網絡安全預警制度檢測方式探究范文

本站小編為你精心準備了網絡安全預警制度檢測方式探究參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

網絡預警系統的結構

1系統架構

網絡安全事件預警系統的體系結構如圖1所示，其中的系統中心、流檢測服務器、載荷檢測服務器、配置管理服務器是系統的邏輯組成部分，并非是必須獨立的硬件服務器。對于中等規模的網絡可以運行于一臺硬件服務器上。

2系統處理流程

如圖1所示，以檢測流經路由器R1的流量為例，介紹系統的處理流程。

（1）路由器R1生成流記錄，并將記錄輸出到流檢測服務器。流記錄符合IPFIX格式，流以五元組（SrcIP、SrcPort、DestIP、DescPort、Protocol）標識。

（2）流檢測服務器采用基于流特征的檢測方法對流量進行檢測，將流量分成正常流量和安全事件流量，并將分類結果發送系統中心。

（3）系統中心根據安全事件策略庫中的監控策略分析檢測結果，這里會出現三種情況。流量正常不需要控制，系統顯示檢測結果；檢測結果達到控制標準，發出預警或通知。需要深度包檢測，通知配置服務器鏡像R1上特定流量。

（4）配置服務器向R1發出相關鏡像配置命令。

（5）R1執行鏡像命令，通過鏡像鏈路鏡像相應流量。

（6）載荷檢測服務器對這些數據報文進行捕捉并通過深度包檢測方法確定進行分析。

（7）顯示檢測結果，對安全事件發出預警或通知服務器。

網絡預警系統檢測方法研究

1流特征檢測方法

基于流記錄特征的流量分析技術主要應用NetFlow技術，對網絡中核心設備產生的NetFlow數據進行分析、檢測分類、統計。NetFlow協議由Cisco公司開發，是一種實現網絡層高性能交換的技術。它運行在路由器中動態地收集經過路由器的流的信息,然后緩存在設備內存中，當滿足預設的條件后，將緩存數據發送到指定的服務器。一個信息流可以通過七元組（源IP地址、目的IP地址、源端口號、目的端口號、協議類型、服務類型、路由器輸入接口）唯一標識。

數據流檢測的數據流程主要為：操作人員啟動采集，程序通過libpcap對相應端口中的NetFlow數據進行接收，先緩存直內存中，達到一定數量后壓縮存儲直對應的文件中，進行下一次接收，同時定時啟動分析模塊，調入NetFlow規則庫并調取相應的壓縮NetFlow數據文件，對數據進行處理后，將NetFlow數據內容與規則庫進行匹配，獲得相應的處理結果存入數據庫中，再次等待下一次分析模塊啟動。

2深度包檢測方法

深度包檢測方法是用來識別數據包內容的一種方法。傳統的數據檢測只檢測數據包頭，但是這種檢測對隱藏在數據荷載中的惡意信息卻無能為力。深度包檢測的目的是檢測數據包應用載荷，并與指定模式匹配。當IP數據包、TCP或UDP數據流通過基于DPI技術的管理系統時，該系統通過深入讀取IP數據包載荷中的內容來對應用層信息進行重組，從而得到整個應用程序的通信內容，然后按照系統定義的管理策略對流量進行過濾操作。這種技術使用一個載荷特征庫存儲載荷的特征信息，符合載荷特征的數據包即視為特定應用的數據包。

深度包檢測的數據流程主要為：操作人員啟動采集，程序先調入相應的協議規則，程序通過libpcap對相應網絡端口中對應協議的數據進行抓包捕獲，對數據包進行協議分析拆包處理后，調入正則規則并進行優化處理，將數據包內容與優化過的規則進行多線程匹配，獲得相應的處理結果存入數據庫中，再次進行下一步處理。

3復合型檢測方法研究與分析

復合型檢測，既結合了基于流特征的檢測，從宏觀上檢測整個網絡的安全狀態，又結合了深度包檢測的方法，對某些安全事件進行包內容的詳細特征檢測，可以極大的提高安全事件檢測的準確度，減少誤報率和漏報率，并可有效地提高深度包檢測的效率，大幅降低深度包檢測對系統的配置要求。

根據復合型規則的定義，來處理流檢測和深度包檢測的關系。可以根據不同的安全事件定義對應的復合方式，即可實現兩種檢測方法同時進行，也可先進行流檢測符合相應規則后，再進行深度包檢測，最后判定是否為此安全事件。

復合型規則中，數據流規則與深度包規則的對應關系是M:N的關系。既一個數據流規則可以對應多個深度包規則，這表示這個數據流預警的安全事件可能是由多種深度包預警的安全事件引起，需要多個深度包檢測來進行確認。同時多個數據流規則可以對應一個深度包規則，這表示這個深度包規則對應的安全事件可以引起發生多條數據流預警的安全事件。這種設計方式可方便地通過基礎安全事件擴展多種不同的安全事件。

總結

本文通過分析現有網絡安全事件檢測系統的相關技術，對幾種檢測方法進行了研究和總結，已通過這些方法的運用來提高了網絡安全事件預警系統中的準確性。

作者：李洪波單位：長春工程學院