企业网络安全防御体系建设与实践

摘要：目前，多数企业已经部署了许多的信息化系统，比如财务管理系统、物资管理系统、人力资源管理系统等，企业网络作为应用系统的数据共享和传输通道，不仅提高了企业工作便捷化水平，同时还面临着很多的安全风险，比如一些不法分子利用木马、病毒等，攻击企业网络服务器盗取机密信息、财产信息，为企业带来了严重的损失。因此，本文在传统网络安全防御的基础上，引入机器学习和模式识别技术，基于卷积神经网络构建一个主动式的安全防御体系，提高网络安全防御水平，具有重要的作用和意义。

关键词：人工智能；企业网络；安全防御；卷积神经网络

1引言

某企业是一家大型的科研机构，经过多年研究和实践，积累了海量的科研成果资源，比如技术成果、专利成果等，这些信息都存储在企业的网络服务器中，但是，由于网络服务器面临的攻击威胁非常多，需要构建一个强大的网络安全防御体系，提高企业的网络安全防御水平。目前，本文针对企业网络面临的安全攻击进行统计，其主要包括木马和病毒两种，一些不法分子利用编程技术开发了多种多样的病毒和木马，比如勒索病毒、蠕虫病毒、网银木马、盗号木马等，这些都会给企业带来严重的损失[1]。勒索病毒是一种比较新颖的病毒，其可以攻击企业网络服务器，更改企业职员的登录账号和密码，导致人们无法进入自动化办公系统，并以此要求许多企业缴纳高昂的赎金才能够解开封锁，这严重的影响了企业的正常办公，带来了严重的损失[2]。网银木马则是针对企业网络上的财务数据、银行账户等金融数据进行攻击，到期支付结算工具的账号和密码，比如弼马温就是这样一种木马，其可以通过QVOD等工具传输，能够监控人们的交易过程，盗取账号和密码，从而私自登录进去破坏个人账户信息，比如转款和购买商品等，篡改订单信息盗取财产，用户在无法察觉的情况下丢失很多的金钱，给人们带来很多的金融损失。蠕虫病毒、网游木马和盗号木马也是如此，都可以破坏企业网络服务器，给人们带来不可估量的损失。

2企业网络安全防御技术应用现状分析

企业网络面临的安全威胁非常多，许多学者、科研机构、安全公司都进行了研究和设计，提出了很多的网络安全防御软件，比如360安全卫士、瑞星杀毒软件、卡巴斯基软件、腾讯安全管家、百度安全管家等，都可以部署在企业的应用终端或网络安全防御服务器中，提高网络安全防御水平[3]。企业为了提高企业网络的安全防御能力，积极的引入许多防火墙、访问控制系统、杀毒软件（企业版）和深度包过滤系统，一定程度上提高了企业的网络安全性能。目前，企业常用的安全防御技术如下所述。（1）防火墙防火墙是最常用和简单的企业网络安全防御技术。企业引入防火墙技术，该技术可以根据企业网络的应用实际需求，部署一个安全访问服务器，该服务器就类似于一个企业网络安全关口，配置和部署网络黑名单或白名单，从而确保企业网络安全运行。防火墙可以配置不同的防御规则，具有一定的灵活性，可以提高企业网络的防御水平。（2）杀毒软件系统杀毒软件系统是企业网络安全防御的重要手段。企业网络在运行中难免被木马或病毒入侵，而一旦发生安全事件，企业网络就要启动杀毒软件，从而可以将木马或病毒清除。企业为了提高防御水平，引入了360安全卫士，360安全卫士企业版不仅包括常用的日常查杀工具，同时利用脱壳技术、修复技术和自我保护技术，实现企业网络病毒和木马的全面查杀。360安全卫士可以提高病毒或木马的脱壳能力，避免非法数据包由于采用高级别的隐藏技术而瞒天过海，从而侵袭企业网络服务器，造成数据内容被污染或破坏，企业网络无法被正常使用。（3）深度包过滤系统深度包过滤系统是包过滤系统的升级版，是一种电信级的网络安全防御工具。企业构建了一个深度包过滤系统，该系统能够针对每一个网络数据包进行检查，不仅覆盖网络应用层，还可以覆盖传输层和网络层，能够将企业网络数据包的包头部分、数据部分进行全面检查，避免木马或病毒隐藏在这些位置，从而避免企业的信息财产损失。（4）免疫网络技术许多企业为了提高自身的安全防御性能，也会引入一些免疫网络安全防御技术，免疫网络能够为企业构建一个多通道的完备型拓扑结构，从而可以调用企业网络安全防御资源，隔离暴发的病毒或木马，提高企业网络的自我防御和免疫机制。免疫网络能够加强企业自身的防御水平，还可以从源头抑制病毒，实现企业网络联动，因此可以有效地将病毒或木马带来的危害控制在一个有限的边界内，从而可以提高企业网络安全防御能力。（5）网络安全态势感知技术态势感知是比较新的企业网络安全防御技术，许多企业信息化发展时间较长，目前接入网络的软硬件资源设备非常多，因此网络拓扑结构也更加复杂，态势感知可以实时的采集网络数据包，动态的分析企业网络面临的风险，从全局出发、分析和处置企业网络面临的威胁，保障企业网络安全运行。网络安全态势感知包括四个关键功能，分别是网络数据包抓取、网络数据包检测和分析、网络安全威胁比对和安全威胁处置。网络安全态势感知实时地获取企业网络中的数据包，这样就可以检测和分析安全威胁影响的范围、造成的损失、攻击的路径和目标，及时向网络安全管理员通报运行状态，建立一个风险通报和预警机制，从而提高了企业网络安全防御的实时性。

3企业网络安全主动防御体系设计建设

目前，传统的网络安全防御模型采用杀毒软件、访问控制规则、防火墙、包过滤等，一定程度上实现了网络安全防御功能，但是随着人工智能技术的发展，传统网络安全防御的缺点被暴露出来，这些防御工具都属于被动型，只有木马或病毒发作才可以启动，而一旦这些安全威胁发生，网络用户就会面临很多的损失。因此，企业网络可以构建一个主动化的安全防御体系，利用人工智能技术，提高网络数据分析和安全预警能力，从而可以提高企业网络安全防御性能[4]。企业网络安全主动防御体系可以引入先进的卷积神经网络技术，该技术能够采集企业网络的数据包，将这些数据包发送给每一个学习层次，包括输入层、卷积层、池化层和全连接层，从而可以训练和形成一个人工智能防御模型，该模型能够记录网络安全数据基因特征和片段，从而再将其部署于企业网络的防火墙位置，就可有及时的发现网络中潜藏的病毒或木马数据。企业网络安全防御体系业务流程如图1所示。卷积神经网络的每一层功能描述如下所述。（1）输入层。输入层的功能是实现网络数据包的预处理，可以删除一些噪声数据、非常安全的数据等，将网络数据进行矩阵化操作，以便能够显示每一个网络数据包的类别，对其进行归一化处理，便于卷积神经网络进行处理。（2）卷积层。卷积层通常包括两个关键操作，可以实现卷积网络的局部关联操作和窗口滑动操作。局部操作可以针对病毒或木马特征进行过滤，滑动窗口可以实现对卷积神经网络特征的提取，实现卷积神经网络的特征分析，进一步改进卷积神经网络的准确度。（3）池化层。池化层可以减少网络设置的参数数量，卷积神经网络可以获取网络数据包的病毒基因特征，这些特征数据采取池化操作之后就可以计算某一个局部卷积特征平均值，也可以计算最大值或最小值，利用这些值可以针对卷积层获取的病毒或木马特征数量进行过滤，从而降低分类器的计算复杂度，充分地减少过度拟合发生的概率。（4）全连接层。全连接层是一个分类器，其可以将卷积神经网络经过训练的结果输出到全连接层，这样就可以直接为网络安全防御提供决策支撑。比如，如果某一个网络数据包包含病毒或木马的特征，卷积神经网络算法匹配成功之后，就可以将这些病毒或木马的信息通知给网络管理员，及时启动杀毒软件，将病毒或木马清除。

4企业网络安全主动防御体系实践应用

企业网络安全主动防御体系经过训练完成之后，其可以记录目前网络中木马、病毒等基因特征，这些基因特征存储在卷积神经网络等人工智能算法中，这样就可提高网络安全的预警能力，实现防患于然的功能。本文为了能够验证基于主动模式的企业网络安全防御体系应用成效，设计了一个模拟企业网络被病毒、木马等攻击的场景，基于这个场景进行实验。首先，本文从中国科学院计算机信息安全研究所获取了病毒或木马基因特征，将这些病毒或木马的基因特征保存在数据库中，这些病毒包括宏病毒、文件型病毒、硬盘杀手病毒、脚本病毒、CIH病毒、Script脚本病毒、JPEG病毒、网银木马、盗号木马、DIR2病毒、勒索病毒等，病毒基因特征包括1000种，都对其进行分类标记，从而可以查看本文主动防御体系的检测能力。同时，本文应用了卷积神经网络作为主动防御算法，同时利用决策树算法、贝叶斯网络算法进行对比实验，从而查看本文的卷积神经网络算法的识别准确度。本文提出的企业网络安全主动防御体系实验结果如表1所示。实验结果显示，本文提出的卷积神经网络算法识别病毒或基因的准确度最高，平均准确度达到了97.1%，可以有效提高企业网络安全防御水平。同时，为了能够验证本文算法的处理时间，本文针对不同大小的数据发送包进行实验，发送的数据块大小为100M、300M、600M、1000M、2000M等，随着发送数据的大小不同，数据处理时间也逐渐上升，最高达到了26ms/M，不影响网络用户的正常使用，相关的处理时间如图2所示。表2企业网络安全主动防御体系数据处理时间实验结果企业网络安全主动防御体系中引入了很多的人工智能算法，比如卷积神经网络算法，也可以引入支持向量机、K-means算法、遗传算法等，从而可以适用于不同的企业，可以准确识别数据包中是否存在病毒或木马，并且这对这些攻击威胁进行统计分析，查看这些攻击威胁爆发后带来的损失，如果损失过大就可以启动应急处理措施，比如启动杀毒软件；如果损失非常低，甚至可以忽略不计，就可以正常放行，精准地感知网络安全态势，为数据安全防御提供决策支撑。人工智能还可以探知网络病毒攻击、威胁的常发时间或分布区域，从而针对这些时间段或分布区域进行重点的防御。

5结束语

防火墙、访问控制系统及杀毒软件等传统的企业网络安全防御模式预警能力较弱，一旦爆发安全事故难免给企业带来严重的威胁，因此网络安全防御需要构建一个主动式的防御体系，这样就可以利用神经网络技术、支持向量机技术、贝叶斯分类技术等人工智能技术，实现企业网络数据信息的分类加工、模式识别和特征学习，从而可以及时的挖掘网络中的病毒或木马，在其爆发之前就可以启动网络安全防御工具，及时进行病毒或木马的查杀清除，避免企业网络发生安全事故。

参考文献：

[1]田平.基于主动模式的医院网络安全防御系统构建与设计[J].网络安全技术与应用，2019（5）：2-3.

[2]万斌，徐明.一种基于Apriori算法的网络安全预测方法[J].电力信息与通信技术，2019（1）：6-7.

[3]李旸照，沈昌祥，田楠.用科学的网络安全观指导关键信息基础设施安全保护[J].物联网学报，2019（3）：4-5.

[4]熊钢，葛雨玮，褚衍杰，等.基于跨域协同的网络空间威胁预警模式[J].网络与信息安全学报，2020，6（6）：9-10.

作者：申端明 乔德新 李青 张娜 张文博 辛海燕 谷海生 单位：中国石油勘探开发研究院