网络安全事件预警系统方法

网络安全事件预警系统方法研究

李洪波

（长春工程学院吉林长春

130012）

【摘要】网络安全事件预警系统是实现网络安全检测和预警的一种新技术。对它的研究有助于提高网络系统的应急响应能力,缓解网络攻击所造成的危害和提高系统的反应能力等。本文通过网络安全事件检测技术的研究入手，对网络安全事件预警系统的系统架构及安全事件检测方法进行深入研究与探讨，并分析了检测机制与流程。

【关键词】网络安全；预警系统；检测技术

0引言

随着计算机信息网络应用于社会各个行业，信息产业已成为国民经济的重要支柱产业，信息技术和网络技术正向政治、经济、军事、文化等各个领域广泛渗透。同时，黑客攻击、病毒侵害等给计算机信息网络特别是关系国计民生的国家基础设施信息网络等重点信息网络造成了严重的安全威胁。如何感知网络目前的安全态势并预测其发展趋势已成为网络应急响应的热点研究内容之一，现已成为当前各国、企业和科研机构普遍关心的重要问题。本文从整体网络的安全事件为切入点，研究了网络安全事件预警的几种检测技术来检测和预警网络中的安全事件。

1网络安全事件的相关技术

目前，国内绝大多数大型网络没有建立起一套能够快速准确预警与检测网络安全事件的系统，大部分网络管理系统只是采用如利用SNMP协议对单一网络设备和其端口流量进行监控，或利用WMI对重点主机或服务器进行状态的监控，利用SMI-S的专用协议对存储设备进行监控等等，都是对单独的设备或系统进行监控。而没有从整个大型网络的层面，对整个网络发生的安全事件进行预警与统一的监控。本系统主要开发与讨论对整个网络的预警与检测，以下介绍本系统预警与检测方面用到的主要技术。1.1NetFlow技术

NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。路由器和交换机输出的NetFlow数据记录由过期的数据流及详细的流量统计数据组成。这些数据流中包含来源和目的相关的信息，以及端到端会话使用的协议和端口。1.2DPI技术

DPI技术，即DPI(DeepPacketInspection)深度包检测技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的检测系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。1.3正则表达式技术分析与应用

正则表达式是指一个用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串。在很多文本编辑器或其他工具里，正则表达式通常被用来检索或替换那些符合某个模式的文本内容。许多程序设计语言都支持利用正则表达式进行字符串操作。

当前的多数正则表达式匹配引擎，如PCRE采用NFA（非确定的有穷状态自动机）实现正则表达式。把DFA状态数存在指数膨胀的正则表达式改写成DFA状态数是线性增长的形式，但适用性有限，而且他们忽略了集合中其他DFA也膨胀的正则表达式，未能提出一种普遍适用的解决方法。

2

网络预警系统的结构

2.1

系统架构

网络安全事件预警系统的体系结构如图1所示，其中的系统中心、流检测服务器、载荷检测服务器、配置管理服务器是系统的逻辑组成部分，并非是必须的硬件服务器。对于中等规模的网络可以运行于一台硬件服务器上。2.2系统处理流程

如图1所示，以检测流经路由器R1的流量为例，介绍系统的处

图1

网络安全事件预警系统体系结构

理流程。

（1）路由器R1生成流记录，并将记录输出到流检测服务器。流记录符合IPFIX格式，流以五元组（SrcIP、SrcPort、DestIP、DescPort、Protocol）标识。

（2）流检测服务器采用基于流特征的检测方法对流量进行检测，将流量分成正常流量和安全事件流量，并将分类结果发送系统中心。

（3）系统中心根据安全事件策略库中的监控策略分析检测结果，这里会出现三种情况。流量正常不需要控制，系统显示检测结果；检测结果达到控制标准，发出预警或通知。需要深度包检测，通知配置服务器镜像R1上特定流量。

（4）配置服务器向R1发出相关镜像配置命令。

（5）R1执行镜像命令，通过镜像链路镜像相应流量。

（6）载荷检测服务器对这些数据报文进行捕捉并通过深度包检测方法确定进行分析。

（7）显示检测结果，对安全事件发出预警或通知服务器。

3

网络预警系统检测方法研究

3.1

流特征检测方法

基于流记录特征的流量分析技术主要应用NetFlow技术，对网络中核心设备产生的NetFlow数据进行分析、检测分类、统计。NetFlow协议由Cisco公司开发，是一种实现网络层高性能交换的技术。它运行在路由器中动态地收集经过路由器的流的信息,然后缓存在设备内存中，当满足预设的条件后，将缓存数据发送到指定的服务器。一个信息流可以通过七元组（源IP地址、目的IP地址、源端口号、目的端口号、协议类型、服务类型、路由器输入接口）唯一标识。

数据流检测的数据流程主要为：操作人员启动采集，程序通过libpcap对相应端口中的NetFlow数据进行接收，先缓存直内存中，达到一定数量后压缩存储直对应的文件中，进行下一次接收，同时定时启动分析模块，调入NetFlow规则库并调取相应的压缩NetFlow数据文件，对数据进行处理后，将NetFlow数据内容与规则库进行匹配，获得相应的处理结果存入数据库中，再次等待下一次分析模块启动。3.2深度包检测方法

深度包检测方法是用来识别数据包内容的一种方法。传统的数据检测只检测数据包头，但是这种检测对隐藏在数据荷载中的恶意信息却为力。深度包检测的目的是检测数据包应用载荷，并与指定模式匹配。当IP数据包、TCP或UDP数据流通过基于DPI技术的管理系统时，该系统通过深入读取IP数据包载荷中的内容来对应用层信息进行重组，从而得到整个应用程序的通信内容，然后按照系统定义的管理策略对流量进行过滤操作。这种技术使用一个载荷特征库存储

577

2012年第33期SCIENCE&TECHNOLOGYINFORMATION○IT论坛○科技信息

载荷的特征信息，符合载荷特征的数据包即视为特定应用的数据包。

深度包检测的数据流程主要为：操作人员启动采集，程序先调入相应的协议规则，程序通过libpcap对相应网络端口中对应协议的数据进行抓包捕获，对数据包进行协议分析拆包处理后，调入正则规则并进行优化处理，将数据包内容与优化过的规则进行多线程匹配，获得相应的处理结果存入数据库中，再次进行下一步处理。3.3复合型检测方法研究与分析

复合型检测，既结合了基于流特征的检测，从宏观上检测整个网络的安全状态，又结合了深度包检测的方法，对某些安全事件进行包内容的详细特征检测，可以极大的提高安全事件检测的准确度，减少误报率和漏报率，并可有效地提高深度包检测的效率，大幅降低深度包检测对系统的配置要求。

根据复合型规则的定义，来处理流检测和深度包检测的关系。可以根据不同的安全事件定义对应的复合方式，即可实现两种检测方法同时进行，也可先进行流检测符合相应规则后，再进行深度包检测，最后判定是否为此安全事件。

复合型规则中，数据流规则与深度包规则的对应关系是M:N的关系。既一个数据流规则可以对应多个深度包规则，这表示这个数据流预警的安全事件可能是由多种深度包预警的安全事件引起，需要多

个深度包检测来进行确认。同时多个数据流规则可以对应一个深度包规则，这表示这个深度包规则对应的安全事件可以引起发生多条数据流预警的安全事件。这种设计方式可方便地通过基础安全事件扩展多种不同的安全事件。

4总结

本文通过分析现有网络安全事件检测系统的相关技术，对几种检测方法进行了研究和总结，已通过这些方法的运用来提高了网络安全事件预警系统中的准确性。●

【参考文献】

［1］张险峰,秦志光,刘锦德.网络安全分布式预警体系结构研究[J].计算机应用,

2004（05）.

［2］彭云峰,沈明玉.入侵防御系统在应急平台网络中的应用研究[J].计算机技术与发展,2009（02）.

作者简介：李洪波（1981.6—），吉林长春人，硕士，从事校园网络的维护与管理工作，研究方向为计算机网络。

［责任编辑：王静］

●（上接第576页）增加新交换机与原交换机组成IRF系统来实现，使整个IRF设备的转发能力整体提高，增加了可靠性。如图4所示。

图4使用IRF扩展系统处理能力组网图

4）使用IRF扩展带宽

当边缘交换机上行带宽增加时，可以增加新交换机与原交换机组成IRF系统来实现。将成员设备的多条物理链路配置成一个聚合组，可以增加到中心交换机的带宽。而对中心交换机的而言，边缘交换机的数量并没有变化，物理上的两台交换机看起来就是一台交换机，原有交换机会将当前的配置批量备份到新加入的交换机。因此，这种变化对网络规划和配置影响很小，增加了可靠性。如图5所示。

图6

跨越空间使用IRF组网图

2结束语

河北省电力公司在网络建设中合理采用了IRF（IntelligentResilientFramework，智能弹性架构）技术，并积极应用更先进的IRF2技术，简化了网络结构，提升了网络运行效率，提高了网络可靠性，为整网的业务运行提供更加安全、可靠的环境。科●

【参考文献】

［1］[美]史蒂文斯（W.RichardStevens）．TCP/IP详解[M]．范建华，等，译.机械工业出版社，2010.

［2］IEEE802.3AD[Z].美国电气和电子工程师协会(IEEE).

图5使用IRF扩展带宽组网图

［3］IRF2.0技术[Z].H3C.

［4］赵成贵.互连网络负载平衡理论与算法[M].科学出版社，2011.

作者简介：刘惠颖（1982—），女，蒙古族，辽宁朝阳人，工程师，主要从事信息系统运维工作。

李井泉（1979—），男，河北唐山人，工程师，主要从事信息系统运维工作。

5）跨越空间使用IRF

IRF可以通过光纤将相距遥远的设备连接形成IRF设备，如图6所示，每个楼层的用户通过楼道交换机接入外部网络，现使用光纤将各楼道交换机连接起来形成一个IRF设备，网络结构变得更加简单；每个楼层有多条链路到达核心网络，网络增加了可靠性。

［责任编辑：王迎迎］

578