基于大数据的计算机网络安全防御系统设计研究

熊群毓

（湖南化工职业技术学院 湖南 株洲 412000）

0 引言

在现代化社会发展中，科技水平也在不断地提高。 目前，大数据技术的应用充分展现出精准性、灵活性的优势［1］。 在此背景下，在计算机网络防护系统中使用大数据技术，能够满足硬件设备虚拟化处理的需求，实现安全体系的创建［2］。 基于此理念，满足计算机网络安全防护系统的需求，能够提高网络运行过程中的稳定性、安全性。

1 系统的架构设计

本文将某高校为例设计计算机网络安全防御系统，学校校园网等级安全需求为：第一等级为互联网接入安全；第二等级为不同院校子网相互连接；第三等级为服务安全访问和入侵检测，图1 为计算机网络安全规划。

图1 计算机网络安全规划

在边界防火墙中实现网络区域的划分，包括对外服务子网等。 利用现代计算机信息网络系统的需求表示，计算机网络安全防御系统需求包括加密需求、访问控制、身份鉴别、病毒防护、漏洞扫描等。 网络安全防御体系架构要对安全机制和对象充分考虑，比如计算机病毒防治、信息、数据库等［3］。

2 系统的模块化设计

2.1 智能入侵检测和跟踪模块

在设计计算机网络安全防御系统的过程中，智能入侵检测模块能够使传统入侵检测模块的被动防御进行改善，使无法对网络环境中不同攻击行为的问题得到解决，避免出现系统安全威胁情况。 另外，还能够实现计算机网络攻击的主动安全防御，使入侵检测功能得到加强，提高网络系统安全运行等级［4］。 另外，此模块设计过程中融入人工智能技术，构成感知层数据采集功能。 根据此功能精准、高效地实现计算机网络入侵异常行为的定性，在计算机网络中出现异常入侵检测的过程中，此模块能够实时监测恶意攻击，并且及时报警，实现安全机制响应，使计算机网络安全防御功能得到提高，图2 为智能入侵检测模块的结构。

图2 智能入侵检测模块的结构

自动追踪能够实现计算机网络防御系统在运行过程中的威胁深入性、自动化分析，从而得出相关攻击过程、攻击源等信息情况，将其作为基础阻止主动攻击，使网络中异常入侵行为得到解决，提高计算机网络安全防御能力［5］。 主要包括网络陷阱、追踪定位和网络确证功能，不同功能独立设计。 在此模块应用的过程中，能够结合智能控制处理模块。 以此，在智能控制处理模块控制和管理下，对计算机网络入侵行为进行自动化、智能化的处理，使系统防御能力得到提高，以此保护计算机网络的安全。

2.2 传输加密模块

加密的过程就是使明文转变为密文，解密为密文转变为明文，图3 为数据加解密的变换过程。 使用网络七层协议实现数据加密，以加密技术分析逻辑位置。 端对端加密利用OST 参考模型实现网络层与传输层的创建，传输数据源端，不会改变密文状态［6］。 假如通信链路出现问题，不会对数据整体安全性造成影响。 端到端加密能够加密自身的信息，利用加密算法实现主机信息的加密，通过针对性手段实现加密。 软件编程在使用过程中的密钥管理机制比较复杂，应用在网络系统中能够使接收方传输更加地方便，主要代码为：

图3 防火墙结构

2.3 数据收集和处理

网络中存在大量的内部数据，包括网络设备日志、操作系统等。 平台还要对外部网络安全资料进行收集，比如社会信息、网络安全信息等［7］。 通过轻量级实现原始数据的集成，根据不同业务需求实现数据的存储和处理。 为了解决多源异构复杂数据的问题，平台数据源通过不同系统和数据库对数据进行存储。 比如，使用时序数据库存储密集数据，使用关系型数据库存储数据。

在对数据处理的过程中，主要模式有离线和在线两种，使不同数据处理的需求得到满足。 利用数据流技术处理在线数据，快速响应网络安全异常情况，从而实时感知网络安全态势［8］。 在此过程中要使数据存储性能消耗得到降低，根据设计需求对数据进行清洗和转换，对数据质量进行保证。 通过大数据技术处理离线数据，如果对性能要求不高，就要实现数据精细化处理。 对离线模式和在线模式进行对比，离线模式要牺牲部分性能对数据进行大范围的融合和继承，以此将数据提供给上层数据分析。

通过异常检测技术挖掘数据的价值，利用网络安全资料实现数据的融合，对相关知识抽取，创建网络安全知识图谱，设计平台上层的应用处置方案。 在数据生命周期外，通过数据监理收集数据，保证平台数据的安全性［9］。

2.4 动态加密与上传

在开始处理前，通过公钥库使云端加密程序得出数据接收的RSA 公钥。 在数据加密过程中，通过DES 密钥生成器实现校验信息密钥的生成，通过算法对数值N 进行选择，利用元数据N 字节读取，实现密文的生成［10-11］。 另外，通过接收端公钥实现密文的加密。 在密文加密之后存储在云端，客户端进行工作，随机DES 密钥重新生成。 使上述过程重复发送其他数据包，以此实现整体加密。

在整个过程中，实现动态数据的加密，从而生成加密数据，每个密钥对应一段数据加密，各个密钥通过接收端公钥加密，将密钥数据在云端仓库中存储。 为了使数据接收端解析更加的方便，要在中断之后续传，加密数据包的结构［12］。 不同数据包都能够利用加密实现密文和密钥的生成，通过算法实现密文长度的生成。 各个数据包具有不同的长度，在分包为S 时传输数据，实现加密密钥的生成，以下为主要代码：

2.5 防火墙模块设计

在防火墙系统设计中，防火墙技术包括：第一，包过滤技术。 此技术是基于网络层实现的，能够创建过滤路由器，只有对传输文件进行划分，保证网络信息数据传输的安全性、可靠性和稳定性；第二，代理技术。 基于网络应用层实现研发，通过防火墙系统的内部代理服务器实现多网管连接过程中的可靠性。 另外，不同应用服务器的代理也各有不同，能够保证内外部网络创建连接关系［13］。 通过上述技术创建防火墙模块，之后通过代理服务器的防护模块使防火墙系统安全防护能力得到提高。 要先保证防火墙信息安全体系结构的合理性、科学性，就要对网络保护安全级别进行确定，对系统维护升级成本进行考虑，设计合适防火墙系统体系结构。

防火墙模块通过代理和路由器构成，主要包括双宿主主机结构、主网关的屏蔽，在主机中实现不同网卡的嵌入，从而对硬件连接稳定性和可靠性进行保证。 屏蔽主网关结构利用过滤路由器和代理主机进行安全保护。 防火墙模块的中心主机为代理主机，屏蔽主网关结构能够将代理主机和路由器结合，从而构成中间过滤子网。 之后，通过中间过滤子网分离内外部网。 但是，不管是内外网络，工作人员都能够对中间过滤子网进行随意访问，表示此结构的安全性比较高。 图3 为防火墙结构，在防火墙模块运行过程中，首先技术人员要对此系统运行情况进行实时监控，并且将异常信息向系统管理员反馈，在防火墙系统中安装监视系统，方便对非法访问行为及时组织。 其次，使监控软件配置合理性、科学性得到增强，提高监视系统有效性。 最后，防火墙系统还能够对自身文件完整性自动化监视，对被修改文件进行识别，实现自我保护。

3 测试实验

为了对本文设计系统实用性进行测试，对比本文方法和传统方法的防御效果，从而验证本文设计方案的先进性。

3.1 实验准备

在实验过程中设置两个数据发送点，攻击数据发送点为第一个，第二个为实验正常数据发送点。 利用混合传输的方式实现数据的传输，提高了安全防御对于数据辨别的难度。 利用交换机结合数据，在指定网络中发送。 安全监控、IPOS 探针、数据库、逻辑层构成计算机网络安全防御系统，还能够监控数据传输。

逻辑层能够实现数据库的数据书写，解析通信命令之后转发。 逻辑层为此实验主要构成部分，在接收并且识别攻击信号时生成数据传输危险信号。

3.2 实验结果

利用实验中的三种方法对网络入侵攻击信息进行拦截，如果攻击数据包和正常数据包不发生改变，就要开展攻击数据的识别实验，得到平均识别攻击数据包数据，测试样本数据详见表1。 利用攻击数据识别平均数据，本文设计防范的攻击数据包最高，从而提高了其安全性。

表1 测试样本数据 单位：个

4 结语

目前，互联网已经成为主要网络工具，主要特征为互联、互通。 虽然相应软件资源具有多样性、丰富化的特点，但是此状态会导致病毒入侵。 假如病毒恶意攻击网络内部，就会威胁到系统安全，泄露系统重要信息。 所以，计算机网络安全防御系统尤为重要。 能够提高网络安全防护能力，使网络信息传输具备保密性、真实性的特点，从而使安全使用需求得到满足。