一種多層次的網絡安全主動防御系統研究與設計

◆翁躍鑫

一種多層次的網絡安全主動防御系統研究與設計

◆翁躍鑫

（廈門市仙岳醫院 福建 361012）

互聯網在提供便利服務的同時也面臨各種形式的網絡信息安全威脅，比如蠕蟲病毒、盜竊木馬等，可能為用戶帶來不可估量的損失，因此為了能夠保證用戶使用網絡的安全性，本文提出構建一個多層次的網絡安全主動防御系統，該系統包括四個層次，分別是網絡數據采集層、威脅識別分析層、安全工具啟動層、效果評估層，系統引入模式識別技術，以提高網絡安全防御性能。

網絡安全；主動防御；模式識別；勒索病毒

網絡病毒、木馬等安全威脅一直是阻礙網絡普及和使用的不利因素，雖然經過多年的研究和改進，許多科研機構的學者、網絡安全專家提出了針對病毒、木馬的多種防御方法，如通過入侵防御系統進行端口阻斷，在防火墻側進行細粒度的數據包過濾，在主機側安裝殺毒軟件等方法，但是近年來許多病毒和木馬都采用了更加先進的技術，隱藏的更深刻、攻擊范圍更廣泛，也不利于傳統的防御工具發現，因此被動的防御模式會為網絡用戶帶來一定的損失[1]。本文為了解決這個問題，認真分析了勒索病毒等近年來爆發的比較嚴重的網絡安全事件，構建一個多層次、智能化的主動防御系統，從而可以持續改進防御能力。

1 網絡安全防御面臨的威脅及現狀研究

目前，網絡安全面臨的威脅非常多，不僅包括常規的病毒和木馬，還引入了一些先進的人工骨智能技術，實現網絡數據竊聽、篡改、偽造等，給人們帶來了不可估量的損失。勒索病毒作為近年來最為嚴重的病毒，爆發之后就感染了數以千萬計的電腦，給許多大型跨國公司帶來不可估量的損失。勒索病毒利用加密算法針對計算機操作系統進行加密，感染者無法訪問數據信息文件，要求感染者支付比特幣才能夠獲取解密方法[2]。勒索病毒僅僅是互聯網安全攻擊的冰山一角，許多網絡病毒肆虐信息世界，為人們帶來很多的損失，因此為了提高網絡安全防御能力，360安全衛士、瑞星殺毒、卡巴斯基、騰訊安全管家等均提出了一些殺毒策略，比如防火墻、殺毒軟件和深度包過濾系統等。

（1）防火墻。防火墻是最早提出的網絡安全防御工具，防火墻作為一個軟件，其可以根據網絡通信需求設置一些啟發式規則，防火墻將放行符合防火墻過濾規則的數據包，攔截違反過濾規則的數據包。通過對有害數據包的過濾丟棄可以實現對木馬，蠕蟲病毒等數據包的攔截，防止有害信息進入網絡。隨著技術的不斷更新迭代，防火墻也在不斷更新演進，目前有多種類型的防火墻在網絡的不同層次發揮安全保障作用。比如WEB應用防火墻、服務器防火墻、數據庫防火墻等，可應用于網絡不同的位置，起到了一個較好的防御效果[3]。

（2）殺毒軟件。殺毒軟件一直是主流的網絡安全防御工具，目前研究網絡殺毒軟件的企業、科研機構都非常多，比如著名的360安全衛士、卡巴斯基、江民殺毒、騰訊管家等，使用網絡中爆發的病毒基因特征識別當前數據流中是否存在威脅，及時將這些網絡安全威脅清除。殺毒軟件為了提高殺毒能力，引入了一些脫殼技術、自我保護技術等，一定程度上提高了網絡防御能力。

（3）深度包過濾。隨著互聯網流量的增多，防火墻和殺毒軟件的過濾性能逐漸降低，因此網絡安全專家經過研究，提出了一個軟硬件結合在一起的防御技術，也即是深度包過濾，其同樣采用枚舉和迭代的規則，檢查數據包的包頭信息、包內容等，這個穿透式檢查不放過數據包的任何一部分，因此可以分析每一個協議字段的內容，從而可以提高網絡殺毒性能，深度包過濾基于硬件進行設計，因此可以提高數據包檢查的效率，滿足大流量網絡應用需求。

2 多層次的網絡安全主動防御系統設計

多層次網絡安全主動防御系統引入模式識別、機器學習技術，利用人工智能實現數據的分析，以便能夠與病毒特征庫進行對比，查看網絡數據中是否存在病毒，如果存在則啟動殺毒軟件，同時還要評估殺毒效果。因此，本文設計一個多層次的網絡安全主動防御系統，分別是數據采集層、威脅識別分析層、安全工具啟動層、效果評估層，涵蓋了網絡數據采集、人工智能分析、網絡安全響應和防御效果評估等多個方面，提高防御實時性和預測性。多層次的網絡安全主動防御系統如圖1所示。

圖1 多層次的網絡安全主動防御系統

（1）網絡數據采集功能。本文提出的防御系統首先要完成網絡數據采集功能，在公司網絡環境中安裝合適的嗅探軟件，從海量的網絡數據中抓取數據包，這些數據包是最原始和最真實的數據，經過一定的預處理和建模，將這些網絡數據發送給大數據分析模塊進行運算和分析。

（2）威脅識別分析。大數據分析的優勢是從海量的數據中通過智能算法發現潛在的風險。在第一步網絡數據采集完畢之后，將數據發送給大數據分析和處理模塊。網絡病毒的爆發往往伴隨著入侵攻擊、植入木馬等綜合手段，所以對病毒的主動性防御要更加全面的考慮攻擊者的行為特征。因此該模塊中包含了不僅包含了攻擊者的特征行為庫，還可以收藏一些網絡病毒基因片段，同時具備自我的學習和進化能力，將完成預處理的數據與學習到的特征行為進行匹配分析，從而發現是否存在木馬入侵攻擊，以便能夠及時發現這些病毒或木馬，將其發送給殺毒軟件，比如360安全衛士、卡巴斯基等。

（3）網絡安全防御功能。網絡安全防御層采用的殺毒軟件很多，比如360安全衛士或卡巴斯基等，這些殺毒軟件可以將互聯網中的病毒清除，并且可以跟蹤網絡病毒來源，從而可以鎖定源頭服務器，將源頭清除掉。

（4）防御效果評估功能。網絡病毒安全防御功能完成之后，本文系統需要對安全防御效果進行評估，從而查看網絡安全識別模塊預判的準確度，如果準確度非常高，就說明系統學習得很徹底，從而可以提高防御效果；如果準確度較低，此時就可以進一步擴大學習實例或更換模式識別算法，以便提高網絡安全防御能力。網絡安全防御效果評估可以實現持續性改進，一旦準確度降低就可以及時進行學習，從而提高網絡安全防御性能。

3 結束語

網絡安全防御作為一個復雜的工程，其需要隨著網絡病毒或木馬的攻擊而改進，還需要引入更加先進的技術，比如深度學習、區塊鏈等，進一步為網絡用戶提供一個更安全的、可靠的應用環境，為社會信息化和智能化提供支撐。

[1]張貴軍.大數據時代網絡安全管理現狀及主動防御系統[J].電子技術與軟件工程，2017（11）：203-203.

[2]李偉寧，王漢高，鐘偉杰.電力信息化行業網絡安全主動防御技術研究[J].網絡安全技術與應用，2018，209（5）：72-73.

[3]基于可信計算技術構建電力監測控制系統網絡安全免疫系統[J].四川大學學報（工程科學版），2017，49（2）：28-35.

[4]蘇世洵，朱志祥.基于蜜罐的嵌入式主動防御系統設計與實現[J].物聯網技術，2017，7（7）：86-88.