基于主動(dòng)防御的網(wǎng)絡(luò)安全技術(shù)及應(yīng)用系統(tǒng)開(kāi)發(fā)研究

朱新新

重慶市科源能源技術(shù)發(fā)展有限公司，重慶，400020

0 引言

在社會(huì)經(jīng)濟(jì)飛速發(fā)展中，我國(guó)在開(kāi)展信息化規(guī)劃建設(shè)工作時(shí)提出，一方面要從關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)監(jiān)測(cè)、威脅感知、持續(xù)防御能力等方面入手明確網(wǎng)絡(luò)空間安全自主發(fā)展生態(tài)鏈規(guī)劃，另一方面要啟動(dòng)“網(wǎng)絡(luò)空間安全”的重點(diǎn)研究計(jì)劃。在科學(xué)技術(shù)革新發(fā)展中，網(wǎng)絡(luò)信息在生活工作中發(fā)揮著重要作用，不僅構(gòu)建了滿足人們基本需求的通信網(wǎng)絡(luò)系統(tǒng)，還從不同角度入手創(chuàng)建了安全穩(wěn)定的防御系統(tǒng)。在經(jīng)濟(jì)全球化發(fā)展趨勢(shì)下，由于通信網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅越發(fā)嚴(yán)峻，目前掌握的技術(shù)手段和理論依據(jù)無(wú)法保障網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行，所以科研學(xué)者提出利用主動(dòng)防御技術(shù)增強(qiáng)系統(tǒng)安全防御功能，以此提高我國(guó)網(wǎng)絡(luò)安全運(yùn)行的質(zhì)量。

1 主動(dòng)防御技術(shù)的概念及現(xiàn)狀分析

1.1 基本概念

主動(dòng)防御是軍事或網(wǎng)絡(luò)安全領(lǐng)域中的防御戰(zhàn)略，從本質(zhì)上講，是指在計(jì)算機(jī)系統(tǒng)受到入侵行為影響發(fā)生安全故障之前，通過(guò)運(yùn)用主動(dòng)防御技術(shù)準(zhǔn)確及時(shí)發(fā)出預(yù)警，利用具有彈性的防御體系，避免系統(tǒng)運(yùn)行出現(xiàn)潛藏的安全風(fēng)險(xiǎn)[1]?，F(xiàn)如今，主動(dòng)防御技術(shù)在計(jì)算機(jī)系統(tǒng)建設(shè)運(yùn)行中占據(jù)重要地位，它能主動(dòng)獲取流量變化和程序行為，在有效分析的基礎(chǔ)上發(fā)現(xiàn)潛藏的安全威脅，并通知系統(tǒng)用戶快速處理，以此將潛在的風(fēng)險(xiǎn)扼殺在搖籃之中。

1.2 應(yīng)用現(xiàn)狀

由于主動(dòng)防御技術(shù)是對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，所以能從根本上掌握網(wǎng)絡(luò)系統(tǒng)的流量變化和程序行為，真正實(shí)現(xiàn)有效保護(hù)計(jì)算機(jī)系統(tǒng)運(yùn)行安全的基本目標(biāo)?，F(xiàn)如今，通信領(lǐng)域最常應(yīng)用的主動(dòng)防御技術(shù)有權(quán)限設(shè)計(jì)、數(shù)據(jù)加密、防火墻等，它們主要具備預(yù)測(cè)攻擊形式、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)、自主學(xué)習(xí)等多項(xiàng)功能，有效改變了傳統(tǒng)防御系統(tǒng)過(guò)于老套落后的發(fā)展局面，科學(xué)處理了以往通信系統(tǒng)運(yùn)行面臨的問(wèn)題，為新時(shí)期通信網(wǎng)絡(luò)創(chuàng)新研究提供了技術(shù)支撐。因此，各國(guó)學(xué)者在探究網(wǎng)絡(luò)系統(tǒng)安全保障問(wèn)題時(shí)，會(huì)基于主動(dòng)防御技術(shù)進(jìn)行實(shí)踐探究，以期滿足不同領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)運(yùn)行要求。

2 新時(shí)期網(wǎng)絡(luò)安全主動(dòng)防御的研究基礎(chǔ)及應(yīng)用技術(shù)

2.1 研究基礎(chǔ)

根據(jù)近年來(lái)網(wǎng)絡(luò)空間安全防御技術(shù)應(yīng)用累積經(jīng)驗(yàn)來(lái)看，研究核心就是網(wǎng)絡(luò)空間“惡意程序的辨識(shí)”技術(shù)。從研究初期到現(xiàn)在，我國(guó)網(wǎng)絡(luò)安全主動(dòng)防御主要經(jīng)歷了三大階段。首先，以數(shù)據(jù)碼和規(guī)則為核心的防御技術(shù)。只有掌握具備惡意代碼的已知樣本和運(yùn)行規(guī)則，才能盡快發(fā)現(xiàn)和清除其中蘊(yùn)含的病毒或木馬等惡意代碼，這一時(shí)期的防御技術(shù)稱為被動(dòng)防御技術(shù)。其次，以程序行為算法和人工智能算法為核心的防御技術(shù)。在不依賴病毒特征庫(kù)和數(shù)據(jù)樣本的基礎(chǔ)上，運(yùn)用人工智能算法準(zhǔn)確識(shí)別系統(tǒng)內(nèi)部的惡意程序。在這一階段，我國(guó)掌握的主動(dòng)防御技術(shù)理論越發(fā)豐富，比如中科慧創(chuàng)的主動(dòng)防御系統(tǒng)PDS、中科慧創(chuàng)工控主動(dòng)防御系統(tǒng)ICS-PDS等。最后，以大數(shù)據(jù)、數(shù)據(jù)挖掘?yàn)楹诵牡姆烙夹g(shù)。這一時(shí)期的防御技術(shù)主要用來(lái)處理隱藏在網(wǎng)絡(luò)空間中的攻擊問(wèn)題和高級(jí)持續(xù)攻擊問(wèn)題，比如美國(guó)安全新銳公司火眼等知名公司就在此基礎(chǔ)上進(jìn)行了有效研究[2]。

2.2 主動(dòng)防御技術(shù)

整合目前我國(guó)研究探討的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)手段可知，最常應(yīng)用的有以下幾種。

首先，殺毒軟件系統(tǒng)。這項(xiàng)技術(shù)手段作為現(xiàn)代網(wǎng)絡(luò)安全防御的重要依據(jù)，在網(wǎng)絡(luò)系統(tǒng)運(yùn)行期間如果出現(xiàn)安全事故，那么可以直接啟動(dòng)互聯(lián)網(wǎng)殺毒軟件，方便系統(tǒng)用戶直接清除病毒或木馬?，F(xiàn)如今，企業(yè)為了提高網(wǎng)絡(luò)系統(tǒng)的防御水平，研制出了多種殺毒軟件系統(tǒng)，它們不僅能用于日常病毒查殺，還可以依據(jù)自我保護(hù)技術(shù)、修復(fù)技術(shù)、脫殼技術(shù)等進(jìn)行全面查殺，有效預(yù)防非法數(shù)據(jù)包入侵網(wǎng)絡(luò)系統(tǒng)，導(dǎo)致系統(tǒng)內(nèi)部數(shù)據(jù)受到污染或破壞。

其次，數(shù)據(jù)包過(guò)濾系統(tǒng)。這項(xiàng)技術(shù)手段是指包過(guò)濾系統(tǒng)的升級(jí)版，在保障通信網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行中占據(jù)重要地位。現(xiàn)如今，在企業(yè)內(nèi)部應(yīng)用深度包過(guò)濾系統(tǒng)，能有效檢查每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包，真正實(shí)現(xiàn)全面網(wǎng)絡(luò)覆蓋，避免病毒或木馬隱藏在特殊位置，導(dǎo)致系統(tǒng)運(yùn)行期間造成不必要的成本支出[3]。

最后，免疫網(wǎng)絡(luò)技術(shù)。現(xiàn)如今，各行企業(yè)在構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)時(shí)，會(huì)進(jìn)一步提高系統(tǒng)內(nèi)部的安全防御性能，根據(jù)自身需求合理運(yùn)用免疫防護(hù)技術(shù)，其不僅能為企業(yè)創(chuàng)建多通道的完備型拓?fù)浣Y(jié)構(gòu)，還可以有效運(yùn)用內(nèi)部?jī)?chǔ)存的防御資源，全面隔離已經(jīng)爆發(fā)或潛藏的木馬病毒，提高網(wǎng)絡(luò)系統(tǒng)的自我防御和免疫能力。除此之外，免疫網(wǎng)絡(luò)技術(shù)還可以從源頭控制病毒或木馬的入侵，真正實(shí)現(xiàn)互聯(lián)網(wǎng)聯(lián)動(dòng)運(yùn)行目標(biāo)，將病毒或木馬產(chǎn)生的危害控制在有限邊緣內(nèi)，以此達(dá)到新時(shí)期網(wǎng)絡(luò)安全運(yùn)行要求。

3 基于K-means算法的網(wǎng)絡(luò)主動(dòng)安全防御系統(tǒng)設(shè)計(jì)分析

3.1 系統(tǒng)架構(gòu)

K-means算法作為現(xiàn)代人工智能領(lǐng)域比較先進(jìn)的技術(shù)理念，在經(jīng)過(guò)近幾年的實(shí)證分析后開(kāi)始在多方面應(yīng)用推廣，比如特征提取、目標(biāo)追蹤、文本挖掘等，既提高了現(xiàn)代社會(huì)發(fā)展的人工智能水平，又改善了目前網(wǎng)絡(luò)信息傳輸模式?，F(xiàn)如今，K-means算法也引入了啟發(fā)式規(guī)則、遺傳算法、模糊數(shù)學(xué)等概念，進(jìn)一步提高了K-means算法應(yīng)用的可靠性和準(zhǔn)確度。本文在網(wǎng)絡(luò)安全防御系統(tǒng)中引用了K-means算法，整體系統(tǒng)設(shè)計(jì)要全面提高識(shí)別網(wǎng)絡(luò)病毒和木馬的準(zhǔn)確度，因此要運(yùn)用遺傳算法、模糊算法等，持續(xù)優(yōu)化改進(jìn)K-means算法的應(yīng)用性能，確保其在計(jì)算機(jī)系統(tǒng)內(nèi)部可以準(zhǔn)確識(shí)別潛藏的基因特征。通過(guò)收集運(yùn)用適宜的數(shù)據(jù)包，將這些內(nèi)容直接輸入改進(jìn)算法中，也可以作為實(shí)驗(yàn)研究的數(shù)據(jù)來(lái)源，在有效學(xué)習(xí)訓(xùn)練后，利用病毒基因片進(jìn)行對(duì)比分析，一方面要準(zhǔn)確識(shí)別出潛藏的風(fēng)險(xiǎn)問(wèn)題，另一方面要查殺存在安全風(fēng)險(xiǎn)的數(shù)據(jù)信息[4]。其中，改進(jìn)K-means算法的應(yīng)用流程如圖1所示。

圖1 改進(jìn)K-means 算法的流程圖

3.2 實(shí)驗(yàn)分析

在明確系統(tǒng)結(jié)構(gòu)和應(yīng)用流程后，要收集上萬(wàn)個(gè)特征基因，比如木馬、網(wǎng)絡(luò)病毒等，輸入到實(shí)驗(yàn)研究的網(wǎng)絡(luò)數(shù)據(jù)包中，利用數(shù)據(jù)包訓(xùn)練改進(jìn)研究算法，讓改進(jìn)算法準(zhǔn)確識(shí)別所掌握的特征基因片段。在本次研究實(shí)驗(yàn)中，根據(jù)中國(guó)科學(xué)院掌握的計(jì)算機(jī)信息安全特征基因分析，常見(jiàn)的病毒類(lèi)型有盜號(hào)木馬、網(wǎng)頁(yè)木馬、震網(wǎng)病毒、勒索病毒等上千種，通過(guò)對(duì)這些病毒實(shí)施有效分類(lèi)，能快速檢查和判斷主動(dòng)防御體系的綜合能力。

在本文研究實(shí)驗(yàn)中，利用六臺(tái)模擬服務(wù)器研究已經(jīng)掌握的病毒基因特征，且遵循隨機(jī)分布的操作原則，讓服務(wù)器直接發(fā)送攜帶病毒基因特征的數(shù)據(jù)包，最終檢測(cè)分析這些數(shù)據(jù)包是否包含病毒特征基因。這種實(shí)驗(yàn)設(shè)計(jì)方法不僅操作簡(jiǎn)單，而且可以快速構(gòu)建符合模擬要求的測(cè)試環(huán)境，能有效驗(yàn)證改進(jìn)K-means算法的應(yīng)用性能。除此之外，為了進(jìn)一步對(duì)比分析改進(jìn)K-means算法的應(yīng)用效果，還利用貝葉斯算法和AdaBoost算法進(jìn)行了對(duì)比研究，前者屬于有監(jiān)督學(xué)習(xí)，而后者屬于無(wú)監(jiān)督學(xué)習(xí)，最終實(shí)驗(yàn)結(jié)果如表1所示。

表1 實(shí)驗(yàn)結(jié)果

結(jié)合表1分析可以發(fā)現(xiàn)，改進(jìn)后的K-means算法可以準(zhǔn)確識(shí)別數(shù)據(jù)包中是否蘊(yùn)含病毒或木馬，在統(tǒng)計(jì)分析這些攻擊威脅后判斷攻擊威脅引發(fā)的安全風(fēng)險(xiǎn)。如果造成的危害較大，那么系統(tǒng)工作人員要盡快針對(duì)具體問(wèn)題，選擇適宜的應(yīng)急處理方案。如果系統(tǒng)產(chǎn)生的危害較低，不會(huì)對(duì)內(nèi)部功能和運(yùn)行效率產(chǎn)生損害，那么就可以正常運(yùn)行，但依舊需要利用主動(dòng)防御技術(shù)發(fā)現(xiàn)問(wèn)題，以此為數(shù)據(jù)傳遞和數(shù)據(jù)分析奠定基礎(chǔ)[5]。

4 在網(wǎng)絡(luò)安全保障系統(tǒng)中應(yīng)用主動(dòng)防御技術(shù)

4.1 提高主動(dòng)檢測(cè)網(wǎng)絡(luò)安全的能力水平

在網(wǎng)絡(luò)通信安全保障工程中應(yīng)用主動(dòng)防御技術(shù)，要根據(jù)目前掌握的安全風(fēng) 險(xiǎn)及信息特征進(jìn)行建設(shè)研究，通常在構(gòu)建安全防御系統(tǒng)后，既要提高主動(dòng)檢測(cè)網(wǎng)絡(luò)安全的技術(shù)水平，又要充分發(fā)揮入侵檢測(cè)技術(shù)的獨(dú)特功能。現(xiàn)如今，有學(xué)者在研究中提出，依據(jù)入侵檢測(cè)、入侵預(yù)測(cè)、入侵響應(yīng)這三種技術(shù)改善主動(dòng)檢測(cè)網(wǎng)絡(luò)安全，這樣不僅能快速了解系統(tǒng)內(nèi)部潛藏的安全風(fēng)險(xiǎn)，還可以在有效控制的基礎(chǔ)上提出處理措施。與此同時(shí)，為了讓主動(dòng)檢測(cè)技術(shù)可以在系統(tǒng)內(nèi)部快速響應(yīng)和主動(dòng)工作，有學(xué)者提出要運(yùn)用異常流量檢測(cè)技術(shù)，這項(xiàng)研究也是目前網(wǎng)絡(luò)通信領(lǐng)域?qū)W者探討的焦點(diǎn)。

4.2 建設(shè)應(yīng)用主動(dòng)防御的網(wǎng)絡(luò)體系

目前企業(yè)在建設(shè)應(yīng)用主動(dòng)防御網(wǎng)絡(luò)體系時(shí)，要根據(jù)行業(yè)提出的安全標(biāo)準(zhǔn)規(guī)范進(jìn)行整合研究，既要保障防御網(wǎng)絡(luò)體系的規(guī)范性，又要體現(xiàn)主動(dòng)防御技術(shù)的有效性。通常來(lái)講，主動(dòng)防御網(wǎng)絡(luò)體系分為三部分：首先是指安全標(biāo)準(zhǔn)防范，其次是指主動(dòng)防御，最后是指安全服務(wù)體系。基于互聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)主動(dòng)防御體系，不僅要在安全態(tài)勢(shì)分析中真正實(shí)現(xiàn)預(yù)期設(shè)定的防御目標(biāo)，還要迅速恢復(fù)系統(tǒng)內(nèi)部的主動(dòng)防御功能。在這一過(guò)程中，系統(tǒng)用戶可以根據(jù)網(wǎng)絡(luò)體系掌握的安全風(fēng)險(xiǎn)，在明確傳統(tǒng)工作經(jīng)驗(yàn)和現(xiàn)有技術(shù)手段后，快速制定有效的處理方案，以此全面提高網(wǎng)絡(luò)攻擊的預(yù)防保護(hù)能力。

4.3 確定網(wǎng)絡(luò)安全服務(wù)體系

在計(jì)算機(jī)技術(shù)飛速發(fā)展中，面對(duì)越來(lái)越高的網(wǎng)絡(luò)安全防護(hù)要求，企業(yè)要在熟練掌握主動(dòng)防御技術(shù)理論的基礎(chǔ)上，建設(shè)與自身發(fā)展相符的網(wǎng)絡(luò)安全服務(wù)體系，其中主要包括風(fēng)險(xiǎn)評(píng)估、安全防范、技能培訓(xùn)等多項(xiàng)服務(wù)功能[6]。從近年來(lái)網(wǎng)絡(luò)系統(tǒng)運(yùn)行情況來(lái)看，建設(shè)推廣網(wǎng)絡(luò)安全服務(wù)體系不僅能充分發(fā)揮主動(dòng)防御技術(shù)的應(yīng)用價(jià)值，又可以結(jié)合入侵預(yù)測(cè)技術(shù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，對(duì)現(xiàn)有網(wǎng)絡(luò)通信運(yùn)行情況進(jìn)行加固處理。因此，各企業(yè)在掌握自身的網(wǎng)絡(luò)安全服務(wù)體系后，應(yīng)加強(qiáng)內(nèi)部員工的安全意識(shí)培訓(xùn)力度，既要保障他們掌握豐富的安全管理技能和經(jīng)驗(yàn)，又要嚴(yán)格按照安全防范開(kāi)展各項(xiàng)工作，科學(xué)處理常見(jiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)問(wèn)題。

4.4 加快恢復(fù)網(wǎng)絡(luò)安全系統(tǒng)

目前網(wǎng)絡(luò)系統(tǒng)運(yùn)行期間很容易受到外界病毒或木馬的入侵，如果網(wǎng)絡(luò)管理人員不具備較高的安全防范意識(shí)，那么系統(tǒng)內(nèi)部出現(xiàn)安全問(wèn)題的概率會(huì)越來(lái)越高，最終直接威脅數(shù)據(jù)庫(kù)的儲(chǔ)存效率和質(zhì)量。因此，我國(guó)學(xué)者提出運(yùn)用主動(dòng)防御技術(shù)加快網(wǎng)絡(luò)系統(tǒng)的恢復(fù)速度，確保系統(tǒng)在突然終止工作時(shí)不會(huì)影響服務(wù)功能，有效避免數(shù)據(jù)信息受到破壞，這對(duì)新時(shí)期處理大批量數(shù)據(jù)信息的網(wǎng)絡(luò)系統(tǒng)至關(guān)重要[7]。

5 結(jié)語(yǔ)

綜上所述，我國(guó)傳統(tǒng)網(wǎng)絡(luò)通信安全防御存在較多缺陷，很難應(yīng)對(duì)新時(shí)期發(fā)展涌現(xiàn)出的全新攻擊手段，因此科研學(xué)者在加大主動(dòng)防御技術(shù)理論研究力度的同時(shí)，針對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)運(yùn)行情況和主要問(wèn)題，開(kāi)始大力構(gòu)建推廣主動(dòng)防御體系，積極引入更多優(yōu)秀的研究課題和技術(shù)手段，以此全面提高網(wǎng)絡(luò)通信的安全水平。