互聯(lián)網(wǎng)神經元網(wǎng)絡安全分析引擎

彭文兵，龍其明，梁華明

（上海電力學院 上海 200090）

1 引言

目前，互聯(lián)網(wǎng)已經植入在我們日常生活當中，互聯(lián)網(wǎng)無處不在，給我們帶來無限機遇，很多著名的應用都建立在互聯(lián)網(wǎng)上，比如：共享單車、滴滴、支付寶、微信等。我們在享受互聯(lián)網(wǎng)給我們的帶來的生活的便捷的同時，互聯(lián)網(wǎng)絡安全也變得越來受人們的關注。目前，互聯(lián)網(wǎng)絡已經成為了人們獲取信息與交流的主要途徑[1，2]。

2 互聯(lián)網(wǎng)絡安全問題現(xiàn)狀

互聯(lián)網(wǎng)絡是建立在對公網(wǎng)絡上，面向所有用戶，那必然導致網(wǎng)絡架構比較復雜，存在一定的設計缺陷，導致出現(xiàn)一些安全方面的風險。近年來，因互聯(lián)網(wǎng)絡安全問題而造成的事件，已經為社會各界敲響了網(wǎng)絡安全的警鐘，比如：某網(wǎng)代碼被惡意刪除、DDOC大規(guī)模拒絕攻擊等。互聯(lián)網(wǎng)絡架構形式各異，并且具有開放性與互聯(lián)性，很容易受到惡意攻擊[3]。互聯(lián)網(wǎng)絡安全從最本質上來說，主要是指網(wǎng)絡中信息的安全，網(wǎng)絡安全應用就是保護網(wǎng)絡中數(shù)據(jù)與信息不被惡意破壞、盜取、故意泄露、篡改，并且保證網(wǎng)絡服務正常穩(wěn)定工作[4]。互聯(lián)網(wǎng)絡應用中常見病毒與木馬的惡意入侵行為；互聯(lián)網(wǎng)建立在各種傳輸協(xié)議上，攻擊者通過偽裝成合法的的傳輸協(xié)議行為發(fā)動攻擊；利用系統(tǒng)的默認開放端口比如443，80，22來進行攻擊；截取網(wǎng)絡數(shù)據(jù)，然后重新進行拼裝數(shù)據(jù)包，重定向網(wǎng)絡目標對目標主機發(fā)動攻擊。

3 客戶端應用神經元

按照互聯(lián)網(wǎng)應用，我們的神經元也有自己的分類。我們分為客戶端神經元類、前端神經元類、服務端神經元類、架構神經元類、網(wǎng)絡層神經元類、業(yè)務神經元類、開發(fā)語言神經元類等。

3.1 瀏覽器同源策略神經元

隨著互聯(lián)網(wǎng)的發(fā)展，人們發(fā)現(xiàn)瀏覽器才是互聯(lián)網(wǎng)最大的入口，絕大多數(shù)用戶使用互聯(lián)網(wǎng)工具是瀏覽器，因此瀏覽器市場的競爭也日趨白熱化。

同源策略各種瀏覽器端是一種約定，會對各種域名環(huán)境進行隔絕，防止他們自己之間信息被其他人共享。而且它是瀏覽器中最核心、最基本的安全功能，若不使用同源策略，則瀏覽器域功能可能會受到安全威脅。本神經元就是可以自動探測到應用的同源策略是否存在漏洞。

3.2 瀏覽器沙箱探測神經元

針對客戶端的工具近年來呈現(xiàn)爆發(fā)趨勢，這種在網(wǎng)頁中被惡意插入一段代碼，利用瀏覽器漏洞執(zhí)行任意代碼的攻擊方式，在黑客圈子里被形象地成為“掛馬”。“掛馬”是瀏覽器需要面對的一個主要威脅，近年來，獨立于殺毒軟件之外，瀏覽器廠商根據(jù)掛馬的特點研究出一些對抗掛馬的技術。

其中安全沙箱就是為了應對這中威脅，在安全沙箱內，可以分出程序的運行權限，讓其不能跨越沙箱的范圍。此神經元可以自動探測程序在沙箱中的越界等安全問題。

3.3 跨應用腳本攻擊識別神經元

跨應用腳本攻擊是客戶端腳本安全中的頭號大敵。多次名列榜首的是OWASO TOP10。跨應用腳本攻擊，通常指最原始的數(shù)據(jù)被攻擊者獲取，通過“注入”擅自篡改了網(wǎng)頁，插入惡意的腳本，從而在用戶瀏覽網(wǎng)頁時，控制用戶瀏覽器的一種攻擊。

跨應用腳本攻擊防御是復雜的，它的防御主要分為：httponly、檢查輸入和輸出檢查等。本神經元主要研究在跨應用腳本攻擊場景，攻擊方式，攻擊結果和攻擊防御等方面進行識別和控制的。

3.4 跨應用請求偽造識別神經元

跨應用請求偽造（英文名CARF）是一種常見的應用攻擊，但很多開發(fā)者對它很陌生，CARF是也安全領域中最容易忽略的一種攻擊方式，甚至很多安全工程師都不太了解他的利用條件和危害，因此不予以重視。但CARF在某些時候卻能產生強大的破壞性。

CARF攻擊是一種比較奇特的攻擊，它的防御主要通過驗證碼、REFERER CHECK，ANTI TOKEN等。本神經元主要用于這種攻擊的識別場景，防范未然。

4 服務端應用安全神經元

4.1 注入攻擊神經元

注入攻擊的本質，是把用戶輸入的數(shù)據(jù)當作代碼執(zhí)行。注入攻擊由分為SQL注入、盲注和TIMING ATTACK等，而解決注入的技巧，要做的事情有兩件：第一找到所有的注入漏洞，第二修補這些漏洞，使用預編譯語句，存儲過程，檢查數(shù)據(jù)類型，使用安全函數(shù)等。

在對抗注入攻擊時，只需要牢記“數(shù)據(jù)與代碼分離的原則”，在拼湊的地方進行安全檢查就能避免這類的問題，理論上通過設計和實施合理的安全解決方案，注入攻擊是可以徹底杜絕的。本神經元就是針對注入攻擊還準備的。

4.2 文件上傳攻擊神經元

文件上傳是互聯(lián)網(wǎng)應用中的一個常見的功能。此攻擊是指用戶上傳了一個可執(zhí)行的腳本文件，并通過此腳本文件執(zhí)行獲得了執(zhí)行服務器端的命令的能力。防御此類攻擊的方法有：文件上傳的目錄設定不可執(zhí)行、判斷文件類型、使用隨機數(shù)改寫文件名和路徑、單獨設置文件服務器的域名等。

4.3 架構安全神經元

在現(xiàn)代應用開發(fā)中，MVC架構是一種流行的的做法。MVC將應用分為視圖V，邏輯實現(xiàn)C和MODEL層實現(xiàn)模型，完成數(shù)據(jù)的處理。從數(shù)據(jù)的流入來看，用戶提交的說先后流經VIEW層、controller、model層，數(shù)據(jù)的流出則正好相反。在設計方案時候，要牢牢把握數(shù)據(jù)U這個關鍵因素，在MVC中，通過切片、過濾器等方式，往往對數(shù)據(jù)進行全局處理，這為設計安全方案提供了極大的便利。

4.4 應用層拒絕服務攻擊神經元

DDOS是一種拒絕式攻擊，又可稱為分布式拒絕服務攻擊，DDOS是利用合理的請求瞬間增大上萬倍資源過載，導致服務不可用。分布式拒絕服務攻擊，將正常請求放大了若干倍，通過若干個網(wǎng)絡節(jié)點同時發(fā)起攻擊，以形成規(guī)模效應。上述網(wǎng)絡節(jié)點通常是黑客們所控制的“肉雞”，待到達到一定規(guī)模后，便形成了僵尸網(wǎng)絡。大型的僵尸網(wǎng)絡的規(guī)模甚至達到了數(shù)萬、數(shù)十萬臺，如此大規(guī)模的僵尸網(wǎng)絡發(fā)起DDOS攻擊，其后果幾乎是不可阻擋。

通常把DDOS分為網(wǎng)絡層攻擊和應用層攻擊等，防御措施包括：限制請求頻率、驗證碼、增加服務器、驗證請求路徑、設定隨機碼驗證等。

4.5 產品設計安全神經元

互聯(lián)網(wǎng)產品提供了在線服務包括性能、美觀、方便性等方便，同事也包括安全。一般來說，安全是產品的一個特性。產品的設計在安全方面包含有密碼管理，業(yè)務邏輯安全[比如密碼取回流程不當會導致用戶信息被盜]等。

4.6 釣魚應用識別神經元

在今天的互聯(lián)網(wǎng)中，釣魚和欺詐問題已經成為了一個最嚴重的威脅，常見的釣魚方式有模仿釣魚網(wǎng)站，郵件釣魚，網(wǎng)購流程釣魚等，對釣魚的防范措施有：控制釣魚應用的傳播路徑，就能對釣魚應用進行有效的打擊；直接打擊釣魚應用，關停其應用；自動化識別釣魚應用；用戶隱私保護。

4.7 安全運營神經元

安全運營貫穿整個體系中。安全運營需要讓端口掃描，漏洞掃描，代碼白盒掃描等發(fā)現(xiàn)問題的方式變成一個周期性的任務。安管理上的疏忽隨時都有可能打破之前辛辛苦苦建立起來的安全防線。因此，在規(guī)劃整套安全方案，也要規(guī)劃漏洞的發(fā)現(xiàn)，修補，控制流程等。

5 總體技術設計

5.1 設計規(guī)定

本系統(tǒng)主要實現(xiàn)各神經元創(chuàng)建整合和應用在實際場景中，并對神經元系統(tǒng)進行有效的管理。同時應具備靈活的接口和模塊化設計，以及較好的可擴展性，方便以后的功能擴展。

5.2 運行環(huán)境

軟件運行環(huán)境為Windows2000、Windows XP、Windows 2003、Windows Vista、windows7，centos系統(tǒng)。硬件環(huán)境：CPU PII以上，內存1G以上。

5.3 引擎總體架構

為了便于引擎的擴張，提高開發(fā)速度，在設計引擎時將該引擎主要分為三層：

第一層為神經元基礎層：該層主要提供了把這次文章中的神經元。神經元是組成本引擎的基礎部分，集中包括具體實現(xiàn)這些神經元的子邏輯，觸發(fā)機制，反應機制等。

第二層為神經網(wǎng)絡引擎核心層：該層提供了神經元網(wǎng)絡最基本接口，包含對神經元的組合，組合效果，組合方案的對比，神經元管理，物理數(shù)學系統(tǒng)建立的神經元網(wǎng)絡系統(tǒng)。

最上層為高級算法層：這一層是神經元網(wǎng)絡引擎對外提供接口，對外輸入的反饋，并實現(xiàn)可擴展的能力。

5.4 神經網(wǎng)絡數(shù)學模型技術

運用基本的神經元算法，其中x=(x1，…..xm)t輸出向量，y為輸出，wi是權系數(shù)，輸入和輸出的關系存在如下關系：

5.5 神經網(wǎng)絡網(wǎng)絡模型

其中x=(x1，…xn)為神經元，w=(w1，…xl)為處理流程，o=(o1，…om)為處理輸出，其模型見圖1。

圖1 神經網(wǎng)絡網(wǎng)絡模型

6 結論與展望

該項目成果形式是一款基于神經元網(wǎng)絡的分析引擎軟件。項目成功后，互聯(lián)網(wǎng)軟件公司和科研機構均可以采用此系統(tǒng)對其應用進行安全檢測分析和控制，凈化我國的互聯(lián)網(wǎng)環(huán)境。對我國的基礎互聯(lián)網(wǎng)有相當?shù)拇龠M作用。

[1]武仁杰.神經網(wǎng)絡在計算機網(wǎng)絡安全評價中的應用研究[J].計算機仿真，2011，28(11)：126-129.

[2]原錦明.神經網(wǎng)絡在計算機網(wǎng)絡安全評價中的應用研究[J].網(wǎng)絡安全技術與應用，2014，(4)：52-53.

[3].陳振宇，喻文燁.神經網(wǎng)絡在計算機網(wǎng)絡安全評價中的應用研究[J].信息通信，2015，148(4)：139.

[4]李震宇.基于神經網(wǎng)絡的計算機網(wǎng)絡安全評價研究[J].電子制作.電腦維護與應用，2014(19).