褚建萍

（德州職業(yè)技術(shù)學院 山東省德州市 253000）

科學技術(shù)迅猛發(fā)展的今天，使得網(wǎng)絡覆蓋范圍越來越大，應用范圍越來越廣泛，為現(xiàn)代人生活與工作提供大力支持。與此同時，各種網(wǎng)絡入侵技術(shù)也隨之而更新?lián)Q代，為網(wǎng)絡安全造成更大的安全隱患，對用戶的使用造成干擾。針對這一情況，互聯(lián)網(wǎng)領域逐漸對網(wǎng)絡入侵檢測技術(shù)進行了研究，開發(fā)出了多種網(wǎng)絡入侵檢測平臺，但這些研究成果中依然存在一些缺陷，如缺少隨機防御功能等，在一定程度上制約了這些研究成果的應用價值?；诖?，本文以“基于數(shù)據(jù)挖掘技術(shù)的網(wǎng)絡入侵檢測技術(shù)”為題進行了研究，以開發(fā)出一種更加良好的網(wǎng)絡入侵檢測系統(tǒng)，進一步提升網(wǎng)絡系統(tǒng)的安全性。

1 網(wǎng)絡入侵風險類型

隨著現(xiàn)代互聯(lián)網(wǎng)應用范圍的不斷擴大，使得其面臨的不法攻擊越來越多，如病毒攻擊、木馬攻擊等，在這些不法攻擊的作用下，導致網(wǎng)絡用戶的數(shù)據(jù)泄漏、丟失、損壞，嚴重影響下，甚至會導致整個網(wǎng)絡系統(tǒng)癱瘓，對人們的生活與工作造成較大危害。具體來說，網(wǎng)絡入侵風險類型主要包括下述4 種：

1.1 數(shù)據(jù)泄漏

現(xiàn)代網(wǎng)絡系統(tǒng)用戶量較多，使用非常頻繁，使得網(wǎng)絡中存儲了大量的數(shù)據(jù)信息，如用戶個人基本數(shù)據(jù)、財產(chǎn)數(shù)據(jù)等。通常情況下，網(wǎng)絡系統(tǒng)會對這些數(shù)據(jù)安全地保管，無關(guān)人員無法獲取這些數(shù)據(jù)信息，以保證用戶的生命安全及經(jīng)濟財產(chǎn)不會受到損失。但實際當中，網(wǎng)絡系統(tǒng)遭受到非法攻擊后，用戶數(shù)據(jù)很容易被不法人員竊取，從而對用戶的生命安全及經(jīng)濟財產(chǎn)造成損失[1]。

1.2 隔離時失效

網(wǎng)絡系統(tǒng)通常由諸多模塊構(gòu)成，如用戶端、業(yè)務端、數(shù)據(jù)庫等，各模塊間通過網(wǎng)絡連接到一起。為了確保各模塊能夠穩(wěn)定運行，不會受到其他模塊安全隱患的影響，需要安裝網(wǎng)關(guān)、路由器等元件予以隔離。整個網(wǎng)絡系統(tǒng)運行時，如果兩個模塊間的隔離元件失效，則會降低兩個模塊的安全性，不法人員可隨意進入到兩個模塊內(nèi)，對內(nèi)部數(shù)據(jù)進行竊取，并惡心篡改數(shù)據(jù)內(nèi)容等，導致網(wǎng)絡系統(tǒng)無法在實際當中發(fā)揮出最大的作用[2]。

1.3 用戶惡意攻擊

對于現(xiàn)代網(wǎng)絡系統(tǒng)來說，通常存在一定的開放性特點，且用戶類型有很多，每種類型用戶的需求各不相同，使得用戶的權(quán)限存在一定差異，可對網(wǎng)絡系統(tǒng)進行不同的操作。但一些用戶為了謀取更多的經(jīng)濟效益，刻意利用系統(tǒng)中的漏洞，非法瀏覽、提取與破壞與自身權(quán)限不匹配的數(shù)據(jù)，或是向網(wǎng)絡系統(tǒng)內(nèi)植入各種木馬與病毒，導致整個系統(tǒng)無法正常運行[3]。

1.4 資源濫用

網(wǎng)絡系統(tǒng)運行時，所有用戶均可登錄進來，這一情況的存在，使得系統(tǒng)中可能出現(xiàn)大量用戶操作同時占用云計算資源的問題。此外，系統(tǒng)自身運維時，也要占用一定的資源量，使得用戶端資源使用情況非常的緊張，難于快速、有效地將用戶端與系統(tǒng)連接到一起，影響用戶對網(wǎng)絡系統(tǒng)的正常使用。

2 云平臺服務架構(gòu)

2.1 總體構(gòu)架

本文研究當中，針對多語種媒體融合云平臺（MMCCP）的運行需求，構(gòu)建出一種安全防御體系。對于MMCCP 來說，通常為3 層框架結(jié)構(gòu)，由上至下分別為SaaS 層、PaaS 層與IaaS 層，其中，在云平臺端，主要用于為用戶提供各種服務，具體包括：軟件服務、平臺服務與基礎服務[4]。

在MMCCP 安全平臺建設方面，采用的是三維共建的混合云模式，其中，包含三種安全模式，分別為公有云、私有云與專屬云，每種模式具有不同的作用，可以針對用戶的實際需求，提供不同的云服務，以使用戶更加安全可靠地對MMCCP 進行應用[5]。在安全平臺當中，三種模式并未固定，可隨意配置，以形成不同結(jié)構(gòu)的框架體系。同時，不同人員操作時，能夠針對自身實際需求，隨意將數(shù)據(jù)錄入到不同模式內(nèi)，從而構(gòu)建出多云協(xié)同共建的融合云平臺。

2.2 公有云

指的是可以向整個網(wǎng)絡系統(tǒng)開放的云平臺，其主要特點為“公開”，任何網(wǎng)絡用戶均可進入到該平臺當中，也就是說，該平臺可以為全部網(wǎng)絡用戶提供云服務，因而其對配置要求較高，一方面，要同時完成體量較大的運算工作，另一方面，還可以對龐大的數(shù)據(jù)集群予以存儲，更重要的是，該平臺還應具備非常高的安全性，避免公用用戶對平臺操作時出現(xiàn)信息泄露與損壞的問題。

2.3 私有云

指的是具有一定私密性的平臺，用于為媒體用戶提供各種服務。在媒體機構(gòu)當中，根據(jù)自身實際要求，構(gòu)建出相應的云平臺，以此對多媒體數(shù)據(jù)進行存儲，同時為員工各種軟件服務等，確保媒體工作正常開展。私有云既有一定的隱私性，又包含一定的公開性，可以看成私有云的補充，使得用戶在享有公有云服務的同時，能夠進一步提升平臺使用的安全性，為媒體工作的開展打下良好基礎。

2.4 專屬云

指的是隱私性最強的平臺，只會對某一類特定用戶提供服務。專屬云內(nèi)的物理框架內(nèi)，安裝相應的隔離元件，用于對登錄用戶身份信息的識別，對于不符合身份要求的用戶則禁止進入到平臺內(nèi)，以此提升平臺的安全性。由于該平臺具有非常高的隱私性，且只會對某一類特定用戶提供服務，因而在設計時，可予以進行個性化設計，以使其可以為用戶提供最佳的服務。

3 云應用隨機化防御安全體系架構(gòu)

3.1 安全體系架構(gòu)

3.1.1 總體構(gòu)架

對于本文構(gòu)建出來的MMCCP 安全防御體系來說，其中包含多個層次，涉及諸多領域，在物理硬件方面，主要包括：物理基礎設施，如計算機、CPU 等，用于用戶的操作；虛擬主機，用于病毒保護、攻擊預警等；虛擬網(wǎng)絡，用于加密通信，掃描、檢測與審計等，提升數(shù)據(jù)傳輸?shù)陌踩?；?shù)據(jù)庫，用于對平臺內(nèi)部數(shù)據(jù)的存儲、傳輸與訪問等；應用模塊，用于為用戶應用進行監(jiān)測、防護與預警等。在五個模塊共同作用下，進一步提升整個平臺系統(tǒng)的安全性。具體來說，本平臺的安全體系構(gòu)架如圖1 所示。

圖1： 安全體系架構(gòu)結(jié)構(gòu)圖

3.1.2 物理基礎設施

處于整個體系的最上層，用于提高平臺架構(gòu)物理層方面的安全性。在一個安全體系架構(gòu)當中，通常包含諸多硬件，如計算機，用于數(shù)據(jù)的計算與分析；硬盤，用于數(shù)據(jù)的存儲；網(wǎng)絡端口，用于各硬件設備的連接；服務器終端，用于向用戶提供各種應用服務；傳輸網(wǎng)，用于對整個網(wǎng)絡平臺進行有效的管理。

3.1.3 虛擬主機

通過虛擬主機的設置，可以設置出諸多虛擬的IP地址，當平臺受到外界不法攻擊時，可自動對這些攻擊進行阻擋，防止病毒、木馬等信心進入到平臺內(nèi)，且出現(xiàn)病毒、木馬攻擊后，還會向管理員發(fā)出相應的預警信息。虛擬主機設置過程中，應用了防火墻等安全防護技術(shù)，以使各個虛擬主機保持獨立。

3.1.4 虛擬網(wǎng)絡

具體由兩方面構(gòu)成：一個是虛擬化安全，即在各虛擬主機之間，構(gòu)建出相應的隔離層，以將各虛擬機獨立出來，確保虛擬主機間數(shù)據(jù)正常傳輸?shù)幕A上，能夠提升整個虛擬網(wǎng)絡的安全性。另一個是網(wǎng)絡安全，主要針對網(wǎng)絡傳輸與網(wǎng)絡層的各個接口，在網(wǎng)絡層當中，通過防火墻等技術(shù)手段，對邊界予以隔離，以此提升網(wǎng)絡層通信的安全性。此外，在平臺運行過程中，還應注重不法攻擊的掃描與檢測等。

3.1.5 數(shù)據(jù)安全

平臺內(nèi)含有大量的數(shù)據(jù)信息，通過對這些數(shù)據(jù)傳輸、訪問等保護，提升數(shù)據(jù)傳輸時的安全性，避免出現(xiàn)數(shù)據(jù)泄露、損壞等問題，使得數(shù)據(jù)在實際當中發(fā)揮出更大的作用。

3.1.6 應用安全

主要對平臺中的各種應用賦予進行保護，以此向用戶提供更加安全的服務。其中，主要有：應用監(jiān)測，即檢測應用服務是否存在隱患；應用預警，當發(fā)現(xiàn)平臺中出現(xiàn)安全隱患后，向相關(guān)用戶發(fā)出警報等，以保證整個平臺安全、穩(wěn)定運行。

3.2 隨機化防御機制

3.2.1 常規(guī)云網(wǎng)絡平臺介紹

對于常規(guī)云網(wǎng)絡平臺來說，安全性相對較低，不論是在用戶端，還是在SaaS 層、PaaP 層與IaaS 層，都能夠受到外界惡意信號的攻擊，且攻擊位置并不固定，時間具有明顯的隨機性，從而提升了系統(tǒng)平臺的安全防御難度，不利于平臺安全、穩(wěn)定地運行，其原理如圖2 所示。

圖2： 常規(guī)云網(wǎng)絡平臺被攻擊原理圖

3.2.2 基于隨機化防御的安全體系

針對網(wǎng)絡攻擊隨機性的特點，本研究當中，設計出一種基于隨機化防御的網(wǎng)絡安全體系，各層平臺間數(shù)據(jù)傳輸時，均予以隨機化處理，即在對數(shù)據(jù)傳輸?shù)倪^程中，通過隨機密鑰的方式，將信息進行加密處理，只有掌握密鑰的用戶，才可提取數(shù)據(jù)信息。這種情況下，不法人員在任何時間、任何位置進行攻擊，均會由于缺少密鑰而進入到各層平臺內(nèi)，防止不法人員對平臺內(nèi)部的數(shù)據(jù)進行竊取與破壞，從而提升云網(wǎng)絡平臺的安全性。如圖3 所示。

圖3： 本文提出的安全體系被攻擊原理圖

為了確保云平臺服務的安全性，應在各層當中，分別予以隨機化防御部署，以隨機化參數(shù)信息傳遞的方式，結(jié)合隨機化密鑰的手段，提升數(shù)據(jù)傳輸與存儲的安全性。在相鄰兩服務層間，利用APIs 的方式，對內(nèi)部數(shù)據(jù)予以傳輸，對各個信息服務層的隨機化密鑰進行處理，陰虛應在各服務站內(nèi)，安裝相應的管理模塊。通過特殊的協(xié)議，將隨機化參數(shù)傳輸?shù)礁鲗蛹案鞣N應用服務當中。

3.2.3 數(shù)據(jù)傳輸隨機化

在平臺內(nèi)部，安裝了大量的數(shù)據(jù)傳輸單元，通過這些單元，完成平臺與用戶端的數(shù)據(jù)傳輸，而在各數(shù)據(jù)傳輸單元間，則利用管理云網(wǎng)絡的方式予以調(diào)節(jié)。整個網(wǎng)絡由上至下分別包括三個部分：數(shù)據(jù)隨機化，在數(shù)據(jù)當中加入隨機生成的密鑰；指令隨機化，在指令當中加入隨機生成的密鑰；地址隨機化，在IP 地址上加入隨機生成的密鑰。與此同時，還會通過二次加密處理的方式，將密鑰相關(guān)信息傳輸給接收端，用于對數(shù)據(jù)的接收，從而提升整個數(shù)據(jù)傳輸過程的安全性[6]。

在平臺的頂層，用戶錄入相應的需求信息，并逐漸傳遞到平臺的最下層，在管理單元當中，對數(shù)據(jù)解密處理，以獲取其中包含的信息，如指令內(nèi)部、對方的IP地址等，在這些信息的驅(qū)動下，將相應的程序激活，以此向用戶提供相應服務。云平臺運行時，想要使隨機化防御發(fā)揮出更大的作用，應在物理基礎設施端，分別進行各種接口的隨機化處理，以防止各接口被不法人員攻擊。用戶對平臺操作時，可針對具體需求，激活對應的隨機化接口，以加強對整個系統(tǒng)的管理，提升對外界攻擊的抵抗效果。

3.2.4 安全防御報警模塊

將該防御機制應用到云網(wǎng)絡平臺當中后，能夠全面對各種惡意攻擊進行抵御。但需要注意的是，上述體系僅具有抵御的功能，無法向相關(guān)工作人員進行報警，從而對云平臺的運行造成一定干擾。所以，在隨機化防御體系內(nèi)，還構(gòu)建了安全防御報警模塊。采集到相應的狀態(tài)數(shù)據(jù)后，通過相應的方式對數(shù)據(jù)進行處理，根據(jù)處理結(jié)果，判斷平臺內(nèi)部是否出現(xiàn)異常問題，若發(fā)現(xiàn)異常問題，則自動生成告警信息，并將告警信息展示出來，若未發(fā)現(xiàn)異常問題，則直接將平臺運行情況展示出來。與此同時，還會將相關(guān)數(shù)據(jù)錄入到數(shù)據(jù)庫內(nèi)，對相關(guān)數(shù)據(jù)予以存儲。

4 仿真驗證

為了進一步驗證上述網(wǎng)絡入侵檢測系統(tǒng)的應用效果，本研究當中選擇了幾種網(wǎng)絡攻擊作為研究對象，對該系統(tǒng)進行了檢測，以此判斷云網(wǎng)絡平臺對網(wǎng)絡攻擊的抵御效果，評估系統(tǒng)異常的誤報率。在網(wǎng)絡攻擊方面，主要有5 種，分別為：代碼注入病毒、緩存污染、C 運行庫攻擊、IP 洪水攻擊、DoS 攻擊。通過實驗分析，可以得到如表1 與表2 所示結(jié)果。通過表1 的觀察能夠發(fā)現(xiàn)，在抵御概率方面，相對于未采用該系統(tǒng)前，抵御成功率大大提升，因而云平臺可以更加安全地運行。通過對表2 的觀察能夠發(fā)現(xiàn)，從整體角度來說，誤報率相對較高一些；在各攻擊類型方面，漏報率與誤報率也存在一定差異，其中，誤報率最高的一項僅有1.57%，而漏報率最高的一項僅有1.08%。由此表明，本系統(tǒng)具有良好的應用效果，可大大提升云平臺的安全性。

表1： 網(wǎng)絡入侵檢測系統(tǒng)應用前后網(wǎng)絡攻擊抵御效果對比

表2： 網(wǎng)絡入侵檢測系統(tǒng)誤報漏報檢測結(jié)果

5 總結(jié)

綜上所述，本文以數(shù)據(jù)挖掘技術(shù)為依托，開發(fā)出了一種網(wǎng)絡入侵檢測系統(tǒng)，該系統(tǒng)主要由兩大模塊構(gòu)成，分別為：安全體系架構(gòu)與隨機化防御機制，在兩大模塊共同作用下，提升整個云網(wǎng)絡平臺的安全性，為整個平臺更好地運行打下良好基礎。