基于大數據的網絡安全防御系統研究與設計

◆李英

基于大數據的網絡安全防御系統研究與設計

◆李英

（鞍山市廣播電視學校 遼寧 114200）

網絡安全防御是一項非常復雜的工作，傳統的防火墻、加密技術或殺毒軟件均采用被動防御模式，無法提高網絡安全防御的感知水平，因此亟須引入更加先進的大數據技術，也即是K-means算法，利用該算法構建一個網絡態勢感知與防御模塊，這樣就可以提高網絡安全防御主動性、智能化程度，提高網絡安全防御的水平。實驗結果表明，K-means算法能夠提高判斷網絡數據中的木馬或病毒的準確度，網絡安全防御水平達到了99.4%，高于支持向量機和貝葉斯理論算法，同時還不需要設置過多的參數，不需要管理人員擁有豐富的網絡安全防御知識。

大數據；K-means算法；網絡安全防御系統；殺毒軟件

1 引言

目前，隨著云計算、大數據和數據庫等技術的快速發展，全球已經進入到了數字化和“互聯網+”時代，基于互聯網開發了許多的分布式應用軟件，覆蓋了政務服務、工業控制、金融銀行、在線學習、智能旅游等多個行業，提高了人們工作、學習和生活的便捷性。但是，伴隨互聯網而生的木馬或病毒，導致網絡安全事件頻繁發生，比如勒索病毒等。360網絡安全公司統計報告顯示，2019年勒索病毒類攻擊占全網攻擊的62%，比2018年高近6個百分點，平均每39秒就會發生一次勒索病毒攻擊，為大中型企業帶來了數以百億的經濟損失[1]。目前，網絡安全防御采用的技術多為防火墻、殺毒軟件和加密技術，在一定程度上可以阻止網絡病毒入侵，但是勒索病毒變異快，很容易導致系統在損失發生后才能夠啟動防御工具，不利于提高互聯網防御水平[2]。因此，本文提出引入先進的K-means算法，利用大數據技術提高互聯網安全防御的主動性、智能化水平，實現防患于未然的目標。

2 網絡安全防御技術應用現狀

網絡安全防御系統是保護用戶正常使用信息系統或網絡的工具，有效地避免用戶產生經濟損失或固定資產損失。常用的網絡安全防御技術非常多，比如防火墻和殺毒軟件等，本文結合當前的應用模式，重點介紹這兩種防御工具。

2.1 防火墻

防火墻作為一種主流的網絡安全防御技術，經過數十年的發展和應用，已經誕生了很多先進的改進版本，比如狀態防火墻、包過濾防火墻、應用層代理防火墻等，不同類型的防火墻適用于互聯網的不同層次，比如包過濾防火墻部署于傳輸層和網絡層之間，是一種網絡層的互聯網訪問控制技術，可以在路由器設備上配置ACL的方式實現，檢查數據包的協議字段，但是其不需要考慮網絡連接狀態。狀態防火墻則可以部署于傳輸層，能夠跟蹤網絡連接狀態，可以區分合法或非法的數據包，只有合法的主動連接數據包能夠通過狀態防火墻，不允許其余的數據包通過。應用層防火墻則可以針對不同的應用設計不同的防護規則，比如可以針對社交軟件微信、QQ或“微博”設計防御規則，也可以針對辦公管理系統、金融銀行軟件等設計防控規則，應用層防火墻可以有效地監控每一個應用軟件的數據流，從而有效隔離外部網絡和內部網絡。雖然防火墻是主流的安全防御軟件，但是其也有很多的缺點，比如需要預先設置防御規則，無法動態地、實時地升級和改變，因此需要用戶掌握豐富的計算機專業知識。

2.2 殺毒軟件

殺毒軟件則是一個非常常用的木馬或病毒查殺工具，其可以集成各種網絡監控、文件掃描和病毒清除、系統自動化升級等功能，還可以幫助用戶進行數據恢復，減小病毒或木馬帶來的損失。殺毒軟件針對已知的病毒或木馬進行設計，引入了許多的先進技術，比如脫殼技術、自我保護技術、修復技術等。脫殼技術可以分析壓縮文件、封裝類文件、水印文件等，從而識別網絡病毒。自我保護技術可以保護殺毒軟件不被病毒或木馬侵襲，避免殺毒軟件停止運行或崩潰，并且可以及時地提升殺毒軟件的性能。目前，世界眾多企業開發了很多專業的殺毒軟件，比如360安全衛士、“騰訊管家”、卡巴斯基殺毒軟件、瑞星殺毒軟件等，一定程度上為網絡用戶提高了防御性能。但是殺毒軟件也存在一定的缺陷，一般是在病毒侵襲網絡之后才可以啟動殺毒工具，僅可以對已知的木馬或病毒進行查殺，不利于對攜帶已知病毒基因片段且變異后的病毒進行查殺，因此不能夠提高網絡安全防御的主動性。

3 大數據在網絡安全防御中的應用及其設計

3.1 新型網絡安全防御系統設計

傳統的防火墻、殺毒軟件等屬于被動防御工具，因此對網絡病毒的防御無法得到理想的結果，因此本文提出引入K-means算法，利用大數據分析技術，識別網絡數據包中的病毒基因，從而做到智能主動化防御，防患于未然[3]?；贙-means的網絡安全防御系統的主要操作流程如圖1所示。

圖1 基于K-means的網絡安全防御系統

網絡安全防御系統引入了K-means算法，其是一種迭代求解的聚類分析算法，該算法的執行步驟如下：第一步，將采集到的網絡數據包劃分為K個組，同時按照一定的規則選取K個對象作為初始化聚類中心，這個規則可以按照啟發式模式配置，比如預先獲取網絡病毒基因特征，以此為依據選擇數據的中心。第二步，計算采集到的數據對象到K個中心點的距離，然后將每一個對象分配給距離最近的聚類中心。第三步，根據劃分好的K個組，重新獲取聚類中心。第四步，重復上述三個步驟的功能，直到聚類的中心不再發生變化。

3.2 系統應用效果分析

網絡安全防御系統引入K-means算法之后，其可以利用大數據的處理能力，感知網絡中的病毒或木馬片段特征，及時地識別網絡中的病毒或木馬，然后及時啟動殺毒工具，比如360安全衛士等，將病毒或木馬從網絡中清除，從而可以提高網絡防御的性能[4]。本文為了驗證提出的防御系統的性能，構建了一個模擬實驗環境，利用模擬終端發起木馬和病毒攻擊，然后將K-means算法、支持“向量機”和貝葉斯理論的識別準確度進行比較，以驗證本文提出的安全防御效果。具體地，本文引入的木馬和病毒包括“網游木馬”、“網銀木馬”、FTP木馬、灰鴿子、弼馬溫病毒、下載類木馬、勒索病毒等360種病毒。這些病毒提取的基因特征片段高達數十萬個，模擬終端1發送數據包100萬個，病毒特征片段1萬個；模擬終端2發送數據包200萬個，病毒特征片段2萬個；模擬終端3發送數據包300萬個，病毒特征片段3萬個；模擬終端4發送數據包400萬個，病毒特征片段4萬個；模擬終端5發送數據包500萬個，病毒特征片段5萬個。本文將模擬終端數據輸入到安全防御系統中之后，發現三種實驗算法的準確度如表1所示。

表1 網絡安全防御系統實驗結果

本文提出將K-means算法應用于網絡安全防御系統，實驗結果表明K-means算法識別病毒基因特征的準確度達到了99.91%，支持“向量機”的準確度為95.31%，貝葉斯理論的準確度為84.61%，實驗結果表明K-means算法高于另外兩種算法，因此可以應用于網絡安全防御系統。本文提出的網絡安全防御模型可以預先感知病毒的存在，及時地啟動殺毒軟件將其清除掉，避免病毒爆發產生嚴重的經濟等損失，提高網絡安全防御的實時性、主動性和智能化水平。

4 結語

K-means算法能夠提高網絡安全防御的性能，但是網絡病毒或木馬的研發技術是持續提升的，因此網絡安全防御是一個系統的、動態的和持久的工作，其需要進行長時間的更新和升級，引入更加先進的技術，比如深度學習技術等，進一步提升網絡安全防御性能。

[1]馬遙. 基于大數據及人工智能技術的計算機網絡安全防御系統設計[J]. 信息與電腦（理論版），2020，446（04）：212-213.

[2]黎林坡. 大數據時代計算機網絡系統安全及防護措施分析[J]. 電子工程學院學報，2020，009（001）：148-148.

[3]周挺. 基于K -means聚類的物聯網中數據安全檢測算法[J]. 微型電腦應用，2019，035（005）：95-99.

[4]張宏博，江弋. 改進K-means算法在網絡入侵檢測中的應用[J]. 福建電腦，2012，28（1）：89-91.