大數(shù)據(jù)及人工智能背景下的網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)研究

趙艷花，陳 陽

（寧夏財(cái)經(jīng)職業(yè)技術(shù)學(xué)院 寧夏 銀川 750021）

0 引言

電腦網(wǎng)絡(luò)技術(shù)的出現(xiàn)與應(yīng)用，改變了人們的娛樂、學(xué)習(xí)和工作方式。然而，網(wǎng)絡(luò)安全問題也隨之產(chǎn)生，例如網(wǎng)絡(luò)崩潰、網(wǎng)絡(luò)數(shù)據(jù)丟失、網(wǎng)絡(luò)病毒入侵等。為此，有關(guān)部門應(yīng)利用人工智能技術(shù)，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系的設(shè)計(jì)與開發(fā)，達(dá)到實(shí)時(shí)監(jiān)測(cè)和管理計(jì)算機(jī)系統(tǒng)的安全風(fēng)險(xiǎn)，從而增強(qiáng)計(jì)算機(jī)的安全防護(hù)能力，為今后的網(wǎng)絡(luò)安全工作奠定基礎(chǔ)。因此，在人工智能技術(shù)應(yīng)用的大背景下，如何進(jìn)行網(wǎng)絡(luò)安全防護(hù)體系的設(shè)計(jì)與開發(fā)，成了各有關(guān)部門所要考慮和研究的課題。

1 大數(shù)據(jù)與人工智能概述

1.1 大數(shù)據(jù)的含義

相對(duì)于傳統(tǒng)的數(shù)據(jù)處理方式，大數(shù)據(jù)對(duì)更大量的數(shù)據(jù)進(jìn)行了分析。同時(shí)將“云計(jì)算”平臺(tái)和數(shù)據(jù)庫的處理結(jié)合起來，擴(kuò)大存儲(chǔ)系統(tǒng)規(guī)模，大數(shù)據(jù)能夠更好地滿足不同需求。大數(shù)據(jù)具有數(shù)據(jù)量大、數(shù)據(jù)類型繁多、處理速度快、價(jià)值密度低等優(yōu)點(diǎn)。為各領(lǐng)域提供更好的服務(wù)，也解決了傳統(tǒng)數(shù)據(jù)處理中的一些問題，適應(yīng)了新的發(fā)展需要。

1.2 人工智能技術(shù)

在大數(shù)據(jù)時(shí)代，隨著計(jì)算機(jī)、因特網(wǎng)、仿生技術(shù)飛速發(fā)展，人工智能技術(shù)漸漸出現(xiàn)。人工智能技術(shù)是一種具有模仿、學(xué)習(xí)、適應(yīng)、組織能力的高級(jí)科技。將人工智能技術(shù)引入到機(jī)械中，使機(jī)械智能化，為人類生產(chǎn)、生活帶來便利，提升人民的幸福感。將人工智能技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)相結(jié)合，是一種必然的發(fā)展趨勢(shì)。將傳統(tǒng)的人工、搜尋智能化，不但可以加快信息的收集速度，同時(shí)也可以保證數(shù)據(jù)的及時(shí)性，同時(shí)，人工智能技術(shù)也具有很強(qiáng)的協(xié)同作用，可以根據(jù)使用者的需要，進(jìn)行數(shù)據(jù)的交流，從而提高工作效率[1]。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀

2.1 黑客攻擊的技術(shù)水平不斷上升

隨著云計(jì)算技術(shù)的飛速發(fā)展，大數(shù)據(jù)、人工智能、網(wǎng)絡(luò)安全等都不再是什么新名詞。大量的專業(yè)人士和非專業(yè)人士投入大量的時(shí)間來學(xué)習(xí)這些技術(shù)。在這種大數(shù)據(jù)時(shí)代，雖然使用電腦的人很多，但他們中的一些人卻沒有基本的法律觀念，為了賺錢，利用自己的技術(shù)，對(duì)計(jì)算機(jī)進(jìn)行非法攻擊，竊取他人重要資料，從中牟利。隨著“移動(dòng)云”技術(shù)迅速發(fā)展，病毒、木馬等成為網(wǎng)絡(luò)攻擊的主要手段。另外，隨著網(wǎng)絡(luò)安全技術(shù)的飛速發(fā)展，黑客的入侵行為也日益頻繁，對(duì)網(wǎng)絡(luò)的安全造成了極大的威脅。

2.2 網(wǎng)絡(luò)攻擊的方式呈多元化發(fā)展

在移動(dòng)互聯(lián)網(wǎng)與物聯(lián)網(wǎng)技術(shù)迅猛發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)變得更加復(fù)雜，各種智能設(shè)備也變得更加靈活，不再局限電腦、筆記本、手機(jī)等，所有智能設(shè)備都有了聯(lián)網(wǎng)能力，既方便了用戶操作，又給了黑客更多的攻擊機(jī)會(huì)，增加了防御系統(tǒng)的難度。

2.3 網(wǎng)絡(luò)安全防范意識(shí)不強(qiáng)

由于大多數(shù)網(wǎng)民沒有接受過計(jì)算機(jī)網(wǎng)絡(luò)安全方面的專業(yè)培訓(xùn)，也沒有系統(tǒng)地學(xué)習(xí)過“大智移云”的相關(guān)技術(shù)，大多數(shù)網(wǎng)民對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)還不夠深刻，容易在日常上網(wǎng)過程中無意識(shí)觸犯法律，也更容易讓自己暴露在網(wǎng)絡(luò)危險(xiǎn)中。

3 基于大數(shù)據(jù)和人工智能技術(shù)的網(wǎng)絡(luò)安全防護(hù)體系功能需求分析

3.1 基礎(chǔ)設(shè)施層虛擬化方面的功能需求

網(wǎng)絡(luò)安全防護(hù)體系的基礎(chǔ)架構(gòu)，除了要有足夠的先進(jìn)、可靠的硬件，還要有更多的虛擬化能力。只有這樣，才能讓數(shù)據(jù)和智能技術(shù)得到最好的應(yīng)用，才能更好地分配和分享硬件資源。這是提高系統(tǒng)集成性和并行性能的重要因素。

3.2 中間件層管理方面的功能需求

在大數(shù)據(jù)和人工智能時(shí)代的網(wǎng)絡(luò)安全防護(hù)體系中，中間件層的主要作用就是對(duì)數(shù)據(jù)的輸入、輸出進(jìn)行分類，使各種資源在系統(tǒng)中得到合理的分布，從而達(dá)到對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的存取安全性實(shí)時(shí)檢測(cè)的目的。因此，在這一防御體系的具體設(shè)計(jì)中，必須保證各節(jié)點(diǎn)之間的負(fù)載均衡、安全監(jiān)控、資源配置等功能。

3.3 應(yīng)用層服務(wù)方面的功能需求

計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)須以用戶為中心，因此，在本系統(tǒng)的具體設(shè)計(jì)中，需要為使用者提供方便、快捷、穩(wěn)定的服務(wù)，包括用戶注冊(cè)、登錄、訪問控制、權(quán)限分配、系統(tǒng)交互、入侵檢測(cè)、系統(tǒng)備份、數(shù)據(jù)還原等。

4 系統(tǒng)需求分析

這里提出了一種利用大數(shù)據(jù)和人工智能技術(shù)進(jìn)行網(wǎng)絡(luò)安全保護(hù)的方法，系統(tǒng)不僅能夠?qū)崟r(shí)采集和檢測(cè)各類數(shù)據(jù)，而且還具備探測(cè)攻擊和實(shí)時(shí)預(yù)警的功能。主要提出了以下幾點(diǎn)設(shè)計(jì)需求。

（1）為用戶提供多種信息源，如在一個(gè)共用的網(wǎng)絡(luò)接口上收聽不同的報(bào)文，即時(shí)分析聯(lián)結(jié)、網(wǎng)絡(luò)及傳送層的通信。

（2）建立了一個(gè)完整的、系統(tǒng)的攻擊事件資料庫，使用中文的警報(bào)，具備對(duì)網(wǎng)絡(luò)管理人員進(jìn)行有效分析和防范的能力。

（3）通過對(duì)各種類型的入侵檢測(cè)，可以對(duì)其進(jìn)行有效的識(shí)別和處理。

（4）通過對(duì) IP數(shù)據(jù)包進(jìn)行重組，可以增強(qiáng)檢測(cè)、識(shí)別和處理各類碎片攻擊行為和躲避攻擊的能力，從而達(dá)到對(duì)網(wǎng)絡(luò)系統(tǒng)的整體防護(hù)，減少網(wǎng)絡(luò)信息的危險(xiǎn)性。

（5）利用數(shù)據(jù)庫報(bào)警、郵件報(bào)警、自動(dòng)關(guān)機(jī)等各種類型的報(bào)警處理方法，利用人工智能技術(shù)，對(duì)報(bào)警信息進(jìn)行查詢，并對(duì)報(bào)警圖示進(jìn)行分析，從而增強(qiáng)了對(duì)安全防范的保護(hù)，確保了數(shù)據(jù)的穩(wěn)定性、可靠性和安全性[2-3]。

5 系統(tǒng)總體設(shè)計(jì)

為確保系統(tǒng)的設(shè)計(jì)與開發(fā)具有一定的針對(duì)性，有關(guān)人員必須嚴(yán)格按照?qǐng)D1中所示的功能模塊劃分圖來進(jìn)行，以確保本系統(tǒng)的功能實(shí)施[1]。

圖1 網(wǎng)絡(luò)安全防御系統(tǒng)功能模塊劃分

如圖1所示，整個(gè)系統(tǒng)包括探測(cè)引擎和控制中心兩大部分。其中，探測(cè)引擎的功能主要是訪問、監(jiān)控、識(shí)別和處理被監(jiān)控的網(wǎng)絡(luò)，確保安全；監(jiān)控中心實(shí)時(shí)地處理由探測(cè)引擎發(fā)送的網(wǎng)絡(luò)報(bào)警信息，這樣就可以實(shí)時(shí)監(jiān)測(cè)和管理檢測(cè)引擎的運(yùn)行，便于用戶全面記錄、統(tǒng)計(jì)和檢索[4]。本系統(tǒng)的主要功能模塊如下：

（1）網(wǎng)絡(luò)數(shù)據(jù)捕獲

此模塊不僅能夠有效地接入網(wǎng)絡(luò)接口設(shè)備，并且可以對(duì)各個(gè)接口的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)捕獲，并將所收集到的數(shù)據(jù)包進(jìn)行傳輸。

（2）網(wǎng)絡(luò)協(xié)議分析

此模塊主要是針對(duì)不同的數(shù)據(jù)包頭域進(jìn)行分析，例如鏈路層、傳輸層、網(wǎng)絡(luò)層等；其具體實(shí)施方案是通過協(xié)議層級(jí)的方式，集中統(tǒng)一地處理包頭格式，為包頭的科學(xué)分析與處理提供了有利的環(huán)境。

（3）數(shù)據(jù)包預(yù)處理

這個(gè)模塊的任務(wù)是對(duì)不同的數(shù)據(jù)包進(jìn)行譯碼、重新組合，其中，解碼技術(shù)主要是為了實(shí)時(shí)攔截和處理網(wǎng)絡(luò)攻擊，以保證系統(tǒng)安全。數(shù)據(jù)包重構(gòu)，是指按照有關(guān)的技術(shù)和技術(shù)標(biāo)準(zhǔn)，對(duì)重構(gòu)后的圖像進(jìn)行了完整的探測(cè)與攻擊。

（4）入侵事件檢測(cè)模塊

在實(shí)際中，我們主要依據(jù)有關(guān)的入侵判據(jù)，利用特征匹配技術(shù)，實(shí)現(xiàn)了多種信息的科學(xué)匹配。因此，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行了檢測(cè)、識(shí)別和處理。

5 系統(tǒng)功能的實(shí)現(xiàn)

5.1 網(wǎng)絡(luò)數(shù)據(jù)包捕獲

在該系統(tǒng)中，通過 Libpcap訪問數(shù)據(jù)鏈路，實(shí)現(xiàn)了數(shù)據(jù)包的采集。獲得分組的程序是這樣的：

（1）獲取并打開網(wǎng)絡(luò)設(shè)備

首先，要對(duì)網(wǎng)絡(luò)接口、目標(biāo)地址、網(wǎng)絡(luò)掩碼等進(jìn)行全面的獲取，再在網(wǎng)絡(luò)接口上增加結(jié)構(gòu)鏈表，獲取對(duì)應(yīng)的捕獲裝置。其次，將網(wǎng)絡(luò)設(shè)備開啟，獲得對(duì)應(yīng)的捕捉句柄；給出了一種網(wǎng)絡(luò)設(shè)備的子網(wǎng)掩碼，并充分地控制了它的運(yùn)行時(shí)間。最后，關(guān)閉指定的包以充分地釋放資源。

（2）編譯并設(shè)置過濾規(guī)則

在此階段，首先要對(duì)過濾器進(jìn)行編輯；在二元編碼過程中，還需要通過變量和字符串來實(shí)現(xiàn)。

（3）捕獲網(wǎng)絡(luò)數(shù)據(jù)包

在成功地開啟網(wǎng)卡之后，利用此功能對(duì)數(shù)據(jù)包進(jìn)行捕捉，以保證網(wǎng)絡(luò)的正常運(yùn)行；最后，將分組發(fā)送至用戶空間，并在此基礎(chǔ)上對(duì)其進(jìn)行有針對(duì)性的處理。

5.2 網(wǎng)絡(luò)協(xié)議分析

在具體的實(shí)施過程中，要嚴(yán)格地按照?qǐng)D2中的協(xié)議進(jìn)行分析，并對(duì)數(shù)據(jù)鏈路層、傳輸層、網(wǎng)絡(luò)層的信息域進(jìn)行解析和處理。首先，根據(jù)收聽的鏈接類型來決定相應(yīng)的處理功能；同時(shí)，捕捉到的分組也被傳送到鏈接層處理功能。鏈路層處理功能主要是對(duì)各鏈路層域的信息進(jìn)行統(tǒng)一的處理，然后把對(duì)應(yīng)的數(shù)據(jù)分組發(fā)送到網(wǎng)絡(luò)層處理功能，然后利用統(tǒng)計(jì)分析的方法來判斷下一次發(fā)送的目標(biāo)。

圖2 協(xié)議分析處理流程

5.3 數(shù)據(jù)包預(yù)處理

數(shù)據(jù)包預(yù)處理包括如下的預(yù)處理：

（1）HTTP解碼預(yù)處理功能

在特定的執(zhí)行過程中，將 HTTPURL的字串符轉(zhuǎn)換成 ASCI字符串，能夠?qū)阂夤暨M(jìn)行有效的識(shí)別和處理，從而確保信息的穩(wěn)定性、可靠性和安全性。

（2）端口掃描檢測(cè)預(yù)處理功能

在具體實(shí)施方案中，必須集中掃描多IP地址的一個(gè)端口；同時(shí)，在一定的時(shí)限內(nèi)，實(shí)現(xiàn)多個(gè) TCP的高效連接，這為實(shí)現(xiàn)多端口的快速掃描提供了很好的環(huán)境。

（3）數(shù)據(jù)包分片重組預(yù)處理功能

在具體實(shí)現(xiàn)中，IP包采用最大發(fā)送單元包；通過對(duì) IP進(jìn)行重組，并使用 TCP相關(guān)軟件對(duì) IP進(jìn)行統(tǒng)一的檢測(cè)，從而全面地理解入侵的全過程。同時(shí)，要及時(shí)發(fā)現(xiàn)存在安全漏洞的主機(jī)，防止出現(xiàn)死機(jī)、癱瘓等問題。

5.4 入侵加測(cè)

在特定的實(shí)施過程中，需要利用所描述的模式匹配原則，將采集到的數(shù)據(jù)與特定的數(shù)據(jù)庫進(jìn)行比對(duì)，并對(duì)其進(jìn)行及時(shí)的檢測(cè)和處理。

如圖3所示，為確保 IDS的有效實(shí)施，有關(guān)人員必須利用IDS規(guī)則庫，將所獲得的信息與錯(cuò)誤規(guī)則進(jìn)行完美的比對(duì)，并在此基礎(chǔ)上，自動(dòng)發(fā)出警告信息；若不能匹配，則表示網(wǎng)絡(luò)資料包已正常安全。同時(shí)，為了克服匹配過程中效率低的問題，采用 BM算法對(duì)匹配流程進(jìn)行優(yōu)化[5-6]。

圖3 模式匹配原理

6 系統(tǒng)測(cè)試

6.1 功能測(cè)試

在具體的測(cè)試中，系統(tǒng)的網(wǎng)絡(luò)攻擊檢測(cè)能力要求使用各種攻擊軟件，通過對(duì)系統(tǒng)的功能進(jìn)行檢測(cè)，以保證系統(tǒng)可以對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行有效的檢測(cè)，并及時(shí)向用戶發(fā)送相應(yīng)的報(bào)警信息。

6.1.1 Nmap攻擊

Nmap是一種常見的檢測(cè)軟件，該系統(tǒng)能夠從使用者處獲取使用者的狀態(tài)及服務(wù)等相關(guān)資訊，進(jìn)而針對(duì)使用者進(jìn)行針對(duì)性的攻擊。

6.1.2 服務(wù)攻擊行為拒絕

Teardrop使用了分時(shí)分組攻擊的原則，將虛假的分塊數(shù)據(jù)包傳送到系統(tǒng)中，造成系統(tǒng)崩潰、死機(jī)和頻繁重啟的情況[7-8]。利用Jolt攻擊技術(shù)，將大量的分塊數(shù)據(jù)分組傳送給系統(tǒng)，從而有效地阻止服務(wù)攻擊[9]。通過對(duì)系統(tǒng)的各項(xiàng)功能進(jìn)行了測(cè)試，結(jié)果表明，系統(tǒng)各項(xiàng)性能指標(biāo)達(dá)到了預(yù)定的開發(fā)標(biāo)準(zhǔn)和需求，各功能模塊的實(shí)現(xiàn)都達(dá)到了較好的效果[10]。

6.2 系統(tǒng)響應(yīng)時(shí)間測(cè)試

在此基礎(chǔ)上，將網(wǎng)絡(luò)通信質(zhì)量設(shè)定為50 M，分組為512字節(jié)，再進(jìn)行相應(yīng)的網(wǎng)絡(luò)攻擊，并計(jì)算從網(wǎng)絡(luò)攻擊到系統(tǒng)發(fā)出的網(wǎng)絡(luò)警報(bào)。誤警率檢測(cè)：在檢測(cè)率檢測(cè)時(shí)，常常會(huì)發(fā)生錯(cuò)誤。因此，有關(guān)工作人員需要對(duì)錯(cuò)誤率和攻擊檢測(cè)的錯(cuò)誤率進(jìn)行計(jì)算，并將兩者相乘，得出系統(tǒng)的真實(shí)誤警率。在此階段，需要構(gòu)建對(duì)應(yīng)的攻擊規(guī)則，接著對(duì) Snot攻擊進(jìn)行了統(tǒng)計(jì)，并對(duì)系統(tǒng)的報(bào)警次數(shù)進(jìn)行了統(tǒng)計(jì)，對(duì)系統(tǒng)的錯(cuò)誤預(yù)警進(jìn)行了精確的計(jì)算。漏報(bào)率檢測(cè)：要做好對(duì)應(yīng)的檔案資料配置，并錄入相關(guān)的項(xiàng)目資料。然后，通過對(duì)被攻擊的主機(jī)進(jìn)行配置，對(duì)網(wǎng)絡(luò)攻擊的數(shù)量和漏報(bào)進(jìn)行統(tǒng)計(jì)和計(jì)算。均響應(yīng)時(shí)間、誤報(bào)率和漏報(bào)率測(cè)試結(jié)果見表1。

表1 均響應(yīng)時(shí)間、誤報(bào)率、漏報(bào)率測(cè)試結(jié)果

由表1可知，該系統(tǒng)均響應(yīng)時(shí)間、誤報(bào)率、漏報(bào)率均符合預(yù)定設(shè)定的指標(biāo)及指標(biāo)，顯示了該體系的工作性能。

7 結(jié)語

以大數(shù)據(jù)與人工智能為基礎(chǔ)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的建設(shè)已成為世界各國所關(guān)心的重大課題，因此，如何有效地應(yīng)對(duì)網(wǎng)絡(luò)安全的變化、復(fù)雜、危險(xiǎn)的網(wǎng)絡(luò)攻擊，是當(dāng)前國際社會(huì)普遍關(guān)心的問題。通過人神經(jīng)網(wǎng)絡(luò)、機(jī)器學(xué)習(xí)、智能算法、專家系統(tǒng)、大數(shù)據(jù)、云計(jì)算等智能技術(shù)，為 IDS等提供高效、便捷的技術(shù)支持。