大数据及人工智能背景下的网络安全防御系统设计研究

2022-12-21赵艳花

信息记录材料 2022年10期

赵艳花，陈阳

（宁夏财经职业技术学院宁夏银川 750021）

0 引言

电脑网络技术的出现与应用，改变了人们的娱乐、学习和工作方式。然而，网络安全问题也随之产生，例如网络崩溃、网络数据丢失、网络病毒入侵等。为此，有关部门应利用人工智能技术，加强网络安全防护体系的设计与开发，达到实时监测和管理计算机系统的安全风险，从而增强计算机的安全防护能力，为今后的网络安全工作奠定基础。因此，在人工智能技术应用的大背景下，如何进行网络安全防护体系的设计与开发，成了各有关部门所要考虑和研究的课题。

1 大数据与人工智能概述

1.1 大数据的含义

相对于传统的数据处理方式，大数据对更大量的数据进行了分析。同时将“云计算”平台和数据库的处理结合起来，扩大存储系统规模，大数据能够更好地满足不同需求。大数据具有数据量大、数据类型繁多、处理速度快、价值密度低等优点。为各领域提供更好的服务，也解决了传统数据处理中的一些问题，适应了新的发展需要。

1.2 人工智能技术

在大数据时代，随着计算机、因特网、仿生技术飞速发展，人工智能技术渐渐出现。人工智能技术是一种具有模仿、学习、适应、组织能力的高级科技。将人工智能技术引入到机械中，使机械智能化，为人类生产、生活带来便利，提升人民的幸福感。将人工智能技术与计算机网络技术相结合，是一种必然的发展趋势。将传统的人工、搜寻智能化，不但可以加快信息的收集速度，同时也可以保证数据的及时性，同时，人工智能技术也具有很强的协同作用，可以根据使用者的需要，进行数据的交流，从而提高工作效率[1]。

2 计算机网络安全现状

2.1 黑客攻击的技术水平不断上升

随着云计算技术的飞速发展，大数据、人工智能、网络安全等都不再是什么新名词。大量的专业人士和非专业人士投入大量的时间来学习这些技术。在这种大数据时代，虽然使用电脑的人很多，但他们中的一些人却没有基本的法律观念，为了赚钱，利用自己的技术，对计算机进行非法攻击，窃取他人重要资料，从中牟利。随着“移动云”技术迅速发展，病毒、木马等成为网络攻击的主要手段。另外，随着网络安全技术的飞速发展，黑客的入侵行为也日益频繁，对网络的安全造成了极大的威胁。

2.2 网络攻击的方式呈多元化发展

在移动互联网与物联网技术迅猛发展的今天，计算机网络变得更加复杂，各种智能设备也变得更加灵活，不再局限电脑、笔记本、手机等，所有智能设备都有了联网能力，既方便了用户操作，又给了黑客更多的攻击机会，增加了防御系统的难度。

2.3 网络安全防范意识不强

由于大多数网民没有接受过计算机网络安全方面的专业培训，也没有系统地学习过“大智移云”的相关技术，大多数网民对网络安全的认识还不够深刻，容易在日常上网过程中无意识触犯法律，也更容易让自己暴露在网络危险中。

3 基于大数据和人工智能技术的网络安全防护体系功能需求分析

3.1 基础设施层虚拟化方面的功能需求

网络安全防护体系的基础架构，除了要有足够的先进、可靠的硬件，还要有更多的虚拟化能力。只有这样，才能让数据和智能技术得到最好的应用，才能更好地分配和分享硬件资源。这是提高系统集成性和并行性能的重要因素。

3.2 中间件层管理方面的功能需求

在大数据和人工智能时代的网络安全防护体系中，中间件层的主要作用就是对数据的输入、输出进行分类，使各种资源在系统中得到合理的分布，从而达到对计算机网络的存取安全性实时检测的目的。因此，在这一防御体系的具体设计中，必须保证各节点之间的负载均衡、安全监控、资源配置等功能。

3.3 应用层服务方面的功能需求

计算机网络安全防护系统须以用户为中心，因此，在本系统的具体设计中，需要为使用者提供方便、快捷、稳定的服务，包括用户注册、登录、访问控制、权限分配、系统交互、入侵检测、系统备份、数据还原等。

4 系统需求分析

这里提出了一种利用大数据和人工智能技术进行网络安全保护的方法，系统不仅能够实时采集和检测各类数据，而且还具备探测攻击和实时预警的功能。主要提出了以下几点设计需求。

（1）为用户提供多种信息源，如在一个共用的网络接口上收听不同的报文，即时分析联结、网络及传送层的通信。

（2）建立了一个完整的、系统的攻击事件资料库，使用中文的警报，具备对网络管理人员进行有效分析和防范的能力。

（3）通过对各种类型的入侵检测，可以对其进行有效的识别和处理。

（4）通过对 IP数据包进行重组，可以增强检测、识别和处理各类碎片攻击行为和躲避攻击的能力，从而达到对网络系统的整体防护，减少网络信息的危险性。

（5）利用数据库报警、邮件报警、自动关机等各种类型的报警处理方法，利用人工智能技术，对报警信息进行查询，并对报警图示进行分析，从而增强了对安全防范的保护，确保了数据的稳定性、可靠性和安全性[2-3]。

5 系统总体设计

为确保系统的设计与开发具有一定的针对性，有关人员必须严格按照图1中所示的功能模块划分图来进行，以确保本系统的功能实施[1]。

图1 网络安全防御系统功能模块划分

如图1所示，整个系统包括探测引擎和控制中心两大部分。其中，探测引擎的功能主要是访问、监控、识别和处理被监控的网络，确保安全；监控中心实时地处理由探测引擎发送的网络报警信息，这样就可以实时监测和管理检测引擎的运行，便于用户全面记录、统计和检索[4]。本系统的主要功能模块如下：

（1）网络数据捕获

此模块不仅能够有效地接入网络接口设备，并且可以对各个接口的网络进行实时捕获，并将所收集到的数据包进行传输。

（2）网络协议分析

此模块主要是针对不同的数据包头域进行分析，例如链路层、传输层、网络层等；其具体实施方案是通过协议层级的方式，集中统一地处理包头格式，为包头的科学分析与处理提供了有利的环境。

（3）数据包预处理

这个模块的任务是对不同的数据包进行译码、重新组合，其中，解码技术主要是为了实时拦截和处理网络攻击，以保证系统安全。数据包重构，是指按照有关的技术和技术标准，对重构后的图像进行了完整的探测与攻击。

（4）入侵事件检测模块

在实际中，我们主要依据有关的入侵判据，利用特征匹配技术，实现了多种信息的科学匹配。因此，对网络攻击进行了检测、识别和处理。

5 系统功能的实现

5.1 网络数据包捕获

在该系统中，通过 Libpcap访问数据链路，实现了数据包的采集。获得分组的程序是这样的：

（1）获取并打开网络设备

首先，要对网络接口、目标地址、网络掩码等进行全面的获取，再在网络接口上增加结构链表，获取对应的捕获装置。其次，将网络设备开启，获得对应的捕捉句柄；给出了一种网络设备的子网掩码，并充分地控制了它的运行时间。最后，关闭指定的包以充分地释放资源。

（2）编译并设置过滤规则

在此阶段，首先要对过滤器进行编辑；在二元编码过程中，还需要通过变量和字符串来实现。

（3）捕获网络数据包

在成功地开启网卡之后，利用此功能对数据包进行捕捉，以保证网络的正常运行；最后，将分组发送至用户空间，并在此基础上对其进行有针对性的处理。

5.2 网络协议分析

在具体的实施过程中，要严格地按照图2中的协议进行分析，并对数据链路层、传输层、网络层的信息域进行解析和处理。首先，根据收听的链接类型来决定相应的处理功能；同时，捕捉到的分组也被传送到链接层处理功能。链路层处理功能主要是对各链路层域的信息进行统一的处理，然后把对应的数据分组发送到网络层处理功能，然后利用统计分析的方法来判断下一次发送的目标。

图2 协议分析处理流程

5.3 数据包预处理

数据包预处理包括如下的预处理：

（1）HTTP解码预处理功能

在特定的执行过程中，将 HTTPURL的字串符转换成 ASCI字符串，能够对恶意攻击进行有效的识别和处理，从而确保信息的稳定性、可靠性和安全性。

（2）端口扫描检测预处理功能

在具体实施方案中，必须集中扫描多IP地址的一个端口；同时，在一定的时限内，实现多个 TCP的高效连接，这为实现多端口的快速扫描提供了很好的环境。

（3）数据包分片重组预处理功能

在具体实现中，IP包采用最大发送单元包；通过对 IP进行重组，并使用 TCP相关软件对 IP进行统一的检测，从而全面地理解入侵的全过程。同时，要及时发现存在安全漏洞的主机，防止出现死机、瘫痪等问题。

5.4 入侵加测

在特定的实施过程中，需要利用所描述的模式匹配原则，将采集到的数据与特定的数据库进行比对，并对其进行及时的检测和处理。

如图3所示，为确保 IDS的有效实施，有关人员必须利用IDS规则库，将所获得的信息与错误规则进行完美的比对，并在此基础上，自动发出警告信息；若不能匹配，则表示网络资料包已正常安全。同时，为了克服匹配过程中效率低的问题，采用 BM算法对匹配流程进行优化[5-6]。

图3 模式匹配原理

6 系统测试

6.1 功能测试

在具体的测试中，系统的网络攻击检测能力要求使用各种攻击软件，通过对系统的功能进行检测，以保证系统可以对网络攻击行为进行有效的检测，并及时向用户发送相应的报警信息。

6.1.1 Nmap攻击

Nmap是一种常见的检测软件，该系统能够从使用者处获取使用者的状态及服务等相关资讯，进而针对使用者进行针对性的攻击。

6.1.2 服务攻击行为拒绝

Teardrop使用了分时分组攻击的原则，将虚假的分块数据包传送到系统中，造成系统崩溃、死机和频繁重启的情况[7-8]。利用Jolt攻击技术，将大量的分块数据分组传送给系统，从而有效地阻止服务攻击[9]。通过对系统的各项功能进行了测试，结果表明，系统各项性能指标达到了预定的开发标准和需求，各功能模块的实现都达到了较好的效果[10]。

6.2 系统响应时间测试

在此基础上，将网络通信质量设定为50 M，分组为512字节，再进行相应的网络攻击，并计算从网络攻击到系统发出的网络警报。误警率检测：在检测率检测时，常常会发生错误。因此，有关工作人员需要对错误率和攻击检测的错误率进行计算，并将两者相乘，得出系统的真实误警率。在此阶段，需要构建对应的攻击规则，接着对 Snot攻击进行了统计，并对系统的报警次数进行了统计，对系统的错误预警进行了精确的计算。漏报率检测：要做好对应的档案资料配置，并录入相关的项目资料。然后，通过对被攻击的主机进行配置，对网络攻击的数量和漏报进行统计和计算。均响应时间、误报率和漏报率测试结果见表1。