基于大數據的網絡安全防御系統研究與設計

◆馬 浩

（運城學院數學與信息技術學院 山西 044000）

0 引言

隨著光纖網絡、5G移動通信網絡等技術的快速發展和改進，人們已經進入到“互聯網+”時代，基于互聯網開發了許多的應用軟件和部署了信息服務中心，為人們提供證券交易、高清視頻、旅游消費、科研學習、醫療衛生等便捷性服務工具，實現了數據信息的共享和處理[1]。但是，互聯網在為人們提供便捷服務的同時也面臨著海量的攻擊威脅，諸如勒索病毒、DDoS攻擊、蠕蟲木馬等，這些都會阻止人們正常使用互聯網。因此，為了提高網絡安全防御能力，許多網絡安全專家和企業研發了防御軟件，比如防火墻、殺毒軟件、訪問控制列表等[2]。

防火墻作為信息系統內外部網絡之間部署的一個過濾器，可以設置一些網絡過濾規則，允許或阻止網絡中的數據通過防火墻，防火墻部署于信息系統的網絡層，能夠過濾和分析IP數據協議，利用枚舉的原則分析所有的數據包，查看這些 IP地址及傳輸數據內容是否存在問題，如果存在問題則禁止其通過防火墻[3]。殺毒軟件也是一個程序代碼，其數據庫保存了很多的木馬或病毒的片段基因，這些片段基因可以與信息系統網絡中的病毒或木馬進行匹配對比，然后分析信息系統中是否存在病毒或木馬，如果存在則及時地將其清除。殺毒軟件采用了很多的先進技術，用來識別和分析網絡中是否存在攻擊威脅，這些技術包括脫殼技術、修復技術、自我保護技術等。信息系統網絡目前采用的殺毒軟件包括卡巴斯基、瑞星殺毒、360安全衛士等，殺毒軟件可以與防火墻集成在一起使用，查殺病毒或木馬[4]。訪問控制列表是一種非常重要的信息系統安全保護工具，這個工具可以設置一個白名單和黑名單，白名單中收錄的 IP地址可以通過訪問控制列表的限制訪問服務器資源；黑名單中收錄的 IP地址無法訪問服務器資源。訪問控制列表的部署級別包括四個層次，分別是目錄級控制、入網訪問控制、屬性控制和權限控制，訪問控制列表應用時也存在一些問題，比如人工配置工作效率慢，無法實時地提升訪問控制列表性能[5]。

防火墻、殺毒軟件雖然可以為人們提供一定程度上的安全防御能力，但是當前互聯網發展迅速，木馬病毒研發技術改進速度也非常快，這些防御技術也需要與時俱進，引入更加先進的大數據分析，利用大數據處理技術及時地從海量信息中識別、發現、響應病毒，具有重要的作用和意義。

1 網絡安全防御系統功能分析

網絡安全防御系統引入大數據技術，其主要功能經過豐富和擴展，可以分為以下幾個方面，分別是數據采集和監控、數據分析和處理、安全防御軟件啟動、殺毒效果評估，這樣就可以提高網絡安全防御性能。

（1）數據采集和監控。“互聯網+”時代，網絡部署的軟件系統和硬件工具非常多，這些軟硬件之間實現傳輸和信息共享，因此網絡安全防御系統需要實現數據采集和互聯網監控，能夠將數據信息發送給大數據分析軟件。

（2）數據分析和處理。大數據分析軟件利用先進的模式識別技術，可以根據一些網絡病毒的基因片段進行特征處理，與采集的網絡數據進行對比，這樣就可以發現網絡中是否存在潛在的病毒或木馬。

（3）安全防御軟件啟動。數據分析和處理之后，如果發現網絡中存在病毒或木馬，此時就可以啟動殺毒軟件，利用殺毒軟件將病毒或木馬清除。

（4）殺毒效果評估。網絡病毒清除之后，大數據分析軟件還需要對網絡系統進行殺毒效果評估，從而可以確認網絡中安全無毒，不影響用戶正常使用網絡。

2 大數據在網絡安全防御系統中的應用與設計

“互聯網+”時代網絡安全防御軟件已經無法滿足實際需求，比如防火墻、訪問控制列表或殺毒軟件等采用被動防御模式，不能夠及時地發現和清除網絡中存在的病毒信息，因此利用先進的大數據技術，可以構建一個主動式的安全防御系統。

大數據是當前人工智能時代最為先進的一種計算機技術，其可以從海量的數據中發現期望的知識，并對這些數據進行分類，進一步提高數據的應用性能。網絡是一個大型的信息通信和數據共享中心，中心的數據流量非常大，關聯的網絡設備也非常多，包括DDoS監控、網站防篡改監控、漏洞監控、態勢感知、攻擊溯源，比如DDoS監控器可以分析網絡的流量狀態，發現網絡的流量是否存在異常，如果存在異常就可以及時地啟動模式識別技術，利用模式識別技術提高非正常流量中潛藏的安全威脅。網絡承載的軟硬件資源非常多，這些軟硬件資源集成在一起產生了海量的數據，但是也存在一些漏洞，因此網絡安全管理需要加強漏洞監控，進一步感知網絡數據流量的態勢，追蹤攻擊源頭，進一步提高數據防御能力。具體的，基于大數據的網絡安全應用系統可以包括深度包過濾或自治網絡。

（1）深度包過濾

傳統的包過濾技術類似于防火墻，簡單地分析數據包的頭部IP地址，以便能夠發現這些數據包是否滿足通過規則，因此應用非常簡單。深度包過濾集成了軟硬件資源，利用先進的數據包分析工具，穿透每一個網絡數據包的包頭、包內容等，能夠為網絡提供一個開放的、深層次的網絡安全防御工具。深度包過濾最大的特點就是查看和分析數據包中每一個協議字段的內容，這樣就可以更加準確地檢測網絡中的威脅。深度包過濾引入了固件技術，該固件可以將軟件功能集成在硬件上，這樣就可以大幅度提升網絡數據包過濾的處理速度，適應當前網絡流量大、數據包多的特點。

（2）自治網絡

自治網絡采用先進的主動網絡安全防御思想，基于大數據構建一個功能完善的網絡拓撲結構，積極地適應當前網絡的應用形式，調動網絡安全防御資源，隔離網絡中的木馬或病毒，建立一個先進的自我防御和免疫機制。自治網絡還可以與深度包過濾、數據挖掘技術等積極地結合在一起，形成一個多層次的防御規則，進一步提高網絡通信性能保障能力，加強網絡病毒的可信計算服務能力，避免惡意代碼攻擊網絡，提高網絡的自我免疫能力。

3 結束語

“互聯網+”時代促進了分布式管理系統的應用和普及，許多領域引入了先進的計算機信息系統，大大地提高了人們的信息化、共享化，方便人們工作、生活和學習。但是，由于許多不法分子覬覦信息系統存儲的內容，一直在使用木馬或病毒攻擊信息系統，獲取不當盈利，破壞信息安全。防火墻、訪問控制列表或殺毒軟件均是一種基于被動的防御工具，只有在病毒或木馬爆發之后才可以殺滅，沒有預知或主動防御的基本思想，因此本文為了解決這個問題，提出利用先進的大數據分析技術，構建一個主動防御體系，同時結合未來信息安全防御技術發展趨勢，提高信息系統安全防御能力，保證網絡應用系統的安全。