◆常 俊

一种基于大数据的网络安全防御系统研究

◆常 俊

（江苏经贸职业技术学院 江苏 211168）

随着互联网、大数据、云计算等技术的快速发展和改进，人们已经进入到了“互联网+”时代，互联网也为人们提供了强大的便捷服务，实现信息共享、无纸化办公、自动化管理，与此同时，互联网也面临着较多的安全威胁，比如蠕虫病毒、勒索病毒等，它们破坏互联网的安全，给人们带来不必要的损失。传统的网络安全防御技术已经无法满足需求，亟需引入大数据技术，构建先进的网络安全防御模型，实现数据采集、安全风险分析、安全评估和安全防御四个功能，利用先进的深度学习、卷积神经网络等提高网络安全防御能力。

大数据；网络安全；安全风险评估；安全风险分析；深度学习

0 引言

目前，互联网经过多年的普及和使用已经积累了海量数据资源，人们已经进入到了大数据时代，利用大数据技术也可以提升电子商务、政企办公、金融理财、智能制造、科研学习水平，提高了人们工作、生活和学习的便捷性。但是，互联网作为一个虚拟社会也存在许多的不法分子，利用蠕虫病毒或勒索病毒攻击人们的应用软件，盗取人们的隐私数据，甚至可能导致人们的生命财产受到损失[1]。传统的防御手段多采用防火墙、访问控制规则或杀毒软件，无法实现大数据主动查杀和防御，因此亟需改进安全防御技术，提高防御性能。

1 大数据技术

大数据技术是一种功能非常强大的分析算法，可以从海量的数据中发现潜藏的、有价值的信息，帮助人们进行决策。目前，大数据技术已经在很多领域得到广泛研究和应用，诞生了许多的算法，比如深度学习、BP神经网络、支持向量机等，也引入了统计学、信息论、模糊数学等很多理论，提高数据分析的精确度[2]。大数据时代，面对隐藏越来越深的网络安全攻击，常规的防御软件已经无法有效发现攻击威胁，因此可以引入深度学习、模式识别等大数据技术，利用BP神经网络、遗传算法、支持向量机等识别木马病毒基因，从海量数据中及时发现存在的威胁[3]。网络安全防御向人工智能方向的发展，可以更加准确地发现潜在的威胁，准确识别木马、病毒，从而及时地启动防御工具。本文为了提高大数据安全防御成效，引入了数据挖掘技术，采用先进的互信息无监督数据挖掘方法从海量数据中发现潜藏的威胁，及时地启动网络安全杀毒工具，提高大数据安全防御能力。

2 基于大数据的网络安全防御系统研究

2.1 基于大数据的网络安全防御模型设计

基于大数据的网络安全防御模型适应新时期网络安全防御需求，其主要功能包括数据采集、安全风险分析、安全评估和安全防御，同时还包括数据预处理、算法训练和学习等模块，以便能够形成一个实时的安全防御模型，利用这个模型实现安全分析，获取网络中的安全基因[4]。

（1）数据采集。数据采集包括两个关键步骤，一是数据包抓取，另一个是数据预处理。数据包抓取可以利用嗅探软件等，从海量的网络数据中抓取数据包，包括网络传输数据、设备运行数据、系统日志数据等，这些数据覆盖了网络应用的每一个方面；数据预处理可以针对这些数据进行建模，形成一个个数据矩阵，以便能够让深度学习等大数据算法进行分析。

（2）安全风险分析。大数据是一种分析技术，其可以从海量的网络数据中发现潜在的、有价值的数据，比如攻击网络的病毒、木马基因等，本文采用的大数据技术为深度学习算法，可以利用卷积神经网络进行统计分析，经过训练可以形成一个网络安全分析模型，该模型经过多次迭代学习，获取实时的网络安全攻击基因。

（3）安全评估。安全评估可以引入层次分析方法、灰度统计理论等技术，利用这些技术可以针对数据安全进行评估，划分为不同的等级，以便能够启动不同层次的防御工具，这样就可以动态的、灵活的增强防御能力，在尽可能的降低杀毒服务器处理工具负载的情况下同时有效防御攻击，可以更好的体现主动防御的性能。

（4）安全防御。该功能是主动防御系统的关键，也是部署防御工具最多的模块，可以设置一下启发式防御规则，根据不同的网络安全攻击层次启动不同的防御工具，降低杀毒过程中的负载过重。

大数据在网络安全防御中的应用处理流程如图1所示。

图1 基于大数据的网络安全防御模型业务流程

2.2 基于大数据的网络安全防御关键技术

基于大数据的网络安全防御关键技术包括两个方面，一是深度学习，二是安全评估。

深度学习以深度置信网络（Deep Belief Network, DBN）为基础，其可以利用先进的模式识别技术发现数据中潜在的病毒或木马。深度学习包括多个层次，是一种深层次的人工神经网络技术，将神经元划分为显性和隐性等多层，显性神经元可以接收输入的数据，隐性神经元可以准确提取木马、病毒的特征，因此又被称为特征检测器。深度学习最顶上的两层连接是没有方向的，其可以组成联合内存，其它较低的层之间可以实现有向连接，最底层能够表示网络威胁向量，每一个神经元表示网络威胁向量的一个维度。深度学习最为关键的组成器件是受限玻尔兹曼机（Restricted Boltzmann Machines，RBM），训练深度学习的过程是一层一层的，每一层都可以将数据向量推断为隐藏层，然后再把这一个隐藏层当做下一层的数据向量。深度学习的学习过程包括两个非常关键的阶段，分别是预训练和微调。预训练是采用逐层方式来实施的，其可以针对每一层RBM进行单独的训练，而且各层之间的权重和偏差可以保存起来做进一步的分析；在微调阶段深度学习模型的权重和偏差通过使用标记输入数据从而进行的一个反向传播算法来进行更新。

安全评估采用了层次分析方法和灰度理论，这样就可以利用模糊处理技术，将未知的、不确定的事务进行准确划分。网络安全评估就是这样，其可以将深度学习分析的结果进行划分，以便能够将安全防御模式划分为重度、轻度、一般和无四个档次，如果是无风险档次，则不需要启动杀毒软件；如果是一般风险，则可以启用相同规则模式的防御措施；如果是轻度风险和重度风险，也可以启动不同防御程序的软件。

3 结束语

网络安全防御是一个系统的、动态的工程，基于大数据构建一个网络安全防御模型，可以利用深度学习等人工智能技术发现网络中存在的病毒或木马，及时地启动网络安全防御软件，将病毒或木马清除，这样就可以主动的提升网络安全防御能力，适应大数据时代的安全防御需求，具有重要的作用和意义。

[1] 朱光军,孟子栋.基于大数据时代背景下的网络信息安全及防护策略研究[J].中国新通信, 2018.

[2] 管磊,胡光俊,王专.基于大数据的网络安全态势感知技术研究[J].信息网络安全, 2016.

[3] 桑宏伟,刘占强,曾毅等.基于大数据平台的移动分组网络安全及IP性能的研究[J].邮电设计技术, 2016.

[4] 刘镇源.基于交通运输大数据的网络安全态势感知系统结构研究[J].中国新通信, 2