大數據及人工智能背景下的網絡安全防御系統設計研究

趙艷花，陳 陽

（寧夏財經職業技術學院 寧夏 銀川 750021）

0 引言

電腦網絡技術的出現與應用，改變了人們的娛樂、學習和工作方式。然而，網絡安全問題也隨之產生，例如網絡崩潰、網絡數據丟失、網絡病毒入侵等。為此，有關部門應利用人工智能技術，加強網絡安全防護體系的設計與開發，達到實時監測和管理計算機系統的安全風險，從而增強計算機的安全防護能力，為今后的網絡安全工作奠定基礎。因此，在人工智能技術應用的大背景下，如何進行網絡安全防護體系的設計與開發，成了各有關部門所要考慮和研究的課題。

1 大數據與人工智能概述

1.1 大數據的含義

相對于傳統的數據處理方式，大數據對更大量的數據進行了分析。同時將“云計算”平臺和數據庫的處理結合起來，擴大存儲系統規模，大數據能夠更好地滿足不同需求。大數據具有數據量大、數據類型繁多、處理速度快、價值密度低等優點。為各領域提供更好的服務，也解決了傳統數據處理中的一些問題，適應了新的發展需要。

1.2 人工智能技術

在大數據時代，隨著計算機、因特網、仿生技術飛速發展，人工智能技術漸漸出現。人工智能技術是一種具有模仿、學習、適應、組織能力的高級科技。將人工智能技術引入到機械中，使機械智能化，為人類生產、生活帶來便利，提升人民的幸福感。將人工智能技術與計算機網絡技術相結合，是一種必然的發展趨勢。將傳統的人工、搜尋智能化，不但可以加快信息的收集速度，同時也可以保證數據的及時性，同時，人工智能技術也具有很強的協同作用，可以根據使用者的需要，進行數據的交流，從而提高工作效率[1]。

2 計算機網絡安全現狀

2.1 黑客攻擊的技術水平不斷上升

隨著云計算技術的飛速發展，大數據、人工智能、網絡安全等都不再是什么新名詞。大量的專業人士和非專業人士投入大量的時間來學習這些技術。在這種大數據時代，雖然使用電腦的人很多，但他們中的一些人卻沒有基本的法律觀念，為了賺錢，利用自己的技術，對計算機進行非法攻擊，竊取他人重要資料，從中牟利。隨著“移動云”技術迅速發展，病毒、木馬等成為網絡攻擊的主要手段。另外，隨著網絡安全技術的飛速發展，黑客的入侵行為也日益頻繁，對網絡的安全造成了極大的威脅。

2.2 網絡攻擊的方式呈多元化發展

在移動互聯網與物聯網技術迅猛發展的今天，計算機網絡變得更加復雜，各種智能設備也變得更加靈活，不再局限電腦、筆記本、手機等，所有智能設備都有了聯網能力，既方便了用戶操作，又給了黑客更多的攻擊機會，增加了防御系統的難度。

2.3 網絡安全防范意識不強

由于大多數網民沒有接受過計算機網絡安全方面的專業培訓，也沒有系統地學習過“大智移云”的相關技術，大多數網民對網絡安全的認識還不夠深刻，容易在日常上網過程中無意識觸犯法律，也更容易讓自己暴露在網絡危險中。

3 基于大數據和人工智能技術的網絡安全防護體系功能需求分析

3.1 基礎設施層虛擬化方面的功能需求

網絡安全防護體系的基礎架構，除了要有足夠的先進、可靠的硬件，還要有更多的虛擬化能力。只有這樣，才能讓數據和智能技術得到最好的應用，才能更好地分配和分享硬件資源。這是提高系統集成性和并行性能的重要因素。

3.2 中間件層管理方面的功能需求

在大數據和人工智能時代的網絡安全防護體系中，中間件層的主要作用就是對數據的輸入、輸出進行分類，使各種資源在系統中得到合理的分布，從而達到對計算機網絡的存取安全性實時檢測的目的。因此，在這一防御體系的具體設計中，必須保證各節點之間的負載均衡、安全監控、資源配置等功能。

3.3 應用層服務方面的功能需求

計算機網絡安全防護系統須以用戶為中心，因此，在本系統的具體設計中，需要為使用者提供方便、快捷、穩定的服務，包括用戶注冊、登錄、訪問控制、權限分配、系統交互、入侵檢測、系統備份、數據還原等。

4 系統需求分析

這里提出了一種利用大數據和人工智能技術進行網絡安全保護的方法，系統不僅能夠實時采集和檢測各類數據，而且還具備探測攻擊和實時預警的功能。主要提出了以下幾點設計需求。

（1）為用戶提供多種信息源，如在一個共用的網絡接口上收聽不同的報文，即時分析聯結、網絡及傳送層的通信。

（2）建立了一個完整的、系統的攻擊事件資料庫，使用中文的警報，具備對網絡管理人員進行有效分析和防范的能力。

（3）通過對各種類型的入侵檢測，可以對其進行有效的識別和處理。

（4）通過對 IP數據包進行重組，可以增強檢測、識別和處理各類碎片攻擊行為和躲避攻擊的能力，從而達到對網絡系統的整體防護，減少網絡信息的危險性。

（5）利用數據庫報警、郵件報警、自動關機等各種類型的報警處理方法，利用人工智能技術，對報警信息進行查詢，并對報警圖示進行分析，從而增強了對安全防范的保護，確保了數據的穩定性、可靠性和安全性[2-3]。

5 系統總體設計

為確保系統的設計與開發具有一定的針對性，有關人員必須嚴格按照圖1中所示的功能模塊劃分圖來進行，以確保本系統的功能實施[1]。

圖1 網絡安全防御系統功能模塊劃分

如圖1所示，整個系統包括探測引擎和控制中心兩大部分。其中，探測引擎的功能主要是訪問、監控、識別和處理被監控的網絡，確保安全；監控中心實時地處理由探測引擎發送的網絡報警信息，這樣就可以實時監測和管理檢測引擎的運行，便于用戶全面記錄、統計和檢索[4]。本系統的主要功能模塊如下：

（1）網絡數據捕獲

此模塊不僅能夠有效地接入網絡接口設備，并且可以對各個接口的網絡進行實時捕獲，并將所收集到的數據包進行傳輸。

（2）網絡協議分析

此模塊主要是針對不同的數據包頭域進行分析，例如鏈路層、傳輸層、網絡層等；其具體實施方案是通過協議層級的方式，集中統一地處理包頭格式，為包頭的科學分析與處理提供了有利的環境。

（3）數據包預處理

這個模塊的任務是對不同的數據包進行譯碼、重新組合，其中，解碼技術主要是為了實時攔截和處理網絡攻擊，以保證系統安全。數據包重構，是指按照有關的技術和技術標準，對重構后的圖像進行了完整的探測與攻擊。

（4）入侵事件檢測模塊

在實際中，我們主要依據有關的入侵判據，利用特征匹配技術，實現了多種信息的科學匹配。因此，對網絡攻擊進行了檢測、識別和處理。

5 系統功能的實現

5.1 網絡數據包捕獲

在該系統中，通過 Libpcap訪問數據鏈路，實現了數據包的采集。獲得分組的程序是這樣的：

（1）獲取并打開網絡設備

首先，要對網絡接口、目標地址、網絡掩碼等進行全面的獲取，再在網絡接口上增加結構鏈表，獲取對應的捕獲裝置。其次，將網絡設備開啟，獲得對應的捕捉句柄；給出了一種網絡設備的子網掩碼，并充分地控制了它的運行時間。最后，關閉指定的包以充分地釋放資源。

（2）編譯并設置過濾規則

在此階段，首先要對過濾器進行編輯；在二元編碼過程中，還需要通過變量和字符串來實現。

（3）捕獲網絡數據包

在成功地開啟網卡之后，利用此功能對數據包進行捕捉，以保證網絡的正常運行；最后，將分組發送至用戶空間，并在此基礎上對其進行有針對性的處理。

5.2 網絡協議分析

在具體的實施過程中，要嚴格地按照圖2中的協議進行分析，并對數據鏈路層、傳輸層、網絡層的信息域進行解析和處理。首先，根據收聽的鏈接類型來決定相應的處理功能；同時，捕捉到的分組也被傳送到鏈接層處理功能。鏈路層處理功能主要是對各鏈路層域的信息進行統一的處理，然后把對應的數據分組發送到網絡層處理功能，然后利用統計分析的方法來判斷下一次發送的目標。

圖2 協議分析處理流程

5.3 數據包預處理

數據包預處理包括如下的預處理：

（1）HTTP解碼預處理功能

在特定的執行過程中，將 HTTPURL的字串符轉換成 ASCI字符串，能夠對惡意攻擊進行有效的識別和處理，從而確保信息的穩定性、可靠性和安全性。

（2）端口掃描檢測預處理功能

在具體實施方案中，必須集中掃描多IP地址的一個端口；同時，在一定的時限內，實現多個 TCP的高效連接，這為實現多端口的快速掃描提供了很好的環境。

（3）數據包分片重組預處理功能

在具體實現中，IP包采用最大發送單元包；通過對 IP進行重組，并使用 TCP相關軟件對 IP進行統一的檢測，從而全面地理解入侵的全過程。同時，要及時發現存在安全漏洞的主機，防止出現死機、癱瘓等問題。

5.4 入侵加測

在特定的實施過程中，需要利用所描述的模式匹配原則，將采集到的數據與特定的數據庫進行比對，并對其進行及時的檢測和處理。

如圖3所示，為確保 IDS的有效實施，有關人員必須利用IDS規則庫，將所獲得的信息與錯誤規則進行完美的比對，并在此基礎上，自動發出警告信息；若不能匹配，則表示網絡資料包已正常安全。同時，為了克服匹配過程中效率低的問題，采用 BM算法對匹配流程進行優化[5-6]。

圖3 模式匹配原理

6 系統測試

6.1 功能測試

在具體的測試中，系統的網絡攻擊檢測能力要求使用各種攻擊軟件，通過對系統的功能進行檢測，以保證系統可以對網絡攻擊行為進行有效的檢測，并及時向用戶發送相應的報警信息。

6.1.1 Nmap攻擊

Nmap是一種常見的檢測軟件，該系統能夠從使用者處獲取使用者的狀態及服務等相關資訊，進而針對使用者進行針對性的攻擊。

6.1.2 服務攻擊行為拒絕

Teardrop使用了分時分組攻擊的原則，將虛假的分塊數據包傳送到系統中，造成系統崩潰、死機和頻繁重啟的情況[7-8]。利用Jolt攻擊技術，將大量的分塊數據分組傳送給系統，從而有效地阻止服務攻擊[9]。通過對系統的各項功能進行了測試，結果表明，系統各項性能指標達到了預定的開發標準和需求，各功能模塊的實現都達到了較好的效果[10]。

6.2 系統響應時間測試

在此基礎上，將網絡通信質量設定為50 M，分組為512字節，再進行相應的網絡攻擊，并計算從網絡攻擊到系統發出的網絡警報。誤警率檢測：在檢測率檢測時，常常會發生錯誤。因此，有關工作人員需要對錯誤率和攻擊檢測的錯誤率進行計算，并將兩者相乘，得出系統的真實誤警率。在此階段，需要構建對應的攻擊規則，接著對 Snot攻擊進行了統計，并對系統的報警次數進行了統計，對系統的錯誤預警進行了精確的計算。漏報率檢測：要做好對應的檔案資料配置，并錄入相關的項目資料。然后，通過對被攻擊的主機進行配置，對網絡攻擊的數量和漏報進行統計和計算。均響應時間、誤報率和漏報率測試結果見表1。

表1 均響應時間、誤報率、漏報率測試結果

由表1可知，該系統均響應時間、誤報率、漏報率均符合預定設定的指標及指標，顯示了該體系的工作性能。

7 結語

以大數據與人工智能為基礎的網絡安全防護系統的建設已成為世界各國所關心的重大課題，因此，如何有效地應對網絡安全的變化、復雜、危險的網絡攻擊，是當前國際社會普遍關心的問題。通過人神經網絡、機器學習、智能算法、專家系統、大數據、云計算等智能技術，為 IDS等提供高效、便捷的技術支持。