基于网络检测方式云查杀研究.docVIP

基于网络检测方式云查杀研究 　　[摘 要]随着网络安全措施和病毒库不断增加，电脑终端性能成为防护措施设置的一个瓶颈，针对在服务器端设置防护措施的研究成为一个不可忽视的问题。本文介绍了一种云查杀简单模式；分析了这种模式的优越性；提出在企业级构建这种模式的可行性，为网络安全防护提供参考。 　　[关键词]网络防护；入侵检测；云查杀 　　中图分类号：S114 文献标识码：A 文章编号：1009-914X（2018）08-0267-01 　　1 引言 　　网络信息社会给人带来了各种便利的同时伴随出现了各种网络安全的威胁，这使得构建全方位的计算机安全防护系统显得非常重要，已有的多种安全技术例如，防火墙技术、数据加密技术、病毒检测技术等，但是这些都是被称作被动式防御手段，而富足的网络安全问题还需要入侵检测工具作为主动防御的手段，辅助各种被动式防御系统保障计算机安全。 　　传统的入侵检测系统都是假设在本地主机，本地计算机的性能渐渐成为设置入侵检测系统的瓶颈，这种结架构有着运算能力，可扩展性差、系统庞大等诸多限制，这都制约着入侵检测系统的实际性能。而云计算对虚拟化的支持、分布式计算、负载均衡、大数据处理能力等优点正好可以解决如上问题。本文提出了简单云查杀模式，可以为大中型企业构建在云上的入侵检测系统提供了理论支持。 　　2 入侵检测分类 　　2.1 基于主机的入侵检测系统 　　基于主机的入侵检测系统装在客户端，是根据客户端主机的网络流量情况、CPU负载能力、系统日志等主机行为进行检测。该方法利用统计学或者数据挖掘的方式找到可信的主机行为规律，如果有某种行为或者特征违反了该规律，则可以认为该活动是不可信，入侵检测端有必要采取某种措施对不可信数据包进行处理。 　　2.2 基于网络的入侵检测系统 　　基于网络的入侵检测系统一般装在服务器端，它直接的数据来源就是网络中的各种数据包。一般部署在重要的节点或者重要的网络关键段，监听本节点或者本网段的数据包的异常与否。首先网络入侵检测系统对该节点或者网段的数据包进行捕获，而根据特定规则分析数据包，若发现数据不包符合规则，则认为是可疑数据包。目前基于网络的入侵检测系统占据绝大多数。 　　当前基于网络的入侵检测系统一般采用如下几种检测技术来匹配数据包：模式、表达式或者字节匹配、穿越阈值或者频率、事件的关联性。 　　3 云端入侵检测系统架构 　　3.1 云查杀概念 　　在服务器端做好安全引擎，把接入服器的客户端的文件和信息都传送到服务器端进行及时、迅速的查询。这个服务器相对于客户端来讲就是“云”。 　　在服务器中设置单独空间用来创建云环境。将入侵检测系统中的入侵检测引擎、规则知识库的管理都放在云环境中，将需要计算的大量数据都在云端，降低了客户端的负载，同时利用云环境下部署方式，使得新增的客户端变得比较容易。 　　云查杀技术的核心是将引擎库植入到云端服务器。为了识别那个文件感染了病毒，首先选取文件的特征值，作?槲ㄒ槐晔丁⒓偃缥募?感染了病毒或者文件被恶意篡改，文件也能被云端所识别。 　　3.2 云查杀的流程 　　首先客户端发送一条唯一标示，唯一标示通过认证后发送到云端，云端对该文件进行样本分析，样本分析时将提取样本存储系统内的样本，与客户发来的样本进行比对，若发现异常云端交于病毒特征库进行处理，根据发现的异常相应生成解决方案通过云查杀交互发送至客户端；若未发现异，常客户端提取文件样本，经过服务器端对该文件样本的启发式分析检测后，发现异常则生成解决方案；若仍未发现异常，客户端软件则搜集该文件运行过程中的行为特征上传至服务器进行行为分析，云服务器最终判定该文件是否可信并向客户端发送解决方案。在整个过程中云查杀结果交互都会把云处理后的相应结果发送给客户端。云查杀的流程如图1所示。 　　3.3 云查杀简单模型 　　云端主要包含云端代理服务器，认证管理，存储管理，入侵检测引擎。 　　云服务器接受客户端发过来的数据包，收到的数据包需利用入侵检测引擎处理，并将处理结果返回，若是可疑的数据包，需要交由云端存储节点进行存储。云服务器对用户接入交换机进行监听，判别本节点或者本网段的数据包的异常与否。把监听到的信息在内部通过一定的策略进行分析。发现异常情况立即对其进行处理。 　　客户端主要实现数据包的捕获，并将捕获到的数据包交由客户端代理服务器，客户端代理服务器将数据包以云端和客户端约定的通信协议进行通信。 　　网络服务器是客户端和用户都接入的网络设备，为用户提供网络服务，完成各项运算服务。 　　在正给结构模型中用户可以同时享受防火墙一层低级防护和云端服务器提供的高级查杀策略的第二层防护，从而解放用户本地的主机网络防护压力。 　　4 结束语 　　随着国家进一步加强网络安全和信息化管理