一種基于大數據的網絡安全主動防御系統研究與設計

◆黃為

（中國電信股份有限公司溫州分公司 浙江 325000）

1 引言

隨著云計算、5G 通信、多媒體等技術的快速發展，人們已經進入到了“互聯網+”時代，許多行業積極利用“互聯網+”，構建了多種自動化行業應用系統，覆蓋了金融證券、電子政務、在線學習、智能旅游和跨境電商等多個領域?；ヂ摼W在為人們提供便捷化應用的同時也面臨著海量的攻擊威脅，比如宏病毒、格盤病毒、腳本病毒、CIH 病毒、震網病毒、Duqu 病毒、“火焰”病毒、Havex 病毒、Sandworm 病毒、格盤病毒、勒索病毒等，都為互聯網帶來了極大的危害。據統計，2020 年爆發的勒索病毒，給谷歌、微軟、花旗銀行等大型跨國企業帶來了極大的危害，損失高達數十億美元。2021 年5 月，美國石油管道網絡遭受到了嚴重的病毒攻擊，長達8850 公里的輸油管道無法運營，支付了500 多萬美元才恢復正常運營。

卡巴斯基、360 安全衛士、百度和華為等大型互聯網科技公司都積極研發和部署網絡安全防御系統，提出了深度包過濾、非對稱加密技術、防火墻等安全防御技術，一定程度上提高互聯網安全防御水平。但是，這些安全防御工作采用被動模式，病毒或木馬爆發才啟動防御工作，因此落后于網絡安全攻擊行為發生時間，為了提高安全防御水平，本文提出引入K-means 算法，利用該算法構建一個基于大數據的主動防御系統，實現防患于未然的目標，避免網絡產生損失。

2 網絡面臨的安全威脅及防御技術現狀分析

在新時期，網絡數據規模呈現出成倍激增的態勢，對網絡安全造成威脅的因素也逐漸增多，而且變得更加復雜，如果不能對此類因素及時進行管控，那么就會對網絡安全產生非常嚴重的威脅。雖然用戶使用網絡時會采取一些具有病毒防護作用的安全產品，但這些網絡安全產品可以覆蓋的范圍較小，防護作用并不明顯，無法實現對所有漏洞進行完全性修復。對于解決上述問題，網絡安全數據可視化技術具有非常重要的作用，可以有效防止各種類型威脅網絡安全的因素對用戶造成困擾[1]。網絡安全面臨的安全威脅非常多，安全危害的級別也迅速上升，因此網絡安全防御技術也提出了很多，比如深度包過濾、非對稱加密、免疫網絡等。

（1）深度包過濾

深度包過濾是一個非常重要的防御軟件，其可以部署于互聯網通信傳輸的網關接口，能夠為用戶提供一個開放的、深層次的數據包分析工具。深度包過濾技術可以針對每一個數據包進行快速分析，挖掘、識別和判定數據包中的威脅基因，可以有效地避免傳統的包過濾技術無法穿透數據包的缺陷，結合各類型的互聯網數據傳輸協議進行操作，比如TCP 協議、IP 協議等，實現不同層次的數據包分析，利用穿透式技術可以更加準確的判斷網絡威脅是否存在。另外，深度包過濾采用了固件化的開發模式，利用嵌入式軟件提高數據處理速度，更好地適應海量數據分析過程，能夠快速分析數據包的發送地址、目的地址，獲取網絡數據包的協議類型，完成互聯網信息過濾，保證深度包過濾的準確度。

（2）非對稱加密技術

數據保密技術很多，比如MD5 算法等，但是這些加密技術多屬于被動加密，加密后容易被破解。非對稱加密技術使用的加密算法和解密算法不一致，分別使用兩個密鑰進行加密和解密操作，已經成為互聯網主動防御的關鍵技術。本文提出采用的非對稱加密技術詳細操作如下：首先，使用SHA256 哈希算法生成一個私鑰，使用這個私鑰針對數據進行加密，然后使用Base58 轉換算法生成一個公鑰，以便能夠解密加密的數據信息，由于SHA256 哈希算法生成的私鑰數量很高，高達2256 個，每一個私鑰都是一串固定長度的字符串，因此可以很好的保護數據信息，可以更好地防御黑客攻擊。

（3）免疫網絡

免疫網絡是一種互聯網通信過程中能夠自我識別和完善技術，其不僅僅是一個單獨的產品，同時還集成了路由軟硬件資源、內網安全協議、安全策略等，可以利用交換機或路由器進行構建，形成一個強大的互聯網安全防御機制，實現全網設備聯動防御，建立一個深度的、多層次的防御規則，利用授權認證的方法實現網絡接入，進一步提高網絡通信保障，進一步提高網絡病毒接入的可信計算能力，阻止惡意代碼攻擊互聯網，提高網絡通信的自我免疫能力。免疫網絡應用具有兩個優勢：一是具有非常嚴格的網絡設備終端接入管控能力，從終端設備自身獲取MAC 地址，避免非法終端復制終端設備的ID 信息，實現真實IP 地址、MAC 地址、免疫標記等三防合一，從而可以有效地保證設備的正常接入能力；二是構建一個基于終端設備的雙向控制功能，不僅可以有效地防御外部攻擊，同時還可以有效抵御內部攻擊，避免網絡內的終端設備不兼容產生的漏洞受到攻擊，因此可以更好地保證互聯網提升抵抗能力，提高病毒防御能力。

3 基于大數據的網絡安全主動防御系統設計

基于大數據的網絡安全主動防御系統采用先進的K-means 算法。K-means 算法經過多年的研究和實踐，已經提出了很多先進版本，分別是遺傳K-means 算法、模糊K-means 算法和互信息K-means 算法。K-means 算法運行開始初期，傳統的劃分方法是隨機的，因此如果背景知識不多，將會影響K-means 算法準確度。一些學者引入遺傳算法，利用遺傳算法和啟發式規則，初始化劃分K 個簇，這樣就可以盡可能保持簇劃分的合理性，提高K-means 算法的運行準確度。遺傳K-means 算法通過為用戶提供一個更加合理的初始劃分，一定程度上提高了異形數據集的劃分有效性，從而可以更好適用于離散數據對象較多的情況。

模糊理論的包括內容非常多，可以劃分為模糊數學、模糊決策、模糊邏輯和人工智能等，針對模糊理論中的不確定性進行更好的度量，并且這些數據中存在很緊密的聯系。目前，K-means 算法為了提高數據劃分為的準確度，引入了先進的模糊數學理論，這樣就可以將K-means 算法從原來的硬聚類轉變為軟聚類，這樣就可以大幅度提高數據對象的隸屬度，根據隸屬度設置的閾值，更好確定K-means 算法的執行結果。目前，模糊K-means 算法已經在醫療診斷系統得到實踐和應用[2]。

K-means 的度量方法通常采用歐氏距離，但是這種計算方法非常的簡單和單一，不利于算法運行的衡量程度。因此一些學者提出引入互信息方法改進K-means 算法的度量方法?；バ畔⑹侵溉我鈨蓚€隨機變量的互相包含程度，是計算機模式識別的一種非常重要的方法，可以充分利用兩個對象之間的包含程度[3]。

本文為了提高網絡病毒或木馬識別的準確度，基于互信息、模糊數學和遺傳算法改進K-means 算法，從而提高K-means 算法的準確度。從網絡數據流中采集數據包，將這些數據包輸入到改進的K-means 算法中，也既是作為K-means 算法的數據來源，改進的K-means 算法可以利用學習和訓練完成的已有病毒基因片對進行比對，識別出數據流中潛在的有風險的數據，將這些數據發送給殺毒軟件進行查殺。改進的K-means 算的學習和訓練過程如下：

輸入：樣本集D，簇的數目k，最大迭代次數N；

輸出：簇劃分（k 個簇，使平方誤差最?。?；

算法步驟：

（1）基于遺傳算法為每個聚類選擇一個初始聚類中心；

（2）利用互信息度量方法，計算每一個數據對象和質心的互信息，將樣本集按照最小互信息距離原則分配到最鄰近聚類；

（3）使用每個聚類的樣本均值更新聚類中心；

（4）重復步驟（2）、（3），直到聚類中心不再發生變化；

（5）輸出最終的聚類中心和k 個簇劃分；

具體的，基于改進的K-means 算法在網絡安全主動防御系統中的應用算法流程如圖1 所示。

圖1 基于改進的K-means 算法在網絡安全主動防御系統算法流程

因此，本文在基于大數據的網絡安全主動防御系統中引入改進的K-means 算法，該算法能夠提高網絡病毒或木馬識別的準確度，并且具有自動的演化和學習技術，從而改進網絡安全主動防御水平。

4 實驗及結果分析

（1）構建一個學習訓練環境

本文首先采集數以萬計的網絡病毒、木馬等特征基因，將其輸入到數百萬計的網絡數據包中，并且基于這些數據包訓練改進的K-means 算法，從而能夠讓K-means 算法識別網絡病毒或木馬的特征基因片段。

（2）構建一個模擬攻擊環境

本文從中國科學院計算機信息安全研究所獲取了病毒或木馬基因特征，將這些病毒或木馬的基因特征保存在數據庫中，這些病毒包括宏病毒、格盤病毒、文件型病毒、Duqu 病毒、硬盤殺手病毒、腳本病毒、CIH 病毒、“火焰”病毒、Script 腳本病毒、Havex 病毒、JPEG病毒、網銀木馬、盜號木馬、DIR2 病毒、勒索病毒、震網病毒、Sandworm 病毒、“方程式”組織病毒庫、黑暗能量黑客工具、網絡協議漏洞，病毒基因特征包括1000 種，都對其進行分類標記，從而可以查看本文主動防御體系的檢測能力。本文將病毒基因特征部署于六臺攻擊服務器，分別是攻擊服務器1-6，這些攻擊服務器發送的數據包中根據隨機分布的規則攜帶病毒基因特征，這些數據攻擊之后就可以檢測出來相關數據包是否含有病毒基因特征。

（3）選擇準確度計算標準

本文算法實驗采用的評價標準為精確度，該評價方法能夠分析準確劃分病毒類別的程度，計算過程如公式（1）所示。

其中，t∈T，其可以描述相關的數據對象簇；c∈C，其可以描述相關的類別號或簇標號；A1(c,T)可以描述相關的已經正確分配到c中的病毒的數量；A2(c,T)可以描述相關的算法不正確的分配到c 中的病毒的數量。

（4）統計描述分析結果

為了能夠測試本文提出的改進的K-means 算法準確度，本文在實驗中同時引入了遺傳算法和支持向量機算法，這兩種算法一種基于無監督學習，一種基于有監督學習，因此可以更好地分類對比和分析。三種算法的執行結果如表1 所示。

表1 企業網絡安全主動防御系統實驗結果

實驗結果顯示，本文提出的改進的K-means 算法識別病毒或基因的準確度最高，平均準確度達到了98.3%，可以有效的提高互聯網安全防御水平。同時，為了能夠驗證本文算法的處理時間，本文針對不同大小的數據發送包進行實驗，發送的數據塊大小為100M、300M、600M、1000M、2000M 等，隨著發送數據的大小不同，數據處理時間也逐漸上升，最高達到了26ms/M，不影響網絡用戶的正常使用，相關的處理時間如圖2 所示。

圖2 基于大數據的網絡安全主動防御系統數據處理時間實驗結果

基于大數據的網絡安全主動防御系統不僅可以引入改進的K-means 算法，還可以引入深度學習算法等更多的人工智能算法，這些算法以適用于不同的企業，可以準確的識別數據包中是否存在病毒或木馬，并且這對這些攻擊威脅進行統計分析，查看這些攻擊威脅爆發后帶來的損失，如果損失過大就可以啟動應急處理措施，比如啟動殺毒軟件；如果損失非常低，甚至可以忽略不急，就可以正常放行，精準地感知網絡安全態勢，為數據安全防御提供決策支撐。人工智能還可以探知網絡病毒攻擊、威脅的常發時間或分布區域，從而針對這些時間段或分布區域進行重點的防御。

5 結束語

隨著云計算、大數據和5G 通信技術的快速發展，促使人類社會邁入到“互聯網+”時代，實現了“互聯網+行業”等發展模式，大大的提高了人們工作、生活和學習的智能化、自動化和共享化。但是，“互聯網+”不僅帶來了優勢和便利，也面臨著許多的安全威脅，比如勒索病毒、盜號木馬等，嚴重威脅互聯網用戶的信息安全和財產安全。傳統的防火墻、包過濾系統、訪問控制系統等網絡安全防御技術，多采用被動型的防御模式，一旦爆發網絡安全事故，即使防御成功也會面臨著一定的損失，因此為了解決這個問題，本文提出利用改進的K-means 算法構建一個基于大數據的網絡安全主動防御系統，該系統能夠利用改進的K-means 算法，識別網絡數據流中的木馬或病毒，采取主動型的防御模式，提高互聯網安全防御水平。