基于暗网的早期检测技术在专用网络中的应用
2.2 系统简介
系统主界面由4个界面组成,如图2所示。攻击坐标图在三维坐标系和3个二维截面坐标系中实时显示当前攻击。攻击记录查询界面根据用户输入的查询条件以表格形式显示历史记录信息。攻击记录统计界面则根据用户输入的查询条件和设置用柱图、饼图、折线图三种形式显示历史记录报表。记录坐标图则根据用户输入的查询条件在三维坐标系和3个二维截面坐标系中显示历史攻击记录图形。系统还具有根据包内容过滤的规则设置、阈值设置和数据包离线分析功能,方便用户操作。本文引用地址://m.amcfsurvey.com/article/202470.htm
3 实际网络实验
3.1 实验环境
该专用网络技术架构同因特网一样,但整个网络与因特网完全隔离。网管中心能够将全部核心路由器的网络流量通过镜像方式汇聚导入该网管中心配置的入侵检测系统。实验时将暗网流量导入可视化检测系统。实验在不同时间进行了三次,之后对网管中心的入侵检测系统和本系统的检测结果进行了比对。
3.2 实验结果
实验结果如表1所示(出于隐私需要,隐藏IP地址的部分字段)。可以看出,除了1条记录外,其他记录都表明本系统能够比中心现用的入侵检测系统更早地检测出攻击。最早的早了58个多小时,大约3天。对于大规模传播的蠕虫来说,这么早的检测具有重要意义。
4结语
设计实现了一个基于暗网的早期检测系统,实验表明该系统能够对蠕虫实施早期检测,说明基于暗网的检测技术在专用网络中有良好的应用前景,可以在银行、铁路、军队等系统的专用网络中发挥巨大作用。
评论