基于人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

文/ 鄭州工業(yè)應(yīng)用技術(shù)學(xué)院

摘要：本文設(shè)計(jì)并實(shí)現(xiàn)了一種基于人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)。該系統(tǒng)采用卷積神經(jīng)網(wǎng)絡(luò)（CNN）和循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）的雙流網(wǎng)絡(luò)模型。同時(shí)，系統(tǒng)的防御模塊采用了Actor-Critic算法，大大降低了檢測誤報(bào)率，提升了計(jì)算機(jī)網(wǎng)絡(luò)安全的防御性能，實(shí)現(xiàn)了網(wǎng)絡(luò)攻擊的高效檢測與智能防御。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)在檢測率、響應(yīng)速度和誤報(bào)率方面具有顯著優(yōu)勢，為構(gòu)建更智能、更高效的網(wǎng)絡(luò)安全體系提供了技術(shù)支持。

關(guān)鍵詞：人工智能技術(shù)；神經(jīng)網(wǎng)絡(luò)；計(jì)算機(jī)網(wǎng)絡(luò)安全；網(wǎng)絡(luò)防御系統(tǒng)

引言

近年來，在信息技術(shù)的高速發(fā)展下，隨之而來的網(wǎng)絡(luò)安全威脅也日益嚴(yán)峻[1-2]。因此，迫切需要開發(fā)一種高效、智能的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)。以往應(yīng)用的網(wǎng)絡(luò)安全防御技術(shù)雖然在一定程度上起到了保護(hù)作用，但在應(yīng)用中需要處理和分析大量的數(shù)據(jù)才能夠識別網(wǎng)絡(luò)威脅，存在一定的局限性，特別是在面對復(fù)雜多變的威脅形勢時(shí)，傳統(tǒng)防御技術(shù)表現(xiàn)乏力[3-4]。基于人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)通過對大規(guī)模網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行建模與分析，可以實(shí)現(xiàn)對異常行為的快速檢測、對攻擊模式的精準(zhǔn)識別、對潛在威脅的高效預(yù)測[5-6]。同時(shí)，人工智能技術(shù)的引入使得網(wǎng)絡(luò)安全防御體系從被動防御逐步轉(zhuǎn)向主動預(yù)測與動態(tài)響應(yīng)，大幅提升了防御效果，具有重要的研究意義。

1. 基于人工智能技術(shù)的網(wǎng)絡(luò)安全防御系統(tǒng)總體設(shè)計(jì)

1.1 系統(tǒng)總體框架設(shè)計(jì)

本文設(shè)計(jì)的系統(tǒng)整體架構(gòu)如圖1所示。為了確保系統(tǒng)的高效性和可擴(kuò)展性，架構(gòu)設(shè)計(jì)采用了層次化結(jié)構(gòu)，主要包括網(wǎng)絡(luò)基礎(chǔ)層、網(wǎng)絡(luò)中間層和網(wǎng)絡(luò)應(yīng)用層。

（1）網(wǎng)絡(luò)基礎(chǔ)層。網(wǎng)絡(luò)基礎(chǔ)層是整個(gè)系統(tǒng)的底層支撐部分，由多種基礎(chǔ)硬件設(shè)施組成，包括交換機(jī)、路由器等物理網(wǎng)絡(luò)設(shè)備。該層利用虛擬化技術(shù)對硬件數(shù)據(jù)資源進(jìn)行處理，通過虛擬化，多個(gè)虛擬機(jī)可以共享同一臺物理設(shè)備的計(jì)算、存儲和網(wǎng)絡(luò)資源，從而實(shí)現(xiàn)資源的動態(tài)分配和負(fù)載均衡；同時(shí)，該層還對網(wǎng)絡(luò)系統(tǒng)各節(jié)點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)某個(gè)節(jié)點(diǎn)存在異常，系統(tǒng)立即自動檢測并解決這些問題[7]。

（2）網(wǎng)絡(luò)中間層。網(wǎng)絡(luò)中間層在安全防御系統(tǒng)中主要負(fù)責(zé)管理數(shù)據(jù)的流入、流出，以及分配網(wǎng)絡(luò)資源。同時(shí)，網(wǎng)絡(luò)中間層為網(wǎng)絡(luò)信息的高效、安全傳輸提供了技術(shù)支持，并優(yōu)化了信息資源的分配方式。

（3）網(wǎng)絡(luò)應(yīng)用層。網(wǎng)絡(luò)應(yīng)用層主要負(fù)責(zé)實(shí)現(xiàn)系統(tǒng)的用戶接口與安全管理功能，但也可能成為網(wǎng)絡(luò)病毒入侵的切入點(diǎn)。為了降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，技術(shù)人員需要通過加強(qiáng)應(yīng)用層的防護(hù)措施，特別是通過強(qiáng)化日志數(shù)據(jù)的采集與管理，確保用戶操作的安全[8]。

1.2 系統(tǒng)功能模塊設(shè)計(jì)

本文設(shè)計(jì)的系統(tǒng)包括的模塊及其主要功能如下所述。

（1）數(shù)據(jù)采集與預(yù)處理模塊：該模塊負(fù)責(zé)從網(wǎng)絡(luò)各節(jié)點(diǎn)收集并初步處理原始數(shù)據(jù)；通過各種數(shù)據(jù)采集工具和技術(shù)手段，實(shí)時(shí)獲取來自網(wǎng)絡(luò)中各個(gè)設(shè)備和應(yīng)用的海量數(shù)據(jù)。

（2）數(shù)據(jù)清洗模塊：獲取原始數(shù)據(jù)后，由清洗模塊對采集到的原始數(shù)據(jù)進(jìn)行進(jìn)一步的處理，除去不相關(guān)數(shù)據(jù)、修正錯(cuò)誤數(shù)據(jù)，將原始數(shù)據(jù)轉(zhuǎn)化為適合進(jìn)行后續(xù)分析的形式。

（3）異常檢測模塊：異常檢測模塊依托人工智能技術(shù)，負(fù)責(zé)分析清洗后的數(shù)據(jù)，檢測出潛在的異常行為或安全威脅，并及時(shí)調(diào)整檢測策略。

（4）威脅響應(yīng)與防御模塊：當(dāng)系統(tǒng)發(fā)現(xiàn)存在潛在安全威脅時(shí)，該模塊會立刻啟動自動化防御機(jī)制，阻止威脅蔓延，并立即通知系統(tǒng)管理員。管理員可以及時(shí)收到警報(bào)，并根據(jù)安全事件的嚴(yán)重性采取相應(yīng)的處理措施，有效降低網(wǎng)絡(luò)安全隱患。

2. 系統(tǒng)關(guān)鍵模塊技術(shù)路線

2.1 基于雙流網(wǎng)絡(luò)模型的網(wǎng)絡(luò)異常檢測模塊

在本文設(shè)計(jì)的系統(tǒng)中，該模塊采用雙流網(wǎng)絡(luò)結(jié)構(gòu)，雙流網(wǎng)絡(luò)模型結(jié)合靜態(tài)特征和動態(tài)特征分析，通過分別處理網(wǎng)絡(luò)流量的時(shí)序數(shù)據(jù)和行為特征，實(shí)現(xiàn)對復(fù)雜網(wǎng)絡(luò)環(huán)境中的異常活動精準(zhǔn)識別。通過結(jié)合卷積神經(jīng)網(wǎng)絡(luò)（CNN）和循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN），充分挖掘固定特征與時(shí)序特征的潛在模式，提升網(wǎng)絡(luò)入侵檢測的準(zhǔn)確性[9]。同時(shí)，該模塊還具有自學(xué)習(xí)能力，能夠通過持續(xù)訓(xùn)練優(yōu)化檢測算法，進(jìn)一步降低誤報(bào)率和漏報(bào)率，為網(wǎng)絡(luò)安全提供更加可靠的保障。

CNN模型的表示形式如下：fCNN（Xing）＝σ（W_c*X_ing＋bc）

式中，σ為激活函數(shù)；W_c為卷積核；b_c為偏置；*為卷積操作，f_CNN（X_ing）為CNN分支；X_ing是網(wǎng)絡(luò)流量數(shù)據(jù)的2D表示形式。

本文設(shè)計(jì)了一種輕量化CNN模型，該模型主要由輸入層、卷積層、池化層和輸出層組成。

（1）輸入層。將網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)轉(zhuǎn)化為2D表示形式，方便CNN模型處理。每個(gè)數(shù)據(jù)包的特征被映射為2D圖像，從而為卷積層提供結(jié)構(gòu)化的輸入數(shù)據(jù)。

（2）卷積層。卷積層1采用10個(gè)濾波器，在輸入數(shù)據(jù)上滑動以提取局部特征，并通過ReLU激活函數(shù)引入非線性；卷積層2與卷積層1類似，但使用了64個(gè)濾波器，并同樣應(yīng)用ReLU激活函數(shù)；卷積層3則應(yīng)用128個(gè)不同尺寸的濾波器，配合ReLU激活函數(shù)進(jìn)行特征提取。

（3）池化層。在每個(gè)卷積層后緊接著添加池化層，目的是減少計(jì)算復(fù)雜度，并有效地壓縮特征圖的尺寸。

（4）輸出層。將卷積層3的輸出數(shù)據(jù)展平成一維向量，供后續(xù)處理或其他任務(wù)使用。

在計(jì)算機(jī)網(wǎng)絡(luò)異常檢測中，RNN單元由三個(gè)主要部分組成：輸入層xt、隱藏層ht和輸出層yt。

（1）輸入層。該層接收來自時(shí)間步t的輸入數(shù)據(jù)，t為時(shí)間步，假設(shè)每個(gè)時(shí)間步的輸入特征維度為d。

（2）隱藏層。負(fù)責(zé)處理輸入數(shù)據(jù)的時(shí)序依賴關(guān)系，捕捉時(shí)間序列中長期的依賴特征。設(shè)隱藏層的狀態(tài)向量為ht，其維度為h。

（3）輸出層。輸出層則基于隱含狀態(tài)ht生成當(dāng)前時(shí)間步的輸出結(jié)果yt，生成當(dāng)前時(shí)間步的輸出結(jié)果。

2.2 基于強(qiáng)化學(xué)習(xí)的網(wǎng)絡(luò)威脅響應(yīng)與防御模塊

Actor-Critic算法是一種強(qiáng)化學(xué)習(xí)方法，該算法通過Actor和Critic組件進(jìn)行協(xié)同工作。其中，Actor負(fù)責(zé)生成行動策略，根據(jù)當(dāng)前的狀態(tài)選擇一個(gè)行動，并將這一選擇提供給環(huán)境；Critic負(fù)責(zé)評估Actor選擇的動作的質(zhì)量，通過計(jì)算當(dāng)前狀態(tài)和行動的價(jià)值（即價(jià)值函數(shù)）對Actor的選擇提供反饋，幫助Actor改進(jìn)其策略[10]。

Actor-Critic網(wǎng)絡(luò)的訓(xùn)練過程具體有以下6個(gè)步驟。

（1）狀態(tài)輸入：環(huán)境向Actor網(wǎng)絡(luò)提供當(dāng)前狀態(tài)，Actor網(wǎng)絡(luò)根據(jù)這一狀態(tài)生成一個(gè)動作的策略。

（2）執(zhí)行動作：Actor根據(jù)其策略選擇一個(gè)動作，并將該動作應(yīng)用于環(huán)境中，環(huán)境則返回執(zhí)行該動作后的新狀態(tài)。

（3）Critic評估：Critic網(wǎng)絡(luò)接收到新狀態(tài)后，計(jì)算該狀態(tài)動作對的價(jià)值，并評估當(dāng)前的策略是否能夠最大化長期回報(bào)。

（4）更新Actor：Actor網(wǎng)絡(luò)通過策略梯度方法，根據(jù)Critic的反饋調(diào)整其策略，使得選擇的動作能夠更好地適應(yīng)環(huán)境并獲得更高的回報(bào)。

（5）更新Critic：Critic網(wǎng)絡(luò)根據(jù)實(shí)際獎(jiǎng)勵(lì)與預(yù)測獎(jiǎng)勵(lì)之間的誤差來調(diào)整其價(jià)值函數(shù)，從而提供更準(zhǔn)確的評估信息。

（6）迭代優(yōu)化：通過不斷的交互和反饋，Actor和Critic網(wǎng)絡(luò)在多個(gè)訓(xùn)練周期中逐步改進(jìn)，最終學(xué)到在各種狀態(tài)下的最優(yōu)策略。

3. 實(shí)驗(yàn)分析

3.1 環(huán)境設(shè)置

本文設(shè)計(jì)仿真實(shí)驗(yàn)全面評估計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的整體性能。在實(shí)驗(yàn)過程中，通過流量生成器模擬了800Mbps的正常網(wǎng)絡(luò)流量，以代表日常情況下的網(wǎng)絡(luò)數(shù)據(jù)傳輸，為了評估防御系統(tǒng)在面對攻擊時(shí)的響應(yīng)能力和有效性，加入了200Mbps的攻擊流量，攻擊類型主要為分布式拒絕服務(wù)（DDoS）、跨站腳本、SQL注入、未知攻擊。

3.2 結(jié)果分析

如表1所示，本系統(tǒng)對不同攻擊類型的檢測準(zhǔn)確率均在90.0%以上，平均響應(yīng)時(shí)間較快。其中，跨站腳本攻擊檢測率最高，為95.5%，但誤報(bào)率略微較大，但從平均響應(yīng)時(shí)間來看較低，僅為270ms，可見，該系統(tǒng)具有一定的實(shí)用價(jià)值。

4. 系統(tǒng)應(yīng)用實(shí)例分析

為了實(shí)現(xiàn)方案可行性評估，鄭州工業(yè)應(yīng)用技術(shù)學(xué)院的校園網(wǎng)安全建設(shè)應(yīng)用了本文提出的方案，來評估該技術(shù)方案的可行性和有效性。

4.1 基本情況

鄭州工業(yè)應(yīng)用技術(shù)學(xué)院是一所民辦本科高校，學(xué)院現(xiàn)設(shè)有16個(gè)學(xué)院，形成了多學(xué)科協(xié)調(diào)發(fā)展的專業(yè)布局。學(xué)校網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善，擁有教職工、學(xué)生和移動接入用戶等數(shù)萬終端。學(xué)校配備了3條千兆聯(lián)通互聯(lián)網(wǎng)出口和1條千兆移動互聯(lián)網(wǎng)出口，此外，還專門建設(shè)了與CERNET和IPv6教育科研網(wǎng)的連接，配備了兩條千兆教科網(wǎng)鏈路，確保科研人員和師生能夠高效訪問國內(nèi)外的教育資源與科研數(shù)據(jù)。在網(wǎng)絡(luò)流量高峰時(shí)段，學(xué)院的雙向流量超過10Gbps，網(wǎng)絡(luò)的并發(fā)用戶數(shù)量也會大幅增加，達(dá)到1萬多人。

4.2 校園網(wǎng)絡(luò)安全現(xiàn)狀分析

目前，校園網(wǎng)數(shù)據(jù)中心的核心業(yè)務(wù)系統(tǒng)，如網(wǎng)站、辦公系統(tǒng)和郵件系統(tǒng)等，缺乏有效的安全防護(hù)措施，系統(tǒng)的安全性存在較大的隱患。一旦遭受非法用戶通過木馬、蠕蟲或應(yīng)用層網(wǎng)絡(luò)攻擊等方式進(jìn)行破壞，會導(dǎo)致核心業(yè)務(wù)系統(tǒng)停運(yùn)，造成數(shù)據(jù)丟失或篡改，給學(xué)校帶來巨大損失。此外，校園網(wǎng)絡(luò)在管理和風(fēng)險(xiǎn)評估方面仍存在一定的不足，現(xiàn)有的網(wǎng)絡(luò)安全管理措施缺乏智能化和自動化，未能及時(shí)對網(wǎng)絡(luò)流量、系統(tǒng)訪問和行為模式進(jìn)行全面分析和監(jiān)控，也無法及時(shí)阻止非法入侵行為。

4.3 系統(tǒng)部署及應(yīng)用效果分析

為提升校園網(wǎng)絡(luò)安全性，此次網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的主要內(nèi)容包括校園網(wǎng)出口流量管控、數(shù)據(jù)中心安全防護(hù)、網(wǎng)絡(luò)態(tài)勢監(jiān)測、病毒防護(hù)等。

通過將本文設(shè)計(jì)的網(wǎng)絡(luò)安全防御系統(tǒng)部署到校園網(wǎng)后，某天，系統(tǒng)在監(jiān)控中發(fā)現(xiàn)一個(gè)時(shí)間段內(nèi)出現(xiàn)了異常的網(wǎng)絡(luò)流量，并多次觸發(fā)了報(bào)警機(jī)制，經(jīng)過初步分析后，決定進(jìn)一步深入分析捕獲的數(shù)據(jù)包、日志文件以及相關(guān)的安全資料，對此次異常情況進(jìn)行詳細(xì)調(diào)查。最終，通過日志記錄與流量分析確認(rèn)，攻擊源為漏洞代號MS05039，并通過相關(guān)文檔和資料分析最終確定這是典型的黑客攻擊事件。此次黑客攻擊的主要過程為：（1）攻擊者利用自動化腳本工具對整個(gè)網(wǎng)絡(luò)進(jìn)行掃描，短期內(nèi)快速增大網(wǎng)絡(luò)流量，攻擊者能夠迅速識別出網(wǎng)絡(luò)中存在的系統(tǒng)漏洞；（2）攻擊者通過針對主機(jī)漏洞的溢出攻擊獲取系統(tǒng)權(quán)限，下載安裝后門程序，以便進(jìn)行遠(yuǎn)程控制。

此外，系統(tǒng)還檢測到某辦公終端連續(xù)向多個(gè)不明IP地址發(fā)送異常加密流量，隨后通過行為分析模塊發(fā)現(xiàn)，這些流量特征與已知的勒索病毒通信模式高度吻合；防御模塊隨即利用Actor-Critic算法作出智能決策，阻斷該終端的外部通信，同時(shí)將感染設(shè)備隔離，成功避免了病毒的進(jìn)一步傳播。

該系統(tǒng)部署在校園網(wǎng)后歷經(jīng)3個(gè)月的運(yùn)行，期間發(fā)生了多起網(wǎng)絡(luò)攻擊事件，并在過程中收集到了大量有價(jià)值的信息，幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)更深入地了解和識別校園網(wǎng)絡(luò)中的潛在安全隱患。為全面提升校園網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全團(tuán)隊(duì)對系統(tǒng)漏洞和常見攻擊技術(shù)的特征進(jìn)行系統(tǒng)分析，并提取了關(guān)鍵特征碼，包括攻擊源的IP地址、特定的攻擊指紋、異常流量的模式以及被攻擊系統(tǒng)的漏洞信息，針對這些識別出的特征碼和漏洞信息，網(wǎng)絡(luò)安全團(tuán)隊(duì)及時(shí)更新了校園網(wǎng)的防火墻和入侵檢測系統(tǒng)，使校園網(wǎng)絡(luò)的防御能力得到了顯著增強(qiáng)，并能夠更好地應(yīng)對各種復(fù)雜的網(wǎng)絡(luò)安全威脅。

結(jié)語

本文設(shè)計(jì)的系統(tǒng)結(jié)合雙流網(wǎng)絡(luò)模型與強(qiáng)化學(xué)習(xí)算法，能夠有效識別并防御DDoS攻擊、SQL注入和跨站腳本攻擊等多種網(wǎng)絡(luò)威脅。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)對不同攻擊類型的檢測準(zhǔn)確率均在90.0%以上，平均響應(yīng)時(shí)間較快，在識別和防御方面性能優(yōu)異，具有一定的實(shí)用價(jià)值。今后，該系統(tǒng)在功能方面、穩(wěn)定性方面仍須繼續(xù)加強(qiáng)，從而推動網(wǎng)絡(luò)安全工作的進(jìn)一步提升。

參考文獻(xiàn)：

[1]柴項(xiàng)羽.基于大數(shù)據(jù)及人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（9）：52-53.

[2]王萍利.基于人工智能技術(shù)的化工企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)[J].粘接，2021（8）：106-109，122.

[3]洪浩，姜珺.人工智能技術(shù)下的網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)[J].粘接，2021（12）：102-106.

[4]吳曉倩.基于人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)[J].信息記錄材料，2023， 24（10）：67-69.

[5]徐楚原.大數(shù)據(jù)及人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)分析[J].數(shù)字技術(shù)與應(yīng)用，2023，41（7）：216-218.

[6]宋午陽，張尼.基于大數(shù)據(jù)及人工智能技術(shù)的網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（7）：56-57.

[7]喬娟.計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的實(shí)現(xiàn)及關(guān)鍵技術(shù)研究[J].通信電源技術(shù)，2021（4）：34-36．

[8]鄧玉，宋良，孫劍.基于人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)[J].無線互聯(lián)科技， 2023（14）：147-149.

[9]冷斌.基于人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全 防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息記錄材料， 2024，25（11）：91-92，95.

[10]王剛，彭倩，段宏軍，等.基于人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 黑龍江科學(xué)，2024，15（18）：70-73.

作者簡介：王志恒，本科，助教，10207781@qq.com，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。