基于流量分析的網(wǎng)絡(luò)安全防御系統(tǒng)應(yīng)用與研究

◆陸星宇

（中國(guó)民用航空西南地區(qū)空中交通管理局云南分局 云南 650200）

目前，互聯(lián)網(wǎng)面臨的安全威脅非常多，常見(jiàn)的包括木馬病毒和 DDOS攻擊。木馬病毒是一種網(wǎng)絡(luò)攻擊程序，其可以通過(guò)圖像、視頻、文檔等傳播給PC機(jī)、服務(wù)器，導(dǎo)致網(wǎng)絡(luò)用戶無(wú)法正常使用系統(tǒng)，甚至?xí)茐南到y(tǒng)的重要數(shù)據(jù)資源，為人們帶來(lái)嚴(yán)重經(jīng)濟(jì)損失[1]。互聯(lián)網(wǎng)學(xué)者和安全防御企業(yè)為了提高網(wǎng)絡(luò)正常服務(wù)能力，已經(jīng)提出了許多的安全防御技術(shù)，比如360安全衛(wèi)士、騰訊衛(wèi)士、卡巴斯基、瑞星殺毒等，也提出了一些先進(jìn)的網(wǎng)絡(luò)設(shè)計(jì)方法，比如免疫網(wǎng)絡(luò)等，加強(qiáng)了網(wǎng)絡(luò)安全防御能力，避免用戶因?yàn)槭褂镁W(wǎng)絡(luò)產(chǎn)生損失[2]。

1 網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用現(xiàn)狀分析

目前，互聯(lián)網(wǎng)安全防御技術(shù)經(jīng)過(guò)多年的實(shí)踐和研究，已經(jīng)提出了很多，殺毒軟件、防火墻、免疫網(wǎng)絡(luò)、深度包過(guò)濾和加密算法[3]。

（1）加密算法?；ヂ?lián)網(wǎng)傳輸?shù)臄?shù)據(jù)資源非常多，為了保證通信傳輸不被非法分子破壞和竊取，通信學(xué)者提出了128位或256位的非對(duì)稱(chēng)加密算法，可以大幅度提升數(shù)據(jù)傳輸?shù)陌踩?，進(jìn)一步增強(qiáng)加密數(shù)據(jù)的安全能力。互聯(lián)網(wǎng)也可以利用先進(jìn)的區(qū)塊鏈技術(shù)，構(gòu)建一個(gè)分布式的、無(wú)中心的共識(shí)機(jī)制，進(jìn)一步提高通信數(shù)據(jù)認(rèn)證可靠度，具有較強(qiáng)的準(zhǔn)確性。

（2）防火墻和殺毒軟件。防火墻是一種部署于應(yīng)用層、傳輸層的互聯(lián)網(wǎng)安全防御系統(tǒng)，可以引入先進(jìn)的網(wǎng)絡(luò)控制規(guī)則，分析傳輸?shù)臄?shù)據(jù)包中是否包含病毒或木馬，如果一旦確定某個(gè)數(shù)據(jù)包包含病毒或木馬，就可以禁止數(shù)據(jù)包通過(guò)防火墻。殺毒軟件與防火墻類(lèi)似，其首先也需要檢查數(shù)據(jù)包中是否存在病毒威脅，一旦發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包存在攻擊威脅，比如木馬特征或病毒特征，此時(shí)就可以啟動(dòng)脫殼技術(shù)，將偽裝的病毒或木馬外衣去除，然后將病毒或木馬數(shù)據(jù)清除網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的安全服務(wù)性能。

（3）深度包過(guò)濾。深度包過(guò)濾是一種引入深度學(xué)習(xí)、固件理論的安全防御技術(shù)，利用深度學(xué)習(xí)可以識(shí)別、分析網(wǎng)絡(luò)數(shù)據(jù)包，深入到數(shù)據(jù)包的每一個(gè)協(xié)議字段，這樣就可以提高網(wǎng)絡(luò)病毒或木馬的特征片段，從而可以將其殺滅。深度包過(guò)濾作為一個(gè)軟件，為了滿足“互聯(lián)網(wǎng)+”時(shí)代大數(shù)據(jù)傳輸需求，可以將其固化在一個(gè)硬件設(shè)備中，利用硬件電路實(shí)現(xiàn)軟件功能，提高深度包過(guò)濾的處理速度。目前，深度包過(guò)濾已經(jīng)得到廣泛應(yīng)用，進(jìn)一步提高了網(wǎng)絡(luò)安全性，滿足人們的工作、生活和學(xué)習(xí)需求。

（4）免疫網(wǎng)絡(luò)。免疫網(wǎng)絡(luò)是一種非常先進(jìn)的自動(dòng)化網(wǎng)絡(luò)，其可以根據(jù)感染網(wǎng)絡(luò)病毒或木馬的實(shí)際情況，利用自動(dòng)化愈合技術(shù)修復(fù)網(wǎng)絡(luò)架構(gòu)，比如將網(wǎng)絡(luò)數(shù)據(jù)傳輸線路轉(zhuǎn)移到備份線路，也可以實(shí)現(xiàn)病毒或木馬的自我免疫，隔離網(wǎng)絡(luò)中的木馬或病毒，形成一個(gè)非常深度的防御規(guī)則及機(jī)制。

2 基于流量分析的網(wǎng)絡(luò)安全防御系統(tǒng)研究

2.1 網(wǎng)絡(luò)安全防御模型設(shè)計(jì)

基于流量分析的網(wǎng)絡(luò)安全防御系統(tǒng)的主要功能包括三個(gè)方面，分別是流量采集功能、流量分析挖掘功能、分析結(jié)果應(yīng)用歸納[4]。詳細(xì)功能描述如下：

（1）流量采集功能。目前，互聯(lián)網(wǎng)應(yīng)用技術(shù)非常先進(jìn)，基于大數(shù)據(jù)、云計(jì)算等構(gòu)建了很多的數(shù)據(jù)中心，比如阿里云、百度云、騰訊云等，這些數(shù)據(jù)中心承載的業(yè)務(wù)非常多，因此流量也非常大，網(wǎng)絡(luò)安全流量分析需要利用監(jiān)控系統(tǒng)采集所有的流量，將這些流量進(jìn)行初步過(guò)濾之后發(fā)送給挖掘分析模塊。

（2）流量分析挖掘功能。本文提出利用卷積神經(jīng)網(wǎng)絡(luò)構(gòu)建一個(gè)網(wǎng)絡(luò)流量挖掘與分析系統(tǒng)，該系統(tǒng)可以從互聯(lián)網(wǎng)流量中發(fā)現(xiàn)潛在的病毒或木馬，針對(duì)這些網(wǎng)絡(luò)安全威脅進(jìn)行識(shí)別、評(píng)估和判斷，進(jìn)一步提高網(wǎng)絡(luò)流量分析應(yīng)用能力。

（3）分析結(jié)果應(yīng)用。流量分析與挖掘結(jié)果出來(lái)之后，就可以判定網(wǎng)絡(luò)中是否存在病毒和木馬，如果存在就可以啟動(dòng)殺毒軟件，如果不存在就可以放行，另外還可以根據(jù)分析結(jié)果表征網(wǎng)絡(luò)應(yīng)用水平，同時(shí)還可以掃描軟硬件集成是否存在不兼容現(xiàn)象，可以加強(qiáng)互聯(lián)網(wǎng)的可靠運(yùn)行能力。

基于流量分析的網(wǎng)絡(luò)安全防御系統(tǒng)業(yè)務(wù)流程如圖1所示。

圖1 網(wǎng)絡(luò)安全流量分析系統(tǒng)數(shù)據(jù)處理流程

2.2 網(wǎng)絡(luò)安全防御關(guān)鍵技術(shù)

基于流量分析的網(wǎng)絡(luò)安全防御系統(tǒng)利用卷積神經(jīng)網(wǎng)絡(luò)能夠分析各類(lèi)型流量信息，比如網(wǎng)絡(luò)流量態(tài)勢(shì)、軟硬件集成漏洞、DDoS攻擊數(shù)據(jù)等，將這些能力關(guān)聯(lián)在一起，形成一個(gè)強(qiáng)大的安全能力防御機(jī)制。卷積神經(jīng)網(wǎng)絡(luò)（CNN）是一種非常先進(jìn)的前饋型人工神經(jīng)網(wǎng)絡(luò)，包括兩個(gè)卷積層，一個(gè)卷積層為特征提取層，一個(gè)卷積層為特征映射層，可以識(shí)別網(wǎng)絡(luò)流量中的特征數(shù)據(jù)，同時(shí)將池化層進(jìn)行處理，壓縮和處理池化層數(shù)據(jù)信息，比如進(jìn)行預(yù)處理、二值化等，刪除網(wǎng)絡(luò)中的一些明顯的安全數(shù)據(jù)。池化層可以將海量的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行壓縮，減少卷積神經(jīng)網(wǎng)絡(luò)分析時(shí)設(shè)置的參數(shù)，解決卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)和訓(xùn)練時(shí)容易產(chǎn)生的過(guò)度擬合問(wèn)題，避免網(wǎng)絡(luò)安全流量分析模型陷入一個(gè)過(guò)度擬合狀態(tài)，不能提高網(wǎng)絡(luò)安全防御能力，還會(huì)降低提升數(shù)據(jù)處理開(kāi)銷(xiāo)。全連接層就是一個(gè)關(guān)鍵分類(lèi)器，可以將學(xué)習(xí)到的知識(shí)標(biāo)記到一個(gè)特征空間，這樣就可以提高網(wǎng)絡(luò)安全處理結(jié)果的可解釋性。卷積神經(jīng)網(wǎng)絡(luò)通過(guò)學(xué)習(xí)和訓(xùn)練之后，其可以形成一個(gè)動(dòng)態(tài)優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu)，這個(gè)結(jié)構(gòu)可以在一定時(shí)期內(nèi)保持不變，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)病毒特征的識(shí)別、分析，為網(wǎng)絡(luò)安全防御提供一個(gè)準(zhǔn)確的病毒或木馬識(shí)別結(jié)果。由于互聯(lián)網(wǎng)在運(yùn)行中面臨的攻擊威脅是變異的，因此卷積神經(jīng)網(wǎng)絡(luò)需要定期進(jìn)行學(xué)習(xí)和訓(xùn)練，利用動(dòng)態(tài)優(yōu)化原則，掌握最新的病毒或木馬特征片段，以便能夠與時(shí)俱進(jìn)，提高網(wǎng)絡(luò)安全防御能力。

3 結(jié)束語(yǔ)

互聯(lián)網(wǎng)安全防御是一個(gè)非常復(fù)雜的工作，需要定期的或?qū)崟r(shí)的評(píng)估網(wǎng)絡(luò)安全防御現(xiàn)狀，分析網(wǎng)絡(luò)防御是否存在漏洞，以便能夠引入更加先進(jìn)的防御技術(shù)，構(gòu)建網(wǎng)絡(luò)安全防御架構(gòu)，從而保證網(wǎng)絡(luò)正常運(yùn)行。