一种主动网络安全防御系统研究与设计

◆李正平 王瑶瑶

一种主动网络安全防御系统研究与设计

◆李正平 王瑶瑶

（安徽大学 安徽 230601）

随着互联网、大数据、云计算等技术的快速发展，越来越多的设备和用户接入到网络，实现了社会信息化、智能化和共享化。但是，由于网络接入的软硬件资源较多，因此这些软件集成在一起时难免会产生各种漏洞，成为互联网病毒和木马攻击的对象。传统的网络安全防御技术有很多，比如防火墙、访问控制列表、杀毒软件、深度包过滤等，这些技术均属于被动式防御模式，一旦病毒或木马攻击就会给用户带来不可估量的损失，因此为了提高网络安全防御能力，本文提出引入主动防御思想，建立一个包括数据采集功能、大数据分析功能、网络安全防御功能和防御效果评估功能的主动防御系统，引入先进的人工智能技术，及时将网络病毒或木马杀灭于爆发前，最大程度降低网络损失。

主动网络安全防御系统；数据采集；大数据；人工智能

网络为人们提供各类型信息化服务的同时也面临着海量木马和病毒的攻击，如果防御系统比较弱就会使网络系统遭受严重的损失，比如2018年爆发的勒索病毒威胁，许多大中型跨国企业和金融服务机构都遭受到了攻击，攻击者一旦得逞就索要比特币作为赎金，如果不缴纳就会导致网络产生严重的损失[1]。网络安全专家为了提高互联网正常运行能力，也吸引了很多的企业进行研究，比如江民杀毒、瑞星杀毒、奇虎360安全、海康威视、大华科技等，也开发和提出了很多的防御思路及工具，比如防火墙、深度包过滤、杀毒软件等，但是这些安全防御工具均采用被动型防御模式，必须等木马或病毒暴露之后才可以将其清除，难免会为网络用户带来一定的损失[2]。因此，本文提出利用人工智能技术构建一个主动网络防御系统，以便提高网络安全防御能力。

1 网络安全防御技术发展现状

目前，网络安全管理已经提出了很多先进的防御软件，比如防火墙、杀毒软件、访问控制列表、深度包过滤系统，一旦网络中爆发安全威胁事故，就可以启动这些软件及时地杀灭病毒或木马[3]。

（1）防火墙。防火墙是一种部署于因特网和局域网的防御工具，其类似于一个过滤器，可以部署一些过滤规则，从而可以让正常的数据通过防火墙，也可以阻止携带病毒或木马的数据通过防火墙。防火墙经过多年的部署，已经诞生了数据库防火墙、网络防火墙、服务器防火墙等，使用枚举规则禁止查看每一个协议是否正常，能够防御一定的病毒或木马。

（2）杀毒软件。杀毒软件也是一种非常关键的程序代码，可以在杀毒软件系统的服务器中保存检测出的病毒或木马基因特征片段，将这些片段与网络中的数据信息进行匹配，从而可以查找出网络中的病毒或木马，及时地将其从网络中清除。杀毒软件为了能够准确识别病毒，目前引入了许多的先进技术，这些技术包括脱壳技术、自我保护技术等，同时也吸引了更多的网络安全防御公司研究杀毒软件，最为著名的软件厂商包括360、瑞星、江民、卡巴斯基等，同时腾讯公司、搜狗公司也开发了自己的安全管理技术，大大提高了网络防御能力。

（3）访问控制列表。访问控制列表是一个易于配置、安装简单和管理容易的网络安全防御工具，设置了黑白两个关键名单，白名单收录了安全数据源IP地址，黑名单收录了非法的数据源IP地址。访问控制列表可以在四个层次配置防御策略，分别是目录及控制级、入网访问控制级、属性控制级和权限控制级。访问控制列表级别越高访问性能越好，但是工作效率非常慢，不能够实时升级访问控制列表，因此应用的场所比较简单，一般都是不重要的中小学实验室等，许多大型政企单位都不用这个防御软件。

（4）深度包过滤。深度包过滤能够嵌入到硬件中形成一个固件，这样就可以快速采集网络中的数据，然后利用深度包过滤的枚举检查规则，不仅检查数据包的头部IP地址、目的IP地址，还检查数据包中的内容，以便能够深入到数据包内部检查是否存在病毒或木马，一旦发现病毒或木马就可以启动防御软件。深度包过滤可以实施穿透式检查规则，分析每一个协议字段，深入到内部检查得更加详细和全面，从而避免病毒或木马隐藏在数据包内部。深度包过滤已经在很多领域得到应用，比如阿里云、腾讯云、百度云等，许多政企单位也采用了深度包过滤技术，进一步提高了数据防御水平。

2 主动网络安全防御系统设计

主动网络安全防御系统包括四个关键功能，分别是数据采集功能、大数据分析功能、网络安全防御功能和防御效果评估功能[4]。本文的主要创新即是引入了大数据分析功能，利用人工智能识别网络中的病毒基因，构建了一个自主学习的模型，这样就可以提高互联网安全防御的主动性、积极性，与传统的网络安全防御存在很大的改进。主动网络安全防御系统如图1所示。

图1 基于大数据的网络安全管理防御流程

（1）网络数据采集功能。目前，人们已经进入到“互联网+”时代，网络部署的软硬件资源非常多，访问的用户频次数以亿计，因此网络安全防御首先需要构建一个强大的数据采集功能，可以及时地采集网络中的软硬件数据资源，将这些网络数据发送给大数据分析模块。网络数据采集过程中可以引入深度包过滤功能，利用这个深度包过滤可以快速地采集网络数据，提高网络数据采集速度。

（2）大数据分析功能。网络数据采集完毕之后，系统将数据发送给大数据分析和处理模块，该模块中包含了很多的病毒基因片段或特征，可以针对网络数据进行智能分析，将预处理后的网络数据与学习到的特征进行对比，以便能够发现这些数据信息中是否潜藏着木马或病毒，发现之后及时将其发送给安全防御模块。

（3）网络安全防御功能。网络安全防御与传统的防御技术一致，采用木马或病毒查杀软件，一旦发现网络中存在病毒或木马，就可以启动网络安全防御工具，及时将网络中的病毒或木马杀灭，并且可以跟踪病毒或木马来源，从而可以锁定源头服务器，将源头清除掉。如果源头涉及犯罪就可以获取犯罪证据，同时将这些证据发送给公安机关进行侦破。

（4）防御效果评估功能。网络安全防御功能完成之后，系统可以针对处理效果进行评估，从而可以获取网络系统中的杀毒信息，将这些网络病毒消灭，避免网络中的病毒或木马复发。网络安全防御效果评估之后，还可以跟踪大数据分析的准确度，一旦准确度降低就可以及时进行学习，从而提高网络安全防御性能。

3 结束语

主动网络安全防御采用了智能处理和分析的理念，在网络中构建了一个大数据分析策略，一旦网络受到病毒或木马的攻击，系统便会自动识别网络中的木马或病毒，及时地将网络设备隔离，同时形成一个新传输通道为网络设备提供链接，直到数据修复完毕之后才能够将这些网络拓扑结构纳入网络中，提高网络安全处理能力。

[1]张贵军.大数据时代网络安全管理现状及主动防御系统[J].电子技术与软件工程，2017（11）：203-203.

[2]张森.深层次网络安全主动防御系统应用研究[J].计算机光盘软件与应用，2015（1）：211-211.

[3]李伟宁，王汉高，钟伟杰.电力信息化行业网络安全主动防御技术研究[J].网络安全技术与应用，2018，209（05）：72-73.

[4]张迪.高校网络安全管理现状及防御措施研究[J].电子技术与软件工程，2016（13）：221-221.