趙艷花，陳 陽

（寧夏財經(jīng)職業(yè)技術學院 寧夏 銀川 750021）

0 引言

電腦網(wǎng)絡技術的出現(xiàn)與應用，改變了人們的娛樂、學習和工作方式。然而，網(wǎng)絡安全問題也隨之產(chǎn)生，例如網(wǎng)絡崩潰、網(wǎng)絡數(shù)據(jù)丟失、網(wǎng)絡病毒入侵等。為此，有關部門應利用人工智能技術，加強網(wǎng)絡安全防護體系的設計與開發(fā)，達到實時監(jiān)測和管理計算機系統(tǒng)的安全風險，從而增強計算機的安全防護能力，為今后的網(wǎng)絡安全工作奠定基礎。因此，在人工智能技術應用的大背景下，如何進行網(wǎng)絡安全防護體系的設計與開發(fā)，成了各有關部門所要考慮和研究的課題。

1 大數(shù)據(jù)與人工智能概述

1.1 大數(shù)據(jù)的含義

相對于傳統(tǒng)的數(shù)據(jù)處理方式，大數(shù)據(jù)對更大量的數(shù)據(jù)進行了分析。同時將“云計算”平臺和數(shù)據(jù)庫的處理結(jié)合起來，擴大存儲系統(tǒng)規(guī)模，大數(shù)據(jù)能夠更好地滿足不同需求。大數(shù)據(jù)具有數(shù)據(jù)量大、數(shù)據(jù)類型繁多、處理速度快、價值密度低等優(yōu)點。為各領域提供更好的服務，也解決了傳統(tǒng)數(shù)據(jù)處理中的一些問題，適應了新的發(fā)展需要。

1.2 人工智能技術

在大數(shù)據(jù)時代，隨著計算機、因特網(wǎng)、仿生技術飛速發(fā)展，人工智能技術漸漸出現(xiàn)。人工智能技術是一種具有模仿、學習、適應、組織能力的高級科技。將人工智能技術引入到機械中，使機械智能化，為人類生產(chǎn)、生活帶來便利，提升人民的幸福感。將人工智能技術與計算機網(wǎng)絡技術相結(jié)合，是一種必然的發(fā)展趨勢。將傳統(tǒng)的人工、搜尋智能化，不但可以加快信息的收集速度，同時也可以保證數(shù)據(jù)的及時性，同時，人工智能技術也具有很強的協(xié)同作用，可以根據(jù)使用者的需要，進行數(shù)據(jù)的交流，從而提高工作效率[1]。

2 計算機網(wǎng)絡安全現(xiàn)狀

2.1 黑客攻擊的技術水平不斷上升

隨著云計算技術的飛速發(fā)展，大數(shù)據(jù)、人工智能、網(wǎng)絡安全等都不再是什么新名詞。大量的專業(yè)人士和非專業(yè)人士投入大量的時間來學習這些技術。在這種大數(shù)據(jù)時代，雖然使用電腦的人很多，但他們中的一些人卻沒有基本的法律觀念，為了賺錢，利用自己的技術，對計算機進行非法攻擊，竊取他人重要資料，從中牟利。隨著“移動云”技術迅速發(fā)展，病毒、木馬等成為網(wǎng)絡攻擊的主要手段。另外，隨著網(wǎng)絡安全技術的飛速發(fā)展，黑客的入侵行為也日益頻繁，對網(wǎng)絡的安全造成了極大的威脅。

2.2 網(wǎng)絡攻擊的方式呈多元化發(fā)展

在移動互聯(lián)網(wǎng)與物聯(lián)網(wǎng)技術迅猛發(fā)展的今天，計算機網(wǎng)絡變得更加復雜，各種智能設備也變得更加靈活，不再局限電腦、筆記本、手機等，所有智能設備都有了聯(lián)網(wǎng)能力，既方便了用戶操作，又給了黑客更多的攻擊機會，增加了防御系統(tǒng)的難度。

2.3 網(wǎng)絡安全防范意識不強

由于大多數(shù)網(wǎng)民沒有接受過計算機網(wǎng)絡安全方面的專業(yè)培訓，也沒有系統(tǒng)地學習過“大智移云”的相關技術，大多數(shù)網(wǎng)民對網(wǎng)絡安全的認識還不夠深刻，容易在日常上網(wǎng)過程中無意識觸犯法律，也更容易讓自己暴露在網(wǎng)絡危險中。

3 基于大數(shù)據(jù)和人工智能技術的網(wǎng)絡安全防護體系功能需求分析

3.1 基礎設施層虛擬化方面的功能需求

網(wǎng)絡安全防護體系的基礎架構(gòu)，除了要有足夠的先進、可靠的硬件，還要有更多的虛擬化能力。只有這樣，才能讓數(shù)據(jù)和智能技術得到最好的應用，才能更好地分配和分享硬件資源。這是提高系統(tǒng)集成性和并行性能的重要因素。

3.2 中間件層管理方面的功能需求

在大數(shù)據(jù)和人工智能時代的網(wǎng)絡安全防護體系中，中間件層的主要作用就是對數(shù)據(jù)的輸入、輸出進行分類，使各種資源在系統(tǒng)中得到合理的分布，從而達到對計算機網(wǎng)絡的存取安全性實時檢測的目的。因此，在這一防御體系的具體設計中，必須保證各節(jié)點之間的負載均衡、安全監(jiān)控、資源配置等功能。

3.3 應用層服務方面的功能需求

計算機網(wǎng)絡安全防護系統(tǒng)須以用戶為中心，因此，在本系統(tǒng)的具體設計中，需要為使用者提供方便、快捷、穩(wěn)定的服務，包括用戶注冊、登錄、訪問控制、權(quán)限分配、系統(tǒng)交互、入侵檢測、系統(tǒng)備份、數(shù)據(jù)還原等。

4 系統(tǒng)需求分析

這里提出了一種利用大數(shù)據(jù)和人工智能技術進行網(wǎng)絡安全保護的方法，系統(tǒng)不僅能夠?qū)崟r采集和檢測各類數(shù)據(jù)，而且還具備探測攻擊和實時預警的功能。主要提出了以下幾點設計需求。

（1）為用戶提供多種信息源，如在一個共用的網(wǎng)絡接口上收聽不同的報文，即時分析聯(lián)結(jié)、網(wǎng)絡及傳送層的通信。

（2）建立了一個完整的、系統(tǒng)的攻擊事件資料庫，使用中文的警報，具備對網(wǎng)絡管理人員進行有效分析和防范的能力。

（3）通過對各種類型的入侵檢測，可以對其進行有效的識別和處理。

（4）通過對 IP數(shù)據(jù)包進行重組，可以增強檢測、識別和處理各類碎片攻擊行為和躲避攻擊的能力，從而達到對網(wǎng)絡系統(tǒng)的整體防護，減少網(wǎng)絡信息的危險性。

（5）利用數(shù)據(jù)庫報警、郵件報警、自動關機等各種類型的報警處理方法，利用人工智能技術，對報警信息進行查詢，并對報警圖示進行分析，從而增強了對安全防范的保護，確保了數(shù)據(jù)的穩(wěn)定性、可靠性和安全性[2-3]。

5 系統(tǒng)總體設計

為確保系統(tǒng)的設計與開發(fā)具有一定的針對性，有關人員必須嚴格按照圖1中所示的功能模塊劃分圖來進行，以確保本系統(tǒng)的功能實施[1]。

圖1 網(wǎng)絡安全防御系統(tǒng)功能模塊劃分

如圖1所示，整個系統(tǒng)包括探測引擎和控制中心兩大部分。其中，探測引擎的功能主要是訪問、監(jiān)控、識別和處理被監(jiān)控的網(wǎng)絡，確保安全；監(jiān)控中心實時地處理由探測引擎發(fā)送的網(wǎng)絡報警信息，這樣就可以實時監(jiān)測和管理檢測引擎的運行，便于用戶全面記錄、統(tǒng)計和檢索[4]。本系統(tǒng)的主要功能模塊如下：

（1）網(wǎng)絡數(shù)據(jù)捕獲

此模塊不僅能夠有效地接入網(wǎng)絡接口設備，并且可以對各個接口的網(wǎng)絡進行實時捕獲，并將所收集到的數(shù)據(jù)包進行傳輸。

（2）網(wǎng)絡協(xié)議分析

此模塊主要是針對不同的數(shù)據(jù)包頭域進行分析，例如鏈路層、傳輸層、網(wǎng)絡層等；其具體實施方案是通過協(xié)議層級的方式，集中統(tǒng)一地處理包頭格式，為包頭的科學分析與處理提供了有利的環(huán)境。

（3）數(shù)據(jù)包預處理

這個模塊的任務是對不同的數(shù)據(jù)包進行譯碼、重新組合，其中，解碼技術主要是為了實時攔截和處理網(wǎng)絡攻擊，以保證系統(tǒng)安全。數(shù)據(jù)包重構(gòu)，是指按照有關的技術和技術標準，對重構(gòu)后的圖像進行了完整的探測與攻擊。

（4）入侵事件檢測模塊

在實際中，我們主要依據(jù)有關的入侵判據(jù)，利用特征匹配技術，實現(xiàn)了多種信息的科學匹配。因此，對網(wǎng)絡攻擊進行了檢測、識別和處理。

5 系統(tǒng)功能的實現(xiàn)

5.1 網(wǎng)絡數(shù)據(jù)包捕獲

在該系統(tǒng)中，通過 Libpcap訪問數(shù)據(jù)鏈路，實現(xiàn)了數(shù)據(jù)包的采集。獲得分組的程序是這樣的：

（1）獲取并打開網(wǎng)絡設備

首先，要對網(wǎng)絡接口、目標地址、網(wǎng)絡掩碼等進行全面的獲取，再在網(wǎng)絡接口上增加結(jié)構(gòu)鏈表，獲取對應的捕獲裝置。其次，將網(wǎng)絡設備開啟，獲得對應的捕捉句柄；給出了一種網(wǎng)絡設備的子網(wǎng)掩碼，并充分地控制了它的運行時間。最后，關閉指定的包以充分地釋放資源。

（2）編譯并設置過濾規(guī)則

在此階段，首先要對過濾器進行編輯；在二元編碼過程中，還需要通過變量和字符串來實現(xiàn)。

（3）捕獲網(wǎng)絡數(shù)據(jù)包

在成功地開啟網(wǎng)卡之后，利用此功能對數(shù)據(jù)包進行捕捉，以保證網(wǎng)絡的正常運行；最后，將分組發(fā)送至用戶空間，并在此基礎上對其進行有針對性的處理。

5.2 網(wǎng)絡協(xié)議分析

在具體的實施過程中，要嚴格地按照圖2中的協(xié)議進行分析，并對數(shù)據(jù)鏈路層、傳輸層、網(wǎng)絡層的信息域進行解析和處理。首先，根據(jù)收聽的鏈接類型來決定相應的處理功能；同時，捕捉到的分組也被傳送到鏈接層處理功能。鏈路層處理功能主要是對各鏈路層域的信息進行統(tǒng)一的處理，然后把對應的數(shù)據(jù)分組發(fā)送到網(wǎng)絡層處理功能，然后利用統(tǒng)計分析的方法來判斷下一次發(fā)送的目標。

圖2 協(xié)議分析處理流程

5.3 數(shù)據(jù)包預處理

數(shù)據(jù)包預處理包括如下的預處理：

（1）HTTP解碼預處理功能

在特定的執(zhí)行過程中，將 HTTPURL的字串符轉(zhuǎn)換成 ASCI字符串，能夠?qū)阂夤暨M行有效的識別和處理，從而確保信息的穩(wěn)定性、可靠性和安全性。

（2）端口掃描檢測預處理功能

在具體實施方案中，必須集中掃描多IP地址的一個端口；同時，在一定的時限內(nèi)，實現(xiàn)多個 TCP的高效連接，這為實現(xiàn)多端口的快速掃描提供了很好的環(huán)境。

（3）數(shù)據(jù)包分片重組預處理功能

在具體實現(xiàn)中，IP包采用最大發(fā)送單元包；通過對 IP進行重組，并使用 TCP相關軟件對 IP進行統(tǒng)一的檢測，從而全面地理解入侵的全過程。同時，要及時發(fā)現(xiàn)存在安全漏洞的主機，防止出現(xiàn)死機、癱瘓等問題。

5.4 入侵加測

在特定的實施過程中，需要利用所描述的模式匹配原則，將采集到的數(shù)據(jù)與特定的數(shù)據(jù)庫進行比對，并對其進行及時的檢測和處理。

如圖3所示，為確保 IDS的有效實施，有關人員必須利用IDS規(guī)則庫，將所獲得的信息與錯誤規(guī)則進行完美的比對，并在此基礎上，自動發(fā)出警告信息；若不能匹配，則表示網(wǎng)絡資料包已正常安全。同時，為了克服匹配過程中效率低的問題，采用 BM算法對匹配流程進行優(yōu)化[5-6]。

圖3 模式匹配原理

6 系統(tǒng)測試

6.1 功能測試

在具體的測試中，系統(tǒng)的網(wǎng)絡攻擊檢測能力要求使用各種攻擊軟件，通過對系統(tǒng)的功能進行檢測，以保證系統(tǒng)可以對網(wǎng)絡攻擊行為進行有效的檢測，并及時向用戶發(fā)送相應的報警信息。

6.1.1 Nmap攻擊

Nmap是一種常見的檢測軟件，該系統(tǒng)能夠從使用者處獲取使用者的狀態(tài)及服務等相關資訊，進而針對使用者進行針對性的攻擊。

6.1.2 服務攻擊行為拒絕

Teardrop使用了分時分組攻擊的原則，將虛假的分塊數(shù)據(jù)包傳送到系統(tǒng)中，造成系統(tǒng)崩潰、死機和頻繁重啟的情況[7-8]。利用Jolt攻擊技術，將大量的分塊數(shù)據(jù)分組傳送給系統(tǒng)，從而有效地阻止服務攻擊[9]。通過對系統(tǒng)的各項功能進行了測試，結(jié)果表明，系統(tǒng)各項性能指標達到了預定的開發(fā)標準和需求，各功能模塊的實現(xiàn)都達到了較好的效果[10]。

6.2 系統(tǒng)響應時間測試

在此基礎上，將網(wǎng)絡通信質(zhì)量設定為50 M，分組為512字節(jié)，再進行相應的網(wǎng)絡攻擊，并計算從網(wǎng)絡攻擊到系統(tǒng)發(fā)出的網(wǎng)絡警報。誤警率檢測：在檢測率檢測時，常常會發(fā)生錯誤。因此，有關工作人員需要對錯誤率和攻擊檢測的錯誤率進行計算，并將兩者相乘，得出系統(tǒng)的真實誤警率。在此階段，需要構(gòu)建對應的攻擊規(guī)則，接著對 Snot攻擊進行了統(tǒng)計，并對系統(tǒng)的報警次數(shù)進行了統(tǒng)計，對系統(tǒng)的錯誤預警進行了精確的計算。漏報率檢測：要做好對應的檔案資料配置，并錄入相關的項目資料。然后，通過對被攻擊的主機進行配置，對網(wǎng)絡攻擊的數(shù)量和漏報進行統(tǒng)計和計算。均響應時間、誤報率和漏報率測試結(jié)果見表1。

表1 均響應時間、誤報率、漏報率測試結(jié)果

由表1可知，該系統(tǒng)均響應時間、誤報率、漏報率均符合預定設定的指標及指標，顯示了該體系的工作性能。

7 結(jié)語

以大數(shù)據(jù)與人工智能為基礎的網(wǎng)絡安全防護系統(tǒng)的建設已成為世界各國所關心的重大課題，因此，如何有效地應對網(wǎng)絡安全的變化、復雜、危險的網(wǎng)絡攻擊，是當前國際社會普遍關心的問題。通過人神經(jīng)網(wǎng)絡、機器學習、智能算法、專家系統(tǒng)、大數(shù)據(jù)、云計算等智能技術，為 IDS等提供高效、便捷的技術支持。