基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)設(shè)計(jì)

溫智鋼

（中國水利水電第十一工程局有限公司 河南 鄭州 450000）

0 引言

網(wǎng)絡(luò)信息量比較大，這導(dǎo)致網(wǎng)絡(luò)信息安全管理具有較高的難度。在面對海量網(wǎng)絡(luò)信息時(shí)，現(xiàn)有的系統(tǒng)應(yīng)用，已經(jīng)無法滿足網(wǎng)絡(luò)信息安全管理需求，為此本文提出一套基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)設(shè)計(jì)[1]。

1 系統(tǒng)硬件設(shè)計(jì)

1.1 網(wǎng)絡(luò)攻擊探測器選型與設(shè)計(jì)

網(wǎng)絡(luò)攻擊探測器是此次設(shè)計(jì)系統(tǒng)的核心硬件設(shè)備，其主要作用是對網(wǎng)絡(luò)攻擊行為和不法網(wǎng)絡(luò)用戶進(jìn)行探測，獲取到相關(guān)數(shù)據(jù)信息，為系統(tǒng)管理網(wǎng)絡(luò)信息安全提供依據(jù)。根據(jù)實(shí)際需求，此次選取了美國UOI 電子科技公司生產(chǎn)的IAIDWAD/A56D6A 型號網(wǎng)絡(luò)攻擊探測器，該網(wǎng)絡(luò)攻擊探測器易操作、體積小，其內(nèi)置HKKSB-5A5S 芯片，具有較強(qiáng)的網(wǎng)絡(luò)攻擊行為探測性能[2]。通過USB 接口將網(wǎng)絡(luò)攻擊探測器與系統(tǒng)服務(wù)器連接，并且將網(wǎng)絡(luò)攻擊探測器電路與系統(tǒng)開關(guān)電路串聯(lián)在一起，當(dāng)系統(tǒng)開啟運(yùn)行時(shí)，網(wǎng)絡(luò)攻擊探測器開關(guān)也一同開啟。對網(wǎng)絡(luò)攻擊探測器的掃描頻率、掃描周期以及探測時(shí)間等技術(shù)參數(shù)進(jìn)行設(shè)定，通過B/S 通信協(xié)議將探測器掃描到的網(wǎng)絡(luò)攻擊模擬量信號和數(shù)字量信號經(jīng)過HKKSB-5A5S 芯片處理和分析，然后將其發(fā)送到系統(tǒng)數(shù)據(jù)庫中，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的探測。

1.2 電源電路設(shè)計(jì)

在傳統(tǒng)系統(tǒng)硬件基礎(chǔ)上，對其電源電路進(jìn)行了重新設(shè)計(jì)，系統(tǒng)電源電路采用的是ADSFA-5SD5 型號集成電路板，圖1 為系統(tǒng)電源電路示意圖。如圖1 所示，系統(tǒng)通過ADSFA-5SD5 型號集成電路板將10V 直流電壓轉(zhuǎn)換為10V 交流電壓，確保系統(tǒng)電源電路穩(wěn)定。此外，在系統(tǒng)電路上安插了穩(wěn)壓器和濾波器，起到穩(wěn)壓和濾波作用[3]。在穩(wěn)壓器和濾波器下方設(shè)計(jì)了SIDER 引腳，SIDER 引腳配合穩(wěn)壓器和濾波器工作，用于切斷系統(tǒng)開關(guān)電源，以此完成系統(tǒng)電源電路設(shè)計(jì)。

1.3 網(wǎng)絡(luò)信息安全管理執(zhí)行器設(shè)計(jì)與選型

網(wǎng)絡(luò)信息安全管理執(zhí)行器主要負(fù)責(zé)執(zhí)行系統(tǒng)的網(wǎng)絡(luò)信息安全管理流程和指令，設(shè)計(jì)該硬件設(shè)備的主要目的是利用網(wǎng)絡(luò)信息安全管理執(zhí)行器實(shí)現(xiàn)對網(wǎng)絡(luò)流量安全的監(jiān)管，網(wǎng)絡(luò)信息安全管理執(zhí)行器主要由分管器、信息分流器、交換機(jī)以及處理芯片4 部分組成，由于網(wǎng)絡(luò)信息安全管理流程的執(zhí)行要及時(shí)，并且具有較快的執(zhí)行速度，此次選取英國ADHF 公司生產(chǎn)的SAFFAFR-SA5F6 型號網(wǎng)絡(luò)信息安全管理執(zhí)行器，該執(zhí)行器內(nèi)置AFASS5 芯片，運(yùn)轉(zhuǎn)速率較快，最快執(zhí)行速率可以達(dá)到0.05 ns。

根據(jù)網(wǎng)絡(luò)信息安全管理規(guī)范要求，網(wǎng)絡(luò)信息安全管理執(zhí)行器要覆蓋到網(wǎng)絡(luò)所有上行鏈路上，此次采用串聯(lián)方式對網(wǎng)絡(luò)信息安全管理執(zhí)行器進(jìn)行部署，網(wǎng)絡(luò)信息安全管理執(zhí)行器部署位置主要有兩種，一種是對端上行網(wǎng)絡(luò)設(shè)備出口側(cè)，另一種是IDC 機(jī)房側(cè)。兩個(gè)網(wǎng)絡(luò)信息安全管理執(zhí)行器部署位置對配套要求基本一致，但是隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)信息數(shù)據(jù)量不斷增多，從網(wǎng)絡(luò)信息安全管理效果的角度出發(fā)，如果將網(wǎng)絡(luò)信息安全管理執(zhí)行器部署在IDC 機(jī)房側(cè)，管理的是網(wǎng)絡(luò)所有業(yè)務(wù)匯聚后的網(wǎng)絡(luò)信息流量，不能對網(wǎng)絡(luò)鏈路上的信息流量進(jìn)行直接管理。如果將網(wǎng)絡(luò)信息安全管理執(zhí)行器部署在對端上行網(wǎng)絡(luò)設(shè)備出口側(cè)，可以實(shí)現(xiàn)對本地網(wǎng)絡(luò)上行鏈路信息流量的直接管控，同時(shí)也便于日后網(wǎng)絡(luò)規(guī)模擴(kuò)建時(shí)的協(xié)同建設(shè)，靈活性比較好，因此此次將網(wǎng)絡(luò)信息安全管理執(zhí)行器部署在對端上行網(wǎng)絡(luò)設(shè)備出口側(cè)。采用串聯(lián)接入方式將網(wǎng)絡(luò)信息安全管理執(zhí)行器接至網(wǎng)絡(luò)出口鏈路上，網(wǎng)絡(luò)信息流量經(jīng)過具有分路迂回功能的信息分流器進(jìn)入處理芯片，信息分流器對網(wǎng)絡(luò)上行鏈路上的數(shù)據(jù)流量進(jìn)行分流，保證在對網(wǎng)絡(luò)信息安全管理流程執(zhí)行過程中出現(xiàn)故障時(shí)將管理業(yè)務(wù)快速恢復(fù)到原安全管理程序，不會中斷網(wǎng)絡(luò)信息安全管理流程執(zhí)行。

為了保證大數(shù)據(jù)情況下網(wǎng)絡(luò)信息安全管理程序執(zhí)行效果，根據(jù)實(shí)際情況多臺部署網(wǎng)絡(luò)信息安全管理執(zhí)行器，并在網(wǎng)絡(luò)信息安全管理執(zhí)行器并聯(lián)接入?yún)R聚分流設(shè)備，利用匯聚分流設(shè)備對網(wǎng)絡(luò)信息流量進(jìn)行再分配，使每臺網(wǎng)絡(luò)信息安全管理執(zhí)行器所負(fù)責(zé)管理的網(wǎng)絡(luò)信息數(shù)量均衡，以此完成網(wǎng)絡(luò)信息安全管理執(zhí)行器設(shè)計(jì)與選型，進(jìn)而實(shí)現(xiàn)基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)硬件設(shè)計(jì)。

2 系統(tǒng)軟件設(shè)計(jì)

2.1 系統(tǒng)框架設(shè)計(jì)

基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)架構(gòu)主要包括網(wǎng)絡(luò)信息收集單元、網(wǎng)絡(luò)信息安全分析單元、網(wǎng)絡(luò)信息安全防御單元以及網(wǎng)絡(luò)信息安全自適應(yīng)調(diào)整單元4 部分，圖2為系統(tǒng)框架圖。

如圖2 所示，網(wǎng)絡(luò)信息收集單元具有網(wǎng)絡(luò)信息采集功能，以網(wǎng)絡(luò)服務(wù)器和客戶端的歷史日志作為原始信息源，從采集目標(biāo)上收集當(dāng)前網(wǎng)絡(luò)信息，包括網(wǎng)絡(luò)行為信息、用戶行為信息和系統(tǒng)行為信息3 種，并將網(wǎng)絡(luò)信息自動上傳到系統(tǒng)數(shù)據(jù)庫中，對所收集的網(wǎng)絡(luò)信息進(jìn)行管理。網(wǎng)絡(luò)信息安全分析單元包括信息分析和網(wǎng)絡(luò)信息安全策略分析兩個(gè)主體，主要功能是對網(wǎng)絡(luò)信息安全形態(tài)進(jìn)行分析。（1）自動調(diào)取系統(tǒng)數(shù)據(jù)庫中所保存的最新網(wǎng)絡(luò)信息，從這些數(shù)據(jù)中獲取一些有價(jià)值和有用的信息，對網(wǎng)絡(luò)信息安全進(jìn)行評估；（2）網(wǎng)絡(luò)信息安全分析單元將分析結(jié)果發(fā)送給網(wǎng)絡(luò)信息安全防御單元，由網(wǎng)絡(luò)信息安全防御單元根據(jù)分析結(jié)果制定和執(zhí)行網(wǎng)絡(luò)信息安全防御策略。網(wǎng)絡(luò)信息安全防御單元具有風(fēng)險(xiǎn)防御功能，主要作用是實(shí)施網(wǎng)絡(luò)信息安全防御策略，共包含網(wǎng)絡(luò)信息安全防御控制、網(wǎng)絡(luò)客戶端信息安全防御、網(wǎng)絡(luò)服務(wù)器信息安全防御以及網(wǎng)絡(luò)用戶信息安全防御4 個(gè)主體，通過該4 個(gè)主體處理網(wǎng)絡(luò)不安全因素以及網(wǎng)絡(luò)攻擊行為，提高網(wǎng)絡(luò)信息安全性和防御性。

網(wǎng)絡(luò)信息安全自適應(yīng)調(diào)整單元包含網(wǎng)絡(luò)信息安全行為預(yù)測、網(wǎng)絡(luò)信息安全策略挖掘以及網(wǎng)絡(luò)信息安全補(bǔ)充3 個(gè)主體，其主要作用是通過手動或者自定義的方式，調(diào)整和修改基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)配置，使系統(tǒng)可以執(zhí)行當(dāng)前最新的網(wǎng)絡(luò)信息安全管理策略，并且自動處理當(dāng)前網(wǎng)絡(luò)入侵行為，以上4 個(gè)單元構(gòu)建成基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)整體框架。

2.2 基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全態(tài)勢挖掘

系統(tǒng)軟件方面的設(shè)計(jì)，首先采用大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)信息的安全性進(jìn)行分析，深入挖掘出海量網(wǎng)絡(luò)信息的安全態(tài)勢特征，為實(shí)現(xiàn)網(wǎng)絡(luò)信息安全管理提供可靠的參考依據(jù)，其挖掘過程如下。

第1 步：對網(wǎng)絡(luò)入侵信號進(jìn)行處理和分析，假設(shè)網(wǎng)絡(luò)中存在的入侵者坐標(biāo)為a（x，y），該入侵者的初始信息特征為P，其中包含了入侵者入侵時(shí)間、身份序列號、驗(yàn)證碼等特征信息。將該網(wǎng)絡(luò)入侵者的水平方向設(shè)定為x，垂直方向設(shè)定為y，建立網(wǎng)絡(luò)空間二維坐標(biāo)系[4]。在該入侵者所在網(wǎng)絡(luò)節(jié)點(diǎn)處存在n條網(wǎng)絡(luò)信息，對該節(jié)點(diǎn)處網(wǎng)絡(luò)信息的攻擊系數(shù)進(jìn)行計(jì)算，其公式如下：

公式（1）中，ρ表示入侵者對節(jié)點(diǎn)處的網(wǎng)絡(luò)信息的攻擊系數(shù)；n表示入侵者所在網(wǎng)絡(luò)節(jié)點(diǎn)中所包含的網(wǎng)絡(luò)信息數(shù)量；s表示入侵者身份序列號；s1表示網(wǎng)絡(luò)歷史日志中與其相似的身份序列號；d表示入侵者所在網(wǎng)絡(luò)地址；d1表示網(wǎng)絡(luò)歷史日志中與其相似的網(wǎng)絡(luò)地址；w表示入侵者輸入的信息加密密鑰；w1表示網(wǎng)絡(luò)歷史日志中與其相似的信息加密密鑰[5]。利用上述公式計(jì)算出入侵行為對網(wǎng)絡(luò)信息的攻擊系數(shù)，將入侵者身份信息與網(wǎng)絡(luò)歷史日志中保存的身份驗(yàn)證信息進(jìn)行比較，判斷其是否為非法入侵。

第2 步：設(shè)置閾值。根據(jù)網(wǎng)絡(luò)信息的重要性以及實(shí)際情況，設(shè)計(jì)一個(gè)閾值，如果上一步計(jì)算到的網(wǎng)絡(luò)信息攻擊系數(shù)值超過該閾值，則說明網(wǎng)絡(luò)信息存在較高的風(fēng)險(xiǎn)，需要采取相應(yīng)措施；如果上一步計(jì)算到的網(wǎng)絡(luò)信息攻擊系數(shù)值沒有超過該閾值，則說明入侵者的入侵行為不會對網(wǎng)絡(luò)信息造成威脅，網(wǎng)絡(luò)信息處于安全狀態(tài)。按照以上步驟使用大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)入侵行為進(jìn)行逐一計(jì)算和分析，以此實(shí)現(xiàn)基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全態(tài)勢挖掘。

2.3 實(shí)現(xiàn)網(wǎng)絡(luò)信息安全管理

針對網(wǎng)絡(luò)攻擊行為，此次利用密鑰技術(shù)建立了網(wǎng)絡(luò)信息安全管理機(jī)制，當(dāng)使用大數(shù)據(jù)技術(shù)挖掘到網(wǎng)絡(luò)信息安全態(tài)勢處于危險(xiǎn)態(tài)勢時(shí)，即網(wǎng)絡(luò)信息攻擊系數(shù)值超過設(shè)定閾值，驅(qū)動網(wǎng)絡(luò)信息安全管理機(jī)制，對入侵者所在網(wǎng)絡(luò)節(jié)點(diǎn)處存在n條網(wǎng)絡(luò)信息自動設(shè)定密鑰，密鑰編碼采用4 位制，密鑰首位為數(shù)字，代表的是該網(wǎng)絡(luò)節(jié)點(diǎn)處網(wǎng)絡(luò)信息的數(shù)量首位數(shù)；密鑰第2 位和第3 位為該網(wǎng)絡(luò)節(jié)點(diǎn)的橫坐標(biāo)和縱坐標(biāo)；密鑰的第4 位為入侵者入侵時(shí)間點(diǎn)，利用密鑰來保證網(wǎng)絡(luò)信息安全。入侵者能夠順利進(jìn)入到網(wǎng)絡(luò)中說明網(wǎng)絡(luò)存在漏洞，利用補(bǔ)丁軟件對網(wǎng)絡(luò)漏洞進(jìn)行自動修補(bǔ)，并將修補(bǔ)信息保存到網(wǎng)絡(luò)歷史日志中和網(wǎng)絡(luò)信息安全事件管理庫中，并對其進(jìn)行統(tǒng)一處理。通過收集各類網(wǎng)絡(luò)信息安全事件信息，為系統(tǒng)分析網(wǎng)絡(luò)信息風(fēng)險(xiǎn)提供依據(jù)，以此實(shí)現(xiàn)對網(wǎng)絡(luò)信息安全的管理，進(jìn)而完成了基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)設(shè)計(jì)。

3 實(shí)驗(yàn)論證分析

為了檢驗(yàn)此次設(shè)計(jì)系統(tǒng)在網(wǎng)絡(luò)信息安全管理方面的應(yīng)用效果，設(shè)計(jì)一組對比實(shí)驗(yàn)，對比對象為基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理系統(tǒng)和傳統(tǒng)系統(tǒng)，對比指標(biāo)為網(wǎng)絡(luò)信息竊取量。實(shí)驗(yàn)以某網(wǎng)絡(luò)為實(shí)驗(yàn)環(huán)境，該網(wǎng)絡(luò)磁盤內(nèi)存為128 GB，網(wǎng)絡(luò)服務(wù)器數(shù)量為15 臺，實(shí)驗(yàn)收集了該網(wǎng)絡(luò)運(yùn)行時(shí)間為24 h 的網(wǎng)絡(luò)信息作為實(shí)驗(yàn)對象，網(wǎng)絡(luò)信息總量為800 GB，數(shù)據(jù)來源為某高校圖書館網(wǎng)絡(luò)，利用此次設(shè)計(jì)系統(tǒng)與傳統(tǒng)系統(tǒng)對該網(wǎng)絡(luò)信息安全進(jìn)行管理。實(shí)驗(yàn)令100 名網(wǎng)絡(luò)用戶進(jìn)入到該圖書館網(wǎng)絡(luò)中，同時(shí)令5 名入侵者偽裝成網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)攻擊方式為IP 欺騙、身份隱藏、BUG 攻擊、拒絕服務(wù)等，入侵者IP 地址分別為175.149.48.64、185.154.64.78、169.482.45.78、165.412.26.14、114.264.31.84，每10 s 對網(wǎng)絡(luò)發(fā)起攻擊一次。實(shí)驗(yàn)開始前采用網(wǎng)絡(luò)攻擊工具對單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)或者鏈路進(jìn)行攻擊，隨后再同時(shí)攻擊兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)和鏈路，最后同時(shí)進(jìn)攻多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)和鏈路，以此提高系統(tǒng)的網(wǎng)絡(luò)信息安全管理難度。利用公式（1）對每個(gè)網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)信息的攻擊性進(jìn)行分析，并使用上文設(shè)計(jì)的機(jī)制對網(wǎng)絡(luò)信息安全進(jìn)行管理，見表1。

表1 網(wǎng)絡(luò)信息安全管理情況

當(dāng)網(wǎng)絡(luò)信息量為100 GB、200 GB、300 GB、400 GB、500 GB 時(shí)，利用IJHTG 軟件測量到網(wǎng)絡(luò)信息竊取量，網(wǎng)絡(luò)信息竊取量越多，占比越大，表示網(wǎng)絡(luò)信息安全管理系統(tǒng)的應(yīng)用效果越差，將其作為檢驗(yàn)兩種系統(tǒng)性能的指標(biāo)，見表2。

表2 兩種系統(tǒng)應(yīng)用下被竊取的網(wǎng)絡(luò)信息量對比

從表2 可以看出，應(yīng)用此次設(shè)計(jì)系統(tǒng)，被竊取的網(wǎng)絡(luò)信息量比較少，占總數(shù)據(jù)量比例也比較小；而應(yīng)用傳統(tǒng)系統(tǒng)后被竊取的網(wǎng)絡(luò)信息量遠(yuǎn)遠(yuǎn)超過設(shè)計(jì)系統(tǒng)，并且占總數(shù)據(jù)量比例也超過設(shè)計(jì)系統(tǒng)，這是因?yàn)榇舜卧O(shè)計(jì)系統(tǒng)采用了大數(shù)據(jù)技術(shù)，利用大數(shù)據(jù)技術(shù)對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行深入挖掘。因此實(shí)驗(yàn)結(jié)果證明了，設(shè)計(jì)系統(tǒng)能夠有效保證網(wǎng)絡(luò)信息安全，相比較傳統(tǒng)系統(tǒng)更適用于網(wǎng)絡(luò)信息安全管理，大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)信息安全管理方面具有良好的應(yīng)用效果。

4 結(jié)語

此次結(jié)合現(xiàn)有研究理論，考慮到網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)信息安全管理需求，利用大數(shù)據(jù)技術(shù)設(shè)計(jì)了一種新的管理系統(tǒng)，用于網(wǎng)絡(luò)信息安全管理，有效提高了網(wǎng)絡(luò)信息安全性，同時(shí)也降低了網(wǎng)絡(luò)風(fēng)險(xiǎn)，具有良好的應(yīng)用價(jià)值和應(yīng)用前景。但由于研究能力有限，本文在對管理系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，沒有考慮到系統(tǒng)的運(yùn)行效率問題，因此在實(shí)際應(yīng)用中還存在此類方面的諸多問題。為了確保系統(tǒng)能夠在后續(xù)實(shí)際使用階段的性能，針對上述問題還將進(jìn)行更加深入研究，為基于大數(shù)據(jù)的網(wǎng)絡(luò)信息安全管理提供有力的理論支撐。