基于ⅠDC互聯(lián)網(wǎng)流量結(jié)合大數(shù)據(jù)分析技術(shù)開(kāi)展安全能力關(guān)聯(lián)深度學(xué)習(xí)研究

◆李翔宇

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司 廣東 510000）

1 引言

目前，人類社會(huì)已經(jīng)進(jìn)入到“互聯(lián)網(wǎng)+”時(shí)代，通信運(yùn)營(yíng)商、數(shù)據(jù)內(nèi)容運(yùn)營(yíng)商等投資建設(shè)了許多的ⅠDC，購(gòu)置了先進(jìn)的Web 服務(wù)器、陣列存儲(chǔ)器、光纖交換機(jī)、高速路由器等設(shè)備，建設(shè)了大規(guī)模的ⅠDC機(jī)房，承載和部署的數(shù)據(jù)信息非常多。因此，ⅠDC 機(jī)房也會(huì)存在很多的漏洞，許多不法分子利用DDoS 攻擊、數(shù)據(jù)篡改等手段破壞信息安全。因此ⅠDC 也逐漸引入了許多先進(jìn)的管理制度和防御技術(shù)，比如防火墻、訪問(wèn)控制列表、網(wǎng)絡(luò)流量態(tài)勢(shì)感知和溯源查找工具、DDoS漏洞監(jiān)控和網(wǎng)絡(luò)安全防篡改工具等。DDoS 攻擊是一個(gè)網(wǎng)絡(luò)資源非法占用工具，造成網(wǎng)絡(luò)帶寬阻塞、服務(wù)器CPU 資源占用等，合法訪問(wèn)者無(wú)法訪問(wèn)ⅠDC 資源，因此利用DDoS 監(jiān)控技術(shù)和防護(hù)制度，可以保障ⅠDC 的可用性。漏洞監(jiān)控可以利用實(shí)時(shí)監(jiān)控軟件，構(gòu)建一個(gè)全生命周期管理模式，避免ⅠDC 資產(chǎn)產(chǎn)生運(yùn)營(yíng)風(fēng)險(xiǎn)。網(wǎng)站防篡改監(jiān)控為真實(shí)網(wǎng)站提供一種防篡改的機(jī)制，確保網(wǎng)站穩(wěn)定運(yùn)行，防止非法分子更改網(wǎng)站主頁(yè)鏈接，進(jìn)一步確保ⅠDC 正常運(yùn)行，保障用戶的信息安全。態(tài)勢(shì)感知可以實(shí)時(shí)采集ⅠDC 中的數(shù)據(jù)流量，分析這些流量是否存在突發(fā)性、應(yīng)激性的上升或下降，挖掘潛在的病毒態(tài)勢(shì)、漏洞態(tài)勢(shì)，進(jìn)而能夠確定ⅠDC 流量中是否包含病毒或漏洞，及時(shí)修補(bǔ)提高ⅠDC 安全運(yùn)行能力。攻擊溯源則可以利用嗅探跟蹤技術(shù)，分析攻擊ⅠDC 中心的數(shù)據(jù)來(lái)源，進(jìn)一步阻斷非法訪問(wèn)，維護(hù)ⅠDC 正常用戶的訪問(wèn)權(quán)利[1]。

ⅠDC 經(jīng)過(guò)多年的運(yùn)行，采用的DDoS 監(jiān)控、漏洞監(jiān)控、網(wǎng)站防篡改監(jiān)控、態(tài)勢(shì)感知和攻擊溯源等技術(shù)單一配置缺陷比較明顯，這些安全能力技術(shù)之間存在很多的漏洞和問(wèn)題，比如關(guān)聯(lián)性不強(qiáng)直接導(dǎo)致一些安全威脅無(wú)法被識(shí)別[2]。ⅠDC 作為一個(gè)大型的互聯(lián)網(wǎng)數(shù)據(jù)中心，訪問(wèn)用戶數(shù)以億計(jì)，流量也達(dá)到了數(shù)以百G 每日，因此積累了海量的互聯(lián)網(wǎng)資源，將ⅠDC 采用的安全防御技術(shù)關(guān)聯(lián)在一起，形成一個(gè)強(qiáng)大的安全能力提升機(jī)制，已經(jīng)成為ⅠDC 運(yùn)營(yíng)管理者重要研究任務(wù)[3]。

2 大數(shù)據(jù)技術(shù)在互聯(lián)網(wǎng)安全能力關(guān)聯(lián)深度學(xué)習(xí)的應(yīng)用

2.1 互聯(lián)網(wǎng)安全能力深度學(xué)習(xí)模式設(shè)計(jì)

ⅠDC 機(jī)房部署的設(shè)備非常多，這些設(shè)備采用不同的開(kāi)發(fā)技術(shù)，比如Java 程序、C#程序、C 程序或C++程序等，這些軟硬件資源集成在一起難免產(chǎn)生漏洞，也是非法分子利用DDoS 攻擊的對(duì)象，因此需要構(gòu)建一個(gè)關(guān)聯(lián)深度學(xué)習(xí)模式，有效地實(shí)現(xiàn)數(shù)據(jù)采集、數(shù)據(jù)挖掘和數(shù)據(jù)應(yīng)用三個(gè)關(guān)鍵功能，詳細(xì)功能描述如下。

（1）數(shù)據(jù)采集功能。ⅠDC 作為是一個(gè)大型的廣電數(shù)據(jù)中心，其可以存儲(chǔ)視頻、圖像、文本等資源，還可以包括各類型的服務(wù)器運(yùn)行日志，因此ⅠDC 組成的設(shè)備非常多，需要針對(duì)這些設(shè)備構(gòu)建一個(gè)強(qiáng)大的數(shù)據(jù)采集軟件，根據(jù)網(wǎng)絡(luò)安全防御需求實(shí)時(shí)采集每一個(gè)設(shè)備運(yùn)行狀態(tài)數(shù)據(jù)，還可以采集互聯(lián)網(wǎng)的流量數(shù)據(jù)，及時(shí)將這些數(shù)據(jù)發(fā)送給服務(wù)器進(jìn)行分析。

（2）數(shù)據(jù)挖掘功能。本文的數(shù)據(jù)挖掘技術(shù)采用卷積神經(jīng)網(wǎng)絡(luò)，卷積神經(jīng)網(wǎng)絡(luò)包括多個(gè)層次，比如輸入層、隱含層、輸出層等，從DDoS 監(jiān)控、漏洞監(jiān)控、網(wǎng)站防篡改監(jiān)控、態(tài)勢(shì)感知和攻擊溯源等技術(shù)中流經(jīng)的ⅠDC 流量非常多，這些技術(shù)本身可以實(shí)現(xiàn)數(shù)據(jù)的分析，利用卷積神經(jīng)網(wǎng)絡(luò)可以將這些技術(shù)作為輸入，賦予其不同的權(quán)值因子，這些權(quán)值因子經(jīng)過(guò)訓(xùn)練可以生成，實(shí)現(xiàn)不同安全能力的組合，提升安全防御能力整體應(yīng)用效果。

（3）數(shù)據(jù)應(yīng)用?；诰矸e神經(jīng)網(wǎng)絡(luò)可以構(gòu)建一個(gè)功能完善的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，該系統(tǒng)能夠積極、主動(dòng)的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的病毒、木馬或DDoS 攻擊態(tài)勢(shì)，以便能夠針對(duì)不同的模型進(jìn)行分析，從而可以加強(qiáng)網(wǎng)絡(luò)攻擊防御能力，實(shí)現(xiàn)不同的安全能力組合和啟動(dòng)，進(jìn)一步加強(qiáng)ⅠDC 的可靠運(yùn)行能力。

2.2 互聯(lián)網(wǎng)安全能力深度學(xué)習(xí)模式關(guān)鍵技術(shù)研究

“互聯(lián)網(wǎng)+”環(huán)境下，ⅠDC 互聯(lián)網(wǎng)運(yùn)行潛在一些漏洞，成為許多非法分子的攻擊目標(biāo)，并且隨著安全攻擊技術(shù)的提升，ⅠDC 面臨的安全威脅隱藏周期更長(zhǎng)、攻擊范圍也更大，為了提高ⅠCV 互聯(lián)網(wǎng)的安全防御性能，可以引入機(jī)器學(xué)習(xí)技術(shù)，利用機(jī)器學(xué)習(xí)構(gòu)建一個(gè)積極的、主動(dòng)的安全防御體系[4]。本文引入的機(jī)器學(xué)習(xí)技術(shù)為卷積神經(jīng)網(wǎng)絡(luò)，其是一種深層次的、前饋型的人工神經(jīng)網(wǎng)絡(luò)，因此又被稱為深度學(xué)習(xí)算法，能夠針對(duì)海量數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)潛在的、有價(jià)值的數(shù)據(jù)知識(shí)，卷積神經(jīng)網(wǎng)絡(luò)已經(jīng)在很多領(lǐng)域得到應(yīng)用，比如圖像處理、文檔挖掘、基因識(shí)別、智能制造等領(lǐng)域，大大提高了社會(huì)的智能化水平。卷積神經(jīng)網(wǎng)絡(luò)擁有多個(gè)層次，分別是輸入層、卷積層C1、卷積層C2、池化層S1、池化層S2、全連接層。卷積層C1 為特征提取層，C1 與輸入層神經(jīng)元連接在一起，可以獲取數(shù)據(jù)的局部特征，同時(shí)確定特征之間的相對(duì)位置關(guān)系。卷積層C2 為特征映射層，可以將數(shù)據(jù)的特征映射到一個(gè)平面上，實(shí)現(xiàn)數(shù)據(jù)特征的壓縮。卷積神經(jīng)網(wǎng)絡(luò)一般采用Sigmoid 函數(shù)作為激活函數(shù)，激活函數(shù)能夠保證特征及映射位移保持不變，同時(shí)還可以減少卷積神經(jīng)網(wǎng)絡(luò)參數(shù)設(shè)置數(shù)量。輸入層可以接受外部數(shù)據(jù)，比如網(wǎng)絡(luò)流量數(shù)據(jù)，針對(duì)這些數(shù)據(jù)進(jìn)行歸一化處理，以便能夠統(tǒng)一數(shù)據(jù)處理結(jié)果，同時(shí)可以降低數(shù)據(jù)中包含的噪聲數(shù)據(jù)，比如明顯是正常的網(wǎng)絡(luò)流量，可以將這些過(guò)濾掉，從而更加針對(duì)性地對(duì)可疑網(wǎng)絡(luò)流量進(jìn)行分析，提高網(wǎng)絡(luò)安全防御能力。池化層可以結(jié)合網(wǎng)絡(luò)流量的病毒分析模型進(jìn)行分析，從而可以大幅度壓縮數(shù)據(jù)對(duì)象的數(shù)量和評(píng)判屬性的數(shù)量，解決深度學(xué)習(xí)算法運(yùn)行可能存在的過(guò)度擬合問(wèn)題，避免算法陷入到一個(gè)局部最優(yōu)狀態(tài)。全連接層是一個(gè)學(xué)習(xí)成功的分類器，這樣就可以將學(xué)習(xí)到的特征映射到一個(gè)標(biāo)記空間，這個(gè)標(biāo)記空間能夠?qū)⒊橄蟮慕Y(jié)果具體化，提高算法的可解釋性[5]。卷積神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)如圖1 所示。

圖1 卷積神經(jīng)網(wǎng)絡(luò)在互聯(lián)網(wǎng)安全能力深度學(xué)習(xí)模式中的結(jié)構(gòu)

本文利用卷積神經(jīng)網(wǎng)絡(luò)能夠分析ⅠDC 互聯(lián)網(wǎng)中的數(shù)據(jù)，包括DDoS 攻擊數(shù)據(jù)、病毒數(shù)據(jù)、木馬數(shù)據(jù)，將這些數(shù)據(jù)集成在一起，構(gòu)建一個(gè)強(qiáng)大的安全能力防御機(jī)制，算法應(yīng)用步驟如下所述：

（1）生成互聯(lián)網(wǎng)流量數(shù)據(jù)集。本文利用先進(jìn)的互聯(lián)網(wǎng)包抓取器，從互聯(lián)網(wǎng)中獲取數(shù)據(jù)包，這些數(shù)據(jù)來(lái)源于不同的源頭，分類之后包括漏洞數(shù)據(jù)、態(tài)勢(shì)數(shù)據(jù)、DDoS 數(shù)據(jù)等，互聯(lián)網(wǎng)流量數(shù)據(jù)歸一化處理后刪除噪聲數(shù)據(jù)，重點(diǎn)分析流量異常發(fā)生的數(shù)據(jù)。

（2）數(shù)據(jù)預(yù)處理（輸入層）。針對(duì)所有的互聯(lián)網(wǎng)流量數(shù)據(jù)進(jìn)行標(biāo)記，構(gòu)建一個(gè)包含一萬(wàn)條數(shù)據(jù)包訓(xùn)練集和包含十萬(wàn)條數(shù)據(jù)包測(cè)試集，針對(duì)互聯(lián)網(wǎng)流量數(shù)據(jù)進(jìn)行歸一化預(yù)處理，去除數(shù)據(jù)包中的噪聲字段，保留有效的數(shù)據(jù)協(xié)議字段。

（3）卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練?；ヂ?lián)網(wǎng)流量數(shù)據(jù)模型訓(xùn)練時(shí)，本文使用ReLU 激活函數(shù)，加快卷積神經(jīng)網(wǎng)絡(luò)的收斂速度，減少網(wǎng)絡(luò)設(shè)置參數(shù)。卷積層Conv1 由20 個(gè)4×4 的卷積核與輸入網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行卷積，卷積步長(zhǎng)為2，得到20 個(gè)13×13 的特征數(shù)據(jù)；卷積層Conv2 的卷積核大小為3×3，卷積步長(zhǎng)為2，卷積后得到50 個(gè)6×6 的特征數(shù)據(jù)；卷積層Conv3 的卷積核大小為3×3，卷積步長(zhǎng)為1，卷積后生成60個(gè)4×4 的特征數(shù)據(jù)；池化層步長(zhǎng)為2，采樣后可以獲取80 個(gè)2×2 的特征數(shù)據(jù)；全連接層1 神經(jīng)元個(gè)數(shù)為100；全連接層2 的神經(jīng)元個(gè)數(shù)為10。Conv1、Conv2、Conv3、池化層1、全連接層1 的激活函數(shù)均為ReLU 函數(shù)，全連接層2 的激活函數(shù)sigmoid 激活函數(shù)。

（4）卷積神經(jīng)網(wǎng)絡(luò)訓(xùn)練完成之后，就可以將DDoS 監(jiān)控、漏洞監(jiān)控、網(wǎng)站防篡改監(jiān)控、態(tài)勢(shì)感知和攻擊溯源等安全能力產(chǎn)生的數(shù)據(jù)輸入到卷積神經(jīng)網(wǎng)絡(luò)，卷積神經(jīng)網(wǎng)絡(luò)可以通過(guò)自動(dòng)擬合，為每一個(gè)安全能力賦予不同的權(quán)值，以便能夠表征每一個(gè)安全能力為ⅠDC 作出的安全防御貢獻(xiàn)，根據(jù)不同的攻擊威脅，動(dòng)態(tài)的調(diào)整每一個(gè)安全能力指標(biāo)，從而可以優(yōu)化升級(jí)安全能力資源，提高ⅠDC 安全能力防御需求。引入卷積神經(jīng)網(wǎng)絡(luò)前后，本文針對(duì)ⅠDC 安全能力測(cè)試結(jié)果顯示，引入前防御能力指標(biāo)測(cè)試準(zhǔn)確度為81.3%，引入后測(cè)試結(jié)果顯示準(zhǔn)確度可以到98.2%，能夠滿足互聯(lián)網(wǎng)安全能力分析需求。

3 結(jié)束語(yǔ)

隨著ⅠDC 等數(shù)據(jù)中心建設(shè)和運(yùn)營(yíng)，人們?yōu)榱吮３症馜C 的正常運(yùn)行，需要從制度和技術(shù)兩個(gè)方面加強(qiáng)管理。ⅠDC 管理制度可以從使用人員、使用時(shí)間、使用方法等方面進(jìn)行管理，構(gòu)建持續(xù)的、實(shí)用的連續(xù)提升措施，降低ⅠDC 的運(yùn)行風(fēng)險(xiǎn)發(fā)生概率，進(jìn)一步確保ⅠDC 的財(cái)產(chǎn)安全。另外，ⅠDC 也需要引入更加先進(jìn)的技術(shù)，改變傳統(tǒng)的安全能力防御機(jī)制，在ⅠDC 安全防御中引入先進(jìn)的卷積神經(jīng)網(wǎng)絡(luò)，從而可以利用ⅠDC 互聯(lián)網(wǎng)流量異?，F(xiàn)象，結(jié)合ⅠDC 服務(wù)平臺(tái)集成存在的漏洞或安全態(tài)勢(shì)進(jìn)行感知，可以識(shí)別網(wǎng)絡(luò)是否存在攻擊威脅特征，實(shí)現(xiàn)網(wǎng)絡(luò)能力的進(jìn)一步防御性能提升。本文采用卷積神經(jīng)網(wǎng)絡(luò)構(gòu)建深度學(xué)習(xí)模式，可以彌補(bǔ)互聯(lián)網(wǎng)安全防御被動(dòng)的問(wèn)題，從而可以提高網(wǎng)絡(luò)安全防御的積極性和主動(dòng)性，同時(shí)卷積神經(jīng)網(wǎng)絡(luò)也是一個(gè)可以動(dòng)態(tài)改進(jìn)的模式識(shí)別算法，自身?yè)碛幸粋€(gè)自動(dòng)化的學(xué)習(xí)能力，能夠針對(duì)未來(lái)的網(wǎng)絡(luò)安全攻擊態(tài)勢(shì)進(jìn)行預(yù)測(cè)，進(jìn)一步提高網(wǎng)絡(luò)安全防御效果。