基于Spark的网络安全防御模型.docVIP

基于Spark的网络安全防御模型 1 引言：随着科技的日益发展，生活中几乎离不开网络，于是网络安全越来越重要。网络安全防御技术还不够完备，处理速度也有些慢。Spark 采用了构建弹性分布数据集(RDD)来提供内存集群计算，将作业输出保存在内存中。极大地提高了处理速率，当今，现有的网络安全与大数据结合的模型大多是与 Hadoop 技术结合，而 Spark 比 Hadoop 更高效、处理速度更快且便捷。随着时间推移，新型恶意攻击层出不穷，过去的防御模型无法应对新型恶意攻击，因此设计新型三层防御模型是必要的。 【关键词】局域网 Spark 网络安全 1.1 设计思想 设计模型的基本思想是在模拟局域网中建立应对内部恶意攻击与外部恶意攻击的三层防御体系，由 Spark 处理进入局域网的数据流， 处理完毕后快速高效地将数据流传递给局域网内部进行应对分析并防御。 1.2 整体模型的构建 在模拟局域网中建立应对内部恶意攻击 图 2：Spark 处理数据速度图 图 3：Hadoop 处理数据速度图 图 4：局域网随机外部攻击测试拓扑图 与外部恶意攻击的三层防御体系，由 Spark 处理进入局域网的数据流，处理完毕后快速高效地将数据流传递给局域网内部进行应对分析并防御。 局域网遇到攻击后接收到数据流后 Spark 处理数据流返还防御端进行防御处理的具体模型构建，如图 1 所示。 1.2.1 攻击端模型 本次研究主要研究的两个攻击模型：仿冒 DHCP 攻击模型、MAC 欺骗攻击模型。 伪造 DHCP 攻击原理是攻击者欺骗客户端，为客户端分配错误的 IP 地址并提供错误的网关地址等参数。 MAC 欺骗攻击理论是交换机的 MAC 地址列表填满后，接收到的流量数据帧会被泛洪到所有端口。入侵者使用工具将大量无效源 MAC 地址泛洪到 PC 上的交换机，并填充交换机 MAC 地址列表，发起 DOS 攻击。合法的 PC(MAC 地址 ) 无法在交换机的 CAM 列表上注册。目前，许多网络使用交换机作为集线器进行连接。因此，对于由集线器组成的网络，用户很容易在没有安全性的情况下拦截和分析网络攻击。MAC 地址欺骗、IP 地址欺骗及更高层面的信息骗取等，阻止用户访问Internet 和泄露信息。 1.2.2 局域网模型的构建 网络中使用的基础网络设备，本身就能够提供一定的安全特性。这些安全特性在工作网络中的实现不需要特别的硬件设备，只需要在当前设备上进行适当的配置即可，如三层网络安全技术它包含：访问控制列表，ARP 表项安全控制等;二层网络安全技术它包含：端口安全(Port Security)，DHCP Snooping 等; 网络设备自身安全它包含：设备登陆安全控制， 协议报文认证等。 路由器大量的运算是基于软件的，所以安装合适的软件之后，路由器能够提供很多的安全特性。譬如对 ARP 表项进行安全控制， 可以限制 ARP 刷新的速度。访问控制列表是网络设备中的基本安全功能，能够根据数据包的五元组进行过滤，也能够利用来对路由协议进行特定的控制。部分防火墙还实现了更多的安全特性，譬如能够像防火墙一样工作，基于连接状态进行数据过滤;也能够提供 IPSec 接入等功能。 交换机工作在二层，针对二层的攻击，交换机也发展了很多安全特性，譬如端口安全技术防止 MAC 地址泛洪攻击;DHCP Snooping 防止基于 DHCP 协议的攻击。风暴控制是网络流量异常时候的控制手段。 网络设备运行在网络中，自身也有可能遭受到恶意攻击。譬如网络设备远程登陆的时候，需要进行身份认证，为了提高登陆的安全性，推荐使用 SSH/HTTPS 等加密协议进行登陆。另外网络设备运行包括路由协议在内的各种协议，为了防止有人利用正常的协议攻击网络，需要在协议中启用邻居认证，面向非合法网络设备的端口关闭协议。 2 仿真结果及分析 2.1 Spark大数据处理端测试 将 Spark 处理速度与 Hadoop 处理速度进行测试对比，当 Spark 与 Hadoop 处理相同任务时，Spark 处理速度显然更快，如图 2、图 3 所示。 2.2 防御端应对随机攻击测试 2.2.1 局域网中随机外部攻击测试 实验原理是攻击者通过我们共同使用的外部网络进行攻击公司内部，我们通过 NAT 技术使我们内部可以访问外部，而外网却不能访问我们内部的信息，从而到达防御外网的目的。 实验具体过程是我们通过 ENSP 作为模拟器来实现对外网防御的模拟，外网服务器端的 IP 地址网段为 /24，内部网段为/24 网段