大數(shù)據(jù)在網(wǎng)絡(luò)安全防御中的應(yīng)用與研究

◆陳 祥

（蕪湖縣新聞傳媒中心 安徽 241100）

0 引言

互聯(lián)網(wǎng)、移動(dòng)網(wǎng)的快速發(fā)展促使人們進(jìn)入到信息化社會(huì)，基于互聯(lián)網(wǎng)的應(yīng)用也越來越多，比如同花順、東方財(cái)富、慕課學(xué)習(xí)網(wǎng)、中國紀(jì)委監(jiān)委門戶網(wǎng)、天貓商城、京東商城等，有力地促進(jìn)了社會(huì)政企單位辦公自動(dòng)化、智能化、共享化[1]。互聯(lián)網(wǎng)為人們提供便捷服務(wù)的同時(shí)面臨著攻擊威脅，比如蠕蟲病毒、勒索病毒、變異木馬等，利用大規(guī)模互聯(lián)網(wǎng)集成在一起產(chǎn)生的漏洞攻擊網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)癱瘓無法使用[2]。隨著網(wǎng)絡(luò)接入用戶的增多，互聯(lián)網(wǎng)接入的軟硬件資源也更多，因此對網(wǎng)絡(luò)安全處理速度就會(huì)有更高的要求，以便能夠提高木馬或病毒處理速度，降低網(wǎng)絡(luò)病毒的感染范圍，積極響應(yīng)應(yīng)用軟件，具有重要的作用和意義[3]。

1 網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用與發(fā)展現(xiàn)狀

目前，人們已經(jīng)進(jìn)入到“互聯(lián)網(wǎng)+”時(shí)代，面臨的安全威脅也更多，比如木馬病毒、DDoS攻擊和數(shù)據(jù)盜竊等。互聯(lián)網(wǎng)受到的攻擊也會(huì)給人們帶來嚴(yán)重的損失，比如勒索病毒攻擊了許多的大型跨國公司、證券銀行等，到這些政企單位的辦公電腦全都發(fā)生了藍(lán)屏現(xiàn)象，用戶無法進(jìn)入到操作系統(tǒng)進(jìn)行文件處理，勒索病毒要求這些單位支付一定額度的贖金才可以正常使用系統(tǒng)，導(dǎo)致許多公司損失了很多的資金[4]。分布式服務(wù)器攻擊（DDoS）也非常嚴(yán)重，模擬大量的用戶并發(fā)訪問網(wǎng)絡(luò)服務(wù)器，導(dǎo)致正常用戶無法登錄服務(wù)器。因此，為了提高信息安全，人們提出了防火墻、殺毒軟件或深度包過濾等安全防御技術(shù)。

（1）深度包過濾軟件

深度包過濾軟件可以部署于網(wǎng)絡(luò)接口，首先配置一些先進(jìn)的網(wǎng)絡(luò)數(shù)據(jù)包處理規(guī)則，比如設(shè)置黑名單或白名單，如果某一個(gè)數(shù)據(jù)包的源IP地址或目的IP地址均屬于白名單，此時(shí)就可以通過放行數(shù)據(jù)包；如果任何一個(gè)內(nèi)容屬于黑名單，就禁止這些數(shù)據(jù)包通過網(wǎng)絡(luò)，同時(shí)還可以分析數(shù)據(jù)包的內(nèi)容，從而可以準(zhǔn)確定位病毒或木馬。

（2）殺毒軟件

殺毒軟件是一種非常先進(jìn)的程序代碼，其可以查殺網(wǎng)絡(luò)中存在的安全威脅，利用病毒庫中一些收錄的病毒或木馬特征，判斷互聯(lián)網(wǎng)中是否存在這些類似的病毒或木馬。殺毒軟件采用了很多的先進(jìn)技術(shù)，比如自我保護(hù)技術(shù)、脫殼技術(shù)、啟發(fā)技術(shù)、實(shí)時(shí)升級技術(shù)等，可以實(shí)時(shí)地監(jiān)控互聯(lián)網(wǎng)運(yùn)行狀態(tài)，確保網(wǎng)絡(luò)正常使用。目前，許多大中型企業(yè)都開發(fā)了殺毒軟件，比如360安全衛(wèi)士、江民殺毒、騰訊衛(wèi)士、卡巴斯基等，取得了顯著的應(yīng)用成效。

（3）防火墻

防火墻是一種比較先進(jìn)的網(wǎng)絡(luò)安全防御軟件，這種軟件可以設(shè)計(jì)很多先進(jìn)的規(guī)則，這些規(guī)則不屬于互聯(lián)網(wǎng)的傳輸層或網(wǎng)絡(luò)層，可以運(yùn)行于互聯(lián)網(wǎng)TCP/IP傳輸協(xié)議棧，使用循環(huán)枚舉的基本原則，挨個(gè)檢查每一個(gè)通過網(wǎng)絡(luò)的數(shù)據(jù)包，一旦發(fā)現(xiàn)某一個(gè)數(shù)據(jù)包的包頭IP地址、目的地IP地址、包內(nèi)容等存在威脅，就可以及時(shí)地將其清除，不允許通過網(wǎng)絡(luò)。

2 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全防御模型設(shè)計(jì)

大數(shù)據(jù)是一種非常先進(jìn)的模式識別方法，可以從海量的數(shù)據(jù)中挖掘潛藏的、有價(jià)值的數(shù)據(jù)資源，這些資源都可以幫助人們進(jìn)行有效的決策。目前，大數(shù)據(jù)已經(jīng)在文檔檢索、基因測序、武器控制等領(lǐng)域得到廣泛應(yīng)用，大大地提高了社會(huì)智能化水平。大數(shù)據(jù)經(jīng)過多年的研究，引入的技術(shù)也更加先進(jìn)，比如卷積神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、支持向量機(jī)、信息論、統(tǒng)計(jì)學(xué)等，提高了大數(shù)據(jù)的分析精確度[2]。“互聯(lián)網(wǎng)+”時(shí)代的到來，網(wǎng)絡(luò)面臨的攻擊威脅越來越多，許多病毒或木馬采用更加先進(jìn)的脫殼技術(shù)、隱藏技術(shù)，其可以隱藏更長的周期和感染更大范圍的網(wǎng)絡(luò)，造成更加嚴(yán)重的經(jīng)濟(jì)損失。因此，利用大數(shù)據(jù)技術(shù)，本文構(gòu)建了一個(gè)互聯(lián)網(wǎng)數(shù)據(jù)分析模型，如圖1所示。

首先，模型采集互聯(lián)網(wǎng)的流量數(shù)據(jù)，由于當(dāng)前互聯(lián)網(wǎng)接入設(shè)備種類及數(shù)量、用戶規(guī)模都非常大，因此網(wǎng)絡(luò)中的流量也非常大，傳統(tǒng)的網(wǎng)絡(luò)安全防御系統(tǒng)采取被動(dòng)模式，等待互聯(lián)網(wǎng)中的病毒或木馬爆發(fā)之后才激活殺毒軟件，這就容易產(chǎn)生損失，而該模型可以不屬于網(wǎng)絡(luò)接入點(diǎn)，采集所有的網(wǎng)絡(luò)流量數(shù)據(jù)。其次，模型針對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行預(yù)處理，針對一些正常的 IP地址及內(nèi)容放行，同時(shí)也可以刪除本地局域網(wǎng)的數(shù)據(jù)。第三，模型利用大數(shù)據(jù)分析算法針對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行識別，利用病毒基因特征進(jìn)行匹配，從而可以感知互聯(lián)網(wǎng)中潛藏的病毒，該模型經(jīng)過學(xué)習(xí)之后，可以形成一個(gè)常態(tài)化的模型，該模型具有自我升級能力，這樣就可以根據(jù)網(wǎng)絡(luò)病毒的變異情況更好地進(jìn)行智能化升級。最后，模型如果發(fā)現(xiàn)網(wǎng)絡(luò)中存在病毒或木馬，此時(shí)就可以啟動(dòng)殺毒軟件，比如360安全衛(wèi)士、卡巴斯基、瑞星殺毒等，利用這些軟件清除安全威脅。基于大數(shù)據(jù)的網(wǎng)絡(luò)安全防御系統(tǒng)可以從根本上發(fā)現(xiàn)、分析、挖掘異常流量中的問題，提高網(wǎng)絡(luò)安全防御能力。大數(shù)據(jù)網(wǎng)絡(luò)安全防御采用的關(guān)鍵技術(shù)很多，比如自我保護(hù)技術(shù)、實(shí)時(shí)升級技術(shù)、主動(dòng)防御技術(shù)、卷積神經(jīng)網(wǎng)絡(luò)等，互聯(lián)網(wǎng)安全防御能力深度學(xué)習(xí)模式可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量、掃描軟硬設(shè)備是否存在漏洞、清除網(wǎng)絡(luò)中的木馬病毒、自動(dòng)升級防御軟件性能。

圖1 基于大數(shù)據(jù)的網(wǎng)絡(luò)安全防御系統(tǒng)數(shù)據(jù)處理流程

3 結(jié)束語

網(wǎng)絡(luò)安全防御軟件利用大數(shù)據(jù)技術(shù)實(shí)現(xiàn)病毒模式識別，從互聯(lián)網(wǎng)中采集各類型設(shè)備發(fā)送的流量，將這些數(shù)據(jù)發(fā)送給智能模型進(jìn)行分析，判斷網(wǎng)絡(luò)中是否存在網(wǎng)絡(luò)病毒。大數(shù)據(jù)應(yīng)用在網(wǎng)絡(luò)安全防御過程中，其具有很強(qiáng)的智能特點(diǎn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全防御的智能感知和智能響應(yīng)。智能感知可以主動(dòng)地分析互聯(lián)網(wǎng)中是否存在安全隱患，比如病毒、木馬等數(shù)據(jù)片段，利用這些片段特征實(shí)現(xiàn)網(wǎng)絡(luò)病毒的判斷。大數(shù)據(jù)在網(wǎng)絡(luò)安全系統(tǒng)中可以實(shí)現(xiàn)智能響應(yīng)，如果一旦發(fā)現(xiàn)某一個(gè)病毒或木馬侵入網(wǎng)絡(luò)，此時(shí)就需要按照實(shí)際影響范圍進(jìn)行智能度量，影響范圍大、造成的損失較多就可以啟用全面殺毒；影響范圍小、造成的損失較少就可以啟動(dòng)局部殺毒，這樣既可以清除網(wǎng)絡(luò)中的病毒或木馬，還可以降低網(wǎng)絡(luò)的負(fù)載，實(shí)現(xiàn)按需殺毒服務(wù)。