基于云计算架构的短时延网络攻击路径检测系统设计

来源：核心期刊咨询网时间：12

摘要：摘 要： 为了保证短时延网络的运行安全，降低网络攻击带来的威胁，从硬件和软件两个角度，设计基于云计算架构的短时延网络攻击路径检测系统。在硬件系统中安装用来保存检测数据以及检测结果的内嵌存储器、用来捕获网络数据包的数据采集卡以及执行检测功能的I

　　摘 要： 为了保证短时延网络的运行安全，降低网络攻击带来的威胁，从硬件和软件两个角度，设计基于云计算架构的短时延网络攻击路径检测系统。在硬件系统中安装用来保存检测数据以及检测结果的内嵌存储器、用来捕获网络数据包的数据采集卡以及执行检测功能的IDS检测器。通过捕获网络数据包、攻击源追踪和入侵路径检测三个模块的设计，实现系统的攻击路径检测功能。通过设计系统测试实验来验证设计的网络攻击路径检测系统的性能，经过与传统检测系统的对比发现，应用设计的网络攻击路径检测系统检测结果的准确率提升了18.75%，并且耗时更短。

　　关键词： 短时延网络; 网络攻击; 云计算架构; 攻击路径检测; 攻击源追踪; 系统设计

　　0 引 言

　　目前中国的计算机网络得到了广泛的覆盖，在互联网发展状况调查中明确指出，中国网民的数量在不断增加，截至2018年底网民的数量已经增加到了8亿以上，仅2018年当年增加人数就超过了800万，相比于2017年，互联网的普及率增加了接近4个百分点。为了满足更多用户的应用要求，保证海量用户同时在线的情况下互联网依旧可以正常运行，网络也逐渐进行更新换代，短时延网络应运而生[1]。短时延网络节省了任务执行的响应时间，具有更高的应用价值。随着互联网技术的普及以及计算机技术的发展，网络逐渐覆盖到人们的日常生活当中，同时，网络中存在的安全隐患也不容忽视。网络中安全隐患的产生分为人为原因和客观因素两个方面，其中人为因素指的就是网络攻击。网络攻击指利用网络中存在的漏洞和安全缺陷对网络系统的硬件、软件及系统中的数据进行攻击，实现盗取用户信息、篡改系统程序等目的。

　　近些年来网络攻击技术和攻击工具有了新的发展趋势，使得借助互联网运行业务的机构面临前所未有的风险。为了降低网络信息运行的危险指数，需要采取一定的防御措施，除了基本的防火墙外，另一种较为有效的措施为网络攻击检测系统[2]。定期对网络进行攻击检测可以检测出网络中的隐藏攻击程序，从而及时地对其进行防御处理，而网络攻击检测当中攻击路径的检测可以直接从根源上消除攻击源，从而彻底消除网络威胁。现如今的网络攻击路径检测系统主要利用决策树、不确定攻击图等技术，然而传统检测系统存在检测精度低的问题。经过长时间的研究发现，云计算架构可以解决传统系统中存在的问题，云计算架构是一种虚拟化的延伸，可以全面地检测网络攻击路径的走向。一般情况下云计算架构可以分为四个層级，通过层层检测可以提升检测系统的检测精度，从而实现短时延网络攻击路径检测系统的精密检测功能。

　　1 短时延网络攻击路径检测硬件系统设计

　　为了检测短时延网络中的攻击路径，首先对检测系统的硬件设备进行设计，从云计算架构的角度来看，硬件系统属于基础设施层，主要对中间层所需的信息数据进行计算和存储等[3]。短时延网络攻击路径检测硬件系统中所应用到的硬件设备包括存储器、采集卡以及检测器等元件设备，将上述元件按照运行的顺序与原理，利用系统电路连接在一起，系统电路需要具备两个条件：信号放大和电力支持。其中：信号放大的意义在于可以将短时延网络中每一个节点的信号放大，保证检测的准确性;而电力支持可以维持硬件系统的正常运作，一般情况下系统电路的稳定电压为220 V。

　　1.1 系统内嵌存储器

　　短时延网络攻击路径检测硬件系统将存储器以内嵌的方式安装在检测主机上，当系统中存储的数据量超过内嵌存储器时，可以通过外接的方式连接新的存储器，最大程度保证检测系统的正常运行状态[4]。内嵌存储器主要用来存储检测到的信息数据，以便之后的分析。另外，在短时延网络攻击路径检测系统当中还需要接入数据库，因此需要内嵌存储器为数据库的搭建提供容量支持，在检测分析的过程中产生的所有信息都可以及时地存储到存储器当中。另外，内嵌存储器在系统当中需要分为多个子模块，存储子模块可以动态挂载和卸载，由此实现检测结果的分布式缓存。

　　1.2 数据采集卡

　　系统中应用的数据采集卡用来采集和捕获短时延网络中的数据包，可以实现对网络传输数据的截取，并将模拟信号转换为数字信号或者电量信号，送到上位机中进行分析和处理[5]。在此次硬件系统当中选用AV+DV采集卡，并将其安装在检测主机当中，通过该设备的安装可以将短时延网络中的数据包截取，并通过自身的运行原理转换成计算机可以直接识别和处理的形式。

　　1.3 IDS检测器

　　IDS检测器是短时延网络攻击路径检测功能主要实现的硬件场所之一，在运行过程中可以针对实时入侵以及事后入侵的两种攻击行为进行检测。针对实时入侵检测需要与短时延网络连接方可进行，检测器根据用户的历史行为以及存储在计算机中的数据对用户的当前行为操作进行判断，得出基本的运行规律[6]。当IDS检测器检测出有入侵迹象存在时，立即控制攻击节点与主机的连接，并收集相关路径攻击信息。在系统运行状态中IDS检测器始终处于循环运行的状态。

　　2 短时延网络攻击路径检测软件系统设计

　　在硬件系统设计并安装完成的基础上，对短时延网络攻击路径检测的软件系统进行设计，设计过程以云计算架构作为路径检测软件系统的基本架构，如图1所示。

　　按照图1中的云计算结构得出网络攻击路径检测软件系统的基本框架，从图1中可以看出，整个系统分为四个层级，分别为显示层、管理层、中间层和基础设施层，其中基础设施层主要指的是检测过程中应用到的硬件设备，就是检测的硬件系统[7]。检测软件系统主要针对的是云计算架构中的中间层，在数据库的支持下实现网络攻击路径的检测，最终将检测结果通过显示层输出;而管理层主要用来维持检测系统的性能，即保证在任何情况下系统都可以正常且稳定的运行。

　　2.1 捕获网络数据包模块

　　将检测主机接入到短时延网络中，启动数据采集卡进行网络数据包的捕获。设置数据包的捕获频率以及捕获周期，实现网络攻击路径的实时检测。捕获网络数据包的基本流程如图2所示。

　　按照图2中的捕获流程得出实时数据包的捕获结果，为了提高数据的捕获效率，数据包过滤在系统内核中实现。按照原始捕获的数据包可以得出短时延网络正常运行过程中的数据传输情况，当网络中存在攻击异常时，获取的数据包就会与原始的数据存在明显差异[8]。通过捕获数据包存在的异常情况，可以判断出当前短时延网络是否存在攻击情况。当判定捕获的网络数据包存在异常时，便可以进行网络漏洞节点的定位以及攻击源的追踪。

　　2.2 攻击源追踪模块

　　根据捕获的网络数据包中的异常情况，推出网络中漏洞节点的定位结果，短时延网络中已知主机节点和漏洞节点便可以生成中间的网络传输路径[9]。接着对攻击源节点进行追踪定位，追踪定位模块如图3所示。

　　假设短时延网络攻击者通过网关对攻击目标发动攻击，其中攻击目标指的就是定位的网络漏洞节点，此时主机收到的攻击报文源地址标记为[G]。设NM在攻击者端所在的网段、[G1]和[G2]之间的网段和网络漏洞节点所在的网段上[10]。分别调用[t1]，[t2]和[t3]时刻捕获的数据包，检测系统在主机上对三条异常数据包进行相关性分析，进而得出攻击源的位置。

　　2.3 入侵路径检测模块

　　在得出短时延网络攻击源追踪定位结果的基础上，从攻击源的角度出发形成攻击路径，并从误用入侵攻击和异常入侵攻击两个方面得出入侵路径的检测结果。

　　推荐阅读：计算机信息管理专业论文文献

转载请注明来自：http://www.qikan2017.com/lunwen/dzi/17755.html