网络主动安全防御系统研究

摘要：传统的网络安全防御采用防火墙、杀毒软件、深度包过滤等，这些方法属于被动防御模式，但是面对互联网的普及应用，已经无法满足实际需求。K-means是一种非常先进的数据挖掘和人工智能方法，其可以从海量的网络中发掘潜在的病毒、木马等，从而及时地启动杀毒软件，将木马或病毒清除掉，消灭网络攻击威胁于萌芽之中，避免给网络用户带来不可估量的损失。本文基于K-means算法设计了一个网络主动安全防御系统，该系统实验结果显示准确度高达99.7%，能够有效地防御网络病毒和木马的攻击，确保网络安全运行。

关键词：网络安全；K-means算法；主动防御；人工智能

1引言

互联网、大数据、云计算等技术的快速普及和发展，促进了政务办公、旅游住宿、交通运输、商务办公、金融证券等各行业开发和应用互联网软件，促使社会快速地进入到“互联网+”时代。互联网在提高人们生活信息化和共享化水平的同时，也面临着海量的攻击威胁，比如格盘病毒、“火焰”病毒、Sandworm病毒、CIH病毒、勒索病毒等，都给网络用户带来了极其恶劣的影响，不利于互联网的正常和健康发展。因此，360安全卫士、腾讯安全卫士、华为、百度等大型互联网公司，为了提高网络安全防御水平，都积极地开发网络安全防御工具，一定程度上提高了防御水平。但是，目前很多的网络防御工具采用被动式防御模式，因此一旦病毒或木马爆发，即使启动防御软件也会产生一定的损失。因此，为了解决这个问题，本文提出引入K-means算法，该算法作为一种人工智能技术，能够防患于未然，提高安全防御的实时性和预防性，具有重要的作用和意义。

2“互联网+”时期网络安全面临威胁及安全防御技术

“互联网+”时代，网络安全攻击威胁非常多，比如Sandworm病毒、Havex病毒、格盘病毒、勒索病毒等，给互联网企业或个人等用户带来了极大的损失。比如，2020年，国外许多国家的网络爆发了勒索病毒，给谷歌、微软、花旗银行等大型跨国企业带来了极大的危害，损失高达数十亿美元。2021年，俄罗斯石油巨头的运行网络遭受了病毒攻击，长达8850公里的输油管道无法正常运营，支付了500多万美元才恢复正常运营。因此，国内外许多学者、科研机构、大型企业都积极地研究和设计网络安全防御工具，而且了杀毒软件、免疫网络、深度包过滤等，提高了安全防御水平。（1）杀毒软件系统杀毒软件系统是互联网安全防御的重要手段。互联网在运行中难免被木马或病毒入侵，而一旦发生安全事件，互联网就要启动杀毒软件，从而可以将木马或病毒清除。企业为了提高防御水平，引入了360安全卫士，360安全卫士企业版不仅包括常用的日常查杀工具，同时利用脱壳技术、修复技术和自我保护技术，实现对互联网病毒和木马的全面查杀。360安全卫士可以提高对病毒或木马的脱壳能力，避免非法数据包由于采用高级别的隐藏技术而瞒天过海，进而侵袭互联网服务器，造成数据内容被污染或破坏，互联网无法被正常使用。（2）深度包过滤系统深度包过滤系统是包过滤系统的升级版，是一种电信级的网络安全防御工具。企业构建了一个深度包过滤系统，就能够针对每一个网络数据包进行检查，不仅覆盖网络应用层，还可以覆盖传输层和网络层，能够将互联网数据包的包头部分、数据部分进行全面检查，避免木马或病毒隐藏在这些位置，从而避免企业的信息财产损失。（3）免疫网络技术许多企业为了提高自身的安全防御性能，会引入一些免疫网络安全防御技术，免疫网络能够为企业构建一个多通道的完备型拓扑结构，从而可以调用互联网安全防御资源，隔离暴发的病毒或木马，提高互联网的自我防御和免疫能力。免疫网络能够提高企业自身的防御水平，还可以从源头抑制病毒，实现互联网联动，因此可以有效地将病毒或木马带来的危害控制在一个有限的边界内，从而可以提高互联网安全防御能力。

3基于K-means算法的网络主动安全防御系统设计

3.1系统设计

K-means算法是一种非常先进的人工智能技术，经过多年的研究和实践，该算法已经在很多领域得到应用，比如在文本挖掘、增强现实、目标追踪、特征提取等方面，提高了社会的人工智能化水平。K-means算法也引入了模糊数学、遗传算法、启发式规则等，提高了K-means算法的准确度和可靠性。本文在网络安全防御系统中引入K-means算法，该系统的主要业务流程如图1所示。

3.2系统算法设计

为了提高识别网络病毒或木马的准确度，本文基于互信息、模糊数学和遗传算法改进K-means算法，以便提高K-means算法的准确度。从网络数据流中采集数据包，将这些数据包输入改进的K-means算法中，也就是作为K-means算法的数据来源，改进的K-means算法可以利用学习和训练完成的已有病毒基因片对进行比对，识别出数据流中潜在的有风险的数据，将这些数据发送给杀毒软件进行查杀。改进的K-means算法的学习和训练过程如下：输入：样本集D，簇的数目k，最大迭代次数N；输出：簇划分（k个簇，使平方误差最小）；算法步骤：（1）基于遗传算法为每个聚类选择一个初始聚类中心；（2）利用互信息度量方法，计算每一个数据对象和质心的互信息，将样本集按照最小互信息距离原则分配到最邻近聚类；（3）使用每个聚类的样本均值更新聚类中心；（4）重复步骤（2）、（3），直到聚类中心不再发生变化；（5）输出最终的聚类中心和k个簇划分；具体的，基于改进的K-means算法在网络安全主动防御系统中的应用算法流程如图2所示。因此，本文在基于大数据的网络安全主动防御系统中引入改进的K-means算法，该算法能够提高识别网络病毒或木马的准确度，并且具有自动的演化和学习技术，从而提高网络安全主动防御水平。

4K-means算法的网络主动安全防御系统实验及结果

4.1实验设计

（1）构建一个学习训练环境本文首先采集数以万计的网络病毒、木马等特征基因，将其输入数百万计的网络数据包中，并且基于这些数据包训练改进的K-means算法，从而能够让K-means算法识别网络病毒或木马的特征基因片段。（2）构建一个模拟攻击环境本文从中国科学院计算机信息安全研究所获取了病毒或木马基因特征，将这些病毒或木马的基因特征保存在数据库中，这些病毒包括宏病毒、格盘病毒、文件型病毒、Duqu病毒、硬盘杀手病毒、脚本病毒、CIH病毒、“火焰”病毒、Script脚本病毒、Havex病毒、JPEG病毒、网银木马、盗号木马、DIR2病毒、勒索病毒、震网病毒、Sandworm病毒、“方程式”组织病毒库、黑暗能量黑客工具、网络协议漏洞，病毒基因特征包括1000种，都对其进行分类标记，从而可以查看网络主动防御体系的检测能力。本文将病毒基因特征部署于六台模拟服务器，分别是模拟服务器1-6，根据随机分布的规则这些模拟服务器发送的数据包携带病毒基因特征，这些数据攻击之后就可以检测出来相关数据包是否含有病毒基因特征。（3）选择准确度计算标准本文算法实验采用的评价标准为精确度，该评价方法能够分析准确划分病毒类别的程度，计算过程如公式（1）所示。P(T)=∑A1(c,T)c∑A1(c,T)+A2(c,T)c（1）其中，t∈T，其可以描述相关的数据对象簇；c∈C，其可以描述相关的类别号或簇标号；A1（c,T）可以描述相关的已经正确分配到c中的病毒的数量；A2（c,T）可以描述相关的算法不正确的分配到c中的病毒的数量。

4.2实验结果分析

为了能够测试本文提出的改进的K-means算法准确度，本文在实验中同时引入了遗传算法和支持向量机算法，这两种算法一种基于无监督学习，一种基于有监督学习，因此可以更好地分类对比和分析。三种算法的执行结果如表1所示。

5结束语

基于K-means算法可以准确地识别数据包中是否存在病毒或木马，并且这对这些攻击威胁进行统计分析，查看这些攻击威胁爆发后带来的损失，如果损失过大就启动应急处理措施，比如启动杀毒软件；如果损失非常低，甚至可以忽略不计，就正常放行，精准地感知网络安全态势，为数据安全防御提供决策支撑。

作者:王睿 单位:广州市交通技师学院