王斌，李鴻飛，許少蔚

（1.西安航空計算技術研究所，陜西西安，710065；2.西安飛行自動控制研究所，陜西西安，710065）

0 引言

云計算、大數(shù)據(jù)、5G通信等技術的快速發(fā)展和進步，目前許多領域已經(jīng)進入了“互聯(lián)網(wǎng)+”時代，金融證券、智能旅游、在線學習、電子商務、電子政務等取得了極大的信息化成果，具有重要的作用和意義。但是，互聯(lián)網(wǎng)通信技術在為人們提供便捷的同時也面臨著很多的安全威脅，許多不法分子開發(fā)了勒索病毒、盜號木馬、網(wǎng)銀木馬、蠕蟲木馬等，非法竊取互聯(lián)網(wǎng)信息，給網(wǎng)絡用戶帶來嚴重的經(jīng)濟損失，侵犯網(wǎng)絡用戶的合法權益，直接影響“互聯(lián)網(wǎng)+”普及力度[1]。2021年5月，美國石油管道網(wǎng)絡遭受到了嚴重的病毒攻擊，長達8850公里的輸油管道無法運營，支付了500多萬美元才恢復正常運營。因此，非法分子利用勒索病毒要求大型企業(yè)支付贖金，否則就無法正常使用網(wǎng)絡，為用戶帶來不可估量的損失。因此，網(wǎng)絡安全需要引入先進的防御技術，進一步提高安全防御能力[2]。

1 通信安全防御系統(tǒng)應用現(xiàn)狀

通信安全防御系統(tǒng)經(jīng)過多年的研究和應用，已經(jīng)吸引了很多的學者和企業(yè)進行研發(fā)，比如360安全衛(wèi)士、卡巴斯基殺毒軟件等，一定程度上提高了通信安全防御水平。本文通過對近年來常用的通信安全防御系統(tǒng)進行研究，發(fā)現(xiàn)通信安全防御系統(tǒng)已經(jīng)在很多領域得到廣泛普及，比如電子商務、大數(shù)據(jù)中心、電子政務等，也提高了百度、騰訊、阿里等網(wǎng)絡內(nèi)容服務商的安全運行水平[3]。本文根據(jù)通信網(wǎng)絡安全防御的實踐，描述包過濾系統(tǒng)、訪問控制系統(tǒng)和殺毒軟件等防御技術。

（1）訪問控制系統(tǒng)

訪問控制系統(tǒng)是最常用和簡單的通信安全防御技術，該技術可以根據(jù)大中小企業(yè)網(wǎng)絡的應用實際需求，部署一個安全訪問服務器，該服務器就類似于一個網(wǎng)絡安全關口，配置和部署網(wǎng)絡黑名單或白名單，從而確保通信系統(tǒng)安全運行。訪問控制系統(tǒng)已經(jīng)在中國移動、中國電信和中國聯(lián)通等運營商機房中得到部署，并且可以根據(jù)每一個省市的機房大小，配置不同的防御規(guī)則，具有一定的應用靈活性。

（2）深度包過濾系統(tǒng)

深度包過濾系統(tǒng)是訪問控制系統(tǒng)的升級版，也是安全防御研發(fā)企業(yè)推出的電信級防御技術，該技術能夠針對每一個網(wǎng)絡數(shù)據(jù)包進行檢查，不僅覆蓋網(wǎng)絡應用層，還可以覆蓋傳輸層和網(wǎng)絡層，從而能夠將數(shù)據(jù)包的包頭部分、數(shù)據(jù)部分進行全面檢查，避免木馬或病毒隱藏在這些位置。深度包過濾已經(jīng)在天貓商城、蘇寧商城、京東商城、唯品會、手機銀行等金融商務系統(tǒng)進行部署，從而避免消費者和企業(yè)的信息財產(chǎn)損失。

（3）殺毒軟件系統(tǒng)

殺毒軟件系統(tǒng)是互聯(lián)網(wǎng)安全防御的重要手段。由于互聯(lián)網(wǎng)運行中難免存在木馬或病毒入侵，因此一旦發(fā)生安全事件，互聯(lián)網(wǎng)就要啟動殺毒軟件，從而可以將木馬或病毒清除[7]?；セヂ?lián)網(wǎng)經(jīng)過多年的普及和使用，已經(jīng)誕生了卡巴斯基、360安全等大型企業(yè)，研發(fā)和設計了更加先進殺毒軟件，引入了脫殼技術、修復技術和自我保護技術，這些技術可以提高病毒或木馬的脫殼能力，避免非法數(shù)據(jù)包由于采用高級別的隱藏技術導致瞞天過海，從而侵襲網(wǎng)絡服務器，造成數(shù)據(jù)內(nèi)容被污染或破壞，無法有效的保護互聯(lián)網(wǎng)正常使用。

2 人工智能在通信安全防御系統(tǒng)中的應用

訪問控制系統(tǒng)、深度包過濾和殺毒軟件采用的通信安全防御模式均為被動型，由于木馬和病毒的隱藏時間長，如果一旦攻擊技術提升，通信系統(tǒng)將會面臨嚴重的威脅和損失。因此，防患于未然成為通信安全防御系統(tǒng)的研究重點。人工智能作為一種模式識別和機器學習技術，其可以利用病毒或木馬的基因特征，進行自主學習和演化，從而可以持續(xù)的改進通信安全防御性能?；谌斯ぶ悄艿耐ㄐ虐踩烙到y(tǒng)業(yè)務流程如圖1所示。

圖1 基于人工智能的通信安全防御系統(tǒng)業(yè)務流程

人工智能實現(xiàn)算法采用深度學習，該算法包括六個層次，分別是輸入層、卷積層C1、池化層S1、卷積層C2、池化層S2和全連接層，相關結構如圖2所示[4]。

圖2 深度學習算法學習和訓練模型

深度學習在通信安全防御過程中，每一層的功能及作用描述如下。

（1）輸入層。輸入層的功能是實現(xiàn)通信數(shù)據(jù)包的預處理，可以刪除一些噪聲數(shù)據(jù)、非常安全的數(shù)據(jù)等，這些都不會潛藏病毒或木馬，同時還可以將數(shù)據(jù)進行矩陣化操作，以便能夠顯示每一個數(shù)據(jù)包的類別，對其進行歸一化處理，便于卷積神經(jīng)網(wǎng)絡進行處理。

（2）卷積層。卷積層通常包括兩個關鍵操作，可以實現(xiàn)卷積網(wǎng)絡的局部關聯(lián)操作和窗口滑動操作。局部操作可以針對數(shù)據(jù)特征進行過濾，滑動窗口可以完成卷積神經(jīng)網(wǎng)絡特征的提取，實現(xiàn)卷積神經(jīng)網(wǎng)絡的特征分析，進一步改進卷積神經(jīng)網(wǎng)絡的準確度。

（3）池化層。池化層可以減少網(wǎng)絡設置的參數(shù)數(shù)量，神經(jīng)網(wǎng)絡可以獲取數(shù)據(jù)包的病毒基因特征，這些特征數(shù)據(jù)采取池化操作之后就可以計算某一個局部卷積特征平均值，也可以計算最大值或最小值，利用這些值可以針對卷積層獲取的特征數(shù)量進行過濾，從而可以降低分類器的計算復雜度，充分的減少過度擬合發(fā)生的概率。

（4）全連接層。全連接層是一個分類器，其可以將神經(jīng)網(wǎng)絡經(jīng)過學習和訓練的結果輸出到全連接層，這樣就可以直接為通信安全防御提供決策支撐。比如，如果某一個數(shù)據(jù)包包含病毒或木馬的特征，此時經(jīng)過卷積神經(jīng)網(wǎng)絡匹配成功之后，就可以將這些病毒或木馬存在的信息通知給網(wǎng)絡管理員，及時啟動殺毒軟件，將病毒或木馬清除。

本文為了能夠驗證提出的安全防御模型的有效性，將深度學習算法識別的病毒和木馬準確度與其他算法進行比較，其他算法包括決策樹算法、邏輯回歸算法。具體的，本文從多個攻擊服務器發(fā)送包含網(wǎng)銀木馬、網(wǎng)游木馬、盜號木馬、勒索病毒等60多種病毒的基因特征數(shù)據(jù)包，這些數(shù)據(jù)包攻擊服務器，從而可以查看識別出的數(shù)據(jù)包的準確度。具體的，本文提出的通信安全防御模型實驗結果如表1所示。

表1 通信安全實驗結果

本文針對通信安全實驗結果進行分析，發(fā)現(xiàn)深度學習算法的精確度最高可以達到98.8%，但是決策樹算法和邏輯回歸算法的準確度最高分別是67.5%和74.6%，遠低于深度學習算法，同時本文針對深度學習算法的穩(wěn)定性和魯棒性進行考察，發(fā)現(xiàn)其運行過程較為穩(wěn)定，優(yōu)于同類算法。深度學習算法的準確度高，可以更好的識別通信數(shù)據(jù)中的潛在威脅，這樣就可以提高通信安全防御的性能，適用于當前通信數(shù)據(jù)較大和復雜的情況，提高通信安全防御水平。

3 結束語

通信安全防御作為一個系統(tǒng)的、復雜的、持續(xù)的工作，經(jīng)過多年的研究和應用，已經(jīng)提出了很多的通信安全防御技術，比如防火墻、包過濾系統(tǒng)等，但是通信安全防御是一個長期的工作，常言道“魔高一尺，道高一丈”，因此為了保證通信系統(tǒng)的安全和避免用戶信息產(chǎn)生損失，本文提出引入深度學習算法，構建一個人工智能安全防御系統(tǒng)，大幅度提高網(wǎng)絡安全防御性能。深度學習算法能夠實時的進行學習和升級，以便獲取最新的網(wǎng)絡病毒或木馬基因，從而可以準確的識別網(wǎng)絡數(shù)據(jù)流中的安全威脅。深度學習算法還可以通過硬件或固件實現(xiàn)，這樣就可以提高算法運行的速度，不影響通信數(shù)據(jù)傳輸速度，不僅可以保護網(wǎng)絡數(shù)據(jù)的安全傳輸，還可以避免由于添加了安全防御控制系統(tǒng)造成的信息時延，具有重要的意義。