刘三满，贾王晶

(山西警察学院，山西 太原 030401)

1 背景

近年来，伴随着计算机技术的迅速发展和Internet的迅速普及，各种各样的网络信息安全事件不断发生。如何保障网络信息安全，已经成为各个行业和领域关注的重点、热点和焦点问题。

计算机信息系统安全，主要指计算机信息系统资产以及网络安全受到的自然的和人为的有害因素的威胁和危害。

计算机信息系统由于技术上的弱点，存在系统安全性差的问题，容易受到计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等安全威胁。除了系统本身和自然的灾害，其他灾害基本来源于计算机犯罪、计算机病毒、黑客攻击等网络危害[1]。

一次网络攻击事件，有可能给我们带来难以估量的经济损失。针对目前广泛存在的计算机犯罪、计算机病毒、黑客攻击等网络危害，如何有效地进行网络安全检测，已经成为了大家共同的网络安全问题[2]。当前的网络安全检测工具，一般情况下使用的是基于签名的检测技术，这种方法需要手动设置一系列规则，来识别已知的不同类型的网络攻击。这种基于签名的检测技术，优点是针对性比较强，缺点是面对每年都会出现的很多种新型网络攻击，难以识别，效率非常低。

因此，针对当前不断出现的很多种新型网络攻击，面对形势严峻的网络安全重大隐患，我们急需一种新的网络安全检测技术[3]。

目前，有很多初创的网络安全公司已经开始研发基于机器学习的安全检测系统了。与传统的安全检测方法相比，基于神经网络技术的泛化能力更好。Jung等基于神经网络的系统甚至可以检测零日恶意软件。Daniel已经做了大量有关CNN(Convolutional Neural Networks，卷积神经网络)和恶意软件检测的工作。基于深度学习的神经网络正在用户和实体行为分析(User and Entity Behaviour Analytics，UEBA)中使用。这些算法可以提取安全事件，分析和基线化企业IT环境中的每一个用户和网络元素。任何偏离基线的重大偏差都会被触发为异常，进一步引发安全分析师调查警报。UEBA强化了内部威胁的检测，但程度有限[4]。

为此，我们基于神经网络算法，针对计算机信息系统如何提升防御计算机犯罪、计算机病毒、黑客攻击、信息战争等网络攻击的能力，提出了一种新的网络安全检测方法，构建了一种新的神经网络和防护系统。经实验，这种基于神经网络的网络安全检测技术有下列几个优点：

1) 不需要手工编译以及与编译器相关的知识。训练出来的分析模型适用性很强，而且具有适应网络攻击的自我进化能力[5]。

2) 计算复杂度与序列长度成线性关系，因此它不仅适用于一般性文件，而且适用于大文件[6]。

3) 可识别二进制代码中的重要子区域，为进行取证分析提供便利。

4) 这种方法同样适用于新的文件格式、编译器和指令集结构，我们需要做的只是训练数据和模型而已[7]。

2 基于神经网络算法的检测方法

本文提出的基于神经网络算法的网络安全检测方法，包括以下步骤：

1) 构建主机神经网络。采集不同计算机或智能设备的IP地址，以及该计算机或智能设备属性数据组；计算机或智能设备属性数据组，包括开机时间、关机时间、操作系统名称、操作系统版本号、CPU型号、账户名称和账户类型；将计算机或智能设备属性数据组内的所有元素进行处理，均转化为数字格式；将数字格式的计算机或智能设备属性数据组进行分类保存，从而构建神经网络。

2) 安全认证。用户登录时，用安全认证模块对其计算机或智能设备属性数据进行检测和身份验证；通过检测模块的定时巡检模块、网络异常评估模块、流量统计模块对其进行实时监控；利用检测模块中的异常行为评估模块，对其设备的操作进行监督排查，检测有无异常。

3) 实时防护。主机神经网络连接的防护模块，实时对网络安全进行防护；通过控制网卡上配置的IP地址，对防火墙所检测到的IP地址实时预警，并将预警信息在内网Web服务器进行日志记录备份；检测到的病毒，可以通过病毒特征匹配模块，与病毒特征库内的病毒特征进行比对，并迅速做出应对；病毒模拟模块可将检测到的新的病毒，进行提取攻击指纹特征，充实病毒特征库，从而使主机神经网络的防护功能更加完善强大[8]。

4) 数据隔离转移数据转换单元，可将存储的信息压缩为电信信号，并向通信单元发送请求信号，通信单元将请求信号发送至云端存储器，云端存储器接收请求信号，上传并通过反馈系统将允许信息上传的信号反馈至通信单元，通信单元接收反馈信号后开始上传信息，对数据进行保存，防止信息丢失[9]。

3 基于神经网络算法的防护系统

参照图1，基于神经网络算法的网络安全防护系统，其中主机神经网络，连接有安全认证模块、检测模块、防护模块和数据隔离转移模块。各模块的详细功能如下：

图1 基于神经网络算法的网络安全防护系统的模块组成图

1) 安全认证模块的功能

安全认证模块包括：安全检测系统和身份验证系统，其中安全检测系统与计算机连接，该系统对主控系统的使用情况和使用环境进行检测，检测结果传输至计算机；身份验证系统也与计算机连接，该系统对计算机的使用者进行身份验证，通过身份验证登录计算机[10]。

2) 检测模块的功能

检测模块包括：网络异常评估模块、异常行为评估模块、定时巡检模块、流量统计模块和非法AP检测模块[11]。

定时巡检模块的主要功能是对进入网内的流量进行定时审计和监测，根据监测结果，对异常流量提出处理建议；根据实时监测到的数据，对网络健康状况进行精确的评判；将评判结果发送到主机显示屏；同时将评判结果发送到网络异常评估模块。

异常行为评估模块的主要功能，是通过脚本录制方式，实时监控当前主机各程序的操作信息与运行状态，并根据神经网络算法，完成对所录制的运行状态信息的评估，将评估结果发送到指定的移动终端[12]。

流量统计模块的主要功能是以主机的每一个对外连接为单位，对原始数据包报文头部信息进行流量统计；提取通信双方IP，提取端口号具有重要特征意义的相关信息；进行哈希函数运算，运算时要注重用步长倍增的算法，来解决哈希冲突；用包头中的报文长度字段值，更新所连接单位的累计流量[13]。

非法AP检测模块的主要功能是采用设置成监测模式的无线接入设备，用于实时扫描WLAN中的设备，监听所有的Dot11帧，一旦发现异常，则中断相应设备的无线访问。

3) 防护模块的功能

防护模块包括无线入侵防护系统、防火墙系统和病毒查杀模块。

无线入侵防护模块包，至少包括两个互联网出口，其中一个用于临时IP地址的数据传输，其它的用于绑定IP地址的数据传输。

防火墙系统包括入口网卡、出口网卡以及设置于入口网卡与出口网卡之间的控制网卡，入口网卡与出口网卡之间形成网桥，实现内外网透明通信，在控制网卡上配置IP地址，用来实现网络管理员远程访问控制防火墙，以及防火墙将预警信息在内网Web服务器进行日志记录[14]。

其中病毒查杀模块：连接有病毒特征匹配模块、病毒特征库和病毒模拟模块。

图2 病毒查杀模块部分的模块连接组成图

病毒特征匹配模块的主要功能是将被监控主机通信数据包的病毒特征指纹进行计算，与病毒特征库中储存的病毒进行比对，并将对比结果显示在主机屏幕上。

病毒模拟模块的主要功能是与产生异常流量的主机通信，利用模拟服务，提取攻击指纹特征，将具有攻击指纹特征的有关数据加入到病毒特征库中[15]。

4) 数据隔离转移模块的功能

数据隔离转移模块包括数据转换单元、通信单元、反馈系统和云端存储器。

数据转换单元可将存储的信息压缩为电信信号，并向通信单元发送请求信号，通信单元将请求信号发送至云端存储器，云端存储器接收请求信号，上传并通过反馈系统将允许信息上传的信号反馈至通信单元，通信单元接收反馈信号后开始上传信息，达到数据保存的效果。

5) 应急通道模块：主神经网络还连接有应急通道模块。应急通道模块的主要功能是及时提示被攻陷主机的用户，不必中断正在进行的工作去专门处理安全问题，可以将工作环境迁移到应急通道，继续工作。

4 基于神经网络算法检测和防护的优势

与现有的网络安全技术相比，基于神经网络算法的网络安全检测方法和防护系统的优点在于：

1) 通过设置主机神经网络来采集不同计算机或智能设备的IP地址，以及该计算机或智能设备属性数据组，将计算机或智能设备属性数据组内的所有元素处理后转化为数字格式，将数字格式的计算机或智能设备属性数据组进行分类保存，能够对攻击对象的信息作出快速反应，检测速度更快[16]。

2) 通过设置检测模块对网络进行实时检测和监督，并通过设置在病毒查杀模块中的病毒特征匹配模块、病毒模拟模块配合病毒特征库使用，不仅能够快速查杀病毒，还能丰富病毒库，使网络的自动防护功能更加强大。

3) 通过设置数据隔离转移模块，对网络存储信息进行隔离转存备份，防止信息丢失，更加方便安全。

5 结论

本文基于神经网络算法，提出了一种新的网络安全检测方法，构建了一种新的神经网络和防护系统。经实验，这种新的网络安全检测方法和防护系统，针对计算机犯罪、计算机病毒、黑客攻击、信息战争等网络攻击，能够对攻击对象的信息做出快速检测、快速反应，自动提升计算机信息系统的防护功能，还可以对网络存储的信息进行隔离保护和转存备份，防止信息丢失，有效地提升了计算机信息系统的防御能力，使计算机信息系统更加方便、快捷和安全。