摘要：文章基于大數(shù)據(jù)分析技術(shù)的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方法，合理分析互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)并及時(shí)預(yù)警，保障互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行。數(shù)據(jù)采集層的網(wǎng)絡(luò)安全數(shù)據(jù)采集模塊使用基于語義Agent的互聯(lián)網(wǎng)安全數(shù)據(jù)采集方法，采集日志、流量、服務(wù)、SNMP等網(wǎng)絡(luò)安全數(shù)據(jù)，經(jīng)有效預(yù)處理后，由無線網(wǎng)絡(luò)通訊終端將數(shù)據(jù)發(fā)送給數(shù)據(jù)分析層的數(shù)據(jù)特征提取模塊，該模塊應(yīng)用大數(shù)據(jù)分析技術(shù)中的LeNet-5卷積神經(jīng)網(wǎng)絡(luò)提取采集到的網(wǎng)絡(luò)安全數(shù)據(jù)特征，并由網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析模塊使用的SVM模型對所獲特征向量執(zhí)行安全風(fēng)險(xiǎn)分析操作，獲取安全風(fēng)險(xiǎn)預(yù)測結(jié)果，風(fēng)險(xiǎn)預(yù)警模塊對比設(shè)置安全閾值與所獲安全風(fēng)險(xiǎn)預(yù)測結(jié)果，完成風(fēng)險(xiǎn)預(yù)警，并通過可視化層呈現(xiàn)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析及預(yù)警結(jié)果。實(shí)驗(yàn)結(jié)果表明：該方法可有效分析互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)并及時(shí)預(yù)警，攻擊數(shù)據(jù)識(shí)別準(zhǔn)確率較高，虛警率較低。

關(guān)鍵詞：大數(shù)據(jù)，互聯(lián)網(wǎng)，安全風(fēng)險(xiǎn)分析，預(yù)警技術(shù)，特征提取

中圖分類號(hào)：U463.37

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1674-9545（2023）02-0077-（06）

DOI：10.19717/j.cnki.jjun.2023.02.016

互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，不僅使互聯(lián)網(wǎng)中包含的數(shù)據(jù)量不斷增大，也使互聯(lián)網(wǎng)中包含的網(wǎng)絡(luò)數(shù)據(jù)類型呈現(xiàn)出多樣化的特征[1]?；ヂ?lián)網(wǎng)環(huán)境的日益復(fù)雜，使得互聯(lián)網(wǎng)中存在的網(wǎng)絡(luò)攻擊行為也愈發(fā)復(fù)雜，除具有極強(qiáng)的隱蔽性外，潛伏的周期也越發(fā)長久[2]。基于此，在復(fù)雜以及嚴(yán)峻程度如此之深的互聯(lián)網(wǎng)安全形勢下，如何能夠更加高效、準(zhǔn)確地分析與識(shí)別互聯(lián)網(wǎng)中存在的安全風(fēng)險(xiǎn)并及時(shí)預(yù)警，有效防御潛在風(fēng)險(xiǎn)，勢必會(huì)成為互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)防御領(lǐng)域研究的重點(diǎn)。

LeNet-5卷積神經(jīng)網(wǎng)絡(luò)是一種專門針對互聯(lián)網(wǎng)異常行為數(shù)據(jù)特征設(shè)計(jì)的卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)，隸屬大數(shù)據(jù)分析與處理技術(shù)，將其與SVM模型進(jìn)行有效結(jié)合，可在更短時(shí)間內(nèi)完成互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的準(zhǔn)確識(shí)別與分類。為此，文章研究基于大數(shù)據(jù)分析技術(shù)的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方法，更好完成互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警工作，為有效避免與防范互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)提供可靠依據(jù)與保障。

1互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警

1.1互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方法總體架構(gòu)

在新時(shí)期互聯(lián)網(wǎng)環(huán)境下，互聯(lián)網(wǎng)中龐大的數(shù)據(jù)量以及快速的數(shù)據(jù)流速，使得現(xiàn)有的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方法不再能夠應(yīng)付互聯(lián)網(wǎng)中海量的數(shù)據(jù)。為此，文章提出一種基于大數(shù)據(jù)技術(shù)的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方法，方法總體架構(gòu)如圖1所示。

基于大數(shù)據(jù)分析技術(shù)的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方法總體架構(gòu)主要包含數(shù)據(jù)采集層、數(shù)據(jù)分析層以及可視化層。數(shù)據(jù)采集層的主要職責(zé)是完成數(shù)據(jù)源中執(zhí)行日志、流量、服務(wù)、SNMP以及Net-Flow數(shù)據(jù)的采集與預(yù)處理操作，為能更好完成互聯(lián)網(wǎng)安全分析以及預(yù)警工作提供可靠依據(jù)；數(shù)據(jù)分析層的數(shù)據(jù)特征提取模塊負(fù)責(zé)對采集到的安全數(shù)據(jù)實(shí)施有效的特征提取，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析模塊負(fù)責(zé)對網(wǎng)絡(luò)安全數(shù)據(jù)執(zhí)行有效的異常檢測與分析操作，獲取準(zhǔn)確的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別與分類結(jié)果，并由風(fēng)險(xiǎn)預(yù)警模塊實(shí)施相應(yīng)的預(yù)警；可視化層的主要職責(zé)是用于顯示與查詢互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警結(jié)果，方便查看、打印以及操作。

1.2互聯(lián)網(wǎng)安全數(shù)據(jù)采集與預(yù)處理

用于進(jìn)行互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警的數(shù)據(jù)主要包括日志數(shù)據(jù)、流量數(shù)據(jù)、服務(wù)數(shù)據(jù)、SNMP數(shù)據(jù)以及Net-Flow數(shù)據(jù)五類，這些數(shù)據(jù)類型主要存在于網(wǎng)絡(luò)的入侵檢測、防病毒、網(wǎng)絡(luò)性能、終端監(jiān)測與監(jiān)控系統(tǒng)以及防火墻中[3]。鑒于網(wǎng)絡(luò)安全數(shù)據(jù)的多源特性，傳統(tǒng)的數(shù)據(jù)采集方法往往不能獲取較為準(zhǔn)確的數(shù)據(jù)采集效果，因數(shù)據(jù)量的巨大，不僅一定程度上會(huì)增加系統(tǒng)開銷，當(dāng)系統(tǒng)開銷增加到一定程度，還會(huì)對系統(tǒng)性能造成非常嚴(yán)重的危害。為此文章根據(jù)互聯(lián)網(wǎng)防御體系特征，設(shè)計(jì)基于語義Agent的互聯(lián)網(wǎng)安全數(shù)據(jù)采集方法，并將其應(yīng)用于數(shù)據(jù)采集層的網(wǎng)絡(luò)安全數(shù)據(jù)采集模塊用于完成互聯(lián)網(wǎng)安全數(shù)據(jù)采集工作，具體的采集流程如圖2所示。

在執(zhí)行互聯(lián)網(wǎng)安全數(shù)據(jù)采集操作前，由用戶對安全數(shù)據(jù)采集策略實(shí)施有效的設(shè)置，采集策略設(shè)置完成后，所有管理終端Agent負(fù)責(zé)向采集終端Agent解釋并發(fā)送互聯(lián)網(wǎng)安全數(shù)據(jù)采集策略，采集終端Agent收到管理終端Agent下達(dá)的指示后，開啟相關(guān)數(shù)據(jù)采集進(jìn)程，對安全數(shù)據(jù)實(shí)施有效采集并對采集到的數(shù)據(jù)執(zhí)行相應(yīng)的分析以及格式化處理操作，之后將處理好的數(shù)據(jù)利用數(shù)據(jù)采集模塊內(nèi)部協(xié)議發(fā)送給對應(yīng)管理終端Agent，待管理終端Agent接收數(shù)據(jù)并完成數(shù)據(jù)語義封裝工作后，再利用一致的外部協(xié)議將所有數(shù)據(jù)發(fā)送給語義融合Agent，執(zhí)行有效的數(shù)據(jù)融合操作，并將融合后數(shù)據(jù)存儲(chǔ)于網(wǎng)絡(luò)安全數(shù)據(jù)庫中待用。

2.3基于LeNet-5卷積神經(jīng)網(wǎng)絡(luò)的安全數(shù)據(jù)特征提取

由于卷積神經(jīng)網(wǎng)絡(luò)具有良好的大數(shù)據(jù)分析與處理能力以及特征識(shí)別性能，因而文章數(shù)據(jù)分析層的數(shù)據(jù)特征提取模塊選用卷積神經(jīng)網(wǎng)絡(luò)對采集到的網(wǎng)絡(luò)安全數(shù)據(jù)實(shí)施有效的特征提取操作，鑒于網(wǎng)絡(luò)安全數(shù)據(jù)的特殊性，最終在眾多的卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中選擇能夠較好適應(yīng)異常行為數(shù)據(jù)的LeNet-5卷積神經(jīng)網(wǎng)絡(luò)，對采集到的網(wǎng)路安全數(shù)據(jù)執(zhí)行數(shù)據(jù)特征提取操作，LeNet-5卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

LeNet-5卷積神經(jīng)網(wǎng)絡(luò)是一種多層網(wǎng)絡(luò)結(jié)構(gòu)，包含輸出層、全連接層以及會(huì)交替出現(xiàn)的卷積層與采樣層。通常狀況下，卷積層以及采樣層的數(shù)量越多，特征學(xué)習(xí)的效果也會(huì)更好[4]。

利用卷積神經(jīng)網(wǎng)絡(luò)對數(shù)據(jù)進(jìn)行特征提取，實(shí)質(zhì)上相當(dāng)于在尋求數(shù)據(jù)的某種數(shù)學(xué)映射關(guān)系，它的超強(qiáng)智能性體現(xiàn)在不需要事先知道輸入數(shù)據(jù)以及輸出數(shù)據(jù)之間的確切關(guān)系，就能夠通過進(jìn)行合理的學(xué)習(xí)操作，獲得準(zhǔn)確的映射關(guān)系[5]。在將采集到的網(wǎng)絡(luò)安全數(shù)據(jù)輸入到LeNet-5卷積神經(jīng)網(wǎng)絡(luò)中后，網(wǎng)路安全數(shù)據(jù)特征的獲取主要是通過執(zhí)行有效的正向以及反向傳播操作獲取的。具體的過程可簡單歸結(jié)為：

2.4基于SVM的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與預(yù)警

支持向量機(jī)作為一種有效的大數(shù)據(jù)分析方法，其在分類問題上具有極優(yōu)的分類性能。數(shù)據(jù)分析層網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析模塊在使用支持向量機(jī)算法完成網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析時(shí)需實(shí)現(xiàn)對網(wǎng)絡(luò)安全訓(xùn)練數(shù)據(jù)組的各個(gè)數(shù)據(jù)實(shí)施有效標(biāo)記，并將其進(jìn)行有效劃分，最終將其劃分為相應(yīng)類別[6]。支持向量機(jī)在對網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行合理訓(xùn)練時(shí)，通常會(huì)構(gòu)建一種二元次的線性性質(zhì)分類器，對于輸入到模型中的新網(wǎng)絡(luò)安全數(shù)據(jù)，模型會(huì)把它分給所劃分類別中的一種。由于互聯(lián)網(wǎng)安全數(shù)據(jù)通常都具有高維度特性，并且那些存在安全風(fēng)險(xiǎn)的數(shù)據(jù)要小于正常的網(wǎng)絡(luò)數(shù)據(jù)。在利用LeNet-5卷積神經(jīng)網(wǎng)絡(luò)對安全數(shù)據(jù)執(zhí)行完互聯(lián)網(wǎng)安全數(shù)據(jù)特征提取操做后，所獲數(shù)據(jù)特征會(huì)具有不同的分布范圍，為更好完成安全風(fēng)險(xiǎn)的識(shí)別與分類工作，需要對其實(shí)施有效的歸一化處理，從而將具有不同維度的特征值向同樣的區(qū)間映射，使各個(gè)網(wǎng)絡(luò)安全數(shù)據(jù)特征值擁有完全相同的數(shù)量級(jí)。通常狀況下，將所獲網(wǎng)絡(luò)安全數(shù)據(jù)特征值映射到[-1，1]抑或[0，1]區(qū)間就可以。文章將其映射到[0，1]區(qū)間，有：

獲得互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析結(jié)果后，可根據(jù)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)預(yù)測結(jié)果設(shè)置合適的預(yù)警閾值，當(dāng)超過設(shè)置閾值后，通過數(shù)據(jù)分析層風(fēng)險(xiǎn)預(yù)警模塊完成相應(yīng)預(yù)警操作。

3實(shí)驗(yàn)與分析

文章實(shí)驗(yàn)以某綜合性大學(xué)的校園網(wǎng)絡(luò)環(huán)境為實(shí)驗(yàn)對象。實(shí)驗(yàn)中用到的數(shù)據(jù)主要來源于能夠向該大學(xué)校園提供眾多服務(wù)的校園網(wǎng)VLAN1、VLAN2、VLAN3、VLAN4以及VLAN5，從該校園服務(wù)網(wǎng)絡(luò)可采集到大量的網(wǎng)絡(luò)安全數(shù)據(jù)用于實(shí)驗(yàn)研究。由于校園網(wǎng)絡(luò)環(huán)境相對比較簡單、安全穩(wěn)定，發(fā)生攻擊行為的概率比較低，異常數(shù)據(jù)極其稀少，即使有也是很難被檢測出來的，因而文章中將其忽略不計(jì)。為了能夠更好捕獲到異常的網(wǎng)絡(luò)安全數(shù)據(jù)，以驗(yàn)證文章方法的有效性，文章在五個(gè)校園局域網(wǎng)的部分主機(jī)上執(zhí)行攻擊模擬操作。分別在VLAN1中加入DOS攻擊數(shù)據(jù)樣本150個(gè)，R2L攻擊數(shù)據(jù)樣本80個(gè)，U2R攻擊數(shù)據(jù)樣本130個(gè)，共360個(gè)攻擊數(shù)據(jù)；VLAN2中加入Porbing攻擊數(shù)據(jù)樣本220個(gè)，DOS攻擊數(shù)據(jù)樣本10個(gè)，參數(shù)篡改攻擊數(shù)據(jù)樣本25個(gè)，共255個(gè)攻擊數(shù)據(jù)；VLAN3中加入CRLF注入漏洞攻擊數(shù)據(jù)樣本75個(gè)，跨站腳本攻擊數(shù)據(jù)樣本15個(gè)，資料隱碼攻擊數(shù)據(jù)樣本30個(gè)，共120個(gè)攻擊數(shù)據(jù)；VLAN4中加入IRC僵尸攻擊數(shù)據(jù)10個(gè)，SSH攻擊數(shù)據(jù)45個(gè)，共55個(gè)攻擊數(shù)據(jù)；VLAN5中加入PROBE攻擊數(shù)據(jù)50個(gè)，U2R攻擊數(shù)據(jù)樣本70個(gè)，共120個(gè)攻擊數(shù)據(jù)。

圖4顯示的是應(yīng)用文章方法進(jìn)行互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警獲得可視化界面圖。

從圖4可以看出，應(yīng)用文章方法不僅可以較好完成互聯(lián)網(wǎng)安全分析以及預(yù)警工作，還可以獲得較好的可視化效果，在該校園網(wǎng)絡(luò)安全管理系統(tǒng)的可視化界面，不僅可以實(shí)時(shí)展現(xiàn)網(wǎng)絡(luò)總量、預(yù)警結(jié)果，進(jìn)行網(wǎng)絡(luò)攻擊歷史數(shù)據(jù)查詢，還能夠?qū)⒉樵兘Y(jié)果打印與下載，供日常工作使用，在進(jìn)行網(wǎng)絡(luò)攻擊歷史數(shù)據(jù)查詢時(shí)，通過執(zhí)行有效的網(wǎng)絡(luò)攻擊類型設(shè)置，輸入起始以及結(jié)束時(shí)間就能夠查詢到該時(shí)間段內(nèi)的網(wǎng)絡(luò)安全行為記錄，可更好滿足實(shí)際工作需要。為驗(yàn)證文章方法在異常網(wǎng)絡(luò)安全數(shù)據(jù)識(shí)別方面的優(yōu)勢，繪制應(yīng)用文章方法進(jìn)行互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警獲得的異常網(wǎng)絡(luò)安全數(shù)據(jù)識(shí)別效果對比表，具體如表2。

分析表2可知，應(yīng)用文章方法識(shí)別出的攻擊數(shù)據(jù)量與加入的攻擊數(shù)據(jù)量幾乎一致。說明：文章方法具有較好的攻擊數(shù)據(jù)識(shí)別能力，可為互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警工作提供可靠的數(shù)據(jù)支撐。為更好驗(yàn)證文章方法在互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方面的優(yōu)勢，繪制分別應(yīng)用傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)與LeNet-5卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行互聯(lián)網(wǎng)安全數(shù)據(jù)特征提取后獲得的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)預(yù)警虛警指數(shù)對比圖，具體如圖5。

分析圖5可知，應(yīng)用LeNet-5卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行互聯(lián)網(wǎng)安全數(shù)據(jù)特征提取后，獲得的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)預(yù)警虛警指數(shù)曲線始終保持較為平穩(wěn)的波動(dòng)狀況，并且虛警指數(shù)均在0.1左右波動(dòng)，而應(yīng)用傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行互聯(lián)網(wǎng)安全風(fēng)數(shù)據(jù)特征提取后，獲得的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)預(yù)警虛警指數(shù)曲線卻波動(dòng)幅度較大，并且虛警指數(shù)幾乎均在0.5以上，最高可接近0.7。實(shí)驗(yàn)證明：應(yīng)用文章方法進(jìn)行互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警，產(chǎn)生的虛警次數(shù)更少，可更為穩(wěn)定準(zhǔn)確地完成互聯(lián)網(wǎng)安全分析以及預(yù)警工作，更好滿足實(shí)際工作需要。

4結(jié)論

應(yīng)用文章方法可以實(shí)現(xiàn)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警，并且安全分析以及預(yù)警效果較好，虛警率極低。但是文章在實(shí)驗(yàn)中，選擇在相對簡單安全的高校校園服務(wù)網(wǎng)路中加入各類攻擊數(shù)據(jù)，用于對文章方法有效性進(jìn)行驗(yàn)證，并未在真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境中對文章方法的安全風(fēng)險(xiǎn)分析以及預(yù)警效果進(jìn)行驗(yàn)證。下一階段，將選取相對復(fù)雜的網(wǎng)絡(luò)環(huán)境對文章方法在互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析以及預(yù)警方面的優(yōu)勢做進(jìn)一步驗(yàn)證。

參考文獻(xiàn)：

[1]張紅斌，尹彥，趙冬梅，等.基于威脅情報(bào)的網(wǎng)絡(luò)安全態(tài)勢感知模型[J].通信學(xué)報(bào)，2021，42（6）：182.

[2]韓金，單征，趙炳麟，等.基于軟件基因的Android惡意軟件檢測與分類[J].計(jì)算機(jī)應(yīng)用研究，2019，36（6）：1813.

[3]莊海燕.大數(shù)據(jù)分析技術(shù)的無線通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)測[J].微電子學(xué)與計(jì)算機(jī)，2019，36（8）：97.

[4]趙冬梅，宋會(huì)倩，張紅斌.基于時(shí)間因子和復(fù)合CNN結(jié)構(gòu)的網(wǎng)絡(luò)安全態(tài)勢評估[J].計(jì)算機(jī)科學(xué)，2021，48（12）：349.

[5]趙英，王麗寶，陳駿君，等.基于聯(lián)邦學(xué)習(xí)的網(wǎng)絡(luò)異常檢測[J].北京化工大學(xué)學(xué)報(bào)（自然科學(xué)版），2021，48（2）：92.

[6]劉貞宇，陳羽中，郭昆，等.面向網(wǎng)絡(luò)攻擊建模的分布式過程挖掘與圖分割方法[J].小型微型計(jì)算機(jī)系統(tǒng)，2020，41（8）：1732.

（責(zé)任編輯王一諾）