大數(shù)據(jù)在網(wǎng)絡安全防御中的應用與研究

◆陳 祥

（蕪湖縣新聞傳媒中心 安徽 241100）

0 引言

互聯(lián)網(wǎng)、移動網(wǎng)的快速發(fā)展促使人們進入到信息化社會，基于互聯(lián)網(wǎng)的應用也越來越多，比如同花順、東方財富、慕課學習網(wǎng)、中國紀委監(jiān)委門戶網(wǎng)、天貓商城、京東商城等，有力地促進了社會政企單位辦公自動化、智能化、共享化[1]?；ヂ?lián)網(wǎng)為人們提供便捷服務的同時面臨著攻擊威脅，比如蠕蟲病毒、勒索病毒、變異木馬等，利用大規(guī)?；ヂ?lián)網(wǎng)集成在一起產(chǎn)生的漏洞攻擊網(wǎng)絡，導致網(wǎng)絡癱瘓無法使用[2]。隨著網(wǎng)絡接入用戶的增多，互聯(lián)網(wǎng)接入的軟硬件資源也更多，因此對網(wǎng)絡安全處理速度就會有更高的要求，以便能夠提高木馬或病毒處理速度，降低網(wǎng)絡病毒的感染范圍，積極響應應用軟件，具有重要的作用和意義[3]。

1 網(wǎng)絡安全防御技術應用與發(fā)展現(xiàn)狀

目前，人們已經(jīng)進入到“互聯(lián)網(wǎng)+”時代，面臨的安全威脅也更多，比如木馬病毒、DDoS攻擊和數(shù)據(jù)盜竊等。互聯(lián)網(wǎng)受到的攻擊也會給人們帶來嚴重的損失，比如勒索病毒攻擊了許多的大型跨國公司、證券銀行等，到這些政企單位的辦公電腦全都發(fā)生了藍屏現(xiàn)象，用戶無法進入到操作系統(tǒng)進行文件處理，勒索病毒要求這些單位支付一定額度的贖金才可以正常使用系統(tǒng)，導致許多公司損失了很多的資金[4]。分布式服務器攻擊（DDoS）也非常嚴重，模擬大量的用戶并發(fā)訪問網(wǎng)絡服務器，導致正常用戶無法登錄服務器。因此，為了提高信息安全，人們提出了防火墻、殺毒軟件或深度包過濾等安全防御技術。

（1）深度包過濾軟件

深度包過濾軟件可以部署于網(wǎng)絡接口，首先配置一些先進的網(wǎng)絡數(shù)據(jù)包處理規(guī)則，比如設置黑名單或白名單，如果某一個數(shù)據(jù)包的源IP地址或目的IP地址均屬于白名單，此時就可以通過放行數(shù)據(jù)包；如果任何一個內(nèi)容屬于黑名單，就禁止這些數(shù)據(jù)包通過網(wǎng)絡，同時還可以分析數(shù)據(jù)包的內(nèi)容，從而可以準確定位病毒或木馬。

（2）殺毒軟件

殺毒軟件是一種非常先進的程序代碼，其可以查殺網(wǎng)絡中存在的安全威脅，利用病毒庫中一些收錄的病毒或木馬特征，判斷互聯(lián)網(wǎng)中是否存在這些類似的病毒或木馬。殺毒軟件采用了很多的先進技術，比如自我保護技術、脫殼技術、啟發(fā)技術、實時升級技術等，可以實時地監(jiān)控互聯(lián)網(wǎng)運行狀態(tài)，確保網(wǎng)絡正常使用。目前，許多大中型企業(yè)都開發(fā)了殺毒軟件，比如360安全衛(wèi)士、江民殺毒、騰訊衛(wèi)士、卡巴斯基等，取得了顯著的應用成效。

（3）防火墻

防火墻是一種比較先進的網(wǎng)絡安全防御軟件，這種軟件可以設計很多先進的規(guī)則，這些規(guī)則不屬于互聯(lián)網(wǎng)的傳輸層或網(wǎng)絡層，可以運行于互聯(lián)網(wǎng)TCP/IP傳輸協(xié)議棧，使用循環(huán)枚舉的基本原則，挨個檢查每一個通過網(wǎng)絡的數(shù)據(jù)包，一旦發(fā)現(xiàn)某一個數(shù)據(jù)包的包頭IP地址、目的地IP地址、包內(nèi)容等存在威脅，就可以及時地將其清除，不允許通過網(wǎng)絡。

2 基于大數(shù)據(jù)的網(wǎng)絡安全防御模型設計

大數(shù)據(jù)是一種非常先進的模式識別方法，可以從海量的數(shù)據(jù)中挖掘潛藏的、有價值的數(shù)據(jù)資源，這些資源都可以幫助人們進行有效的決策。目前，大數(shù)據(jù)已經(jīng)在文檔檢索、基因測序、武器控制等領域得到廣泛應用，大大地提高了社會智能化水平。大數(shù)據(jù)經(jīng)過多年的研究，引入的技術也更加先進，比如卷積神經(jīng)網(wǎng)絡、模糊數(shù)學、支持向量機、信息論、統(tǒng)計學等，提高了大數(shù)據(jù)的分析精確度[2]。“互聯(lián)網(wǎng)+”時代的到來，網(wǎng)絡面臨的攻擊威脅越來越多，許多病毒或木馬采用更加先進的脫殼技術、隱藏技術，其可以隱藏更長的周期和感染更大范圍的網(wǎng)絡，造成更加嚴重的經(jīng)濟損失。因此，利用大數(shù)據(jù)技術，本文構建了一個互聯(lián)網(wǎng)數(shù)據(jù)分析模型，如圖1所示。

首先，模型采集互聯(lián)網(wǎng)的流量數(shù)據(jù)，由于當前互聯(lián)網(wǎng)接入設備種類及數(shù)量、用戶規(guī)模都非常大，因此網(wǎng)絡中的流量也非常大，傳統(tǒng)的網(wǎng)絡安全防御系統(tǒng)采取被動模式，等待互聯(lián)網(wǎng)中的病毒或木馬爆發(fā)之后才激活殺毒軟件，這就容易產(chǎn)生損失，而該模型可以不屬于網(wǎng)絡接入點，采集所有的網(wǎng)絡流量數(shù)據(jù)。其次，模型針對網(wǎng)絡流量數(shù)據(jù)進行預處理，針對一些正常的 IP地址及內(nèi)容放行，同時也可以刪除本地局域網(wǎng)的數(shù)據(jù)。第三，模型利用大數(shù)據(jù)分析算法針對網(wǎng)絡數(shù)據(jù)進行識別，利用病毒基因特征進行匹配，從而可以感知互聯(lián)網(wǎng)中潛藏的病毒，該模型經(jīng)過學習之后，可以形成一個常態(tài)化的模型，該模型具有自我升級能力，這樣就可以根據(jù)網(wǎng)絡病毒的變異情況更好地進行智能化升級。最后，模型如果發(fā)現(xiàn)網(wǎng)絡中存在病毒或木馬，此時就可以啟動殺毒軟件，比如360安全衛(wèi)士、卡巴斯基、瑞星殺毒等，利用這些軟件清除安全威脅?；诖髷?shù)據(jù)的網(wǎng)絡安全防御系統(tǒng)可以從根本上發(fā)現(xiàn)、分析、挖掘異常流量中的問題，提高網(wǎng)絡安全防御能力。大數(shù)據(jù)網(wǎng)絡安全防御采用的關鍵技術很多，比如自我保護技術、實時升級技術、主動防御技術、卷積神經(jīng)網(wǎng)絡等，互聯(lián)網(wǎng)安全防御能力深度學習模式可以實時監(jiān)控網(wǎng)絡數(shù)據(jù)流量、掃描軟硬設備是否存在漏洞、清除網(wǎng)絡中的木馬病毒、自動升級防御軟件性能。

圖1 基于大數(shù)據(jù)的網(wǎng)絡安全防御系統(tǒng)數(shù)據(jù)處理流程

3 結束語

網(wǎng)絡安全防御軟件利用大數(shù)據(jù)技術實現(xiàn)病毒模式識別，從互聯(lián)網(wǎng)中采集各類型設備發(fā)送的流量，將這些數(shù)據(jù)發(fā)送給智能模型進行分析，判斷網(wǎng)絡中是否存在網(wǎng)絡病毒。大數(shù)據(jù)應用在網(wǎng)絡安全防御過程中，其具有很強的智能特點，實現(xiàn)網(wǎng)絡安全防御的智能感知和智能響應。智能感知可以主動地分析互聯(lián)網(wǎng)中是否存在安全隱患，比如病毒、木馬等數(shù)據(jù)片段，利用這些片段特征實現(xiàn)網(wǎng)絡病毒的判斷。大數(shù)據(jù)在網(wǎng)絡安全系統(tǒng)中可以實現(xiàn)智能響應，如果一旦發(fā)現(xiàn)某一個病毒或木馬侵入網(wǎng)絡，此時就需要按照實際影響范圍進行智能度量，影響范圍大、造成的損失較多就可以啟用全面殺毒；影響范圍小、造成的損失較少就可以啟動局部殺毒，這樣既可以清除網(wǎng)絡中的病毒或木馬，還可以降低網(wǎng)絡的負載，實現(xiàn)按需殺毒服務。