相关标签

基于Spark的网络安全防御模型

发布时间:2019-09-13 08:06

  1 引言:随着科技的日益发展,生活中几乎离不开网络,于是网络安全越来越重要。网络安全防御技术还不够完备,处理速度也有些慢。Spark 采用了构建弹性分布数据集(RDD)来提供内存集群计算,将作业输出保存在内存中。极大地提高了处理速率,当今,现有的网络安全与大数据结合的模型大多是与 Hadoop 技术结合,而 Spark 比 Hadoop 更高效、处理速度更快且便捷。随着时间推移,新型恶意攻击层出不穷,过去的防御模型无法应对新型恶意攻击,因此设计新型三层防御模型是必要的。

  【关键词】局域网 Spark 网络安全

  1.1 设计思想

  设计模型的基本思想是在模拟局域网中建立应对内部恶意攻击与外部恶意攻击的三层防御体系,由 Spark 处理进入局域网的数据流, 处理完毕后快速高效地将数据流传递给局域网内部进行应对分析并防御。

  1.2 整体模型的构建

  在模拟局域网中建立应对内部恶意攻击

  图 2:Spark 处理数据速度图

  图 3:Hadoop 处理数据速度图

  图 4:局域网随机外部攻击测试拓扑图

  与外部恶意攻击的三层防御体系,由 Spark 处理进入局域网的数据流,处理完毕后快速高效地将数据流传递给局域网内部进行应对分析并防御。

  局域网遇到攻击后接收到数据流后 Spark 处理数据流返还防御端进行防御处理的具体模型构建,如图 1 所示。

  1.2.1 攻击端模型

  本次研究主要研究的两个攻击模型:仿冒 DHCP 攻击模型、MAC 欺骗攻击模型。

  伪造 DHCP 攻击原理是攻击者欺骗客户端,为客户端分配错误的 IP 地址并提供错误的网关地址等参数。

  MAC 欺骗攻击理论是交换机的 MAC 地址列表填满后,接收到的流量数据帧会被泛洪到所有端口。入侵者使用工具将大量无效源 MAC 地址泛洪到 PC 上的交换机,并填充交换机 MAC 地址列表,发起 DOS 攻击。合法的 PC(MAC 地址 ) 无法在交换机的 CAM 列表上注册。目前,许多网络使用交换机作为集线器进行连接。因此,对于由集线器组成的网络,用户很容易在没有安全性的情况下拦截和分析网络攻击。MAC 地址欺骗、IP 地址欺骗及更高层面的信息骗取等,阻止用户访问Internet 和泄露信息。

  1.2.2 局域网模型的构建

  网络中使用的基础网络设备,本身就能够提供一定的安全特性。这些安全特性在工作网络中的实现不需要特别的硬件设备,只需要在当前设备上进行适当的配置即可,如三层网络安全技术它包含:访问控制列表,ARP 表项安全控制等;二层网络安全技术它包含:端口安全(Port Security),DHCP Snooping 等; 网络设备自身安全它包含:设备登陆安全控制, 协议报文认证等。

  路由器大量的运算是基于软件的,所以安装合适的软件之后,路由器能够提供很多的安全特性。譬如对 ARP 表项进行安全控制, 可以限制 ARP 刷新的速度。访问控制列表是网络设备中的基本安全功能,能够根据数据包的五元组进行过滤,也能够利用来对路由协议进行特定的控制。部分防火墙还实现了更多的安全特性,譬如能够像防火墙一样工作,基于连接状态进行数据过滤;也能够提供 IPSec 接入等功能。

  交换机工作在二层,针对二层的攻击,交换机也发展了很多安全特性,譬如端口安全技术防止 MAC 地址泛洪攻击;DHCP Snooping 防止基于 DHCP 协议的攻击。风暴控制是网络流量异常时候的控制手段。

  网络设备运行在网络中,自身也有可能遭受到恶意攻击。譬如网络设备远程登陆的时候,需要进行身份认证,为了提高登陆的安全性,推荐使用 SSH/HTTPS 等加密协议进行登陆。另外网络设备运行包括路由协议在内的各种协议,为了防止有人利用正常的协议攻击网络,需要在协议中启用邻居认证,面向非合法网络设备的端口关闭协议。

  2 仿真结果及分析

  2.1 Spark大数据处理端测试

  将 Spark 处理速度与 Hadoop 处理速度进行测试对比,当 Spark 与 Hadoop 处理相同任务时,Spark 处理速度显然更快,如图 2、图 3 所示。

  2.2 防御端应对随机攻击测试

  2.2.1 局域网中随机外部攻击测试

  实验原理是攻击者通过我们共同使用的外部网络进行攻击公司内部,我们通过 NAT 技术使我们内部可以访问外部,而外网却不能访问我们内部的信息,从而到达防御外网的目的。

  实验具体过程是我们通过 ENSP 作为模拟器来实现对外网防御的模拟,外网服务器端的 IP 地址网段为 192.168.2.0/24,内部网段为192.168.1.0/24 网段,在没有配置 NAT 之前, 外网的 192.168.2.0/24 可以轻松访问内部员工1(192.168.1.2)的信息,但是当我们设置了NAT 技术后,外部的服务器就不能访问到我们的员工了,而我们的员工 1、2 还是可以照常访问外网。模拟拓扑结构如图 4 所示。

  测试用例 1——局域网随机外部攻击防御测试:

  测试 1:在公司内部路由器的出接口(图4)不使用 NAT 地址转换技术,外网是否可以访问到公司的内网。

  具体操作:1. 直接用外网去 ping 公司内网的任意一个 IP 地址;2. 用员工 1 的 PC 去ping 通外网。

  结果:1. 外网可以ping 通到公司的内网;

  2. 员工 1 的 PC 可以 ping 通外网。

  结论:外网可以轻松地访问公司内部网络。

  测试 2:在公司内部路由器(图 4)的出接口使用 NAT 地址转换技术,外网是否可以访问到公司的内网。

  具体操作: 在公司内部路由器上写下acl 规则后,在公司内部路由器的出接口配置NAT 地址转换技术后,再执行:1. 直接用外网去 ping 公司内网的任意一个 IP 地址;2. 用员工 1 的 PC 去 ping 通外网。

  结果:1. 外网不可以ping 通到公司的内网;

  2. 员工 1 的 PC 可以 ping 通外网。

  结论:我们通过 NAT 技术使我们内部可以访问外部,而外网却不能访问们内部的信息, 从而到达防御外网。

  2.2.2 局域网中随机内部攻击测试

  局域网的随机内部攻击测试我们选择了伪造 DHCP 攻击测试和 MAC 欺骗攻击测试两种。

  伪造DHCP 攻击测试实验程序是将DHCP Snooping 在交换机端口上划分为可信端口(Trusted port) 和不可信端口 (Untrusted ports), 连接到合法 DHCP 服务器的端口应配置为可信端口,其他端口应配置为不可信端口。交换机从 Trusted 端口 (GE0/0/1) 接收到 DHCP 响应报文 ( 例如 DHCP Offer 报文、DHCP Ack 报文等等 ) 后,转发这些数据包以确保合法的 DHCP 服务器可以正确分配 IP 地址并提供其他网络参数。交换机收到 Untrusted 端口的DHCP 响应报文后丢弃这些报文,从而防止伪造 DHCP 服务器分配 IP 地址并提供其他网络参数。实验拓扑图,如图 5 所示。

  MAC 欺骗攻击测试实验是端口安全通过将接口获取的动态 MAC 地址转换为安全MAC 地址,防止未授权用户通过接口与交换机通信。如果接口上的安全 MAC 地址数量达到限制,如果源 MAC 地址不存在,则端口安全认为存在非法用户攻击。将根据配置的操作保护接口。缺省情况下,保护动作是 restrict。实验拓扑图如图 6 所示。

  3 结束语

  本次研究分析了不同攻击方式的原理及漏洞,构建了防御模型并通过实验达到了较好的结果,通过与 Spark 大数据处理系统的结合将原有的日志分析的拖延有了良好的改善,由于网络攻击随科技发展层出不穷,新型的攻击越来越多,网络安全防御模型还需要进一步研究和改进。

毕业论文:http://www.3lunwen.com/jsj/wlaq/3844.html

上一篇:由“校园贷”引发的互联网金融监管的思考

下一篇:谈医院信息化规划中的网络信息安全与防范

     移动版:基于Spark的网络安全防御模型

本文标签:
最新论文