人工智能技術在計算機網絡防御中的應用探索

李兆芃

（鄭州財稅金融職業學院 河南 鄭州 450000）

0 引言

信息網絡多樣化服務，雖為人們提供了各式各樣的網絡便捷服務，但計算機網絡環境中，信息安全問題也逐漸凸顯［1］。 例如黑客可使用多種入侵技術，非法提取計算機網絡用戶隱私信息，若計算機網絡未能檢測發掘入侵行為，便不能認識到自身安全已經受到非法侵犯，計算機系統在網絡中傳輸、共享信息資源，因硬件、軟件等設備存在對接關系，將在無意識之間，泄露網絡中隱私數據［2］。

人工智能技術是新型技術。 智能化、人性化是目前計算機發展的核心方向［3］。 本文在計算機網絡防御中，探索如何利用人工智能技術，設計一種基于人工智能技術的計算機網絡入侵防御系統，系統主要將計算機網絡入侵檢測與防御聯動作為研究核心，通過人工智能技術中誤差反向傳播（back propagation，BP）神經網絡模型，智能分類檢測計算機網絡流量是否屬于入侵行為數據，并使用嵌入式防火墻技術，以內網、外網多點防御聯動的方式，有效隔離入侵行為的進一步深入。

1 計算機網絡病毒入侵行為分析

分析當下計算機網絡經常出現的病毒入侵行為信息可知，地址解析協議（address resolution protocol，ARP）攻擊、內網IP 協議（internet protocol）詐騙、內網攻擊、外網流量攻擊，是目前計算機網絡經常出現的入侵行為類型。 為有效防御計算機網絡入侵行為，需要在檢測網絡入侵行為之前，對計算機網絡病毒入侵行為類型進行細化分析，以備后續技術人員快速制定計算機網絡入侵行為的具體解決方案［4］。

（1）ARP 攻擊

計算機網絡出現ARP 攻擊后，ARP 攻擊行為會制造虛假的IP 地址、媒體存儲控制（media access control，MAC）地址，入侵計算機網絡。 若計算機網絡入侵成功，便會持續向其他計算機傳輸違背標準的ARP 流量數據包。 此類流量數據包中，存在和其入侵計算機相同的MAC 地址，如果其他計算機回應ARP 攻擊行為的報文，便會因網絡地址重復，出現計算機網絡通信癱瘓狀態［5］。

（2）內網IP 詐騙

內網IP 詐騙行為出現后，發起入侵行為的計算機和遭受入侵的計算機之間，會出現內網IP 沖突問題。 內網IP 詐騙行為使用IP 地址冒用的方式，干擾屬于正常IP 地址計算機，從而導致其他計算機網絡崩潰，無法為用戶提供網絡服務［6］。

（3）外網流量攻擊

外網流量攻擊行為的攻擊目標是固定式IP 用戶。 現實生活中，網吧的光纖IP 存在固定性，而外網流量攻擊的IP 一直在變化，若固定式IP 受到外網流量攻擊，網吧計算機網絡的入侵檢測難度便會增大。 外網流量攻擊后，內網的網速便會受到負面影響，嚴重的話還會出現網絡無法連接問題［7］。

綜上所述，計算機網絡病毒入侵行為出現后，計算機網絡的流量數據會受到負面影響，除上文所述的幾種入侵行為之外，隨著信息化技術的快速發展，多樣化的計算機網絡入侵行為層出不窮，為了保證計算機網絡安全，網絡入侵防御技術的有效應用十分重要。

2 基于人工智能技術的計算機網絡入侵防御聯動系統

計算機網絡入侵檢測的目標，是網絡中的非法訪問行為。 為保證計算機網絡安全，當出現異常情況時，必須在第一時間內檢測、識別異常行為的出現原因。 但目前已有的計算機網絡入侵檢測技術，只可檢測識別入侵行為，不具備網絡安全防御能力。 人工智能是把計算機科學、語言學、控制論以及神經生理學融合應用的綜合性學科技術［8］。 其能夠融合應用多學科技術，使用智能化技術，分析問題、解決問題。 本文以入侵防御聯動的方式，設計基于人工智能技術的計算機網絡入侵防御聯動系統，提高計算機網絡入侵檢測精度、速度，保護計算機網絡安全。

3 基于人工智能技術的計算機網絡入侵防御聯動系統的設計方案

基于人工智能技術的計算機網絡入侵防御聯動系統的設計方案如圖1 所示。

圖1 基于人工智能技術的計算機網絡入侵防御聯動系統的設計方案

如圖1 所示，基于人工智能技術的計算機網絡入侵防御聯動系統結構，主要分為計算機網絡數據抓取模塊、計算機網絡數據分析模塊、計算機網絡防御模塊。 計算機網絡數據抓取模塊采集計算機網絡中的流量數據，在初步過濾后，發送至計算機網絡數據分析模塊。 計算機網絡數據分析模塊使用基于BP 神經網絡的入侵檢測模型，分類識別流量數據是否存在異常。 如果網絡流量數據存在異常，計算機網絡防御模塊以聯動運行的方式，立即啟動網絡嵌入式防火墻，隔離內網、外網的全部入侵行為，保護計算機網絡安全。

3.1 計算機網絡數據抓取模塊

計算機網絡中流量數據較多，為保證入侵檢測的速度，計算機網絡數據抓取模塊必須實時、快速、精準采集網絡流量數據。 采集計算機網絡流量數據時，需保證流量數據丟包率最低，低丟包率是為了防止丟掉的數據包屬于入侵攻擊包，避免出現入侵行為漏檢問題。 本文所設計的基于人工智能技術的計算機網絡入侵防御聯動系統中，計算機網絡數據抓取模塊結構如圖2 所示。

圖2 計算機網絡數據抓取模塊結構

如圖2 所示，計算機網絡數據抓取模塊使用網卡驅動程序，采集計算機網絡中傳輸的流量數據幀；網絡數據包過濾器（netgroup packet filter，NPF）屬于流量數據幀核心緩沖單元，用于讀取網卡驅動程序采集的流量數據，并將流量數據發送至調用接口Packet.dll、接口Wpcap.dll。 接口Packet.dll 屬于包捕獲接口，主要用于服務上層程序的計算機網絡數據分析模塊，接口Wpcap. dll 屬于接口Packet.dll 的子接口，可將核心緩沖單元讀取的流量數據，發送至計算機網絡數據分析模塊。 計算機網絡數據分析模塊利用BP 神經網絡模型，完成流量數據的分類檢測。

3.2 計算機網絡數據分析模塊

計算機網絡數據分析模塊使用人工智能技術，分類檢測計算機網絡流量數據是否存在異常。 BP 神經網絡屬于人工智能模型，其結構存在多個神經元，神經元互連后，以模擬人類大腦神經系統結構與功能的方式分析問題，本文主要使用BP 神經網絡，設計計算機網絡入侵檢測模型。圖3 是計算機網絡數據分析模塊結構示意圖。

圖3 計算機網絡數據分析模塊結構示意圖

計算機網絡數據分析模塊所用的BP 神經網絡模型，存在以下幾種使用優勢：

（1）BP 神經網絡模型能夠以學習訓練樣本的方式，合理設置神經元之間連接權重，且無須提前設計計算機網絡流量分類檢測函數，具備較好的非線性能力。

（2）采用學習訓練的方式，提取計算機網絡流量數據潛在的信息規律，具備較好的新流量數據分類的適應能力，泛化性能顯著。

（3）并行計算能力顯著，BP 神經網絡結構訓練完畢后，可動態、并行診斷大規模計算機網絡流量數據。

BP 神經網絡結構主要分為輸入層、輸出層、隱含層。各層均存在多個神經元，各個神經元之間通過權重連接，神經元之間不存在聯系。 BP 神經網絡學習時，學習步驟分為前向傳播、后向傳播。 當BP 神經網絡結構學習模式給定后，在輸入層輸入神經元的激活值，計算機網絡流量數據樣本由隱含層發送至輸出層。 輸出層神經元接收網絡的輸入樣本后，以期望輸出與實際輸出誤差最小值為目標，調節輸出層與隱含層的連接權重。 各個權重的調節方法，由誤差逆傳播算法調整完成，當BP 神經網絡的訓練均方誤差值不大于定值時便可停止訓練。

BP 神經網絡模型的使用核心問題，是如何合理設置網絡的隱含層數、隱含層節點數、輸入層與輸出層的節點數目。 BP 神經網絡的每個參數，都會影響其對計算機網絡入侵檢測的性能。 一般情況下，只有單個隱含層的網絡結構，其訓練速度較快。 本文為了保證網絡入侵檢測的實時性，使用單個隱含層的BP 神經網絡結構。 隱含層節點數目的設置，不存在固定、詳細的具體規則；輸入層與輸出層的節點數目，需要結合輸入的流量數據樣本設置。 輸入層節點數目較多時，BP 神經網絡學習次數也變多，導致網絡結構學習訓練效率降低。 而輸入層節點數目較少，會導致網絡學習訓練效果欠佳，影響其對計算機網絡入侵檢測的精度。

綜上所述，本文設計基于BP 神經網絡的網絡入侵檢測模型，作為計算機網絡數據分析模塊的核心技術，其建模流程是：

（1）設置BP 神經網絡結構主要分為輸入層、隱含層、輸出層。

（2）提取合適的輸入樣本，并劃分訓練樣本、測試樣本。 訓練樣本為已知類型的計算機網絡流量數據，測試樣本來源于計算機網絡數據抓取模塊，為實時采集的未知類型流量數據，需將兩類輸入樣本執行歸一化處理。

（3）將BP 神經網絡的學習訓練次數、訓練誤差精度、隱含層節點數等參數，執行初始化處理。

（4）運算BP 神經網絡各層輸入輸出值，分析每一層的操作誤差。

（5）訓練BP 神經網絡的結構，調節網絡各層的連接權重與閾值。

（6）當訓練次數為最大值，或計算機網絡流量數據分類誤差極小，便可結束網絡訓練。 最后輸入需診斷檢測的流量數據樣本，以計算機網絡流量數據分類的方式，判斷流量數據是否屬于某種入侵行為下的流量數據。

3.3 計算機網絡防御模塊

一般情況下，專用的計算機網絡入侵檢測設備，主要監控計算機網絡進出口的信息，對網絡入侵行為不存在隔離作用。 而有效的網絡防御，是需要將入侵檢測與計算機網絡防火墻聯動使用，才能保證計算機網絡安全性。 當計算機網絡數據分析模塊使用BP 神經網絡模型檢測發現入侵行為后，便會以入侵防御聯動的方式，生成計算機網絡入侵的動態防御規則，阻斷入侵行為。 圖4 是計算機網絡防御模塊的聯動技術框架。

圖4 計算機網絡防御模塊的聯動技術框架

計算機網絡防御模塊的聯動程序，主要由客戶端服務器（邊界）、機密性內部網絡的入侵檢測端聯動完成，防火墻主要在客戶端服務器、機密性內部網絡的入侵檢測端使用。

具體使用方法是：在計算機網絡的客戶端服務器、入侵檢測端，分別安裝一個防火墻程序。 當計算機網絡防御模塊的聯動程序啟動后，客戶端服務器便會立即發送網絡安全防御控制指令，傳輸至防火墻，防火墻結合網絡安全防御控制指令信息，動態啟動惡意入侵過濾機制，完成計算機網絡入侵防御聯動。

傳統防火墻技術需要隔離內網與外網，內網即為可信任安全網絡，外網表示不可信任網絡，防火墻的核心作用是保護內網安全。 針對計算機網絡而言，傳統式防火墻的使用，存在一些缺點：其與網絡服務器的站點軟件屬于分離狀態，不能防御內網出現的入侵行為，且不能防御合法用戶惡意入侵。 為此，本文改進傳統防火墻，設計新型防火墻——嵌入式防火墻。 防火墻示意圖如圖5 所示。

如圖5 所示，本文研究使用的嵌入式防火墻，不僅需要在計算機網絡邊界處使用，還需嵌入計算機網絡客戶端服務器程序，把傳統的計算機網絡集中式防御模式，變成分布結合式防御。

在分布結合式防御模式下，嵌入式防火墻對訪問者的IP 地址、MAC 地址、域名、登錄身份都具備拒絕訪問能力。當計算機網絡出現入侵行為，防火墻可針對非法用戶發出入侵報警，管理員能夠遠程管理入侵防御程序，并在后端訪問計算機網絡運行日志，分析入侵信息。 而防火墻的IP 地址過濾、MAC 地址過濾、域名過濾功能，可有效隔絕非法用戶登錄計算機網絡內網。

嵌入式防火墻最大的應用優勢，是把計算機網絡單點防御轉換為多點防御，提升計算機網絡防御能力。 基于人工智能技術的計算機網絡入侵防御聯動系統中使用此類防御技術，需要合理設定邊界防火墻，用于隔離外網、內網之間的連接。 在機密性內部網絡的入侵檢測端，需要格外配置一個嵌入式防火墻程序，直接保護機密性內部網絡服務器安全，如企業內部財務網絡、重要軍事網絡等。

4 結語

雖然當前我國的計算機網絡技術水平不斷提升，但是入侵防御技術方面的發展層次還較低，無法全面防范網絡惡意攻擊。 人工智能技術具備較強的信息處理能力，可以在計算機網絡入侵檢測問題中有效、準確檢測出異常流量數據，從而為計算機網絡安全防御程序的啟動提供提示。本文利用人工智能技術的BP 神經網絡模型設計計算機網絡入侵防御聯動系統，借助BP 神經網絡模型分類檢測網絡流量，從而判斷計算機網絡是否被入侵；如果出現入侵行為，便啟動入侵防御聯動程序，通過嵌入式防火墻EWF 阻斷入侵行為，為網絡安全提供保證。