1、第2 6 卷第4期2023年文章编号2095-0020(2023)04-0232-07上海电机学院学报JOURNAL OF SHANGHAI DIANJI UNIVERSITYVol.26 No.42023基于云计算的网络数据安全优化设计郝杰(江苏旅游职业学院学生工作处,江苏扬州2 2 510 0)摘要针对网络数据易受到外界恶意入侵网络攻击,导致数据泄露、数据异常等安全事件的产生,提出基于云计算的网络数据安全优化方法。通过网络实时运行指标的计算,感知当前网络数据的安全态势。通过特征提取与匹配两个步骤,确定网络数据的入侵攻击类型。针对不同类型的网络攻击,在云计算技术的支持下,从网络设备基础结构、
2、防火墙、用户身份鉴别、数据加密以及数据备份恢复等方面,实现网络数据的安全优化。实验结果表明:通过设计方法的应用,网络数据在地址解析协议(ARP)和分布式拒绝服务(DDoS)两种攻击环境下的静态数据篡改量和动态数据丢失量均低于0.5GB,网络数据通信安全系数的最小值为2.38,均满足预设要求。关键词云计算技术;网络数据;数据安全;安全态势;入侵攻击;防火墙中图分类号TP393文献标志码AOptimization design of network data security based on cloud computingHAO Jie(Student Affairs Department,Ji
3、angsu College of Tourism,Yangzhou 225100,Jiangsu)Abstract To solve the vulnerability problem of the network data to external malicious intrusionnetwork attacks,which leads to data leakage,data anomalies and other security events,a network datasecurity optimization method based on cloud computing is
4、proposed.The security situation of currentnetwork data is perceived by the calculation of the network real-time operation index.Through the twosteps of feature extraction and matching,the intrusion attack type of network data is determined.Fordifferent types of network attacks,with the support of cl
5、oud computing technology,network data securityoptimization is realized in network equipment infrastructure,firewall,user identity authentication,dataencryption,and data backup and recovery,etc.The experimental results show that the static datatampering and dynamic data loss through the application o
6、f the design method are both lower than 0.5 GBunder the two attack environments of address resolution protocol(ARP)and distributed denial of service(DDoS).The minimum value of the safety factor for network data communication is 2.38.All theseresults meet the preset requirements.Key words cloud compu
7、ting technology;network data;data security;security situation;intrusion attack;firewall收稿日期:2 0 2 2-12-12作者简介:郝杰(198 4一),男,讲师,主要研究方向为信息技术和计算机网络,E-mail:2023年第4期网络数据安全主要是指网络环境数据在传输、存储等环节中的安全属性,能够最大程度地保证数据的完整性和正确性1。在“信息爆炸”大背景下,人们可以通过互联网进行数据的传递和共享。同时,网络中的非法用户也对网络数据信息产生一定程度的威胁,因此,对网络数据安全提出了更高的要求。不仅要防御病毒,
8、还要增强系统的抗干扰能力,避免在传输中遭受非法窃取。因此,研究网络数据安全优化方法具有重要意义。文献2 根据节点之间的互助性,在正常情况下通过静态簇传输数据信息,在遭受网络攻击时,各节点之间形成事件簇,将采集的数据发送至汇聚节点,实现数据的快速传输。但该方法存在一定的风险,数据安全性还需进一步提升。数据源探针数据人侵检测系统防火墙网络监测功能上报数据运营商网络用户服务器在系统的运作过程中,需要大量的历史数据来确定其是否具有防范的能力,并对整个网络进行安全设施的调整和更新4-6。利用传感器设备收集网络的实时数据,并计算宽带使用率、数据流增长率、存活主机漏洞数量等安全态势指标,其中宽带使用率和数据
9、流增长率指标的计算表达式为n ocupy 100%7 broadbandn broadbandBB-l 100%式中:noceupyVn broadband分别为宽带占用数量和宽带的总数量;,、t-1分别为t时刻和t一1时刻的网络数据流量7-9。同理可得出其他网络安全态势指标的量化求解结果,并通过与网络安装状态下态势指标数据的郝杰:基于云计算的网络数据安全优化设计高网络数据的存储与传输安全,提出了基于云计算的网络数据安全优化方法。通过感知网络数据安全态势、分析网络人侵攻击类型,基于云计算技术从网络设备结构、防火墙、用户身份鉴别、数据加密以及数据备份恢复方面,实现网络数据的安全优化。实验结果表明
10、,该设计方法具有较高的应用价值。1网络数据安全优化方法设计1.1区网络数据安全态势感知态势感知模型包括态势觉察、态势理解和态势投射三部分3。网络数据安全态势感知流程如图1所示。一1数据预处理与集成图1网络数据安全态势感知流程比对,确定当前网络运行是否安全。1.2风网络入侵攻击类型检测常见的网络入侵攻击方式包括:对用户名与密码信息的攻击、特洛伊木马10-1、电子邮件炸弹、分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、地址解析协议(Address ResolutionProtocol,A RP)攻击以及数据驱动攻击等。其中,ARP攻击是局域网中的主要攻
11、击方式,根据TCP/(1)IP协议在设计时的安全漏洞对其进行欺骗攻击,伪造数据包盗取用户信息,严重破坏用户信息的安全性,主要欺骗手段为路由欺骗和网关欺骗。此外,DDoS攻击是指通过使用一个合理的服务请求来占据几乎所有的服务资源,使得正当的用户不能获得服务的回应,以达到攻击的目的,其入侵攻击原理如图2 所示。233为了降低网络数据长期的病毒感染风险,提11事件关联态势与风险态势可视化一响应与预警!1目标识别评估1显示111111234黑客控制倪儒机图2 DDoS入侵攻击原理同理可以得出其他类型入侵攻击的基本原理,并设置不同入侵攻击类型对应网络的运行特征12。在网络人侵攻击类型的检测与识别过程中,
12、对初始采集的网络运行数据进行放大处理,处理结果可以表示为aenlarge=K式中:c 为放大系数;c、elarge分别为放大处理前后的数据。从含噪声网络数据中恢复出原始信号,具体通过搜索域内所有相似数据块进行加权平均来实现,即w(t)elare(t)u(s)n(s)式中:u(s)为相似度加权参数;n(s)、(t)分别为网络中的噪声数据和数据权重值。以处理完成的数据为基础,提取数据特征,其中网络流量波动特征的提取结果可表示为Z:-:-1入flowt式中:;、i-1分别为网络i节点和i一1节点位置上的网络流量数据;t为网络流量数据的采集周期13。同理可以得出网络数据其他特征的提取结果,并根据式(5
13、)计算当前网络特征与网络入侵攻击特征之间的相似度为(5)式中:extrect、入atack分别为提取的当前网络特征和设置的不同人侵攻击类型下的特征。若入sim的计算结果高于0.9,则可确定比对特上海电机学院学报征即为当前网络的入侵攻击类型,否则需要执行下一种类型的比对,直到得到匹配结果。1.3基于云计算技术的网络数据安全防御与优化攻击愧儒机1根据网络数据安全的态势感知结果,针对不同类型的网络攻击方式选择相应的防御方案,实现网攻击愧儒机2受害目标攻击愧儒机n(2)(3)(4)2023年第4期络数据的安全优化。1.3.1网络基础结构安全设计在云环境下根据网络的拓扑结构可以将其分为核心层、汇聚层、接
14、入层、云存储层等多个部分。其中核心层是整个网络的骨干,其核心是高速传输,提供最优的传输。在核心层的优化设计中,选择S9706代替原有的S9306,增强了网络的稳定性14。为保证核心网络的可靠度,采用了?余设计,避免了单个故障。S9706支持增强虚拟路由器余(VirtualRedundancyProtocol,V RRP)协议,能在主交换机发生故障时,迅速切换路由,确保不间断服务。VRRP协议在3个层次开关间实现,实现了3个层次的虚拟局域网(Virtual Local Area Network,V LA N)间的穴余备份,避免了L2的回路和复杂度,并在网络中采用了3层连接方式。S5700-SI系
15、列标准型千兆以太网交换器可以在增强设备可靠性的同时,实现对多个接人层的虚拟化转换。访问层开关实现用户端口的隔离,通常采用分层交换方式对VLAN进行分区隔离处理,从而最大程度地保证网络环境中所有硬件设备的运行安全。1.3.2网络防火墙配置为应付复杂的网络环境,制定大量的过滤规则,并根据规则权重动态调整规则的优先级,提高防火墙的过滤速度,在保证防火墙防御强度的同时,降低规则冲突事件的发生概率15。在云计算技术的支持下,配置云防火墙的过滤工作原理如图3所示。提取云中心的过滤规则,并计算各个过滤规则的权重值,表达式为W;力式中:p;p 分别为网络规则在单位时间内匹配的数据包量和网络环境中存在的数据包总
16、量。过滤规则的权重值越大,说明该规则的优先级越高。根据式(6)得出云中心存储所有过滤规则的权重值,并将过滤规则优先级调整结果代人(6)2023年第4期郝杰:基于云计算的网络数据安全优化设计235/过滤路径PTCP应用层网络数据传输层网络层网络接口层网络数据终端A图3云防火墙过滤工作原理云防火墙运行程序中。每隔15min将动态更新的网络中的历史交互次数;|R为推荐实体个数;过滤规则发给客户端,与入侵防御系统(IntrusionTDirect、T i n d i r e c t 分别为直接信任度和间接信任度。Prevention System,I PS)联动建立信誉的协作,通过将式(9)的信任度计
17、算结果与设置阈值进行比安全加密保护的虚拟专用网络技术提供虚拟云端的较,确认该用户为合法用户后,该用户获得对网络移动安全接入。的访问权限。当用户进行网络访问或传输数据时,1.3.3鉴别网络用户身份客户端每次与其他终先向网络服务器端发送访问请求,服务器分析服务端设备交互时,接收端需对客户端进行身份认证,保请求,并使用随机数字发生器产生一个随机数字反证客户端的访问是经过主服务的允许,确保服务器馈给客户端17,下次客户端请求网络操作时,将按对文件系统的控制。在此次网络数据安全优化过程照上述步骤重新生成随机数进行身份认证。中采用类身份基加密(Identity-Based Encrypted,1.3.4加
18、密网络存储与传输数据采用全同态加IBE)原理进行身份认证16。在云计算环境下,用户密的方式对网络中的所有数据进行加密处理,任意登录到网络环境中填写注册信息,并将口令密码按网络数据的加密结果可以表示为下式转换成哈希函数散列:c=m+2r+pqPmswod=Hash(Pepassword)式中:Ppsworad为初始生成的私钥;Hash()为哈希函数。客户端提交注册信息,服务端反馈响应信息如下:response=res,)式中:res为服务器端的返回结果标识,取值为0 或1,若取值为0 则表示用户注册失败,否则说明用户注册成功;为注册请求标识。系统管理员审核用户个人信息,服务器端计算该用户的信任度
19、,有TiT(e;e,)=T,+RTT Direct+IRI式中:eive,分别为云用户和云资源;T;为用户在数据应用层传输层网络层网络接口层防火墙(7)式中:r为加密时产生的随机数;p、q 为加密密钥和公钥。在网络数据存储过程中,分别将明文、密文和密钥存储在不同环境中,并形成密文与密钥之间的连接。(8)1.3.5利用云计算技术恢复网络数据备份云计算系统中存储了大量的用户信息,为了确保数据的准确性和有效性,云计算服务端采用一定技术手段对其进行了容灾备份,以防止由于突发事件而导致的数据永久丢失。在TCP/IP协议的基础上,建立了异地容灾和数据备份机制,当地的数据容灾备份存储系统会将本地生产中心产生
20、的各种数据,及时地传送到外地的数据备份中心,避免意外因素造成数据永久性丢失。在备份过程中,本地资料与远端(9)资料储存必须位于同一局域网,以使本地数据与远端数据无缝转换与接管。应用层传输层网络层网络接口层网络数据终端B(10)2362优化效果测试实验分析2.1P网络对象与数据样本设置选择某大型通信网络作为实验的研究背景,该通信网络能够覆盖2.0 km,终端数量达到了7 8 0个。通信网络中包含一个服务器设备以处理实时产生的通信数据,一个网关设备用来形成任意两个网络终端之间的通信链接。在上述硬件设备的基础上,为了给实验提供充足的网络测试数据,加设一个6 4GB的存储器设备。实验中准备的网络数据样
21、本分为两个部分:一部分存储在网络存储器中,约45.9GB;另一部分处于实时传输状态,数据大小约13.2 GB。将准备的网络数据样本分别导入网络终端中。IP地址为19 2.2 55.10.0 0 1,终端的网络数据样本流量分布情况如图4所示。记录网络中所有数据的状态和所处位置,为网络数据安全优化效果的判断提供参考标准。192192192192192.259232525.25.252512231515151513132519225 192.11925.15.10.00660708.09.10.11250.00410.0055.1000302图4网络数据样本流量分布2.2区网络数据攻击程序编写实验中
22、设置ARP和DDoS两种类型的攻击指令。其中,DDoS攻击量级为50 Gb/s,并将其编写成程序代码,直接作用于目标网络环境中。为保证攻击程序的可控性,在攻击程序编写时加人一个控制开关,并采取人为控制的方式确定攻击程序的运行时间和攻击强度。2.3设置网络数据安全量化测试指标从数据存储和数据传输安全性两个方面进行优化测试,其中静态存储数据的安全效果测试指标为数据篡改量,数据篡改量表达式为N Tamperig=Nsample-N econcidence式中:Nample为静态数据样本量;Necoinidene为经过网络攻击后与初始样本重合的数据量。上海电机学院学报处于通信状态的数据安全度量指标为数
23、据丢失量和通信安全系数,数据丢失量的表达式为Nios=N send-N recive(12)式中:Nsend、N r e c e i v e 分别为发送端的发送数据量和接收端的接收数据量。此外,通信安全系数指标的表达式为M.ZVH(,).In(M)Ji-1H(;2)sini-1式中:M为云空间平均大小;H(,)为网络通信信道容量;n为通信网络环境中设置的云空间的数量。最终计算得出数据篡改量和丢失量越低、通信安全系数越高,证明优化方法的安全性能越高,实验要求N Tampeing和Nioss的值均不得高于0.5GB,不得低于2.0。2.4实验过程与结果分析通信会话基于云计算优化方法的设计结果,对网
24、络及数192据对象进行优化处理。同时,启动数据通信任务程1300110120.05.1140.025150.05.116192.255.10.0012023年第4期(13)n序和网络数据攻击程序,观察网络数据安全优化结果,如图5所示。网络数据防火墙过滤记录防序联网控折网络玫击恶意网截ARP圳P御网络数据保护DDOS攻击裁DDoS攻击:AdobeFlashPlayer远程代码入侵攻击DOS攻重:动态光标远程代码入图悠责对外政击拦截电升级设置Dos攻击:Microsoftorice远程代码入侵攻击心高级设置DDos攻击:RealPlayer远程代码入侵攻击DDoS重:墨风影章lActive远程代码
25、入侵攻击DDOS玫害:迅雷着着Active远程代码入侵攻击DoS攻击:新浪Active远程代码入侵攻击ARP攻击:AdobeFlashPlayer远程代码入侵攻击ARP攻:动态光标远程代码入偶悠惠ARP攻击:Microsoftorrice远程代码入侵攻击ARP攻击:RealPlayer远程代码入侵攻击ARP攻击:暴风影音IIActive远程代码入侵攻击自动过滤间隔0.5回分钟回启用声音报警确定取消(a)防火墙攻击过滤拦截网络数据传输加密文件(E)编(E)直者0 0 伍史(S)书型(B)工具(门)郴湖(H网络数据明文3976846165023744002053880707826465308813
26、16799670457900883506452664732967999683970119804009182372416835278464723710498595610261008075网络数据密文*(11)过滤记录4789(b)网络数据传输加密图5网络数据安全优化结果应用5595245096074462938122460024576004885561037808656060740894079408315464097540826005336590008582004857604954069845552096550093125551940042923772320337795955827459700*
27、+*+*2023年第4期为了保证实验结果的可信度,按照上述方式执行多次实验,通过相关数据的提取结果得出静态存储数据安全性能的测试结果,如表1所示。表1网络静态存储数据安全性能测试数据表实验设置静态数据ARP攻击下的DDoS攻击下的次数林样本数据量/GB重合数据量/GB重合数据量/GB145.9245.9345.9445.9545.9645.9将表1中的数据代人式(11)中,得出两种攻击程序下静态数据篡改量的平均值分别为0.2 2 GB和0.17 GB,均低于0.5GB。动态通信状态下网络通信数据丢失量的测试结果如表2 所示。表2 网络通信数据丢失量测试结果通信ARP攻击环境任务Nsend/GB
28、N recive/GB18.627.1310.446.257.565.9将表2 中的数据逐一代人式(12),计算得出两种攻击环境下动态通信数据的平均丢失量分别为0.23GB和0.2 5GB,均低于预设值。将文献2 方法作为对比方法,通过式(13)的计算,得出两种方法的网络数据通信安全系数的测试结果,如图6 所示。-ARP攻击环境一DDoS攻击环境 设计方法文献2 方法5.04.03.02.01.001图6 网络数据通信安全系数测试结果郝杰:基于云计算的网络数据安全优化设计的网络数据安全优化方法的应用,设计方法的网络数据通信安全系数的最小值为2.38,高于预设值。3结语为提高网络数据的完整性与准
29、确性,提出基于45.545.745.945.545.845.645.645.945.645.945.745.8DDoS攻击环境Nsena/GBN recive/GB8.28.67.07.110.210.45.96.27.47.55.65.923237由图6 可见,综合两种攻击环境,通过云计算云计算的网络数据安全优化方法。在云计算技术的支持下,从网络设备基础结构、防火墙、用户身份鉴别、数据加密以及数据备份恢复等方面,实现网络数据的安全优化。云计算是目前应用最先进的技术,其应用前景十分广阔。通过云计算技术的应用,有效提高了网络数据的存储安全与通信安全,因此本文设计的基于云计算的网络数据安全优化方法
30、具有较高的实用价值,为网络数据的安全传输、存储提供了技术保障。参考文献【1丁斌芬.基于云计算的网络教学数据库安全技术研究J.电子测试,2 0 2 0(2 4):113-114.8.42 李敏,熊灿,肖扬.基于事件驱动的动态分簇网络的7.0协作传输方法J.电子与信息学报,2 0 2 1,43(8):10.02232-2239.6.13 傅江辉.基于云计算的社交网络安全隐私数据融合7.2方法J.济南大学学报(自然科学版),2 0 2 1,35(1):5.529-33.4李洋.基于云计算的计算机网络安全存储技术研究评云存储安全实践JJ.现代雷达,2 0 2 1,43(12):133.5AAKUJUO
31、BI C M,AMPAH N K,SADIKU M N O.An intrusion detection technique based on change inHurst parameter with application to network securi-tyLJJ.International Journal of Computer Science andNetwork Security,2022,5(7):55-64.6 X U EW Q,A N B,YEO C K.NSG Ze r o:e f f i c i e n t l ylearning non-exploitable po
32、licy in large-scale net-work security games with neural monte carlo treesearchJ.Proceedings of the AAAI Conference onArtificial Intelligence,2022,36(4):4646-4653.45实验次数6787 刘洋,赵瑞锋,李波,等.基于Docker技术的静态安全分析云计算应用.电力科学与技术学报,2 0 2 1,36(4):181-187.238 8 SONG M L,WU B H,LI R R.Effectiveness evalua-tion metho
33、d for traffic data acquisition based on ve-hicle-borne networkJ.International Journal of Ve-hicle Information and Communication Systems,2022,7(3):211-227.92ZHAO J J,JING X Y,YAN Z,et al.Network trafficclassification for data fusion:a surveyJ.Informa-tion Fusion,2021,72(4):22-47.10丁朝晖,张伟,杨国玉.基于动态伪装技术
34、的网络安全防御系统研究J.电子技术应用,2 0 2 2,48(1):129-132.11杨晓琪,白利芳,唐刚.基于DSMM模型的数据安全评估模型研究与设计J.信息网络安全,2 0 2 1,2 1(9):90-95.12苑顺周,姚晓冬,邢羽.基于超融合技术的数据中心网络安全设计J.网络安全技术与应用,2 0 2 1(2):上海电机学院学报14-17.13管文蔚.基于区块链的网络隐私数据安全防护模型设计J.廊坊师范学院学报(自然科学版),2 0 2 1,2 1(4):29-33.14陈良英.基于属性加密的计算机数据库安全检测工具的设计与运用J.信息技术与网络安全,2 0 2 0,39(4):30-
35、35.15杨宏宇,王峰岩,吕伟力.基于无监督生成推理的网络安全威胁态势评估方法J.清华大学学报(自然科学版),2 0 2 0,6 0(6):47 4-48 4.16夏晓峰,向宏,肖震宇,等.基于国产密码算法的数控网络的认证与验证模型研究及安全评估.电子与信息学报,2 0 2 0,42(8):18 46-18 52.17倪伟东,武利会,王俊丰.基于自主安全芯片的配网自动化系统网络安全防护及硬件加速J.电力科学与技术学报,2 0 2 0,35(3):16 6-17 2.2023年第4期(上接第2 31页)5BO CH K O V SK IY A,W A NG C Y,LIA O H Y M.Yol
36、ov4:optimal speed and accuracy of object detec-tionEB/OL.(2 0 2 0-0 4-2 3)2 0 2 1-0 2-0 5.h t t p s:/arxiv.0rg/abs/2004.10934.6 REDMON J,FARHADI A.YOLO9000:better,fas-ter,strongerCJ/IEEE Conference on ComputerVision and Pattern Recognition.Cornell University:arXiv,2017:7263-7271.7 伍济钢,成远,邵俊,等.基于改进YO
37、LOv4算法的PCB缺陷检测研究J.仪器仪表学报,2 0 2 1,42(10):171-178.8 HOWARD A,SANDLER M,CHEN B,et al.Searching for mobileNetV3 C/2019 IEEE/CVFInternational Conference on Computer Vision(IC-CV).New York:IEEE,2019:1314-1324.9 许思昂,李艺杰,梁桥康,等.基于改进YOLOv5算法的PCB裸板缺陷检测J.包装工程,2 0 2 2,43(15):33-41.10李闻,李小春,闫昊雷.基于改进YOLOv3的PCB缺陷检测
38、J.电光与控制,2 0 2 2,2 9(4):10 6-111.112ZHANG Y F,REN W Q,ZHANG Z,et al.Focaland efficient IOU loss for accurate bounding box re-gressionEB/OL.(2 0 2 1-0 1-2 0)2 0 2 2-0 7-16.h t-tps:/arxiv.0rg/abs/2101.08158.12IDING X,ZHANG X,MA N,et al.RepVGG:makingVGG-style ConvNets great againCJ/2021 IEEE/CVF Confere
39、nce on Computer Vision and PatternRecognition(CVPR).Nashville:IEEE,2021:13728-13737.13LI H L,WEI H B,LIU Z,et al.Slim-neck byGSConv:a better design paradigm of detector archi-tectures for autonomous vehiclesEB/OLJ.(2 0 2 2-06-06)2 0 2 2-0 8-17 J.h t t p s:/a r x i v.o r g/a b s/2206.02424.14HE K,ZHA
40、NG X,REN S,et al.Spatial pyramidpooling in deep convolutional networks for visualrecognition J.IEEE Transactions Pattern AnalMach Intelligence,2015,37(9):1904-1916.15HE K M,ZHANG X Y,REN S Q,et al.Deep resid-ual learning for image recognitionCJ/2016 IEEEConference on Computer Vision and Pattern Recog-nition.New York:IEEE,2016:770-778.16SZEGEDY C,VANHOUCKE V,IOFFE S,et al.Rethinking the inception architecture for computervisionCJ/2016 IEEE Conference on Computer Vi-sion and Pattern Recognition.New York:IEEE,2016:2818-2826.