基于大數(shù)據(jù)技術(shù)智能化網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)技術(shù)的仿真實(shí)現(xiàn)

張紅猛

（鄭州科技學(xué)院，河南 鄭州 450064）

1 研究背景及目的

1.1 課題背景及意義

一個(gè)國(guó)家的信息安全體系，實(shí)際上是由政府制定的規(guī)章、政策、技術(shù)、市場(chǎng)等組成的。在這個(gè)問(wèn)題上，不能從制度設(shè)計(jì)的角度出發(fā)，而應(yīng)從技術(shù)、產(chǎn)業(yè)等方面進(jìn)行研究。政府不但要把發(fā)展信息安全作為高科技產(chǎn)業(yè)的一部分，還要把發(fā)展安全產(chǎn)業(yè)作為中國(guó)信息安全的一個(gè)重要內(nèi)容。目前，中國(guó)的信息安全問(wèn)題已經(jīng)引起了人們的廣泛關(guān)注，特別是在互聯(lián)網(wǎng)、電子商務(wù)、政府網(wǎng)站建設(shè)等方面。政府部門(mén)、企業(yè)和使用者越來(lái)越需要安全、穩(wěn)定、可維護(hù)、可持續(xù)發(fā)展的資訊科技。因此，在經(jīng)濟(jì)發(fā)展和國(guó)家安全的雙重考量下，必須加快發(fā)展信息技術(shù)。

1.2 研究目的

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展和應(yīng)用日益成熟，計(jì)算機(jī)網(wǎng)絡(luò)在現(xiàn)代社會(huì)的文化生活中發(fā)揮了越來(lái)越大的作用。然而由于計(jì)算機(jī)信息網(wǎng)絡(luò)空間具有相對(duì)開(kāi)放性和高共享性特征，很容易受到外界勢(shì)力的隨意攻擊入侵和肆意破壞，各種竊取網(wǎng)絡(luò)信息技術(shù)的黑客入侵行動(dòng)和各類犯罪活動(dòng)將隨之而來(lái)，會(huì)嚴(yán)重影響互聯(lián)網(wǎng)信息共享的整體安全性水平和安全保密性。因此，網(wǎng)絡(luò)隱私及其安全相關(guān)技術(shù)問(wèn)題目前也逐漸成為了世界各國(guó)政府、企業(yè)管理人員和各類普通計(jì)算機(jī)網(wǎng)絡(luò)用戶群體最關(guān)心的焦點(diǎn)問(wèn)題。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境安全與技術(shù)防范的進(jìn)一步研究也是為了能夠?yàn)槿嗣窈驼畡?chuàng)造一個(gè)健康良好的網(wǎng)絡(luò)環(huán)境，使計(jì)算機(jī)網(wǎng)絡(luò)與安全相關(guān)技術(shù)產(chǎn)品更好地服務(wù)于全國(guó)用戶。

1.3 研究現(xiàn)狀

近年來(lái)，隨著人工智能、大數(shù)據(jù)分析、5 G 無(wú)線技術(shù)的不斷發(fā)展，新的信息技術(shù)對(duì)企業(yè)的網(wǎng)絡(luò)安全構(gòu)成了新的威脅。相關(guān)統(tǒng)計(jì)數(shù)據(jù)報(bào)告表明，2011—2021 年這10 年間，全世界企業(yè)因遭受互聯(lián)網(wǎng)恐怖主義威脅而導(dǎo)致的總經(jīng)濟(jì)損失高達(dá)2 940 億元。互聯(lián)網(wǎng)風(fēng)險(xiǎn)的提升，促使政府部門(mén)、公司客戶以及個(gè)人用戶越來(lái)越來(lái)重視這一風(fēng)險(xiǎn)，各國(guó)紛紛制定了有關(guān)數(shù)據(jù)保護(hù)的法律和法規(guī)。2019 年上半年，中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)的安全運(yùn)行形勢(shì)大體具有以下新特點(diǎn)：用戶個(gè)人信息和重要數(shù)據(jù)被走漏的風(fēng)險(xiǎn)嚴(yán)重；多個(gè)重大高風(fēng)險(xiǎn)缺陷事件被公開(kāi)暴露，給中國(guó)網(wǎng)絡(luò)信息安全帶來(lái)了嚴(yán)重的威脅；針對(duì)中國(guó)主要站點(diǎn)的DDos 攻擊非常頻繁；國(guó)家互聯(lián)網(wǎng)管理中心從惡意軟件、潛在缺陷、移動(dòng)互聯(lián)網(wǎng)安全、網(wǎng)站信息安全、云數(shù)據(jù)平臺(tái)安全、行業(yè)應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)金融安全角度分析發(fā)現(xiàn)，中國(guó)網(wǎng)絡(luò)安全方面存在很大的問(wèn)題[1-2]。

2 常見(jiàn)網(wǎng)絡(luò)安全問(wèn)題[3-4]

2.1 網(wǎng)絡(luò)系統(tǒng)安全

網(wǎng)絡(luò)安全指網(wǎng)絡(luò)和電腦自身所面臨的安全問(wèn)題，即確保網(wǎng)絡(luò)的安全和易用性，內(nèi)容包括計(jì)算機(jī)物理系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)服務(wù)的安全問(wèn)題。

2.2 Web 安全

網(wǎng)站源代碼的程序員在編寫(xiě)源代碼時(shí)，如果沒(méi)有對(duì)指定的參數(shù)進(jìn)行過(guò)濾，這樣就會(huì)產(chǎn)生大量的安全漏洞，比如SQL 注入漏洞、XSS 漏洞，文件包含漏洞、越權(quán)漏洞等。其實(shí)，這種缺陷很容易被清除，但由于工作人員懶惰而沒(méi)被清除。除此之外，還有一些其他漏洞，比如普通目錄遍歷、敏感下載、文件上傳、解析漏洞等。這一切都是因?yàn)殄e(cuò)誤的服務(wù)器配置，黑客可以輕易地獲取他們所需要的資料。

2.3 網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全指網(wǎng)絡(luò)上系統(tǒng)信息的安全。例如，在網(wǎng)絡(luò)傳輸期間，電子事務(wù)信息會(huì)被他人非法修改、刪除或重播（僅限一次性信息被重復(fù)利用），使其喪失了原本的真實(shí)性和完整性；軟件方面的問(wèn)題造成信息傳輸丟失、謬論和某些惡意程序被毀壞、損害電子商務(wù)信息。

2.4 拒絕服務(wù)攻擊（DoS 攻擊和DDoS 攻擊）

在企業(yè)持續(xù)增強(qiáng)網(wǎng)絡(luò)安全的同時(shí)，黑客的手段也在不斷更新，因此出現(xiàn)了拒絕服務(wù)。此類攻擊會(huì)給服務(wù)器發(fā)出很多錯(cuò)誤的請(qǐng)求，造成服務(wù)器負(fù)載過(guò)大，不能為合法的使用者服務(wù)。

2.5 病毒、蠕蟲(chóng)、木馬和間諜軟件

這是目前最常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題。使用病毒、蠕蟲(chóng)、木馬等，對(duì)電腦系統(tǒng)進(jìn)行攻擊，使信息持續(xù)擴(kuò)散，導(dǎo)致資訊泄露或財(cái)產(chǎn)受損。

3 相關(guān)技術(shù)分析

3.1 TCP/IP 協(xié)議簡(jiǎn)介

TCP/IP 協(xié)議本身具有非常廣泛的兼容性和可擴(kuò)展性，靈活連接不同標(biāo)準(zhǔn)的計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議和不同層次的網(wǎng)絡(luò)設(shè)備。TCP/IP 現(xiàn)在已經(jīng)成為一個(gè)實(shí)用的網(wǎng)絡(luò)互連標(biāo)準(zhǔn)，廣泛應(yīng)用于互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)協(xié)議標(biāo)準(zhǔn)中。

3.2 網(wǎng)絡(luò)協(xié)議分析

根據(jù)網(wǎng)絡(luò)的不同層次將TCP/IP 協(xié)議分為以下4 個(gè)層次：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，如圖1所示。

圖1 網(wǎng)絡(luò)協(xié)議

網(wǎng)絡(luò)接口層：TCP/IP 模型中的網(wǎng)絡(luò)接口層對(duì)應(yīng)OSI 參考模型的物理層和數(shù)據(jù)鏈路層，在TCP/IP 協(xié)議棧的最低層，主要負(fù)責(zé)透明傳輸?shù)谋忍亓鳎⒕W(wǎng)絡(luò)層傳下來(lái)的IP 數(shù)據(jù)報(bào)組裝成幀。

網(wǎng)絡(luò)層：主要任務(wù)是完成網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)單元從源端到目的地的傳輸，并為分組交換網(wǎng)上的主機(jī)提供通信服務(wù)。主要功能有路由選擇、流量控制、差錯(cuò)控制、擁塞控制。主要協(xié)議有ARP、IP、ICMP、IGMP。

運(yùn)輸層：負(fù)責(zé)主機(jī)中2 個(gè)進(jìn)程之間的通信及點(diǎn)對(duì)點(diǎn)通信。其基本的功能還可以包括流量控制、差錯(cuò)控制、服務(wù)質(zhì)量、管理等提供可靠的端到端數(shù)據(jù)傳輸和不可靠的運(yùn)輸服務(wù)。為了實(shí)現(xiàn)可靠的運(yùn)輸服務(wù)，傳輸層規(guī)定接收方必須給予確認(rèn)，并且規(guī)定如果數(shù)據(jù)包丟失或超時(shí)，必須再次重傳。

應(yīng)用層：應(yīng)用層是TCP/IP 參考模型的頂層，是用戶和網(wǎng)絡(luò)的接口。應(yīng)用層為特定類型的Web 應(yīng)用程序提供訪問(wèn)TCP/IP 參考模型環(huán)境的方法。由于用戶的實(shí)際應(yīng)用程序不同，它需要應(yīng)用層使用不同的應(yīng)用協(xié)議來(lái)解析不同類型的應(yīng)用程序要求，并且應(yīng)用層協(xié)議包含HTTP 協(xié)議、SMTP 協(xié)議、POP3 協(xié)議等。

3.3 網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)

網(wǎng)絡(luò)通信的時(shí)候需要對(duì)通信數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)聽(tīng)，如果監(jiān)聽(tīng)到違規(guī)通信內(nèi)容就應(yīng)該按照規(guī)定的策略進(jìn)行阻止。所以要想達(dá)到此目的，需通過(guò)軟件和硬件的結(jié)合來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)監(jiān)聽(tīng)主要是對(duì)網(wǎng)絡(luò)通信進(jìn)行管理，通常網(wǎng)路監(jiān)控能夠有效地對(duì)違規(guī)數(shù)據(jù)進(jìn)行截取，所以對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)監(jiān)控技術(shù)至關(guān)重要。

3.3.1 網(wǎng)絡(luò)監(jiān)聽(tīng)特點(diǎn)

隱蔽性強(qiáng)。進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)時(shí)只會(huì)被動(dòng)接受網(wǎng)上傳輸?shù)男畔?，系統(tǒng)本身基本不會(huì)主動(dòng)發(fā)出任何信息，所以很難被發(fā)現(xiàn)。

靈活性強(qiáng)。它可以對(duì)網(wǎng)絡(luò)上任何網(wǎng)段或任何設(shè)備進(jìn)行監(jiān)聽(tīng)，如路由器、防火墻網(wǎng)關(guān)等。

3.3.2 網(wǎng)絡(luò)監(jiān)聽(tīng)的種類

廣播監(jiān)控：共享LAN 通常是廣播信道，主機(jī)發(fā)出的數(shù)據(jù)幀會(huì)被LAN 上的所有主機(jī)收到。所有數(shù)據(jù)幀都會(huì)被傳遞給上層應(yīng)用程序，以便偵聽(tīng)共享網(wǎng)絡(luò)。

交互式監(jiān)控：交換式網(wǎng)絡(luò)通常指點(diǎn)對(duì)點(diǎn)的傳播模式。數(shù)據(jù)鏈路層中的數(shù)據(jù)幀目的地地址通常由MAC地址表示，并且最終數(shù)據(jù)在實(shí)際網(wǎng)絡(luò)的鏈路上傳輸時(shí)，無(wú)論網(wǎng)絡(luò)層無(wú)論使用了哪個(gè)協(xié)議，發(fā)送時(shí)必須使用硬件地址。ARP 請(qǐng)求數(shù)據(jù)包以廣播的方式發(fā)出，ARP 響應(yīng)分組在單播中發(fā)出。但是在默認(rèn)情況下主機(jī)會(huì)根據(jù)ARP 響應(yīng)分組來(lái)動(dòng)態(tài)改變ARP 表，在此之前不一定會(huì)有ARP 請(qǐng)求分組發(fā)送，所以這就產(chǎn)生了網(wǎng)絡(luò)漏洞，需利用網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)來(lái)確保網(wǎng)絡(luò)數(shù)據(jù)可靠傳輸。

3.4 數(shù)據(jù)包獲取

此監(jiān)控系統(tǒng)的主要處理對(duì)象是數(shù)據(jù)包，所以需要對(duì)數(shù)據(jù)傳輸過(guò)程中所有的數(shù)據(jù)包進(jìn)行抓取獲取，然后再交給下層網(wǎng)絡(luò)分析模塊進(jìn)行網(wǎng)絡(luò)分析，只有對(duì)數(shù)據(jù)包進(jìn)行更深入的分析才能在此基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)安全監(jiān)控。

Scoket 方式：原始的套接字（Socket-raw）可以對(duì)網(wǎng)絡(luò)底層的協(xié)議進(jìn)行直接訪問(wèn)，所以通常都是利用原始套接字對(duì)系統(tǒng)的網(wǎng)絡(luò)層或應(yīng)用層進(jìn)行控制。

Libpcap 方式：Libpcap 主要由2 部分組成，分別是網(wǎng)絡(luò)挖掘和數(shù)據(jù)過(guò)濾，首先將網(wǎng)絡(luò)上的數(shù)據(jù)復(fù)制得到驅(qū)動(dòng)設(shè)備程序，然后數(shù)據(jù)過(guò)濾器利用BPF 算法思想獲取數(shù)據(jù)包，最后再將過(guò)濾獲得的數(shù)據(jù)交給上層應(yīng)用層處理。

3.5 違規(guī)信息實(shí)時(shí)TCP 阻斷

TCP 阻斷連接主要有如下3 種阻斷方式：①TCP協(xié)議棧異常處理。通信過(guò)程中，TCP 協(xié)議棧對(duì)網(wǎng)絡(luò)異常的處理的優(yōu)先級(jí)較高，所以TCP 連接錯(cuò)誤發(fā)生時(shí)TCP 連接雙方的任何一方會(huì)發(fā)送一個(gè)復(fù)位報(bào)文段進(jìn)行實(shí)時(shí)阻斷連接，當(dāng)發(fā)送方再傳送數(shù)據(jù)時(shí)接收方不再接受，連接途中發(fā)生異常連接就會(huì)結(jié)束。②TCP 協(xié)議棧正常處理。在通信過(guò)程中，違規(guī)連接后，需要構(gòu)造FIN報(bào)文段并且分別發(fā)給連接雙方，告知雙方發(fā)現(xiàn)連接違規(guī)的現(xiàn)象，雙方都要斷開(kāi)連接，使得TCP 連接提前結(jié)束。③填充窗口。所謂填充窗口就是利用滑動(dòng)窗口機(jī)制，不停地向服務(wù)器端或客戶端發(fā)送無(wú)用的信息或錯(cuò)誤信息，不停地占用計(jì)算機(jī)資源，占用TCP 序號(hào)，使得發(fā)送的數(shù)據(jù)不被接收端接受，多次發(fā)生序號(hào)沖突，系統(tǒng)就會(huì)判定為異常，協(xié)議棧會(huì)發(fā)送異常來(lái)結(jié)束連接。

4 網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)技術(shù)仿真的設(shè)計(jì)與實(shí)現(xiàn)

4.1 總體設(shè)計(jì)

信息網(wǎng)絡(luò)安全模擬平臺(tái)和測(cè)試評(píng)價(jià)體系的運(yùn)作過(guò)程可以分為3 個(gè)階段，即前期準(zhǔn)備期、實(shí)施期和分析期。在前期，使用者利用可視化工具輸入網(wǎng)路環(huán)境參數(shù)，安全策略、攻防要求等相關(guān)參數(shù)。針對(duì)使用者的安全策略和防御要求，在不同的模擬層中部署不同的安全防護(hù)措施，并針對(duì)使用者的攻擊要求設(shè)定攻擊模式，自動(dòng)產(chǎn)生攻擊腳本，制作真實(shí)的商業(yè)設(shè)想。在運(yùn)行過(guò)程中，將真實(shí)的業(yè)務(wù)負(fù)載到半物理仿真系統(tǒng)中，并通過(guò)攻防仿真對(duì)系統(tǒng)進(jìn)行攻防試驗(yàn)，并收集相關(guān)的數(shù)據(jù)。在分析階段，系統(tǒng)對(duì)攻擊順序、時(shí)機(jī)、方式、效果等進(jìn)行了初步的分析與處理；安全性評(píng)價(jià)體系則依據(jù)安全保護(hù)規(guī)范對(duì)其進(jìn)行了細(xì)致的處理，并以模擬仿真為基礎(chǔ)，以虛擬仿真為基礎(chǔ)，將它呈現(xiàn)給使用者，并提出相應(yīng)的解決方案。根據(jù)系統(tǒng)的功能，可以將它劃分為3 個(gè)主要部分：網(wǎng)絡(luò)安全模擬平臺(tái)、網(wǎng)絡(luò)安全模擬系統(tǒng)和測(cè)試評(píng)價(jià)系統(tǒng)。該平臺(tái)主要包括半物理仿真、業(yè)務(wù)模擬、攻擊仿真、控制仿真等，該平臺(tái)的主要功能是對(duì)信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全仿真，包括網(wǎng)絡(luò)平臺(tái)、應(yīng)用服務(wù)、攻防等。

4.2 網(wǎng)絡(luò)安全仿真平臺(tái)

本文主要基于虛擬現(xiàn)實(shí)技術(shù)、虛擬軟件、數(shù)據(jù)庫(kù)等知識(shí)基礎(chǔ)，實(shí)現(xiàn)了四級(jí)網(wǎng)絡(luò)安全仿真：裝置水平模擬、模擬主要的網(wǎng)絡(luò)攻擊、對(duì)網(wǎng)絡(luò)規(guī)劃進(jìn)行模擬、模擬復(fù)雜的網(wǎng)絡(luò)環(huán)境。

4.2.1 半實(shí)物模擬仿真系統(tǒng)

半實(shí)物模擬，即在模擬系統(tǒng)中插入實(shí)物，替代相應(yīng)的數(shù)學(xué)模型，從而降低了模擬難度，將難以模擬的部件用實(shí)體的方式代替模擬測(cè)試，通過(guò)網(wǎng)絡(luò)技術(shù)將模擬器與模擬器連接在一起，確保節(jié)點(diǎn)間的數(shù)據(jù)傳輸。

4.2.2 業(yè)務(wù)仿真系統(tǒng)

一個(gè)業(yè)務(wù)模擬系統(tǒng)是一個(gè)設(shè)想產(chǎn)生子系統(tǒng)，一個(gè)是業(yè)務(wù)負(fù)載子系統(tǒng)，一個(gè)是服務(wù)負(fù)載子系統(tǒng)，它負(fù)責(zé)把一個(gè)現(xiàn)實(shí)的業(yè)務(wù)抽象成一個(gè)虛擬的系統(tǒng)，它可以根據(jù)數(shù)據(jù)的輸入產(chǎn)生各種各樣的服務(wù)，儲(chǔ)存在一個(gè)數(shù)據(jù)庫(kù)中。

4.2.3 攻擊模擬系統(tǒng)

攻擊仿真系統(tǒng)主要用于模擬不同的攻擊行為，如蟲(chóng)類病毒、拒絕服務(wù)、密碼、欺詐等，并與模擬控制系統(tǒng)一起建立一個(gè)統(tǒng)一的管理界面。

4.2.4 仿真控制系統(tǒng)

仿真控制系統(tǒng)是實(shí)現(xiàn)網(wǎng)絡(luò)信息安全仿真的一種控制工具，實(shí)現(xiàn)對(duì)仿真的調(diào)度，確保仿真順利進(jìn)行。

5 結(jié)論

在信息化時(shí)代，網(wǎng)絡(luò)發(fā)展如此迅速，網(wǎng)絡(luò)安全問(wèn)題日益突出，引起人們的廣泛重視。在嚴(yán)加防范來(lái)自外網(wǎng)的威脅時(shí)，網(wǎng)絡(luò)內(nèi)部監(jiān)守自盜的現(xiàn)象也時(shí)有發(fā)生，因此應(yīng)對(duì)單位內(nèi)部的網(wǎng)絡(luò)信息進(jìn)行審計(jì)與監(jiān)控，防止內(nèi)網(wǎng)的用戶發(fā)送低俗信息、泄露自己?jiǎn)挝坏臋C(jī)密。