基于大數(shù)據(jù)的網(wǎng)絡(luò)安全防御系統(tǒng)研究與設(shè)計

◆馬 浩

（運城學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院 山西 044000）

0 引言

隨著光纖網(wǎng)絡(luò)、5G移動通信網(wǎng)絡(luò)等技術(shù)的快速發(fā)展和改進，人們已經(jīng)進入到“互聯(lián)網(wǎng)+”時代，基于互聯(lián)網(wǎng)開發(fā)了許多的應(yīng)用軟件和部署了信息服務(wù)中心，為人們提供證券交易、高清視頻、旅游消費、科研學(xué)習(xí)、醫(yī)療衛(wèi)生等便捷性服務(wù)工具，實現(xiàn)了數(shù)據(jù)信息的共享和處理[1]。但是，互聯(lián)網(wǎng)在為人們提供便捷服務(wù)的同時也面臨著海量的攻擊威脅，諸如勒索病毒、DDoS攻擊、蠕蟲木馬等，這些都會阻止人們正常使用互聯(lián)網(wǎng)。因此，為了提高網(wǎng)絡(luò)安全防御能力，許多網(wǎng)絡(luò)安全專家和企業(yè)研發(fā)了防御軟件，比如防火墻、殺毒軟件、訪問控制列表等[2]。

防火墻作為信息系統(tǒng)內(nèi)外部網(wǎng)絡(luò)之間部署的一個過濾器，可以設(shè)置一些網(wǎng)絡(luò)過濾規(guī)則，允許或阻止網(wǎng)絡(luò)中的數(shù)據(jù)通過防火墻，防火墻部署于信息系統(tǒng)的網(wǎng)絡(luò)層，能夠過濾和分析IP數(shù)據(jù)協(xié)議，利用枚舉的原則分析所有的數(shù)據(jù)包，查看這些 IP地址及傳輸數(shù)據(jù)內(nèi)容是否存在問題，如果存在問題則禁止其通過防火墻[3]。殺毒軟件也是一個程序代碼，其數(shù)據(jù)庫保存了很多的木馬或病毒的片段基因，這些片段基因可以與信息系統(tǒng)網(wǎng)絡(luò)中的病毒或木馬進行匹配對比，然后分析信息系統(tǒng)中是否存在病毒或木馬，如果存在則及時地將其清除。殺毒軟件采用了很多的先進技術(shù)，用來識別和分析網(wǎng)絡(luò)中是否存在攻擊威脅，這些技術(shù)包括脫殼技術(shù)、修復(fù)技術(shù)、自我保護技術(shù)等。信息系統(tǒng)網(wǎng)絡(luò)目前采用的殺毒軟件包括卡巴斯基、瑞星殺毒、360安全衛(wèi)士等，殺毒軟件可以與防火墻集成在一起使用，查殺病毒或木馬[4]。訪問控制列表是一種非常重要的信息系統(tǒng)安全保護工具，這個工具可以設(shè)置一個白名單和黑名單，白名單中收錄的 IP地址可以通過訪問控制列表的限制訪問服務(wù)器資源；黑名單中收錄的 IP地址無法訪問服務(wù)器資源。訪問控制列表的部署級別包括四個層次，分別是目錄級控制、入網(wǎng)訪問控制、屬性控制和權(quán)限控制，訪問控制列表應(yīng)用時也存在一些問題，比如人工配置工作效率慢，無法實時地提升訪問控制列表性能[5]。

防火墻、殺毒軟件雖然可以為人們提供一定程度上的安全防御能力，但是當(dāng)前互聯(lián)網(wǎng)發(fā)展迅速，木馬病毒研發(fā)技術(shù)改進速度也非?？欤@些防御技術(shù)也需要與時俱進，引入更加先進的大數(shù)據(jù)分析，利用大數(shù)據(jù)處理技術(shù)及時地從海量信息中識別、發(fā)現(xiàn)、響應(yīng)病毒，具有重要的作用和意義。

1 網(wǎng)絡(luò)安全防御系統(tǒng)功能分析

網(wǎng)絡(luò)安全防御系統(tǒng)引入大數(shù)據(jù)技術(shù)，其主要功能經(jīng)過豐富和擴展，可以分為以下幾個方面，分別是數(shù)據(jù)采集和監(jiān)控、數(shù)據(jù)分析和處理、安全防御軟件啟動、殺毒效果評估，這樣就可以提高網(wǎng)絡(luò)安全防御性能。

（1）數(shù)據(jù)采集和監(jiān)控?！盎ヂ?lián)網(wǎng)+”時代，網(wǎng)絡(luò)部署的軟件系統(tǒng)和硬件工具非常多，這些軟硬件之間實現(xiàn)傳輸和信息共享，因此網(wǎng)絡(luò)安全防御系統(tǒng)需要實現(xiàn)數(shù)據(jù)采集和互聯(lián)網(wǎng)監(jiān)控，能夠?qū)?shù)據(jù)信息發(fā)送給大數(shù)據(jù)分析軟件。

（2）數(shù)據(jù)分析和處理。大數(shù)據(jù)分析軟件利用先進的模式識別技術(shù)，可以根據(jù)一些網(wǎng)絡(luò)病毒的基因片段進行特征處理，與采集的網(wǎng)絡(luò)數(shù)據(jù)進行對比，這樣就可以發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在潛在的病毒或木馬。

（3）安全防御軟件啟動。數(shù)據(jù)分析和處理之后，如果發(fā)現(xiàn)網(wǎng)絡(luò)中存在病毒或木馬，此時就可以啟動殺毒軟件，利用殺毒軟件將病毒或木馬清除。

（4）殺毒效果評估。網(wǎng)絡(luò)病毒清除之后，大數(shù)據(jù)分析軟件還需要對網(wǎng)絡(luò)系統(tǒng)進行殺毒效果評估，從而可以確認網(wǎng)絡(luò)中安全無毒，不影響用戶正常使用網(wǎng)絡(luò)。

2 大數(shù)據(jù)在網(wǎng)絡(luò)安全防御系統(tǒng)中的應(yīng)用與設(shè)計

“互聯(lián)網(wǎng)+”時代網(wǎng)絡(luò)安全防御軟件已經(jīng)無法滿足實際需求，比如防火墻、訪問控制列表或殺毒軟件等采用被動防御模式，不能夠及時地發(fā)現(xiàn)和清除網(wǎng)絡(luò)中存在的病毒信息，因此利用先進的大數(shù)據(jù)技術(shù)，可以構(gòu)建一個主動式的安全防御系統(tǒng)。

大數(shù)據(jù)是當(dāng)前人工智能時代最為先進的一種計算機技術(shù)，其可以從海量的數(shù)據(jù)中發(fā)現(xiàn)期望的知識，并對這些數(shù)據(jù)進行分類，進一步提高數(shù)據(jù)的應(yīng)用性能。網(wǎng)絡(luò)是一個大型的信息通信和數(shù)據(jù)共享中心，中心的數(shù)據(jù)流量非常大，關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備也非常多，包括DDoS監(jiān)控、網(wǎng)站防篡改監(jiān)控、漏洞監(jiān)控、態(tài)勢感知、攻擊溯源，比如DDoS監(jiān)控器可以分析網(wǎng)絡(luò)的流量狀態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)的流量是否存在異常，如果存在異常就可以及時地啟動模式識別技術(shù)，利用模式識別技術(shù)提高非正常流量中潛藏的安全威脅。網(wǎng)絡(luò)承載的軟硬件資源非常多，這些軟硬件資源集成在一起產(chǎn)生了海量的數(shù)據(jù)，但是也存在一些漏洞，因此網(wǎng)絡(luò)安全管理需要加強漏洞監(jiān)控，進一步感知網(wǎng)絡(luò)數(shù)據(jù)流量的態(tài)勢，追蹤攻擊源頭，進一步提高數(shù)據(jù)防御能力。具體的，基于大數(shù)據(jù)的網(wǎng)絡(luò)安全應(yīng)用系統(tǒng)可以包括深度包過濾或自治網(wǎng)絡(luò)。

（1）深度包過濾

傳統(tǒng)的包過濾技術(shù)類似于防火墻，簡單地分析數(shù)據(jù)包的頭部IP地址，以便能夠發(fā)現(xiàn)這些數(shù)據(jù)包是否滿足通過規(guī)則，因此應(yīng)用非常簡單。深度包過濾集成了軟硬件資源，利用先進的數(shù)據(jù)包分析工具，穿透每一個網(wǎng)絡(luò)數(shù)據(jù)包的包頭、包內(nèi)容等，能夠為網(wǎng)絡(luò)提供一個開放的、深層次的網(wǎng)絡(luò)安全防御工具。深度包過濾最大的特點就是查看和分析數(shù)據(jù)包中每一個協(xié)議字段的內(nèi)容，這樣就可以更加準確地檢測網(wǎng)絡(luò)中的威脅。深度包過濾引入了固件技術(shù)，該固件可以將軟件功能集成在硬件上，這樣就可以大幅度提升網(wǎng)絡(luò)數(shù)據(jù)包過濾的處理速度，適應(yīng)當(dāng)前網(wǎng)絡(luò)流量大、數(shù)據(jù)包多的特點。

（2）自治網(wǎng)絡(luò)

自治網(wǎng)絡(luò)采用先進的主動網(wǎng)絡(luò)安全防御思想，基于大數(shù)據(jù)構(gòu)建一個功能完善的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，積極地適應(yīng)當(dāng)前網(wǎng)絡(luò)的應(yīng)用形式，調(diào)動網(wǎng)絡(luò)安全防御資源，隔離網(wǎng)絡(luò)中的木馬或病毒，建立一個先進的自我防御和免疫機制。自治網(wǎng)絡(luò)還可以與深度包過濾、數(shù)據(jù)挖掘技術(shù)等積極地結(jié)合在一起，形成一個多層次的防御規(guī)則，進一步提高網(wǎng)絡(luò)通信性能保障能力，加強網(wǎng)絡(luò)病毒的可信計算服務(wù)能力，避免惡意代碼攻擊網(wǎng)絡(luò)，提高網(wǎng)絡(luò)的自我免疫能力。

3 結(jié)束語

“互聯(lián)網(wǎng)+”時代促進了分布式管理系統(tǒng)的應(yīng)用和普及，許多領(lǐng)域引入了先進的計算機信息系統(tǒng)，大大地提高了人們的信息化、共享化，方便人們工作、生活和學(xué)習(xí)。但是，由于許多不法分子覬覦信息系統(tǒng)存儲的內(nèi)容，一直在使用木馬或病毒攻擊信息系統(tǒng)，獲取不當(dāng)盈利，破壞信息安全。防火墻、訪問控制列表或殺毒軟件均是一種基于被動的防御工具，只有在病毒或木馬爆發(fā)之后才可以殺滅，沒有預(yù)知或主動防御的基本思想，因此本文為了解決這個問題，提出利用先進的大數(shù)據(jù)分析技術(shù)，構(gòu)建一個主動防御體系，同時結(jié)合未來信息安全防御技術(shù)發(fā)展趨勢，提高信息系統(tǒng)安全防御能力，保證網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全。