本站小编为你精心准备了网络安全预警制度检测方式探究参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
网络预警系统的结构
1系统架构
网络安全事件预警系统的体系结构如图1所示,其中的系统中心、流检测服务器、载荷检测服务器、配置管理服务器是系统的逻辑组成部分,并非是必须独立的硬件服务器。对于中等规模的网络可以运行于一台硬件服务器上。
2系统处理流程
如图1所示,以检测流经路由器R1的流量为例,介绍系统的处理流程。
(1)路由器R1生成流记录,并将记录输出到流检测服务器。流记录符合IPFIX格式,流以五元组(SrcIP、SrcPort、DestIP、DescPort、Protocol)标识。
(2)流检测服务器采用基于流特征的检测方法对流量进行检测,将流量分成正常流量和安全事件流量,并将分类结果发送系统中心。
(3)系统中心根据安全事件策略库中的监控策略分析检测结果,这里会出现三种情况。流量正常不需要控制,系统显示检测结果;检测结果达到控制标准,发出预警或通知。需要深度包检测,通知配置服务器镜像R1上特定流量。
(4)配置服务器向R1发出相关镜像配置命令。
(5)R1执行镜像命令,通过镜像链路镜像相应流量。
(6)载荷检测服务器对这些数据报文进行捕捉并通过深度包检测方法确定进行分析。
(7)显示检测结果,对安全事件发出预警或通知服务器。
网络预警系统检测方法研究
1流特征检测方法
基于流记录特征的流量分析技术主要应用NetFlow技术,对网络中核心设备产生的NetFlow数据进行分析、检测分类、统计。NetFlow协议由Cisco公司开发,是一种实现网络层高性能交换的技术。它运行在路由器中动态地收集经过路由器的流的信息,然后缓存在设备内存中,当满足预设的条件后,将缓存数据发送到指定的服务器。一个信息流可以通过七元组(源IP地址、目的IP地址、源端口号、目的端口号、协议类型、服务类型、路由器输入接口)唯一标识。
数据流检测的数据流程主要为:操作人员启动采集,程序通过libpcap对相应端口中的NetFlow数据进行接收,先缓存直内存中,达到一定数量后压缩存储直对应的文件中,进行下一次接收,同时定时启动分析模块,调入NetFlow规则库并调取相应的压缩NetFlow数据文件,对数据进行处理后,将NetFlow数据内容与规则库进行匹配,获得相应的处理结果存入数据库中,再次等待下一次分析模块启动。
2深度包检测方法
深度包检测方法是用来识别数据包内容的一种方法。传统的数据检测只检测数据包头,但是这种检测对隐藏在数据荷载中的恶意信息却无能为力。深度包检测的目的是检测数据包应用载荷,并与指定模式匹配。当IP数据包、TCP或UDP数据流通过基于DPI技术的管理系统时,该系统通过深入读取IP数据包载荷中的内容来对应用层信息进行重组,从而得到整个应用程序的通信内容,然后按照系统定义的管理策略对流量进行过滤操作。这种技术使用一个载荷特征库存储载荷的特征信息,符合载荷特征的数据包即视为特定应用的数据包。
深度包检测的数据流程主要为:操作人员启动采集,程序先调入相应的协议规则,程序通过libpcap对相应网络端口中对应协议的数据进行抓包捕获,对数据包进行协议分析拆包处理后,调入正则规则并进行优化处理,将数据包内容与优化过的规则进行多线程匹配,获得相应的处理结果存入数据库中,再次进行下一步处理。
3复合型检测方法研究与分析
复合型检测,既结合了基于流特征的检测,从宏观上检测整个网络的安全状态,又结合了深度包检测的方法,对某些安全事件进行包内容的详细特征检测,可以极大的提高安全事件检测的准确度,减少误报率和漏报率,并可有效地提高深度包检测的效率,大幅降低深度包检测对系统的配置要求。
根据复合型规则的定义,来处理流检测和深度包检测的关系。可以根据不同的安全事件定义对应的复合方式,即可实现两种检测方法同时进行,也可先进行流检测符合相应规则后,再进行深度包检测,最后判定是否为此安全事件。
复合型规则中,数据流规则与深度包规则的对应关系是M:N的关系。既一个数据流规则可以对应多个深度包规则,这表示这个数据流预警的安全事件可能是由多种深度包预警的安全事件引起,需要多个深度包检测来进行确认。同时多个数据流规则可以对应一个深度包规则,这表示这个深度包规则对应的安全事件可以引起发生多条数据流预警的安全事件。这种设计方式可方便地通过基础安全事件扩展多种不同的安全事件。
总结
本文通过分析现有网络安全事件检测系统的相关技术,对几种检测方法进行了研究和总结,已通过这些方法的运用来提高了网络安全事件预警系统中的准确性。
作者:李洪波单位:长春工程学院