◆翁躍鑫

一種多層次的網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)研究與設(shè)計(jì)

◆翁躍鑫

（廈門市仙岳醫(yī)院 福建 361012）

互聯(lián)網(wǎng)在提供便利服務(wù)的同時(shí)也面臨各種形式的網(wǎng)絡(luò)信息安全威脅，比如蠕蟲病毒、盜竊木馬等，可能為用戶帶來不可估量的損失，因此為了能夠保證用戶使用網(wǎng)絡(luò)的安全性，本文提出構(gòu)建一個(gè)多層次的網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)，該系統(tǒng)包括四個(gè)層次，分別是網(wǎng)絡(luò)數(shù)據(jù)采集層、威脅識(shí)別分析層、安全工具啟動(dòng)層、效果評(píng)估層，系統(tǒng)引入模式識(shí)別技術(shù)，以提高網(wǎng)絡(luò)安全防御性能。

網(wǎng)絡(luò)安全；主動(dòng)防御；模式識(shí)別；勒索病毒

網(wǎng)絡(luò)病毒、木馬等安全威脅一直是阻礙網(wǎng)絡(luò)普及和使用的不利因素，雖然經(jīng)過多年的研究和改進(jìn)，許多科研機(jī)構(gòu)的學(xué)者、網(wǎng)絡(luò)安全專家提出了針對(duì)病毒、木馬的多種防御方法，如通過入侵防御系統(tǒng)進(jìn)行端口阻斷，在防火墻側(cè)進(jìn)行細(xì)粒度的數(shù)據(jù)包過濾，在主機(jī)側(cè)安裝殺毒軟件等方法，但是近年來許多病毒和木馬都采用了更加先進(jìn)的技術(shù)，隱藏的更深刻、攻擊范圍更廣泛，也不利于傳統(tǒng)的防御工具發(fā)現(xiàn)，因此被動(dòng)的防御模式會(huì)為網(wǎng)絡(luò)用戶帶來一定的損失[1]。本文為了解決這個(gè)問題，認(rèn)真分析了勒索病毒等近年來爆發(fā)的比較嚴(yán)重的網(wǎng)絡(luò)安全事件，構(gòu)建一個(gè)多層次、智能化的主動(dòng)防御系統(tǒng)，從而可以持續(xù)改進(jìn)防御能力。

1 網(wǎng)絡(luò)安全防御面臨的威脅及現(xiàn)狀研究

目前，網(wǎng)絡(luò)安全面臨的威脅非常多，不僅包括常規(guī)的病毒和木馬，還引入了一些先進(jìn)的人工骨智能技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)竊聽、篡改、偽造等，給人們帶來了不可估量的損失。勒索病毒作為近年來最為嚴(yán)重的病毒，爆發(fā)之后就感染了數(shù)以千萬計(jì)的電腦，給許多大型跨國(guó)公司帶來不可估量的損失。勒索病毒利用加密算法針對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行加密，感染者無法訪問數(shù)據(jù)信息文件，要求感染者支付比特幣才能夠獲取解密方法[2]。勒索病毒僅僅是互聯(lián)網(wǎng)安全攻擊的冰山一角，許多網(wǎng)絡(luò)病毒肆虐信息世界，為人們帶來很多的損失，因此為了提高網(wǎng)絡(luò)安全防御能力，360安全衛(wèi)士、瑞星殺毒、卡巴斯基、騰訊安全管家等均提出了一些殺毒策略，比如防火墻、殺毒軟件和深度包過濾系統(tǒng)等。

（1）防火墻。防火墻是最早提出的網(wǎng)絡(luò)安全防御工具，防火墻作為一個(gè)軟件，其可以根據(jù)網(wǎng)絡(luò)通信需求設(shè)置一些啟發(fā)式規(guī)則，防火墻將放行符合防火墻過濾規(guī)則的數(shù)據(jù)包，攔截違反過濾規(guī)則的數(shù)據(jù)包。通過對(duì)有害數(shù)據(jù)包的過濾丟棄可以實(shí)現(xiàn)對(duì)木馬，蠕蟲病毒等數(shù)據(jù)包的攔截，防止有害信息進(jìn)入網(wǎng)絡(luò)。隨著技術(shù)的不斷更新迭代，防火墻也在不斷更新演進(jìn)，目前有多種類型的防火墻在網(wǎng)絡(luò)的不同層次發(fā)揮安全保障作用。比如WEB應(yīng)用防火墻、服務(wù)器防火墻、數(shù)據(jù)庫(kù)防火墻等，可應(yīng)用于網(wǎng)絡(luò)不同的位置，起到了一個(gè)較好的防御效果[3]。

（2）殺毒軟件。殺毒軟件一直是主流的網(wǎng)絡(luò)安全防御工具，目前研究網(wǎng)絡(luò)殺毒軟件的企業(yè)、科研機(jī)構(gòu)都非常多，比如著名的360安全衛(wèi)士、卡巴斯基、江民殺毒、騰訊管家等，使用網(wǎng)絡(luò)中爆發(fā)的病毒基因特征識(shí)別當(dāng)前數(shù)據(jù)流中是否存在威脅，及時(shí)將這些網(wǎng)絡(luò)安全威脅清除。殺毒軟件為了提高殺毒能力，引入了一些脫殼技術(shù)、自我保護(hù)技術(shù)等，一定程度上提高了網(wǎng)絡(luò)防御能力。

（3）深度包過濾。隨著互聯(lián)網(wǎng)流量的增多，防火墻和殺毒軟件的過濾性能逐漸降低，因此網(wǎng)絡(luò)安全專家經(jīng)過研究，提出了一個(gè)軟硬件結(jié)合在一起的防御技術(shù)，也即是深度包過濾，其同樣采用枚舉和迭代的規(guī)則，檢查數(shù)據(jù)包的包頭信息、包內(nèi)容等，這個(gè)穿透式檢查不放過數(shù)據(jù)包的任何一部分，因此可以分析每一個(gè)協(xié)議字段的內(nèi)容，從而可以提高網(wǎng)絡(luò)殺毒性能，深度包過濾基于硬件進(jìn)行設(shè)計(jì)，因此可以提高數(shù)據(jù)包檢查的效率，滿足大流量網(wǎng)絡(luò)應(yīng)用需求。

2 多層次的網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)設(shè)計(jì)

多層次網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)引入模式識(shí)別、機(jī)器學(xué)習(xí)技術(shù)，利用人工智能實(shí)現(xiàn)數(shù)據(jù)的分析，以便能夠與病毒特征庫(kù)進(jìn)行對(duì)比，查看網(wǎng)絡(luò)數(shù)據(jù)中是否存在病毒，如果存在則啟動(dòng)殺毒軟件，同時(shí)還要評(píng)估殺毒效果。因此，本文設(shè)計(jì)一個(gè)多層次的網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)，分別是數(shù)據(jù)采集層、威脅識(shí)別分析層、安全工具啟動(dòng)層、效果評(píng)估層，涵蓋了網(wǎng)絡(luò)數(shù)據(jù)采集、人工智能分析、網(wǎng)絡(luò)安全響應(yīng)和防御效果評(píng)估等多個(gè)方面，提高防御實(shí)時(shí)性和預(yù)測(cè)性。多層次的網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)如圖1所示。

圖1 多層次的網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)

（1）網(wǎng)絡(luò)數(shù)據(jù)采集功能。本文提出的防御系統(tǒng)首先要完成網(wǎng)絡(luò)數(shù)據(jù)采集功能，在公司網(wǎng)絡(luò)環(huán)境中安裝合適的嗅探軟件，從海量的網(wǎng)絡(luò)數(shù)據(jù)中抓取數(shù)據(jù)包，這些數(shù)據(jù)包是最原始和最真實(shí)的數(shù)據(jù)，經(jīng)過一定的預(yù)處理和建模，將這些網(wǎng)絡(luò)數(shù)據(jù)發(fā)送給大數(shù)據(jù)分析模塊進(jìn)行運(yùn)算和分析。

（2）威脅識(shí)別分析。大數(shù)據(jù)分析的優(yōu)勢(shì)是從海量的數(shù)據(jù)中通過智能算法發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)。在第一步網(wǎng)絡(luò)數(shù)據(jù)采集完畢之后，將數(shù)據(jù)發(fā)送給大數(shù)據(jù)分析和處理模塊。網(wǎng)絡(luò)病毒的爆發(fā)往往伴隨著入侵攻擊、植入木馬等綜合手段，所以對(duì)病毒的主動(dòng)性防御要更加全面的考慮攻擊者的行為特征。因此該模塊中包含了不僅包含了攻擊者的特征行為庫(kù)，還可以收藏一些網(wǎng)絡(luò)病毒基因片段，同時(shí)具備自我的學(xué)習(xí)和進(jìn)化能力，將完成預(yù)處理的數(shù)據(jù)與學(xué)習(xí)到的特征行為進(jìn)行匹配分析，從而發(fā)現(xiàn)是否存在木馬入侵攻擊，以便能夠及時(shí)發(fā)現(xiàn)這些病毒或木馬，將其發(fā)送給殺毒軟件，比如360安全衛(wèi)士、卡巴斯基等。

（3）網(wǎng)絡(luò)安全防御功能。網(wǎng)絡(luò)安全防御層采用的殺毒軟件很多，比如360安全衛(wèi)士或卡巴斯基等，這些殺毒軟件可以將互聯(lián)網(wǎng)中的病毒清除，并且可以跟蹤網(wǎng)絡(luò)病毒來源，從而可以鎖定源頭服務(wù)器，將源頭清除掉。

（4）防御效果評(píng)估功能。網(wǎng)絡(luò)病毒安全防御功能完成之后，本文系統(tǒng)需要對(duì)安全防御效果進(jìn)行評(píng)估，從而查看網(wǎng)絡(luò)安全識(shí)別模塊預(yù)判的準(zhǔn)確度，如果準(zhǔn)確度非常高，就說明系統(tǒng)學(xué)習(xí)得很徹底，從而可以提高防御效果；如果準(zhǔn)確度較低，此時(shí)就可以進(jìn)一步擴(kuò)大學(xué)習(xí)實(shí)例或更換模式識(shí)別算法，以便提高網(wǎng)絡(luò)安全防御能力。網(wǎng)絡(luò)安全防御效果評(píng)估可以實(shí)現(xiàn)持續(xù)性改進(jìn)，一旦準(zhǔn)確度降低就可以及時(shí)進(jìn)行學(xué)習(xí)，從而提高網(wǎng)絡(luò)安全防御性能。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全防御作為一個(gè)復(fù)雜的工程，其需要隨著網(wǎng)絡(luò)病毒或木馬的攻擊而改進(jìn)，還需要引入更加先進(jìn)的技術(shù)，比如深度學(xué)習(xí)、區(qū)塊鏈等，進(jìn)一步為網(wǎng)絡(luò)用戶提供一個(gè)更安全的、可靠的應(yīng)用環(huán)境，為社會(huì)信息化和智能化提供支撐。

[1]張貴軍.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全管理現(xiàn)狀及主動(dòng)防御系統(tǒng)[J].電子技術(shù)與軟件工程，2017（11）：203-203.

[2]李偉寧，王漢高，鐘偉杰.電力信息化行業(yè)網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018，209（5）：72-73.

[3]基于可信計(jì)算技術(shù)構(gòu)建電力監(jiān)測(cè)控制系統(tǒng)網(wǎng)絡(luò)安全免疫系統(tǒng)[J].四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2017，49（2）：28-35.

[4]蘇世洵，朱志祥.基于蜜罐的嵌入式主動(dòng)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].物聯(lián)網(wǎng)技術(shù)，2017，7（7）：86-88.