互聯網神經元網絡安全分析引擎

彭文兵，龍其明，梁華明

（上海電力學院 上海 200090）

1 引言

目前，互聯網已經植入在我們日常生活當中，互聯網無處不在，給我們帶來無限機遇，很多著名的應用都建立在互聯網上，比如：共享單車、滴滴、支付寶、微信等。我們在享受互聯網給我們的帶來的生活的便捷的同時，互聯網絡安全也變得越來受人們的關注。目前，互聯網絡已經成為了人們獲取信息與交流的主要途徑[1，2]。

2 互聯網絡安全問題現狀

互聯網絡是建立在對公網絡上，面向所有用戶，那必然導致網絡架構比較復雜，存在一定的設計缺陷，導致出現一些安全方面的風險。近年來，因互聯網絡安全問題而造成的事件，已經為社會各界敲響了網絡安全的警鐘，比如：某網代碼被惡意刪除、DDOC大規模拒絕攻擊等。互聯網絡架構形式各異，并且具有開放性與互聯性，很容易受到惡意攻擊[3]。互聯網絡安全從最本質上來說，主要是指網絡中信息的安全，網絡安全應用就是保護網絡中數據與信息不被惡意破壞、盜取、故意泄露、篡改，并且保證網絡服務正常穩定工作[4]。互聯網絡應用中常見病毒與木馬的惡意入侵行為；互聯網建立在各種傳輸協議上，攻擊者通過偽裝成合法的的傳輸協議行為發動攻擊；利用系統的默認開放端口比如443，80，22來進行攻擊；截取網絡數據，然后重新進行拼裝數據包，重定向網絡目標對目標主機發動攻擊。

3 客戶端應用神經元

按照互聯網應用，我們的神經元也有自己的分類。我們分為客戶端神經元類、前端神經元類、服務端神經元類、架構神經元類、網絡層神經元類、業務神經元類、開發語言神經元類等。

3.1 瀏覽器同源策略神經元

隨著互聯網的發展，人們發現瀏覽器才是互聯網最大的入口，絕大多數用戶使用互聯網工具是瀏覽器，因此瀏覽器市場的競爭也日趨白熱化。

同源策略各種瀏覽器端是一種約定，會對各種域名環境進行隔絕，防止他們自己之間信息被其他人共享。而且它是瀏覽器中最核心、最基本的安全功能，若不使用同源策略，則瀏覽器域功能可能會受到安全威脅。本神經元就是可以自動探測到應用的同源策略是否存在漏洞。

3.2 瀏覽器沙箱探測神經元

針對客戶端的工具近年來呈現爆發趨勢，這種在網頁中被惡意插入一段代碼，利用瀏覽器漏洞執行任意代碼的攻擊方式，在黑客圈子里被形象地成為“掛馬”。“掛馬”是瀏覽器需要面對的一個主要威脅，近年來，獨立于殺毒軟件之外，瀏覽器廠商根據掛馬的特點研究出一些對抗掛馬的技術。

其中安全沙箱就是為了應對這中威脅，在安全沙箱內，可以分出程序的運行權限，讓其不能跨越沙箱的范圍。此神經元可以自動探測程序在沙箱中的越界等安全問題。

3.3 跨應用腳本攻擊識別神經元

跨應用腳本攻擊是客戶端腳本安全中的頭號大敵。多次名列榜首的是OWASO TOP10。跨應用腳本攻擊，通常指最原始的數據被攻擊者獲取，通過“注入”擅自篡改了網頁，插入惡意的腳本，從而在用戶瀏覽網頁時，控制用戶瀏覽器的一種攻擊。

跨應用腳本攻擊防御是復雜的，它的防御主要分為：httponly、檢查輸入和輸出檢查等。本神經元主要研究在跨應用腳本攻擊場景，攻擊方式，攻擊結果和攻擊防御等方面進行識別和控制的。

3.4 跨應用請求偽造識別神經元

跨應用請求偽造（英文名CARF）是一種常見的應用攻擊，但很多開發者對它很陌生，CARF是也安全領域中最容易忽略的一種攻擊方式，甚至很多安全工程師都不太了解他的利用條件和危害，因此不予以重視。但CARF在某些時候卻能產生強大的破壞性。

CARF攻擊是一種比較奇特的攻擊，它的防御主要通過驗證碼、REFERER CHECK，ANTI TOKEN等。本神經元主要用于這種攻擊的識別場景，防范未然。

4 服務端應用安全神經元

4.1 注入攻擊神經元

注入攻擊的本質，是把用戶輸入的數據當作代碼執行。注入攻擊由分為SQL注入、盲注和TIMING ATTACK等，而解決注入的技巧，要做的事情有兩件：第一找到所有的注入漏洞，第二修補這些漏洞，使用預編譯語句，存儲過程，檢查數據類型，使用安全函數等。

在對抗注入攻擊時，只需要牢記“數據與代碼分離的原則”，在拼湊的地方進行安全檢查就能避免這類的問題，理論上通過設計和實施合理的安全解決方案，注入攻擊是可以徹底杜絕的。本神經元就是針對注入攻擊還準備的。

4.2 文件上傳攻擊神經元

文件上傳是互聯網應用中的一個常見的功能。此攻擊是指用戶上傳了一個可執行的腳本文件，并通過此腳本文件執行獲得了執行服務器端的命令的能力。防御此類攻擊的方法有：文件上傳的目錄設定不可執行、判斷文件類型、使用隨機數改寫文件名和路徑、單獨設置文件服務器的域名等。

4.3 架構安全神經元

在現代應用開發中，MVC架構是一種流行的的做法。MVC將應用分為視圖V，邏輯實現C和MODEL層實現模型，完成數據的處理。從數據的流入來看，用戶提交的說先后流經VIEW層、controller、model層，數據的流出則正好相反。在設計方案時候，要牢牢把握數據U這個關鍵因素，在MVC中，通過切片、過濾器等方式，往往對數據進行全局處理，這為設計安全方案提供了極大的便利。

4.4 應用層拒絕服務攻擊神經元

DDOS是一種拒絕式攻擊，又可稱為分布式拒絕服務攻擊，DDOS是利用合理的請求瞬間增大上萬倍資源過載，導致服務不可用。分布式拒絕服務攻擊，將正常請求放大了若干倍，通過若干個網絡節點同時發起攻擊，以形成規模效應。上述網絡節點通常是黑客們所控制的“肉雞”，待到達到一定規模后，便形成了僵尸網絡。大型的僵尸網絡的規模甚至達到了數萬、數十萬臺，如此大規模的僵尸網絡發起DDOS攻擊，其后果幾乎是不可阻擋。

通常把DDOS分為網絡層攻擊和應用層攻擊等，防御措施包括：限制請求頻率、驗證碼、增加服務器、驗證請求路徑、設定隨機碼驗證等。

4.5 產品設計安全神經元

互聯網產品提供了在線服務包括性能、美觀、方便性等方便，同事也包括安全。一般來說，安全是產品的一個特性。產品的設計在安全方面包含有密碼管理，業務邏輯安全[比如密碼取回流程不當會導致用戶信息被盜]等。

4.6 釣魚應用識別神經元

在今天的互聯網中，釣魚和欺詐問題已經成為了一個最嚴重的威脅，常見的釣魚方式有模仿釣魚網站，郵件釣魚，網購流程釣魚等，對釣魚的防范措施有：控制釣魚應用的傳播路徑，就能對釣魚應用進行有效的打擊；直接打擊釣魚應用，關停其應用；自動化識別釣魚應用；用戶隱私保護。

4.7 安全運營神經元

安全運營貫穿整個體系中。安全運營需要讓端口掃描，漏洞掃描，代碼白盒掃描等發現問題的方式變成一個周期性的任務。安管理上的疏忽隨時都有可能打破之前辛辛苦苦建立起來的安全防線。因此，在規劃整套安全方案，也要規劃漏洞的發現，修補，控制流程等。

5 總體技術設計

5.1 設計規定

本系統主要實現各神經元創建整合和應用在實際場景中，并對神經元系統進行有效的管理。同時應具備靈活的接口和模塊化設計，以及較好的可擴展性，方便以后的功能擴展。

5.2 運行環境

軟件運行環境為Windows2000、Windows XP、Windows 2003、Windows Vista、windows7，centos系統。硬件環境：CPU PII以上，內存1G以上。

5.3 引擎總體架構

為了便于引擎的擴張，提高開發速度，在設計引擎時將該引擎主要分為三層：

第一層為神經元基礎層：該層主要提供了把這次文章中的神經元。神經元是組成本引擎的基礎部分，集中包括具體實現這些神經元的子邏輯，觸發機制，反應機制等。

第二層為神經網絡引擎核心層：該層提供了神經元網絡最基本接口，包含對神經元的組合，組合效果，組合方案的對比，神經元管理，物理數學系統建立的神經元網絡系統。

最上層為高級算法層：這一層是神經元網絡引擎對外提供接口，對外輸入的反饋，并實現可擴展的能力。

5.4 神經網絡數學模型技術

運用基本的神經元算法，其中x=(x1，…..xm)t輸出向量，y為輸出，wi是權系數，輸入和輸出的關系存在如下關系：

5.5 神經網絡網絡模型

其中x=(x1，…xn)為神經元，w=(w1，…xl)為處理流程，o=(o1，…om)為處理輸出，其模型見圖1。

圖1 神經網絡網絡模型

6 結論與展望

該項目成果形式是一款基于神經元網絡的分析引擎軟件。項目成功后，互聯網軟件公司和科研機構均可以采用此系統對其應用進行安全檢測分析和控制，凈化我國的互聯網環境。對我國的基礎互聯網有相當的促進作用。

[1]武仁杰.神經網絡在計算機網絡安全評價中的應用研究[J].計算機仿真，2011，28(11)：126-129.

[2]原錦明.神經網絡在計算機網絡安全評價中的應用研究[J].網絡安全技術與應用，2014，(4)：52-53.

[3].陳振宇，喻文燁.神經網絡在計算機網絡安全評價中的應用研究[J].信息通信，2015，148(4)：139.

[4]李震宇.基于神經網絡的計算機網絡安全評價研究[J].電子制作.電腦維護與應用，2014(19).