◆陸星宇

（中國民用航空西南地區(qū)空中交通管理局云南分局 云南 650200）

目前，互聯(lián)網(wǎng)面臨的安全威脅非常多，常見的包括木馬病毒和 DDOS攻擊。木馬病毒是一種網(wǎng)絡攻擊程序，其可以通過圖像、視頻、文檔等傳播給PC機、服務器，導致網(wǎng)絡用戶無法正常使用系統(tǒng)，甚至會破壞系統(tǒng)的重要數(shù)據(jù)資源，為人們帶來嚴重經(jīng)濟損失[1]?；ヂ?lián)網(wǎng)學者和安全防御企業(yè)為了提高網(wǎng)絡正常服務能力，已經(jīng)提出了許多的安全防御技術(shù)，比如360安全衛(wèi)士、騰訊衛(wèi)士、卡巴斯基、瑞星殺毒等，也提出了一些先進的網(wǎng)絡設(shè)計方法，比如免疫網(wǎng)絡等，加強了網(wǎng)絡安全防御能力，避免用戶因為使用網(wǎng)絡產(chǎn)生損失[2]。

1 網(wǎng)絡安全防御技術(shù)應用現(xiàn)狀分析

目前，互聯(lián)網(wǎng)安全防御技術(shù)經(jīng)過多年的實踐和研究，已經(jīng)提出了很多，殺毒軟件、防火墻、免疫網(wǎng)絡、深度包過濾和加密算法[3]。

（1）加密算法?；ヂ?lián)網(wǎng)傳輸?shù)臄?shù)據(jù)資源非常多，為了保證通信傳輸不被非法分子破壞和竊取，通信學者提出了128位或256位的非對稱加密算法，可以大幅度提升數(shù)據(jù)傳輸?shù)陌踩?，進一步增強加密數(shù)據(jù)的安全能力?；ヂ?lián)網(wǎng)也可以利用先進的區(qū)塊鏈技術(shù)，構(gòu)建一個分布式的、無中心的共識機制，進一步提高通信數(shù)據(jù)認證可靠度，具有較強的準確性。

（2）防火墻和殺毒軟件。防火墻是一種部署于應用層、傳輸層的互聯(lián)網(wǎng)安全防御系統(tǒng)，可以引入先進的網(wǎng)絡控制規(guī)則，分析傳輸?shù)臄?shù)據(jù)包中是否包含病毒或木馬，如果一旦確定某個數(shù)據(jù)包包含病毒或木馬，就可以禁止數(shù)據(jù)包通過防火墻。殺毒軟件與防火墻類似，其首先也需要檢查數(shù)據(jù)包中是否存在病毒威脅，一旦發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)包存在攻擊威脅，比如木馬特征或病毒特征，此時就可以啟動脫殼技術(shù)，將偽裝的病毒或木馬外衣去除，然后將病毒或木馬數(shù)據(jù)清除網(wǎng)絡，提高網(wǎng)絡的安全服務性能。

（3）深度包過濾。深度包過濾是一種引入深度學習、固件理論的安全防御技術(shù)，利用深度學習可以識別、分析網(wǎng)絡數(shù)據(jù)包，深入到數(shù)據(jù)包的每一個協(xié)議字段，這樣就可以提高網(wǎng)絡病毒或木馬的特征片段，從而可以將其殺滅。深度包過濾作為一個軟件，為了滿足“互聯(lián)網(wǎng)+”時代大數(shù)據(jù)傳輸需求，可以將其固化在一個硬件設(shè)備中，利用硬件電路實現(xiàn)軟件功能，提高深度包過濾的處理速度。目前，深度包過濾已經(jīng)得到廣泛應用，進一步提高了網(wǎng)絡安全性，滿足人們的工作、生活和學習需求。

（4）免疫網(wǎng)絡。免疫網(wǎng)絡是一種非常先進的自動化網(wǎng)絡，其可以根據(jù)感染網(wǎng)絡病毒或木馬的實際情況，利用自動化愈合技術(shù)修復網(wǎng)絡架構(gòu)，比如將網(wǎng)絡數(shù)據(jù)傳輸線路轉(zhuǎn)移到備份線路，也可以實現(xiàn)病毒或木馬的自我免疫，隔離網(wǎng)絡中的木馬或病毒，形成一個非常深度的防御規(guī)則及機制。

2 基于流量分析的網(wǎng)絡安全防御系統(tǒng)研究

2.1 網(wǎng)絡安全防御模型設(shè)計

基于流量分析的網(wǎng)絡安全防御系統(tǒng)的主要功能包括三個方面，分別是流量采集功能、流量分析挖掘功能、分析結(jié)果應用歸納[4]。詳細功能描述如下：

（1）流量采集功能。目前，互聯(lián)網(wǎng)應用技術(shù)非常先進，基于大數(shù)據(jù)、云計算等構(gòu)建了很多的數(shù)據(jù)中心，比如阿里云、百度云、騰訊云等，這些數(shù)據(jù)中心承載的業(yè)務非常多，因此流量也非常大，網(wǎng)絡安全流量分析需要利用監(jiān)控系統(tǒng)采集所有的流量，將這些流量進行初步過濾之后發(fā)送給挖掘分析模塊。

（2）流量分析挖掘功能。本文提出利用卷積神經(jīng)網(wǎng)絡構(gòu)建一個網(wǎng)絡流量挖掘與分析系統(tǒng)，該系統(tǒng)可以從互聯(lián)網(wǎng)流量中發(fā)現(xiàn)潛在的病毒或木馬，針對這些網(wǎng)絡安全威脅進行識別、評估和判斷，進一步提高網(wǎng)絡流量分析應用能力。

（3）分析結(jié)果應用。流量分析與挖掘結(jié)果出來之后，就可以判定網(wǎng)絡中是否存在病毒和木馬，如果存在就可以啟動殺毒軟件，如果不存在就可以放行，另外還可以根據(jù)分析結(jié)果表征網(wǎng)絡應用水平，同時還可以掃描軟硬件集成是否存在不兼容現(xiàn)象，可以加強互聯(lián)網(wǎng)的可靠運行能力。

基于流量分析的網(wǎng)絡安全防御系統(tǒng)業(yè)務流程如圖1所示。

圖1 網(wǎng)絡安全流量分析系統(tǒng)數(shù)據(jù)處理流程

2.2 網(wǎng)絡安全防御關(guān)鍵技術(shù)

基于流量分析的網(wǎng)絡安全防御系統(tǒng)利用卷積神經(jīng)網(wǎng)絡能夠分析各類型流量信息，比如網(wǎng)絡流量態(tài)勢、軟硬件集成漏洞、DDoS攻擊數(shù)據(jù)等，將這些能力關(guān)聯(lián)在一起，形成一個強大的安全能力防御機制。卷積神經(jīng)網(wǎng)絡（CNN）是一種非常先進的前饋型人工神經(jīng)網(wǎng)絡，包括兩個卷積層，一個卷積層為特征提取層，一個卷積層為特征映射層，可以識別網(wǎng)絡流量中的特征數(shù)據(jù)，同時將池化層進行處理，壓縮和處理池化層數(shù)據(jù)信息，比如進行預處理、二值化等，刪除網(wǎng)絡中的一些明顯的安全數(shù)據(jù)。池化層可以將海量的網(wǎng)絡數(shù)據(jù)進行壓縮，減少卷積神經(jīng)網(wǎng)絡分析時設(shè)置的參數(shù)，解決卷積神經(jīng)網(wǎng)絡學習和訓練時容易產(chǎn)生的過度擬合問題，避免網(wǎng)絡安全流量分析模型陷入一個過度擬合狀態(tài)，不能提高網(wǎng)絡安全防御能力，還會降低提升數(shù)據(jù)處理開銷。全連接層就是一個關(guān)鍵分類器，可以將學習到的知識標記到一個特征空間，這樣就可以提高網(wǎng)絡安全處理結(jié)果的可解釋性。卷積神經(jīng)網(wǎng)絡通過學習和訓練之后，其可以形成一個動態(tài)優(yōu)化的網(wǎng)絡結(jié)構(gòu)，這個結(jié)構(gòu)可以在一定時期內(nèi)保持不變，能夠?qū)崿F(xiàn)網(wǎng)絡病毒特征的識別、分析，為網(wǎng)絡安全防御提供一個準確的病毒或木馬識別結(jié)果。由于互聯(lián)網(wǎng)在運行中面臨的攻擊威脅是變異的，因此卷積神經(jīng)網(wǎng)絡需要定期進行學習和訓練，利用動態(tài)優(yōu)化原則，掌握最新的病毒或木馬特征片段，以便能夠與時俱進，提高網(wǎng)絡安全防御能力。

3 結(jié)束語

互聯(lián)網(wǎng)安全防御是一個非常復雜的工作，需要定期的或?qū)崟r的評估網(wǎng)絡安全防御現(xiàn)狀，分析網(wǎng)絡防御是否存在漏洞，以便能夠引入更加先進的防御技術(shù)，構(gòu)建網(wǎng)絡安全防御架構(gòu)，從而保證網(wǎng)絡正常運行。