，

(1.廣州商學(xué)院 實(shí)驗(yàn)實(shí)訓(xùn)中心，廣州 511363；2.廣東創(chuàng)新科技職業(yè)學(xué)院 信息工程學(xué)院，廣東 東莞 523960)

0 引言

隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，云計(jì)算、物聯(lián)網(wǎng)、電子商務(wù)和三網(wǎng)融合的技術(shù)得到廣泛的普及[1]。人們對(duì)網(wǎng)絡(luò)的依賴越來(lái)越嚴(yán)重，對(duì)網(wǎng)絡(luò)技術(shù)的依賴推動(dòng)了網(wǎng)絡(luò)技術(shù)發(fā)展的同時(shí)，也給信息的安全帶來(lái)了隱患，尤其是給路由協(xié)議網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全帶來(lái)了嚴(yán)峻的考驗(yàn)[2]。

當(dāng)前路由協(xié)議和網(wǎng)絡(luò)基礎(chǔ)設(shè)施在設(shè)計(jì)時(shí)只考慮到了網(wǎng)絡(luò)通信的便利，并沒(méi)有考慮網(wǎng)絡(luò)的安全問(wèn)題[3]。導(dǎo)致目前的網(wǎng)絡(luò)安全形式較為嚴(yán)峻，因此也出現(xiàn)了海量針對(duì)網(wǎng)絡(luò)協(xié)議尤其是路由協(xié)議的攻擊方式[4]。大量網(wǎng)絡(luò)安全事件的發(fā)生和網(wǎng)絡(luò)空間問(wèn)題的不斷擴(kuò)大，使網(wǎng)絡(luò)安全問(wèn)題逐漸被網(wǎng)絡(luò)安全研究人員和各國(guó)政府所關(guān)注[5]。目前被廣泛使用的路由協(xié)議不能對(duì)企業(yè)通信和OSPF通信進(jìn)行加密和認(rèn)證，對(duì)新型的攻擊方式存在諸多的防范漏洞，使系統(tǒng)中存在較多的錯(cuò)誤信號(hào)[6]。為解決上述問(wèn)題，提出了一種低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)方法，該方法對(duì)新型的攻擊方式進(jìn)行研究，可以在最短的時(shí)間內(nèi)了解其攻擊方式，給出有效的防范措施來(lái)保障網(wǎng)絡(luò)信息的安全，該方法的提出得到了廣泛的關(guān)注。

路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)保障了網(wǎng)絡(luò)用戶的信息安全[7]。為了使路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)可以更好的應(yīng)用到網(wǎng)絡(luò)安全中，需要對(duì)路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)進(jìn)行深入的研究和分析[8]?；谔摂M器技術(shù)的路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)以PXIe-5196數(shù)字化儀器為主要硬件，采用虛擬儀器技術(shù)對(duì)網(wǎng)絡(luò)信號(hào)進(jìn)行監(jiān)測(cè)和識(shí)別，該方法具有信號(hào)采集和數(shù)據(jù)存儲(chǔ)的功能，通過(guò)數(shù)字濾波和觸發(fā)限制對(duì)網(wǎng)絡(luò)信號(hào)進(jìn)行處理，該方法可以有效的降低系統(tǒng)存儲(chǔ)數(shù)據(jù)的壓力，但系統(tǒng)的數(shù)據(jù)傳輸速度較慢、響應(yīng)時(shí)間較長(zhǎng)[9]?；阪溌犯采w的路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)中所有的節(jié)點(diǎn)都進(jìn)行監(jiān)測(cè)，網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)自身的內(nèi)存閾值加載路由協(xié)議監(jiān)測(cè)系統(tǒng)的功能模塊，并采用優(yōu)化協(xié)調(diào)機(jī)制對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行優(yōu)化，每條通信鏈路上都由多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行覆蓋和監(jiān)測(cè)，該方法監(jiān)測(cè)的可靠性較高，但系統(tǒng)的帶寬占有率高和誤比特率高[10]。

1 路由協(xié)議解析

對(duì)路由協(xié)議進(jìn)行解析，是完成低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的基礎(chǔ)。路由協(xié)議是由不同層次的多個(gè)協(xié)議組成的，低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)中上層協(xié)議的各種工作需要通過(guò)下層協(xié)議來(lái)完成并實(shí)現(xiàn)，低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的路由協(xié)議層次結(jié)構(gòu)圖如圖1所示。

圖1 路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)的路由協(xié)議層次結(jié)構(gòu)圖

從低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的路由協(xié)議層次分類(lèi)上看，下層協(xié)議是上層協(xié)議數(shù)據(jù)包的大類(lèi)，要先確保下層協(xié)議數(shù)據(jù)包的特征滿足之后才能考慮到上層協(xié)議數(shù)據(jù)包的特征。在低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)中下層協(xié)議可以體現(xiàn)上層協(xié)議事項(xiàng)的一些細(xì)節(jié)，如可以通過(guò)IP首部的協(xié)議字段確定協(xié)議是UDP協(xié)議還是TCP協(xié)議。協(xié)議解析可以將數(shù)據(jù)鏈路層中獲取的數(shù)據(jù)包通過(guò)協(xié)議層次的結(jié)構(gòu)解析后傳送到Packet結(jié)構(gòu)中并儲(chǔ)存，在解析數(shù)據(jù)包時(shí)可以檢查數(shù)據(jù)包的合法性。低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)協(xié)議解析的流程圖如圖2所示。

圖2 路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)的路由協(xié)議解析流程圖

路由協(xié)議解析體現(xiàn)了協(xié)議分析的基本思想，進(jìn)行規(guī)則匹配時(shí)，先進(jìn)行協(xié)議層首部的匹配，若匹配成功，進(jìn)行數(shù)據(jù)匹配，進(jìn)行數(shù)據(jù)匹配時(shí)，可以跳過(guò)低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)協(xié)議層首部的匹配，提高了低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的監(jiān)測(cè)效率。

2 監(jiān)測(cè)系統(tǒng)的構(gòu)建

2.1 帶寬占有率的降低

低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)在采集數(shù)據(jù)時(shí)會(huì)占用一定的帶寬，系統(tǒng)通過(guò)審計(jì)數(shù)據(jù)采集功能可以對(duì)數(shù)據(jù)采集的頻率進(jìn)行控制，減少系統(tǒng)的帶寬占有率。系統(tǒng)的審計(jì)數(shù)據(jù)采集由數(shù)據(jù)接收、數(shù)據(jù)請(qǐng)求、數(shù)據(jù)儲(chǔ)存和代理庫(kù)構(gòu)成，圖3為監(jiān)測(cè)系統(tǒng)的帶寬監(jiān)測(cè)界面。

1)監(jiān)測(cè)系統(tǒng)通過(guò)數(shù)據(jù)接收和請(qǐng)求方式完成了數(shù)據(jù)在系統(tǒng)中的需求，系統(tǒng)的數(shù)據(jù)請(qǐng)求主要是向代理庫(kù)中傳輸數(shù)據(jù)，并通過(guò)數(shù)據(jù)接收功能接收代理庫(kù)中的數(shù)據(jù)。

2)采用數(shù)據(jù)儲(chǔ)存功能將數(shù)據(jù)存入低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)庫(kù)中。

3)代理庫(kù)的主要功能是記錄用戶登錄監(jiān)測(cè)系統(tǒng)的時(shí)間、退出監(jiān)測(cè)系統(tǒng)的時(shí)間和登錄主機(jī)的IP地址。

圖3 監(jiān)測(cè)系統(tǒng)的帶寬監(jiān)測(cè)界面

2.2 誤比特率的降低

網(wǎng)絡(luò)數(shù)據(jù)采集是截獲網(wǎng)絡(luò)協(xié)議模型中各個(gè)協(xié)議層次數(shù)據(jù)包的主要途徑，在截獲網(wǎng)絡(luò)數(shù)據(jù)包時(shí)，需要將低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的網(wǎng)卡調(diào)設(shè)為混合工作的模式，網(wǎng)絡(luò)數(shù)據(jù)采集是低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)中監(jiān)測(cè)引擎數(shù)據(jù)的來(lái)源。低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)完成網(wǎng)絡(luò)數(shù)據(jù)的截獲分為兩部分，分別是網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾器和網(wǎng)絡(luò)分接頭。

1)網(wǎng)絡(luò)分接頭從低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的驅(qū)動(dòng)設(shè)備中采集網(wǎng)絡(luò)數(shù)據(jù)包拷貝，將數(shù)據(jù)包拷貝傳輸給低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的監(jiān)聽(tīng)設(shè)備。

2)過(guò)濾器決定了網(wǎng)絡(luò)數(shù)據(jù)包的接收方式和拒絕方式，并將數(shù)據(jù)包中的一部分?jǐn)?shù)據(jù)進(jìn)行拷貝傳送到應(yīng)用程序中。

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包到達(dá)低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的網(wǎng)絡(luò)接口設(shè)備時(shí)，一般采用鏈路層設(shè)備的驅(qū)動(dòng)器將數(shù)據(jù)包傳送到系統(tǒng)協(xié)議進(jìn)行處理，低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)驅(qū)動(dòng)器會(huì)調(diào)用網(wǎng)絡(luò)接口監(jiān)聽(tīng)中的數(shù)據(jù)包，并將數(shù)據(jù)包傳送到每個(gè)監(jiān)控設(shè)備的過(guò)濾器中，過(guò)濾器對(duì)數(shù)據(jù)包是否被接收并保存進(jìn)行判斷。

1)若網(wǎng)絡(luò)數(shù)據(jù)包鎖定的目標(biāo)地址不是本機(jī)地址，則終止驅(qū)動(dòng)程序并返回，

2)若數(shù)據(jù)包鎖定的目標(biāo)地址為本機(jī)地址，則繼續(xù)運(yùn)行路由協(xié)議的處理過(guò)程。

網(wǎng)絡(luò)數(shù)據(jù)采集通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾器和網(wǎng)絡(luò)分接頭決定了網(wǎng)絡(luò)數(shù)據(jù)包接收和拒絕的方式，并將采集到的數(shù)據(jù)包拷貝傳送到系統(tǒng)的監(jiān)聽(tīng)設(shè)備，減少了系統(tǒng)信息中存在的錯(cuò)誤比特?cái)?shù)，降低了系統(tǒng)的誤比特率。誤比特率顯示界面如圖4所示。

圖4 誤比特率顯示界面

2.3 頁(yè)面刷新響應(yīng)時(shí)間的減少

低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)通過(guò)報(bào)警響應(yīng)功能對(duì)系統(tǒng)所產(chǎn)生的警報(bào)信息進(jìn)行排序和轉(zhuǎn)發(fā)。當(dāng)?shù)兔舾新酚蓞f(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)中出現(xiàn)特殊情況和異常時(shí)，系統(tǒng)通過(guò)報(bào)警響應(yīng)功能發(fā)出警報(bào)信號(hào)，系統(tǒng)包含多個(gè)目的地址，在發(fā)送報(bào)警信號(hào)時(shí)使用，可以快速的將警報(bào)信息傳送到用戶客戶端，確保用戶可以及時(shí)的看到報(bào)警信息，減少系統(tǒng)頁(yè)面刷新的響應(yīng)時(shí)間。

攻擊模式數(shù)據(jù)庫(kù)中含有三種動(dòng)作，分別是Alert、Pass和Log，警報(bào)響應(yīng)只對(duì)Alert事件的觸發(fā)發(fā)送警報(bào)信號(hào)，警報(bào)信號(hào)發(fā)送的地址是可以配置的。系統(tǒng)用戶可以自己創(chuàng)建目的地址，并采用第三方程序傳真和電子郵件的方式發(fā)送警報(bào)信息，每個(gè)警報(bào)信息可以傳送到多個(gè)目的地址。

2.4 數(shù)據(jù)包的規(guī)則描述

低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的攻擊模式庫(kù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行規(guī)則描述時(shí)具有以下幾個(gè)要求。首先，要在單獨(dú)的一行內(nèi)完成對(duì)數(shù)據(jù)包的規(guī)則描述。其次，網(wǎng)絡(luò)數(shù)據(jù)包的規(guī)則描述分為兩個(gè)部分，分別是規(guī)則選項(xiàng)和規(guī)則頭。其中規(guī)則頭包含了目的地址、規(guī)則動(dòng)作、IP源地址、協(xié)議、源端口、目標(biāo)端口值和子網(wǎng)掩碼等。規(guī)則選項(xiàng)包含了需要檢查的數(shù)據(jù)包區(qū)域位置信息和警報(bào)信息。

2.5 信息發(fā)布方式

經(jīng)過(guò)低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)監(jiān)測(cè)引擎的數(shù)據(jù)都被保存在系統(tǒng)的數(shù)據(jù)庫(kù)中，系統(tǒng)用戶可以通過(guò)信息備份和數(shù)據(jù)庫(kù)維護(hù)對(duì)信息進(jìn)行查詢，信息備份是基于web方式，數(shù)據(jù)庫(kù)維護(hù)方式是通過(guò)進(jìn)入監(jiān)測(cè)系統(tǒng)的管理平臺(tái)。

3 實(shí)驗(yàn)方法及步驟

本次測(cè)試在Solr平臺(tái)完成，低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)在獲取網(wǎng)絡(luò)中的數(shù)據(jù)信息時(shí)，會(huì)對(duì)網(wǎng)絡(luò)資源造成一定的消耗，使路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)的監(jiān)測(cè)結(jié)果受到一定的影響，若路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)采集數(shù)據(jù)的頻率過(guò)低，得到的參數(shù)結(jié)果與實(shí)際結(jié)果相差較大。若路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)采集數(shù)據(jù)的頻率過(guò)高，會(huì)使帶寬的消耗增加，對(duì)路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)的路由器性能造成影響。因?yàn)榈兔舾新酚蓞f(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)在采集數(shù)據(jù)時(shí)會(huì)占用一定的帶寬，因此用系統(tǒng)帶寬的占有率來(lái)判斷對(duì)正常端口流量的影響，表1為低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的帶寬占有率測(cè)試結(jié)果。帶寬占有率的計(jì)算公式如下：

帶寬占有率=管理所占的節(jié)數(shù)/所有字節(jié)數(shù)

(1)

表1 低敏感路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)帶寬占有率

分析表1可知，在低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)測(cè)試中管理所占字節(jié)數(shù)平均為138字節(jié)，所有字節(jié)數(shù)平均為22694字節(jié)，帶寬的平均占有率為0.609%。監(jiān)測(cè)結(jié)果對(duì)系統(tǒng)的影響很小，可以忽略不計(jì)，低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)較為穩(wěn)定。

為了檢驗(yàn)低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的性能，需要對(duì)低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)進(jìn)行性能測(cè)試，創(chuàng)建一千五百萬(wàn)條攻擊事件，包括路由協(xié)議攻擊事件、網(wǎng)站攻擊事件和終端攻擊事件，監(jiān)測(cè)低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)頁(yè)面刷新的響應(yīng)時(shí)間和監(jiān)控響應(yīng)時(shí)間CPU的使用率，測(cè)試結(jié)果如表2所示。

表2 低敏感路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)性能測(cè)試結(jié)果

分析表2可知，無(wú)論攻擊事件數(shù)為五十萬(wàn)條、一百萬(wàn)條、五百萬(wàn)條、一千萬(wàn)條、一千五百萬(wàn)條低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的頁(yè)面刷新響應(yīng)時(shí)間都小于3秒，響應(yīng)時(shí)間CPU在70%以下，說(shuō)明低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)在受到路由協(xié)議攻擊、網(wǎng)站攻擊和終端攻擊事件時(shí)，系統(tǒng)頁(yè)面刷新的速度不受到影響，能夠快速的加載出頁(yè)面，系統(tǒng)響應(yīng)時(shí)間CPU的使用率不因受到事件攻擊而升高，低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)的可用性較高。

誤比特率指的是在數(shù)據(jù)通信中，在一段時(shí)間內(nèi)系統(tǒng)收到的數(shù)字信號(hào)中含有錯(cuò)誤的比特?cái)?shù)與這段時(shí)間內(nèi)收到的總數(shù)字信號(hào)數(shù)的比，誤比特率越低系統(tǒng)的精確性越高。采用本文方法和文獻(xiàn)[9]方法、文獻(xiàn)[10]方法進(jìn)行測(cè)試。

分析圖5可知本文方法的誤比特率為0.17%，本文方法通過(guò)數(shù)據(jù)采集中的網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾器和網(wǎng)絡(luò)分接頭決定了網(wǎng)絡(luò)數(shù)據(jù)包接收和拒絕的方式，并將采集到的數(shù)據(jù)包拷貝傳送到系統(tǒng)的監(jiān)聽(tīng)設(shè)備，減少了系統(tǒng)信息中存在的錯(cuò)誤比特?cái)?shù)，降低了系統(tǒng)的誤比特率。分析圖6可知，文獻(xiàn)[9]方法的誤比特率為19.29%，該方法采用虛擬儀器技術(shù)對(duì)網(wǎng)絡(luò)信號(hào)進(jìn)行監(jiān)測(cè)和識(shí)別，通過(guò)數(shù)字濾波和觸發(fā)限制對(duì)網(wǎng)絡(luò)信號(hào)進(jìn)行處理，在處理的過(guò)程中存在大量的計(jì)算，易出現(xiàn)誤差，使系統(tǒng)中的錯(cuò)誤比特?cái)?shù)增加，系統(tǒng)的誤比特率升高。分析圖7可知，文獻(xiàn)[10]方法的誤比特率為41.44%，該方法對(duì)網(wǎng)絡(luò)中的所有節(jié)點(diǎn)進(jìn)行監(jiān)測(cè)，采用優(yōu)化協(xié)調(diào)機(jī)制對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行優(yōu)化，每條通信鏈路上都有多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行覆蓋和監(jiān)測(cè)，該方法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)測(cè)時(shí)，所用算法較為繁瑣，用時(shí)較長(zhǎng)，當(dāng)大量的網(wǎng)絡(luò)信息對(duì)系統(tǒng)進(jìn)行訪問(wèn)時(shí)，該方法由于計(jì)算所用時(shí)間較長(zhǎng)無(wú)法對(duì)大量的網(wǎng)絡(luò)信息進(jìn)行監(jiān)測(cè)，使系統(tǒng)信息中的錯(cuò)誤比特?cái)?shù)較多，誤比特率高。

圖5 本文方法的誤比特率

圖6 文獻(xiàn)[9]方法的誤比特率

圖7 文獻(xiàn)[10]方法的誤比特率

4 結(jié)論

從實(shí)驗(yàn)和實(shí)際運(yùn)行結(jié)果看出，本文所提的低敏感路由協(xié)議攻擊自適應(yīng)監(jiān)測(cè)系統(tǒng)已經(jīng)達(dá)到了帶寬占有率低、頁(yè)面刷新的響應(yīng)時(shí)間少、誤比特率低的要求，提供了一個(gè)全新的路由協(xié)議攻擊監(jiān)測(cè)系統(tǒng)，為網(wǎng)絡(luò)安全提供了保障。