感器的共同配合下做好计算机网络安全防御工作,整体提高系统入侵检测报警模块的运行效率。

在入侵检测警报模块设计过程中,必须保证计算机网络安全防御系统可以针对不同网段完成高效监听工作,借助千兆网络适配器提高入侵检测警报模块的工作效率,配合行为分析、精准协议分析等智能技术完成报文检测工作,同时全面检测、采集报警特征。对系统安全防御原始事件进行分析时,可以借助智能事件分析技术,缩短信息传递到智能控制处理模块的时间。在系统入侵检测报警模块运行过程中,借助零系统调用技术、零拷贝流水线技术同样能保证数据检测、分析的速度,并将事件漏报、误报发生的概率控制在最小范围内,从根本上保障系统入侵检测报警模块运行的精准性与可靠性。

4.2 系统智能处理模块

在计算机网络安全防御系统设计与应用中,可以利用智能处理模块获取入侵检测报警模块中采集的安全防御信息,结合多方面的因素判断被攻击的网络端口,并及时切断该端口的网络连接,以免计算机网络安全防御系统遭到更严重的入侵攻击。在智能处理模块设计中还可以积极引进智能处理知识库,建构防火墙、交换机、路由器于一体的智能联动控制机制,从而对计算机存储资源起到安全防护的作用,避免计算机存储信息资源遭到恶意调用或损毁等问题。

在计算机网络安全防御系统运行过程中,可以将智能控制处理模块与人工智能技术相结合,使得智能处理模块具有良好的自主适应能力与自主学习能力,同时不断优化、升级系统知识库中的内容,整体提高计算机网络安全防御系统的智能化水平。借助系统智能处理模块开展计算机网络安全防御工作时,可以针对实际情况采取不同的行动处理方式,从而把握计算机网络安全防御系统的工作重点。首先,紧急行动。紧急行动指对计算机网络安全入侵事件作出快速的处置反应,利用智能处理模块第一时间对计算机网络安全防御系统的入侵情况作出紧急行动,并对计算机网络入侵事件采取阻断处理。其次,适时行动。适时行动的执行速度相对缓慢,一旦计算机网络安全防御系统出现入侵问题,系统需要经历几天的反应和处理时间。在适时行动机制的影响下计算机网络入侵事件需要配合智能控制处理模块,或者在网络工具跟踪或攻击细节记录等手段的支持下,向计算机网络安全防御控制中心反馈相关数据信息。再次,本地长期性行动。相对于紧急行动、适时行动,本地长期性行动的紧迫性相对较低,但该行动的内容详细度更高,可以为安全防御人员提供安全事件分析、统计表编制等信息层面的支持。在计算机网络安全防御工作中,本地长期性行动对系统部署单位本地有着直接的影响。最后,全局长期性行动。该行动的执行时间最长,不仅全方位覆盖计算机网络安全防御系统行为,其中涉及的工作内容也更为复杂。

在全局长期性行动中,通常需要面向计算机网络安全防御系统制定更严格的要求和标准。计算机网络安全防御系统中的智能控制处理模块主要包括存储、控制台、数据采集组件以及其他安全产品或网络设备,其中响应组件可以配合辅助决策专家模块、自动追踪分析模块完成系统数据信息传输工作,辅助决策专家模块主要与分析组件相连接,而系统入侵检测报警模块则与数据收集组件相连接,这三种连接方式均可以达成数据流传输的目的。此外,在智能控制处理模块运行过程中,必须保证各组件之间数据信息交换的时效性,并在模块设计中添加统一的接口。在智能控制处理模块实践中还可以积极引入系统恢复技术,以此保证计算机网络安全防御系统的数据共享、数据修复等功能,确保系统遭到不良攻击时能第一时间恢复正常,从而有效避免计算机网络安全防御系统运行可能面临的损失。

4.3 系统自动追踪分析模块

大数据技术下的计算机网络安全防御系统可以设置自动追踪分析模块,利用该模块对计算机网络系统运行中出现的威胁进行自动化分析,为计算机网络安全管理人员提供多元化的知识信息。一旦信息源、全过程信息遭到攻击,即可利用系统自动追踪分析模块中的主动攻击程序抵抗入侵行为,并将其作为计算机入侵事件调查工作的参考依据,进一步优化、完善计算机网络安全防御方案。系统自动追踪分析模块主要包括追踪定位、网络陷阱、网络取证三个部分,尽管三个模块相互独立,但在系统自动追踪分析模块运行过程中必须将其与智能控制处理模块相结合,按照智能模块下达的指令,完成智能控制发布的管理任务,并将任务信息反馈给智能控制模块,充分利用智能模块的学习功能提高计算机网络安全防御系统的工作质量。

5 结语

大数据及人工智能技术为计算机网络安全问题的解决提供了强有力的支持,在计算机网络安全防御系统运行中必须积极迎合新时代技术发展带来的机遇与挑战,本文基于大数据技术构建计算机网络安全防御系统,切实保障计算机网络安全,结合计算机网络安全现状,正确看待基于大数据的计算机网络安全防御系统建构意义及建构策略,同时不断优化基于大数据的计算机网络安全防御系统设计,充分发挥大数据、人工智能在网络防御安全系统中具有的技术优势。