◆李英

基于大數(shù)據(jù)的網(wǎng)絡(luò)安全防御系統(tǒng)研究與設(shè)計(jì)

◆李英

（鞍山市廣播電視學(xué)校 遼寧 114200）

網(wǎng)絡(luò)安全防御是一項(xiàng)非常復(fù)雜的工作，傳統(tǒng)的防火墻、加密技術(shù)或殺毒軟件均采用被動(dòng)防御模式，無法提高網(wǎng)絡(luò)安全防御的感知水平，因此亟須引入更加先進(jìn)的大數(shù)據(jù)技術(shù)，也即是K-means算法，利用該算法構(gòu)建一個(gè)網(wǎng)絡(luò)態(tài)勢(shì)感知與防御模塊，這樣就可以提高網(wǎng)絡(luò)安全防御主動(dòng)性、智能化程度，提高網(wǎng)絡(luò)安全防御的水平。實(shí)驗(yàn)結(jié)果表明，K-means算法能夠提高判斷網(wǎng)絡(luò)數(shù)據(jù)中的木馬或病毒的準(zhǔn)確度，網(wǎng)絡(luò)安全防御水平達(dá)到了99.4%，高于支持向量機(jī)和貝葉斯理論算法，同時(shí)還不需要設(shè)置過多的參數(shù)，不需要管理人員擁有豐富的網(wǎng)絡(luò)安全防御知識(shí)。

大數(shù)據(jù)；K-means算法；網(wǎng)絡(luò)安全防御系統(tǒng)；殺毒軟件

1 引言

目前，隨著云計(jì)算、大數(shù)據(jù)和數(shù)據(jù)庫等技術(shù)的快速發(fā)展，全球已經(jīng)進(jìn)入到了數(shù)字化和“互聯(lián)網(wǎng)+”時(shí)代，基于互聯(lián)網(wǎng)開發(fā)了許多的分布式應(yīng)用軟件，覆蓋了政務(wù)服務(wù)、工業(yè)控制、金融銀行、在線學(xué)習(xí)、智能旅游等多個(gè)行業(yè)，提高了人們工作、學(xué)習(xí)和生活的便捷性。但是，伴隨互聯(lián)網(wǎng)而生的木馬或病毒，導(dǎo)致網(wǎng)絡(luò)安全事件頻繁發(fā)生，比如勒索病毒等。360網(wǎng)絡(luò)安全公司統(tǒng)計(jì)報(bào)告顯示，2019年勒索病毒類攻擊占全網(wǎng)攻擊的62%，比2018年高近6個(gè)百分點(diǎn)，平均每39秒就會(huì)發(fā)生一次勒索病毒攻擊，為大中型企業(yè)帶來了數(shù)以百億的經(jīng)濟(jì)損失[1]。目前，網(wǎng)絡(luò)安全防御采用的技術(shù)多為防火墻、殺毒軟件和加密技術(shù)，在一定程度上可以阻止網(wǎng)絡(luò)病毒入侵，但是勒索病毒變異快，很容易導(dǎo)致系統(tǒng)在損失發(fā)生后才能夠啟動(dòng)防御工具，不利于提高互聯(lián)網(wǎng)防御水平[2]。因此，本文提出引入先進(jìn)的K-means算法，利用大數(shù)據(jù)技術(shù)提高互聯(lián)網(wǎng)安全防御的主動(dòng)性、智能化水平，實(shí)現(xiàn)防患于未然的目標(biāo)。

2 網(wǎng)絡(luò)安全防御技術(shù)應(yīng)用現(xiàn)狀

網(wǎng)絡(luò)安全防御系統(tǒng)是保護(hù)用戶正常使用信息系統(tǒng)或網(wǎng)絡(luò)的工具，有效地避免用戶產(chǎn)生經(jīng)濟(jì)損失或固定資產(chǎn)損失。常用的網(wǎng)絡(luò)安全防御技術(shù)非常多，比如防火墻和殺毒軟件等，本文結(jié)合當(dāng)前的應(yīng)用模式，重點(diǎn)介紹這兩種防御工具。

2.1 防火墻

防火墻作為一種主流的網(wǎng)絡(luò)安全防御技術(shù)，經(jīng)過數(shù)十年的發(fā)展和應(yīng)用，已經(jīng)誕生了很多先進(jìn)的改進(jìn)版本，比如狀態(tài)防火墻、包過濾防火墻、應(yīng)用層代理防火墻等，不同類型的防火墻適用于互聯(lián)網(wǎng)的不同層次，比如包過濾防火墻部署于傳輸層和網(wǎng)絡(luò)層之間，是一種網(wǎng)絡(luò)層的互聯(lián)網(wǎng)訪問控制技術(shù)，可以在路由器設(shè)備上配置ACL的方式實(shí)現(xiàn)，檢查數(shù)據(jù)包的協(xié)議字段，但是其不需要考慮網(wǎng)絡(luò)連接狀態(tài)。狀態(tài)防火墻則可以部署于傳輸層，能夠跟蹤網(wǎng)絡(luò)連接狀態(tài)，可以區(qū)分合法或非法的數(shù)據(jù)包，只有合法的主動(dòng)連接數(shù)據(jù)包能夠通過狀態(tài)防火墻，不允許其余的數(shù)據(jù)包通過。應(yīng)用層防火墻則可以針對(duì)不同的應(yīng)用設(shè)計(jì)不同的防護(hù)規(guī)則，比如可以針對(duì)社交軟件微信、QQ或“微博”設(shè)計(jì)防御規(guī)則，也可以針對(duì)辦公管理系統(tǒng)、金融銀行軟件等設(shè)計(jì)防控規(guī)則，應(yīng)用層防火墻可以有效地監(jiān)控每一個(gè)應(yīng)用軟件的數(shù)據(jù)流，從而有效隔離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)。雖然防火墻是主流的安全防御軟件，但是其也有很多的缺點(diǎn)，比如需要預(yù)先設(shè)置防御規(guī)則，無法動(dòng)態(tài)地、實(shí)時(shí)地升級(jí)和改變，因此需要用戶掌握豐富的計(jì)算機(jī)專業(yè)知識(shí)。

2.2 殺毒軟件

殺毒軟件則是一個(gè)非常常用的木馬或病毒查殺工具，其可以集成各種網(wǎng)絡(luò)監(jiān)控、文件掃描和病毒清除、系統(tǒng)自動(dòng)化升級(jí)等功能，還可以幫助用戶進(jìn)行數(shù)據(jù)恢復(fù)，減小病毒或木馬帶來的損失。殺毒軟件針對(duì)已知的病毒或木馬進(jìn)行設(shè)計(jì)，引入了許多的先進(jìn)技術(shù)，比如脫殼技術(shù)、自我保護(hù)技術(shù)、修復(fù)技術(shù)等。脫殼技術(shù)可以分析壓縮文件、封裝類文件、水印文件等，從而識(shí)別網(wǎng)絡(luò)病毒。自我保護(hù)技術(shù)可以保護(hù)殺毒軟件不被病毒或木馬侵襲，避免殺毒軟件停止運(yùn)行或崩潰，并且可以及時(shí)地提升殺毒軟件的性能。目前，世界眾多企業(yè)開發(fā)了很多專業(yè)的殺毒軟件，比如360安全衛(wèi)士、“騰訊管家”、卡巴斯基殺毒軟件、瑞星殺毒軟件等，一定程度上為網(wǎng)絡(luò)用戶提高了防御性能。但是殺毒軟件也存在一定的缺陷，一般是在病毒侵襲網(wǎng)絡(luò)之后才可以啟動(dòng)殺毒工具，僅可以對(duì)已知的木馬或病毒進(jìn)行查殺，不利于對(duì)攜帶已知病毒基因片段且變異后的病毒進(jìn)行查殺，因此不能夠提高網(wǎng)絡(luò)安全防御的主動(dòng)性。

3 大數(shù)據(jù)在網(wǎng)絡(luò)安全防御中的應(yīng)用及其設(shè)計(jì)

3.1 新型網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)

傳統(tǒng)的防火墻、殺毒軟件等屬于被動(dòng)防御工具，因此對(duì)網(wǎng)絡(luò)病毒的防御無法得到理想的結(jié)果，因此本文提出引入K-means算法，利用大數(shù)據(jù)分析技術(shù)，識(shí)別網(wǎng)絡(luò)數(shù)據(jù)包中的病毒基因，從而做到智能主動(dòng)化防御，防患于未然[3]?；贙-means的網(wǎng)絡(luò)安全防御系統(tǒng)的主要操作流程如圖1所示。

圖1 基于K-means的網(wǎng)絡(luò)安全防御系統(tǒng)

網(wǎng)絡(luò)安全防御系統(tǒng)引入了K-means算法，其是一種迭代求解的聚類分析算法，該算法的執(zhí)行步驟如下：第一步，將采集到的網(wǎng)絡(luò)數(shù)據(jù)包劃分為K個(gè)組，同時(shí)按照一定的規(guī)則選取K個(gè)對(duì)象作為初始化聚類中心，這個(gè)規(guī)則可以按照啟發(fā)式模式配置，比如預(yù)先獲取網(wǎng)絡(luò)病毒基因特征，以此為依據(jù)選擇數(shù)據(jù)的中心。第二步，計(jì)算采集到的數(shù)據(jù)對(duì)象到K個(gè)中心點(diǎn)的距離，然后將每一個(gè)對(duì)象分配給距離最近的聚類中心。第三步，根據(jù)劃分好的K個(gè)組，重新獲取聚類中心。第四步，重復(fù)上述三個(gè)步驟的功能，直到聚類的中心不再發(fā)生變化。

3.2 系統(tǒng)應(yīng)用效果分析

網(wǎng)絡(luò)安全防御系統(tǒng)引入K-means算法之后，其可以利用大數(shù)據(jù)的處理能力，感知網(wǎng)絡(luò)中的病毒或木馬片段特征，及時(shí)地識(shí)別網(wǎng)絡(luò)中的病毒或木馬，然后及時(shí)啟動(dòng)殺毒工具，比如360安全衛(wèi)士等，將病毒或木馬從網(wǎng)絡(luò)中清除，從而可以提高網(wǎng)絡(luò)防御的性能[4]。本文為了驗(yàn)證提出的防御系統(tǒng)的性能，構(gòu)建了一個(gè)模擬實(shí)驗(yàn)環(huán)境，利用模擬終端發(fā)起木馬和病毒攻擊，然后將K-means算法、支持“向量機(jī)”和貝葉斯理論的識(shí)別準(zhǔn)確度進(jìn)行比較，以驗(yàn)證本文提出的安全防御效果。具體地，本文引入的木馬和病毒包括“網(wǎng)游木馬”、“網(wǎng)銀木馬”、FTP木馬、灰鴿子、弼馬溫病毒、下載類木馬、勒索病毒等360種病毒。這些病毒提取的基因特征片段高達(dá)數(shù)十萬個(gè)，模擬終端1發(fā)送數(shù)據(jù)包100萬個(gè)，病毒特征片段1萬個(gè)；模擬終端2發(fā)送數(shù)據(jù)包200萬個(gè)，病毒特征片段2萬個(gè)；模擬終端3發(fā)送數(shù)據(jù)包300萬個(gè)，病毒特征片段3萬個(gè)；模擬終端4發(fā)送數(shù)據(jù)包400萬個(gè)，病毒特征片段4萬個(gè)；模擬終端5發(fā)送數(shù)據(jù)包500萬個(gè)，病毒特征片段5萬個(gè)。本文將模擬終端數(shù)據(jù)輸入到安全防御系統(tǒng)中之后，發(fā)現(xiàn)三種實(shí)驗(yàn)算法的準(zhǔn)確度如表1所示。

表1 網(wǎng)絡(luò)安全防御系統(tǒng)實(shí)驗(yàn)結(jié)果

本文提出將K-means算法應(yīng)用于網(wǎng)絡(luò)安全防御系統(tǒng)，實(shí)驗(yàn)結(jié)果表明K-means算法識(shí)別病毒基因特征的準(zhǔn)確度達(dá)到了99.91%，支持“向量機(jī)”的準(zhǔn)確度為95.31%，貝葉斯理論的準(zhǔn)確度為84.61%，實(shí)驗(yàn)結(jié)果表明K-means算法高于另外兩種算法，因此可以應(yīng)用于網(wǎng)絡(luò)安全防御系統(tǒng)。本文提出的網(wǎng)絡(luò)安全防御模型可以預(yù)先感知病毒的存在，及時(shí)地啟動(dòng)殺毒軟件將其清除掉，避免病毒爆發(fā)產(chǎn)生嚴(yán)重的經(jīng)濟(jì)等損失，提高網(wǎng)絡(luò)安全防御的實(shí)時(shí)性、主動(dòng)性和智能化水平。

4 結(jié)語

K-means算法能夠提高網(wǎng)絡(luò)安全防御的性能，但是網(wǎng)絡(luò)病毒或木馬的研發(fā)技術(shù)是持續(xù)提升的，因此網(wǎng)絡(luò)安全防御是一個(gè)系統(tǒng)的、動(dòng)態(tài)的和持久的工作，其需要進(jìn)行長(zhǎng)時(shí)間的更新和升級(jí)，引入更加先進(jìn)的技術(shù)，比如深度學(xué)習(xí)技術(shù)等，進(jìn)一步提升網(wǎng)絡(luò)安全防御性能。

[1]馬遙. 基于大數(shù)據(jù)及人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)設(shè)計(jì)[J]. 信息與電腦（理論版），2020，446（04）：212-213.

[2]黎林坡. 大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全及防護(hù)措施分析[J]. 電子工程學(xué)院學(xué)報(bào)，2020，009（001）：148-148.

[3]周挺. 基于K -means聚類的物聯(lián)網(wǎng)中數(shù)據(jù)安全檢測(cè)算法[J]. 微型電腦應(yīng)用，2019，035（005）：95-99.

[4]張宏博，江弋. 改進(jìn)K-means算法在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用[J]. 福建電腦，2012，28（1）：89-91.