欢迎来到论文网! 加入收藏 | 设为论文网 | 网站地图 | Tags标签 | RSS
论文网 论文网8200余万篇毕业论文、各种论文格式和论文范文以及9千多种期刊杂志的论文征稿及论文投稿信息,是论文写作、论文投稿和论文发表的论文参考网站,也是科研人员论文检测和发表论文的理想平台。lunwenf@yeah.net。
您当前的位置:首页 > 科技论文 > 网络安全论文

网络安全事件预警系统方法研究

时间:2015-11-13  作者:李洪波

【摘要】网络安全事件预警系统是实现网络安全检测和预警的一种新技术。对它的研究有助于提高网络系统的应急响应能力,缓解网络攻击所造成的危害和提高系统的反应能力等。本文通过网络安全事件检测技术的研究入手,对网络安全事件预警系统的系统架构及安全事件检测方法进行深入研究与探讨,并分析了检测机制与流程。
论文关键词:网络安全,预警系统,检测技术

随着信息技术的迅猛发展,计算机信息网络已应用于社会各个行业,信息产业已成为国民经济的重要支柱产业,信息技术和网络技术正向政治、经济、军事、文化等各个领域广泛渗透,极大地促进我国各个领域的发展和社会进步,也丰富了人们的生活。同时,黑客攻击、病毒侵害等给计算机信息网络特别是关系国计民生的国家基础设施信息网络等重点信息网络造成了严重的安全威胁,成为了威胁网络安全的一大公害。如何感知网络目前的安全态势并预测其发展趋势已成为网络应急响应的热点研究内容之一,现已成为当前各国政府、企业和科研机构普遍关心的重要问题。本文从整体网络的安全事件为切入点,研究了网络安全事件预警的几种检测技术来检测和预警网络中的安全事件。

1 网络安全事件的相关技术

目前,国内绝大多数大型网络没有建立起一套能够快速准确预警与检测网络安全事件的系统,大部分网络管理系统只是采用如利用 SNMP 协议对单一网络设备和其端口流量进行监控,或利用 WMI 对重点主机或服务器进行状态的监控,利用 SMI-S 的专用协议对存储设备进行监控等等,都是对单独的设备或系统进行监控。而没有从整个大型网络的层面,对整个网络发生的安全事件进行预警与统一的监控。本系统主要开发与讨论对整个网络的预警与检测,以下介绍本系统预警与检测方面用到的主要技术。

1.1 NetFlow 技术

NetFlow 是一种数据交换方式,其工作原理是:NetFlow 利用标准的交换模式处理数据流的第一个IP包数据,生成 NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow 缓存同时包含了随后数据流的统计信息。路由器和交换机输出的 NetFlow 数据记录由过期的数据流及详细的流量统计数据组成。这些数据流中包含来源和目的相关的信息,以及端到端会话使用的协议和端口。NetFlow 流量统计数据包括:数据流时戳、源 IP 地址和目的 IP 地址、源端口号和目的端口号、输入接口号和输出接口号、下一跳 IP 地址、信息流中的总字节数、信息流中的数据包数量、信息流中的第一个和最后一个数据包时戳、源 AS 和目的 AS,及前置掩码、序号。

1.2 DPI 技术

DPI 技术,即 DPI(Deep Packet Inspection)深度包检测技术是一种基于应用层的流量检测和控制技术,当 IP 数据包、TCP 或 UDP 数据流通过基于 DPI 技术的检测系统时,该系统通过深入读取 IP 包载荷的内容来对 OSI 七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。

1.3 正则表达式技术分析与应用

正则表达式是指一个用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串。在很多文本编辑器或其他工具里,正则表达式通常被用来检索或替换那些符合某个模式的文本内容。许多程序设计语言都支持利用正则表达式进行字符串操作。

当前的多数正则表达式匹配引擎,如 PCRE 采用 NFA(非确定的有穷状态自动机)实现正则表达式。把DFA 状态数存在指数膨胀的正则表达式改写成DFA 状态数是线性增长的形式,但适用性有限,而且他们忽略了集合中其他 DFA 也膨胀的正则表达式, 未能提出一种普遍适用的解决方法。

2 网络预警系统的结构

2.1 系统架构

网络安全事件预警系统的体系结构如图 1 所示,其中的系统中心、流检测服务器、载荷检测服务器、配置管理服务器是系统的逻辑组成部分,并非是必须独立的硬件服务器。对于中等规模的网络可以运行于一台硬件服务器上。

检测技术

图 1 网络安全事件预警系统体系结构

2.2 系统处理流程

如图 1 所示,以检测流经路由器 R1 的流量为例,介绍系统的处理流程。

(1)路由器 R1 生成流记录,并将记录输出到流检测服务器。流记录符合 IPFIX 格式,流以五元组(SrcIP、SrcPort、DestIP、DescPort、Protocol)标识。

(2)流检测服务器采用基于流特征的检测方法对流量进行检测,将流量分成正常流量和安全事件流量,并将分类结果发送系统中心。

(3)系统中心根据安全事件策略库中的监控策略分析检测结果,这里会出现三种情况。流量正常不需要控制,系统显示检测结果;检测结果达到控制标准,发出预警或通知。需要深度包检测,通知配置服务器镜像 R1 上特定流量。

(4)配置服务器向 R1 发出相关镜像配置命令。

(5)R1 执行镜像命令,通过镜像链路镜像相应流量。

(6)载荷检测服务器对这些数据报文进行捕捉并通过深度包检测方法确定进行分析。

(7)显示检测结果,对安全事件发出预警或通知服务器。

3 网络预警系统检测方法研究

3.1 流特征检测方法

基于流记录特征的流量分析技术主要应用 NetFlow 技术,对网络中核心设备产生的NetFlow 数据进行分析、检测分类、统计。NetFlow 协议由 Cisco 公司开发,是一种实现网络层高性能交换的技术。它运行在路由器中动态地收集经过路由器的流的信息,然后缓存在设备内存中,当满足预设的条件后,将缓存数据发送到指定的服务器。一个信息流可以通过七元组(源 IP 地址、目的 IP 地址、源端口号、目的端口号、协议类型、服务类型、路由器输入接口)唯一标识。

数据流检测的数据流程主要为:操作人员启动采集,程序通过 libpcap 对相应端口中的 NetFlow 数据进行接收,先缓存直内存中,达到一定数量后压缩存储直对应的文件中,进行下一次接收,同时定时启动分析模块,调入 NetFlow 规则库并调取相应的压缩NetFlow 数据文件,对数据进行处理后,将 NetFlow 数据内容与规则库进行匹配,获得相应的处理结果存入数据库中,再次等待下一次分析模块启动。

3.2 深度包检测方法

深度包检测方法是用来识别数据包内容的一种方法。传统的数据检测只检测数据包头,但是这种检测对隐藏在数据荷载中的恶意信息却无能为力。深度包检测的目的是检测数据包应用载荷,并与指定模式匹配。指定模式可能是固定的字符串、带通配符的字符串、正则表达式。当 IP 数据包、TCP 或 UDP 数据流通过基于 DPI 技术的管理系统时,该系统通过深入读取 IP 数据包载荷中的内容来对应用层信息进行重组,从而得到整个应用程序的通信内容,然后按照系统定义的管理策略对流量进行过滤操作。这种技术使用一个载荷特征库存储载荷的特征信息,符合载荷特征的数据包即视为特定应用的数据包。

查看相关论文专题
加入收藏  打印本文
上一篇论文:网络主体性困境及其应对策略
下一篇论文:网络金融的特点及安全体系构建
科技论文分类
科技小论文 数学建模论文
数学论文 节能减排论文
数学小论文 低碳生活论文
物理论文 建筑工程论文
网站设计论文 农业论文
图书情报 环境保护论文
计算机论文 化学论文
机电一体化论文 生物论文
网络安全论文 机械论文
水利论文 地质论文
交通论文
相关网络安全论文
最新网络安全论文
读者推荐的网络安全论文