暢祥生

?

網絡安全與攻擊檢測的關鍵技術分析

暢祥生

黃河水利委員會黑河流域管理局，甘肅 蘭州 730030

在現代社會中，網絡提高了信息傳播速度，擴大了信息輻射范圍，使信息能夠不受時間、空間、地點限制進行高效傳播。計算機與服務器可能成為DDOS攻擊的一部分，這些攻擊可以使用不同類型的互聯網分組，網絡攻擊威脅著網絡安全，影響著網絡系統穩(wěn)定性。基于此，對網絡安全與攻擊檢測的關鍵技術進行了分析并給出解決方案。

網絡安全；網絡攻擊檢測；關鍵技術分析

1 網絡安全現狀

最近幾年網絡安全挑戰(zhàn)無處不在。首先，隨著網絡空間地位的日益提升，網絡空間主導權爭奪激烈，美國等大國紛紛加強網絡防御，并積極發(fā)展網絡威懾能力，不斷加大在網絡空間的部署，爆發(fā)國家級網絡沖突的風險進一步增加，其次，西方國家頻繁啟動貿易保護安全壁壘，信息安全的影響范圍正不斷被擴大，將波及整個網絡安全產業(yè)，再次，云計算、物聯網等新技術領域將繼續(xù)在信息技術領域得到廣泛應用，其帶來的安全風險將繼續(xù)對我國網絡安全防御體系建設產生影響，網絡安全保障需求快速增長。

2 網絡攻擊檢測分析

2.1 網絡攻擊檢測的重要性

隨著智能終端的普及以及人們對網絡的日益增強的硬性需求，再者考慮到網絡接入的方便及快捷，對移動網絡的需求日益迫切，網絡攻擊也隨之變得普及與泛化。網絡攻擊檢測設備建設成本更為經濟，且可與有線的計算機網絡實現無縫對接，更好地與有線網絡實現互補，拓展有線網絡的服務范圍。同時DDOS攻擊是網絡安全防御中的最難解決的問題之一，這是由于互聯網系統的開放性所導致的。

今后我們可以從DDOS攻擊的特征和DDOS攻擊發(fā)生時的現象入手，針對其獨有的特征，采取一系列的方法，在DDOS攻擊剛發(fā)生時就能檢測出來，并能及時的遏制DDOS的攻擊。

2.2 網絡攻擊檢測的關鍵技術

DDOS防護技術應采用一種更先進的，規(guī)避弊端的技術，具備更智能的檢測和防護策略，設備應通過多種機制檢測數據的合法性，避免誤判和誤殺； 具備獨立的用于檢測和防護DDOS攻擊的芯片，而不是以消耗CPU為代價的冒險式防護；避免設備串行于主干線路中，網絡正常時數據不需要流經設備，只有發(fā)生攻擊時，設備才成為流量路徑上的關卡?？笵DOS由檢測設備和清洗設備兩種設備組成。

檢測設備采用旁路分光或鏡像模式，確保在物理和邏輯上均不會成為網絡中的串行節(jié)點。清洗設備采用旁路模式，出現攻擊時可通過自動改變路由成為網絡中的串行節(jié)點，起到流量清洗的作用。高效的異常流量檢測和清洗技術，以支持深度包檢測技術，兩者以進一步確定隱藏在后臺的流量攻擊報文，輸出NetStreamFlow流量的NetFlow的網絡設備的信息，通過分析和對流量的檢測，以實現準確的高效地鑒定。高度的使用和分發(fā)多核硬件配置，以便產生一個高性能清洗異常業(yè)務到因特網，可以通過智能多裝置簇群集方法來實現自動牽引和業(yè)務流的靈活重新注入。路由器/交換機到DDOS攻擊，當發(fā)現異常流量的清洗設備的鄰位路由器。BGP路由更新通過線路自動發(fā)布，快速使用用戶流量。在另一方面，基于策略的路由的MPLS VPN中和通過GRE的VPN清洗設備，二層透明傳輸，清洗等方法并重新注入高速流量用戶后，正常的流量不會受到影響。

3 網絡攻擊防御策略

防火墻檢測認證方式，防火墻檢測認證技術其實用的就是portal技術，portal是“門戶”的意思，這種技術的原理是對未得到認證成功的用戶，一旦用戶打開任意的網頁，則會被重定向到指定的認證頁面，該認證頁面事實上就是一個門戶，進入該門戶后不經任何認證就可訪問網管人員指定的有限的內容。比如下載本地服務器的上提供的視頻、音樂、文本文檔，最有趣的是可以提供一些休閑小游戲。但是這些共享的內容僅限于本地服務器上的內容，如果要訪問互聯網則需要按提供的方式認證通過才可以。隨著網絡接入的發(fā)展，防火墻檢測認證越來越展現出其優(yōu)點來，不管實際視角還是商業(yè)視角，防火墻檢測均展現了它的價值： 需要像PPPOE那樣對協議單元進行額外的封裝，就不會擠占協議 的有效負載從而不需要分片，不必加大客戶端及鏈路上路由器的設備壓力。支持基于組播的視頻點播功能?？蛻舳伺cBAS直接可以跨越三層網絡，不會形成像以太網臃腫肥大的 網絡，便于管理和網絡規(guī)劃。檢測用戶離線、上線：這種基于防火墻檢測的認證是在應用層完成的，可能在檢測鏈路時會比較麻煩，計費的準確無誤取決于能否即時的感知用戶的上、下線。簡單的放開、終止用戶的網絡訪問權限已經不能滿足對當今網絡運營管理的要求。上網痕跡記錄、QoS、訪問限制等這些操作已經是比較基本和常見的要求了，處于應用層的協議在這方面當然駕輕就熟，而PPPOE就遠遠的落后了。作為關卡的防火墻檢測認證服務器會暴露于所有的用戶，容易受到惡意的攻擊，而且在小眾的場所，人們處于成本的考慮更愿意使用個人計算機提供認證服務，相對的性能較低，更容易被黑客得手，在大型網絡中危害是極大的，導致用戶不能介入網絡，影響生活和辦公。網絡的發(fā)展日益復雜多變，能不能適應這種多變的環(huán)境，還是很值得驗證的。

[1]李嫵可.基于數據的并行入侵檢測系統研究[J].黑龍江科技信息，2016（25）：45.

[2]羅再陽.淺析網絡入侵檢測系統[J].網絡安全技術與應用，2013（10）：55.

[3]李東靈.入侵檢測系統現狀及發(fā)展趨勢[J].商丘職業(yè)技術學院學報，2013（5）：65.

[4]趙志宇，黎蔚.入侵檢測系統現狀分析[J].電腦知識與技術，2013（22）：65.

Analysis on the Key Technologies of Network Security and Attack Detection

Chang Xiangsheng

Heihe River Basin Management Bureau of Yellow River Conservancy Commission, Lanzhou, Gansu Province 730030

In modern society，the network to improve the speed of information dissemination，and expand the scope of information radiation，so that information can not time，space，place restrictions on the efficient dissemination.Computers and servers can be part of a DDoS attack，which can use different types of Internet groups，which threaten network security and affect network stability.In this paper，the key technologies of network security and attack detection are analyzed and the solutions are given.

network security； network attack detection； key technology analysis

TP393.08

A

1009-6434（2016）12-0141-02

暢祥生（1982—），男，漢族，籍貫（精確到市）為甘肅省蘭州市，當前職稱為工程師，學歷本科，研究方向為信息化建設。