基于流量分析的網絡安全防御系統應用與研究

◆陸星宇

（中國民用航空西南地區空中交通管理局云南分局 云南 650200）

目前，互聯網面臨的安全威脅非常多，常見的包括木馬病毒和 DDOS攻擊。木馬病毒是一種網絡攻擊程序，其可以通過圖像、視頻、文檔等傳播給PC機、服務器，導致網絡用戶無法正常使用系統，甚至會破壞系統的重要數據資源，為人們帶來嚴重經濟損失[1]。互聯網學者和安全防御企業為了提高網絡正常服務能力，已經提出了許多的安全防御技術，比如360安全衛士、騰訊衛士、卡巴斯基、瑞星殺毒等，也提出了一些先進的網絡設計方法，比如免疫網絡等，加強了網絡安全防御能力，避免用戶因為使用網絡產生損失[2]。

1 網絡安全防御技術應用現狀分析

目前，互聯網安全防御技術經過多年的實踐和研究，已經提出了很多，殺毒軟件、防火墻、免疫網絡、深度包過濾和加密算法[3]。

（1）加密算法。互聯網傳輸的數據資源非常多，為了保證通信傳輸不被非法分子破壞和竊取，通信學者提出了128位或256位的非對稱加密算法，可以大幅度提升數據傳輸的安全性，進一步增強加密數據的安全能力。互聯網也可以利用先進的區塊鏈技術，構建一個分布式的、無中心的共識機制，進一步提高通信數據認證可靠度，具有較強的準確性。

（2）防火墻和殺毒軟件。防火墻是一種部署于應用層、傳輸層的互聯網安全防御系統，可以引入先進的網絡控制規則，分析傳輸的數據包中是否包含病毒或木馬，如果一旦確定某個數據包包含病毒或木馬，就可以禁止數據包通過防火墻。殺毒軟件與防火墻類似，其首先也需要檢查數據包中是否存在病毒威脅，一旦發現網絡數據包存在攻擊威脅，比如木馬特征或病毒特征，此時就可以啟動脫殼技術，將偽裝的病毒或木馬外衣去除，然后將病毒或木馬數據清除網絡，提高網絡的安全服務性能。

（3）深度包過濾。深度包過濾是一種引入深度學習、固件理論的安全防御技術，利用深度學習可以識別、分析網絡數據包，深入到數據包的每一個協議字段，這樣就可以提高網絡病毒或木馬的特征片段，從而可以將其殺滅。深度包過濾作為一個軟件，為了滿足“互聯網+”時代大數據傳輸需求，可以將其固化在一個硬件設備中，利用硬件電路實現軟件功能，提高深度包過濾的處理速度。目前，深度包過濾已經得到廣泛應用，進一步提高了網絡安全性，滿足人們的工作、生活和學習需求。

（4）免疫網絡。免疫網絡是一種非常先進的自動化網絡，其可以根據感染網絡病毒或木馬的實際情況，利用自動化愈合技術修復網絡架構，比如將網絡數據傳輸線路轉移到備份線路，也可以實現病毒或木馬的自我免疫，隔離網絡中的木馬或病毒，形成一個非常深度的防御規則及機制。

2 基于流量分析的網絡安全防御系統研究

2.1 網絡安全防御模型設計

基于流量分析的網絡安全防御系統的主要功能包括三個方面，分別是流量采集功能、流量分析挖掘功能、分析結果應用歸納[4]。詳細功能描述如下：

（1）流量采集功能。目前，互聯網應用技術非常先進，基于大數據、云計算等構建了很多的數據中心，比如阿里云、百度云、騰訊云等，這些數據中心承載的業務非常多，因此流量也非常大，網絡安全流量分析需要利用監控系統采集所有的流量，將這些流量進行初步過濾之后發送給挖掘分析模塊。

（2）流量分析挖掘功能。本文提出利用卷積神經網絡構建一個網絡流量挖掘與分析系統，該系統可以從互聯網流量中發現潛在的病毒或木馬，針對這些網絡安全威脅進行識別、評估和判斷，進一步提高網絡流量分析應用能力。

（3）分析結果應用。流量分析與挖掘結果出來之后，就可以判定網絡中是否存在病毒和木馬，如果存在就可以啟動殺毒軟件，如果不存在就可以放行，另外還可以根據分析結果表征網絡應用水平，同時還可以掃描軟硬件集成是否存在不兼容現象，可以加強互聯網的可靠運行能力。

基于流量分析的網絡安全防御系統業務流程如圖1所示。

圖1 網絡安全流量分析系統數據處理流程

2.2 網絡安全防御關鍵技術

基于流量分析的網絡安全防御系統利用卷積神經網絡能夠分析各類型流量信息，比如網絡流量態勢、軟硬件集成漏洞、DDoS攻擊數據等，將這些能力關聯在一起，形成一個強大的安全能力防御機制。卷積神經網絡（CNN）是一種非常先進的前饋型人工神經網絡，包括兩個卷積層，一個卷積層為特征提取層，一個卷積層為特征映射層，可以識別網絡流量中的特征數據，同時將池化層進行處理，壓縮和處理池化層數據信息，比如進行預處理、二值化等，刪除網絡中的一些明顯的安全數據。池化層可以將海量的網絡數據進行壓縮，減少卷積神經網絡分析時設置的參數，解決卷積神經網絡學習和訓練時容易產生的過度擬合問題，避免網絡安全流量分析模型陷入一個過度擬合狀態，不能提高網絡安全防御能力，還會降低提升數據處理開銷。全連接層就是一個關鍵分類器，可以將學習到的知識標記到一個特征空間，這樣就可以提高網絡安全處理結果的可解釋性。卷積神經網絡通過學習和訓練之后，其可以形成一個動態優化的網絡結構，這個結構可以在一定時期內保持不變，能夠實現網絡病毒特征的識別、分析，為網絡安全防御提供一個準確的病毒或木馬識別結果。由于互聯網在運行中面臨的攻擊威脅是變異的，因此卷積神經網絡需要定期進行學習和訓練，利用動態優化原則，掌握最新的病毒或木馬特征片段，以便能夠與時俱進，提高網絡安全防御能力。

3 結束語

互聯網安全防御是一個非常復雜的工作，需要定期的或實時的評估網絡安全防御現狀，分析網絡防御是否存在漏洞，以便能夠引入更加先進的防御技術，構建網絡安全防御架構，從而保證網絡正常運行。