摘要:为进一步提高网络工程安全防护能力,开展对其关键技术的分析研究。通过划分网络工程安全区域、采集网络工程流量数据、挖掘网络工程Web日志安全事件、网络工程Web安全入侵问题检测和集成网络工程信息安全防护策略,将安全防护关键技术应用于网络工程当中,并通过实例分析的方式验证了关键技术在应用后,能够实现对网络工程异常状态的检测和安全防护,证明安全防护关键技术的应用有效性较高,可以抵御非法入侵者的攻击。
关键词:网络工程;安全防护;流量
0引言
由于网络结构具备一定的开放性和共享性,因此网络环境本身的抗外界干扰能力较差,常常会出现被破坏或瘫痪的情况[1]。同时,当前信息资源的利用价值不断增加,多种非法入侵行为和网络信息犯罪活动接踵而至,信息在网络环境当中的安全和保密性都受到严重的威胁[2]。网络工程安全防技术的主要目的是针对网络安全风险进行控制,确保网络工程的安全防护能力得到全面提升。网络工程安全防护技术的主要目的是实现网络工程的完整性、保密性、真实性以及不可抵赖性,而网路工程的安全目标是实现对安全体系的构建,实现对广域网范围内数据传输加密的保护,防止信息在网络环境当中被窃取。基于网络工程的建设要求,本文开展网络工程安全防护关键技术分析研究。
1网络工程安全防护关键技术应用研究
1.1划分网络工程安全区域
根据当前网络工程安全防护的要求以及网络工程建设特点、目前状况以及安全要求,在实现对其安全防护时,首先需要对其安全区域进行划分,以此根据不同安全区域的防护等级,实现对其更加系统化的安全防护[3]。将防护区域划分为实时防护控制区域(区域I)、非控制建设区域(区域II)、网络工程安全管理区域(区域III)以及网络工程信息管理区域(IV)。图1为网络工程安全区域划分总体示意图。图1中各个区域与实时VPN进行数据传输时,均需要通过IP认证加密装置对其进行加密,以此确保信息数据传输的安全性。对于网络工程而言,信息管理模块所包含的内容十分丰富,除了基本的工程自动化功能之外,还包括很多管理功能,例如客户服务中心、信息、数据仓库等[4]。因此,为了确保网络工程各安全区域的安全性,需要分别对其进行评估,并根据功能、场所等相互关系,以广域网通信传输的方式,将信息数据分置在图1中四个不同的安全区域内。安全区域I主要实现对网络工程的实时控制,例如调度自动化调节和监控属于安全区域I当中的内容。该区域主要面向的使用者为调度人员和运行操作人员,对于这一区域当中存储的数据,在传输时需要达到秒级,在对这一类数据进行通信的过程中,应当使用信息数据专线或实时虚拟专用网络,这一区域的安全性与其他三个区域相比安全等级最高。安全区域II主要用于对各类不具备控制功能的工程业务以及各项交易业务进行控制和部署,例如数据仓库属于安全区域II当中的内容。该区域主要面向于运行方式和运行计划等,数据的实时性要求在分级或小时级即可。安全区域III主要用于对网络工程中的客户服务中心、报表、信息分布等进行安全管理和控制,针对这一区域当中的安全防护措施可采用Web服务模式,同时,该区域的外部通信边界以数据通信网的光纤专线为基准。安全区域IV主要用于对各类办公自动化、客户端等进行管理和控制,该区域外部通信边界以数据通信网的光纤专线和互联网为基准,同时这一区域的安全性属于四种不同安全区域中最低等级。
1.2采集网络工程流量数据
根据上述论述,实现对网络工程安全区域的划分后,再利用网络工程安全防护关键技术实现对网络工程安全的保护,需要对网络工程流量数据进行采集。需要进行采集的关键日志为用户访问网络工程环境当中的日志,利用该日志挖掘得到更多的安全事件,并以此实现对用户访问行为的快速定位,对存在可疑问题的用户进行行为追踪[5]。在具体应用中,结合Agent技术,对网络工程的Web日志进行采集,在进程文件当中,每个服务器都需要完成其相应进程任务的部署,并且针对其对应的上位机进行对Web日志数据信息的采集。同时,还需要以Collector的方式完成相应的部署任务,进而实现对各层级Agent传送的各类日志数据信息的接收,将根据上述操作采集得到的各类数据分别存储在对应的层级当中,并结合数据信息的利用价值,对其进行临时存储或永久存储。由于网络工程环境与普通局域网网络环境相比存在一定的特殊性,因此仅仅依靠Agent技术很难实现流量数据采集的预期目标。网络工程在建设过程中通常都会集成成百上千的服务器,并且分布十分分散,为所有服务器均部署Agent是不现实的。同时,在网络工程的建设环境当中,针对部分被非法入侵者攻击的服务器,非法入侵者会将相应的攻击痕迹进行清除,进而导致将这种异常现象看作是Web日志数据缺失所致,无法实现对非法入侵者攻击行为的有效识别,因此很难实现对其流量数据的准确采集,并且采集结果也无法确保实现对其安全性的正确判断。针对上述问题,结合网络工程安全防护关键技术,对流量数据采集流程进行优化。首先,对从网络环境数据中心采集到的Web日志进行还原,并统一获取还原后Web日志当中的信息数据,并对信息数据的格式进行统一处理。为了实现从网络数据中心出入口获取流量数据,本文结合关键技术当中的深度报文检测功能,并将该模块部署在网络数据中心的出入口位置上,用于对流经网络工程的流量数据进行统计和管理。表1为深度报文检测结果的格式。根据表1中深度报文检测结果格式,在实际应用深度报文检测关键技术时,还需要对日志采集服务器进行搭建,并通过深度报文检测实现对无线传输协议包的发送以及解析,以此获取到所需的流量数据,将所有采集到的流量数据进行汇总,并建立日志文件,以txt格式存储在磁盘当中。
1.3挖掘网络工程Web日志安全事件
基于非法入侵者的行为特点,对网络工程Web日志当中存在的恶意行为进行扫描,并针对恶意IP进行锁定,从而在完整的Web日志当中找出该IP并还原非法入侵者的攻击行为,实现对其有效控制。在利用关键技术时,采用对网络工程目录扫描的方式实现对Web日志安全事件的挖掘,通过对目录扫描的特点,按照以下挖掘流程实现对Web日志安全事件的挖掘:步骤一:统计特定网络工程中每个IP在给定时间当中出现“404”状态码的数量以及其在整个IP请求总数量当中的占比;步骤二:由于在网络工程当中无法准确地获取到“404”状态数量的阈值,因此本文结合聚类算法,对上一步当中处理后的数据进行聚类分析。由于数据之间的差异较大,因此采用马氏距离实现对数据的聚类,聚类分析算法的计算公式为:(1)公式(1)中,K表示为被挖掘出的Web日志安全事件中“404”状态数据出现的概率;i表示为“404”状态特征数据;m表示为整个网络工程当中的数据;n表示为网路工程中所有特征数据的个数。通常情况下,聚类算法初始值n的取值为2。根据上述公式,得出聚类结果。通过上述公式计算,最终将得到三种不同结果,分别为:K值大,“404”状态出现比例高;K值大,“404”状态出现比例低;K值小,“404”状态出现比例小。根据上述公式(1)计算结果,找出第一种情况出现时对应的IP并将这一类IP视为恶意扫描IP将其加入到黑名单当中。
1.4网络工程Web安全入侵问题检测
目前大部分针对网络工程的Web安全入侵检测都是基于规则库实现,在应用安全防护关键技术后,这种检测方法很难针对未知的攻击行为进行识别,因此需要对规则库进行不断更新,一旦更新不及时,新的攻击行为便会进入到网络工程环境当中,造成严重的安全事故发生。因此,针对这一问题,在应用安全防护关键技术后,还需要结合机器学习对Web安全入侵行为进行智能识别和判断。针对机器学习训练字段,采用统一资源定位请求资源和请求参数,实现无监督学习。结合机器学习算法,针对事先设定的训练集进行训练,并获取到网络工程Web安全入侵问题检测模型,在模型当中完成对新数据内容的检测,并针对其是否为恶意数据进行进一步的判断。将机器学习中的网络工程Web安全入侵问题检测划分为四个不同模块,针对Web日志信息数据进行处理的模块;针对Web日志安全事件进行检测的模块;针对数据包进行捕获的模块以及针对非法入侵者攻击的报警和响应模块。第一个模块的主要任务是从网络工程获取到的各类流量数据进行过滤、去冗余处理,并将字符型数据转换为机器学习能够识别的数值型数据。同时,针对数量级相差较大的数据还需要对其进行规范化处理。在检测模块当中,利用本文上述提到的网络工程Web安全入侵问题检测模型对新的数据进行判断,并将判断结果输出。在数据包捕获模块当中,根据需要进行分析的数据类型,通过程序编程的方式,从网络工程各个协议层当中对数据进行获取,并为检测模块提供检测条件。报警响应模块是针对上述检测模块中识别到存在异常状态的数据进行报警。
1.5集成网络工程信息安全防护策略
以上述网络工程Web安全入侵问题检测得出的结果作为基础,结合网络工程安全防护框架,对网络工程的流量数据传输通过专用安全隔离装置进行防护。根据本文上述划分的四个不同安全区域,针对正向传输,即从区域I和区域II向区域III和区域IV传输的数据,需要在其中间位置上设置一个数据传输隔离机制。同样针对反向传输,也需要在其中间设置一个数据传输隔离机制。需要注意的是,两个数据传输隔离机制是相互独立的,并且在网络正常运行的过程中处于关闭状态,只有在相应方向上的数据传输时临时开启,在数据完成传输后立刻关闭。在区域III当中的网络用户在向区域I或区域II进行数据传输时,需要通过数字证书的方式,对自身身份认证进行强化。除此之外,还需要在网络工程环境中部署Web日志安全事件挖掘模块,针对网络工程当中产生的所有Web日志进行采集,并通过Hadoop技术实现对Web日志数据的集群和存储,以此解决网络工程中单台服务器存储能力不足的问题,从而避免非法入侵者对服务器日志进行删除,在此基础上完成对网络工程Web日志安全事件的挖掘。通过Web日志安全事件挖掘模块对Web日志的彻底分析,可以发现安全事件,并找出存在安全漏洞或正在遭受非法入侵者攻击的区域,以此为提高网络工程安全防护提供重要参考。
2实例分析
为了实现对上述网络工程安全防护关键技术在实际应用中的效果验证,本文将该技术部署在特定的网络工程环境当中,验证该技术应用是否能够实现对流量数据采集、解析,并且实现对非法入侵者攻击行为的识别。为了验证该技术在应用中的有效性,准备两个训练集和一个测试集,其中训练集中数据来自该网络工程项目当中正常的HTTP请求,不包含非法入侵者的攻击时间。测试集当中,除了包含上述正常的HTTP请求数据以外,还包含了部分存在异常现象的HTTP请求数据。测试集和训练集当中的数据均来自该网络工程项目的实际环境。通过实例分析的方式,验证安全防护关键技术是否能够有效实现对网络工程异常状态的检测和安全防护。由于该网络工程项目当中的日志是保密的,因此需要通过登录账号以及身份验证的方式,进入到该网络工程环境当中。在为网络用户配备用户账号和密码后,通过身份验证进入到主界面当中,并按照本文上述操作实现对网络工程Web日志安全事件的挖掘。完成挖掘后,统计每个IP在单位时间内产生“404”状态码的数量以及该状态下IP请求总数量占比,通过聚类得出该网路工程聚类扫描结果,如表2所示。从表2网络工程聚类扫描结果中可以看出,最终的聚类结果包含三类,其中分类1当中的“404”数量中心数值最大,而“404”比例中心数值同样最大,认定该分类为网络工程扫描结果。分类2的“404”数量中心数值较大,但“404”比例中心数值较小,认定该类属于网络爬虫类型脚本。分类3的“404”数量中心数值最低,而“404”比例中心数值也最小,认定该分类为正常用户访问。再根据本文上述论述内容,对该网络工程项目当中的Web安全入侵问题进行检测,找出漏洞问题,并针对不同地理位置的攻击者分布情况进行统计。通过统计结果得出,入侵者大部分来自一线城市和二线城市,这些城市的IT行业相对发达,因此非法入侵者会出于娱乐或商业利益对网络工程实施攻击。同时,通过对各类攻击类型的发生次数进行统计得出,SQL类型的攻击最多,其次为XSS,说明该网络工程项目在建设时存在大量Web漏洞。通过对网络工程项目进行排查发现,部分网络开发环境存在代码编写不规范的问题,这一问题也是造成该环境存在大量Web漏洞的主要原因。因此,通过对该网络工程环境检测得出的结果,结合网络工程信息安全防护策略,需要对存在问题的网络环境进行整改,以此防止再次出现类似的攻击问题。将该技术应用于网络工程安全防护当中可以大大提升网络环境中Web应用的安全防护能力。
3结语
随着当前现代化信息技术的不断深入,网络工程安全的重要性逐渐凸显,为适应当前时展需要,本文开展网络工程安全防护关键技术分析研究。通过本文研究及实例分析得出,该技术在实际应用中能够有效检测出网络工程的安全入侵问题,及时发现网络工程漏洞,具有较高的应用有效性。在后续的研究中,针对采集到的各类网络工程日志还可以挖掘出更多攻击事件,从而进一步了解非法入侵者的攻击行为,进一步提高网络工程的安全性。
参考文献:
[1]朱治忠,孙长勇,苏艳东,等.汽车能源监控与防护的智能网络系统的设计与研究[J].汽车实用技术,2021,46(11):63-65.
[2]曾一福,黄志轩.网络等级保护2.0时代的医疗云平台安全防护设计研究[J].信息与电脑(理论版),2021,33(07):214-216.
[3]刘飞,赵旭东,贺锋,等.不同攻击者类型下城市生命线网络防护资源规划配置研究[J].防护工程,2020,42(06):52-60.
[4]钟掖,龙玉江,赵威扬等.基于软件定义网络的电力云数据中心内安全防护技术[J].电子技术与软件工程,2021(06):246-247.
[5]肖世清.基于计算机网络技术的计算机网络信息安全及其防护策略探讨[J].轻纺工业与技术,2020,49(01):153+160.
作者:张玺 高申友 张瑞光 李雪松 单位:河北省军区数据信息室