基于ⅠDC互聯網流量結合大數據分析技術開展安全能力關聯深度學習研究

◆李翔宇

（中國移動通信集團廣東有限公司 廣東 510000）

1 引言

目前，人類社會已經進入到“互聯網+”時代，通信運營商、數據內容運營商等投資建設了許多的ⅠDC，購置了先進的Web 服務器、陣列存儲器、光纖交換機、高速路由器等設備，建設了大規模的ⅠDC機房，承載和部署的數據信息非常多。因此，ⅠDC 機房也會存在很多的漏洞，許多不法分子利用DDoS 攻擊、數據篡改等手段破壞信息安全。因此ⅠDC 也逐漸引入了許多先進的管理制度和防御技術，比如防火墻、訪問控制列表、網絡流量態勢感知和溯源查找工具、DDoS漏洞監控和網絡安全防篡改工具等。DDoS 攻擊是一個網絡資源非法占用工具，造成網絡帶寬阻塞、服務器CPU 資源占用等，合法訪問者無法訪問ⅠDC 資源，因此利用DDoS 監控技術和防護制度，可以保障ⅠDC 的可用性。漏洞監控可以利用實時監控軟件，構建一個全生命周期管理模式，避免ⅠDC 資產產生運營風險。網站防篡改監控為真實網站提供一種防篡改的機制，確保網站穩定運行，防止非法分子更改網站主頁鏈接，進一步確保ⅠDC 正常運行，保障用戶的信息安全。態勢感知可以實時采集ⅠDC 中的數據流量，分析這些流量是否存在突發性、應激性的上升或下降，挖掘潛在的病毒態勢、漏洞態勢，進而能夠確定ⅠDC 流量中是否包含病毒或漏洞，及時修補提高ⅠDC 安全運行能力。攻擊溯源則可以利用嗅探跟蹤技術，分析攻擊ⅠDC 中心的數據來源，進一步阻斷非法訪問，維護ⅠDC 正常用戶的訪問權利[1]。

ⅠDC 經過多年的運行，采用的DDoS 監控、漏洞監控、網站防篡改監控、態勢感知和攻擊溯源等技術單一配置缺陷比較明顯，這些安全能力技術之間存在很多的漏洞和問題，比如關聯性不強直接導致一些安全威脅無法被識別[2]。ⅠDC 作為一個大型的互聯網數據中心，訪問用戶數以億計，流量也達到了數以百G 每日，因此積累了海量的互聯網資源，將ⅠDC 采用的安全防御技術關聯在一起，形成一個強大的安全能力提升機制，已經成為ⅠDC 運營管理者重要研究任務[3]。

2 大數據技術在互聯網安全能力關聯深度學習的應用

2.1 互聯網安全能力深度學習模式設計

ⅠDC 機房部署的設備非常多，這些設備采用不同的開發技術，比如Java 程序、C#程序、C 程序或C++程序等，這些軟硬件資源集成在一起難免產生漏洞，也是非法分子利用DDoS 攻擊的對象，因此需要構建一個關聯深度學習模式，有效地實現數據采集、數據挖掘和數據應用三個關鍵功能，詳細功能描述如下。

（1）數據采集功能。ⅠDC 作為是一個大型的廣電數據中心，其可以存儲視頻、圖像、文本等資源，還可以包括各類型的服務器運行日志，因此ⅠDC 組成的設備非常多，需要針對這些設備構建一個強大的數據采集軟件，根據網絡安全防御需求實時采集每一個設備運行狀態數據，還可以采集互聯網的流量數據，及時將這些數據發送給服務器進行分析。

（2）數據挖掘功能。本文的數據挖掘技術采用卷積神經網絡，卷積神經網絡包括多個層次，比如輸入層、隱含層、輸出層等，從DDoS 監控、漏洞監控、網站防篡改監控、態勢感知和攻擊溯源等技術中流經的ⅠDC 流量非常多，這些技術本身可以實現數據的分析，利用卷積神經網絡可以將這些技術作為輸入，賦予其不同的權值因子，這些權值因子經過訓練可以生成，實現不同安全能力的組合，提升安全防御能力整體應用效果。

（3）數據應用。基于卷積神經網絡可以構建一個功能完善的網絡安全態勢感知系統，該系統能夠積極、主動的發現網絡中存在的病毒、木馬或DDoS 攻擊態勢，以便能夠針對不同的模型進行分析，從而可以加強網絡攻擊防御能力，實現不同的安全能力組合和啟動，進一步加強ⅠDC 的可靠運行能力。

2.2 互聯網安全能力深度學習模式關鍵技術研究

“互聯網+”環境下，ⅠDC 互聯網運行潛在一些漏洞，成為許多非法分子的攻擊目標，并且隨著安全攻擊技術的提升，ⅠDC 面臨的安全威脅隱藏周期更長、攻擊范圍也更大，為了提高ⅠCV 互聯網的安全防御性能，可以引入機器學習技術，利用機器學習構建一個積極的、主動的安全防御體系[4]。本文引入的機器學習技術為卷積神經網絡，其是一種深層次的、前饋型的人工神經網絡，因此又被稱為深度學習算法，能夠針對海量數據進行分析，發現潛在的、有價值的數據知識，卷積神經網絡已經在很多領域得到應用，比如圖像處理、文檔挖掘、基因識別、智能制造等領域，大大提高了社會的智能化水平。卷積神經網絡擁有多個層次，分別是輸入層、卷積層C1、卷積層C2、池化層S1、池化層S2、全連接層。卷積層C1 為特征提取層，C1 與輸入層神經元連接在一起，可以獲取數據的局部特征，同時確定特征之間的相對位置關系。卷積層C2 為特征映射層，可以將數據的特征映射到一個平面上，實現數據特征的壓縮。卷積神經網絡一般采用Sigmoid 函數作為激活函數，激活函數能夠保證特征及映射位移保持不變，同時還可以減少卷積神經網絡參數設置數量。輸入層可以接受外部數據，比如網絡流量數據，針對這些數據進行歸一化處理，以便能夠統一數據處理結果，同時可以降低數據中包含的噪聲數據，比如明顯是正常的網絡流量，可以將這些過濾掉，從而更加針對性地對可疑網絡流量進行分析，提高網絡安全防御能力。池化層可以結合網絡流量的病毒分析模型進行分析，從而可以大幅度壓縮數據對象的數量和評判屬性的數量，解決深度學習算法運行可能存在的過度擬合問題，避免算法陷入到一個局部最優狀態。全連接層是一個學習成功的分類器，這樣就可以將學習到的特征映射到一個標記空間，這個標記空間能夠將抽象的結果具體化，提高算法的可解釋性[5]。卷積神經網絡的結構如圖1 所示。

圖1 卷積神經網絡在互聯網安全能力深度學習模式中的結構

本文利用卷積神經網絡能夠分析ⅠDC 互聯網中的數據，包括DDoS 攻擊數據、病毒數據、木馬數據，將這些數據集成在一起，構建一個強大的安全能力防御機制，算法應用步驟如下所述：

（1）生成互聯網流量數據集。本文利用先進的互聯網包抓取器，從互聯網中獲取數據包，這些數據來源于不同的源頭，分類之后包括漏洞數據、態勢數據、DDoS 數據等，互聯網流量數據歸一化處理后刪除噪聲數據，重點分析流量異常發生的數據。

（2）數據預處理（輸入層）。針對所有的互聯網流量數據進行標記，構建一個包含一萬條數據包訓練集和包含十萬條數據包測試集，針對互聯網流量數據進行歸一化預處理，去除數據包中的噪聲字段，保留有效的數據協議字段。

（3）卷積神經網絡訓練。互聯網流量數據模型訓練時，本文使用ReLU 激活函數，加快卷積神經網絡的收斂速度，減少網絡設置參數。卷積層Conv1 由20 個4×4 的卷積核與輸入網絡數據進行卷積，卷積步長為2，得到20 個13×13 的特征數據；卷積層Conv2 的卷積核大小為3×3，卷積步長為2，卷積后得到50 個6×6 的特征數據；卷積層Conv3 的卷積核大小為3×3，卷積步長為1，卷積后生成60個4×4 的特征數據；池化層步長為2，采樣后可以獲取80 個2×2 的特征數據；全連接層1 神經元個數為100；全連接層2 的神經元個數為10。Conv1、Conv2、Conv3、池化層1、全連接層1 的激活函數均為ReLU 函數，全連接層2 的激活函數sigmoid 激活函數。

（4）卷積神經網絡訓練完成之后，就可以將DDoS 監控、漏洞監控、網站防篡改監控、態勢感知和攻擊溯源等安全能力產生的數據輸入到卷積神經網絡，卷積神經網絡可以通過自動擬合，為每一個安全能力賦予不同的權值，以便能夠表征每一個安全能力為ⅠDC 作出的安全防御貢獻，根據不同的攻擊威脅，動態的調整每一個安全能力指標，從而可以優化升級安全能力資源，提高ⅠDC 安全能力防御需求。引入卷積神經網絡前后，本文針對ⅠDC 安全能力測試結果顯示，引入前防御能力指標測試準確度為81.3%，引入后測試結果顯示準確度可以到98.2%，能夠滿足互聯網安全能力分析需求。

3 結束語

隨著ⅠDC 等數據中心建設和運營，人們為了保持ⅠDC 的正常運行，需要從制度和技術兩個方面加強管理。ⅠDC 管理制度可以從使用人員、使用時間、使用方法等方面進行管理，構建持續的、實用的連續提升措施，降低ⅠDC 的運行風險發生概率，進一步確保ⅠDC 的財產安全。另外，ⅠDC 也需要引入更加先進的技術，改變傳統的安全能力防御機制，在ⅠDC 安全防御中引入先進的卷積神經網絡，從而可以利用ⅠDC 互聯網流量異常現象，結合ⅠDC 服務平臺集成存在的漏洞或安全態勢進行感知，可以識別網絡是否存在攻擊威脅特征，實現網絡能力的進一步防御性能提升。本文采用卷積神經網絡構建深度學習模式，可以彌補互聯網安全防御被動的問題，從而可以提高網絡安全防御的積極性和主動性，同時卷積神經網絡也是一個可以動態改進的模式識別算法，自身擁有一個自動化的學習能力，能夠針對未來的網絡安全攻擊態勢進行預測，進一步提高網絡安全防御效果。