摘要：在當(dāng)前計算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)中，大數(shù)據(jù)技術(shù)與人工智能技術(shù)發(fā)揮著積極作用，在強(qiáng)化系統(tǒng)功能、保證數(shù)據(jù)安全中的意義重大。從計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全入手，分別闡述大數(shù)據(jù)技術(shù)與人工智能兩項技術(shù)在提升系統(tǒng)網(wǎng)絡(luò)安全中的應(yīng)用方案?；诖髷?shù)據(jù)技術(shù)構(gòu)建了面向網(wǎng)絡(luò)安全的流量感知與分析系統(tǒng)，通過人工智能則打造了拓?fù)渚W(wǎng)絡(luò)攻擊檢測軟件。兩種軟件的最終測試數(shù)據(jù)顯示，上述系統(tǒng)的操作性強(qiáng)、功能強(qiáng)大，在提升計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全中發(fā)揮著積極作用，值得推廣。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò)系統(tǒng)；大數(shù)據(jù)；人工智能；網(wǎng)絡(luò)安全

一、前言

一直以來，計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)是學(xué)術(shù)界重點關(guān)注的問題，相關(guān)學(xué)者研究認(rèn)為，在當(dāng)前信息技術(shù)變革的大背景下，計算機(jī)網(wǎng)絡(luò)所面臨的安全威脅呈現(xiàn)出復(fù)雜化、多樣化的態(tài)勢，如何保證數(shù)據(jù)傳輸過程中的安全性與可靠性成為行業(yè)發(fā)展的主要方向。從相關(guān)技術(shù)發(fā)展建設(shè)現(xiàn)狀來看，大數(shù)據(jù)與人工智能作為現(xiàn)代化信息網(wǎng)絡(luò)技術(shù)的代表，在計算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)與發(fā)展中發(fā)揮著積極作用，并且與傳統(tǒng)技術(shù)方案相比，二者在數(shù)據(jù)整合、異常行為感知中發(fā)揮著重大作用，為提升網(wǎng)絡(luò)安全水平提供了新的發(fā)展思路，值得關(guān)注。

二、大數(shù)據(jù)技術(shù)在計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全中的應(yīng)用

（一）大數(shù)據(jù)技術(shù)的選擇

為進(jìn)一步提升系統(tǒng)安全水平，本次研究采用Hadoop開源大數(shù)據(jù)框架，該技術(shù)結(jié)構(gòu)能夠?qū)崿F(xiàn)從單臺計算機(jī)到數(shù)千臺計算機(jī)的擴(kuò)展，在信息系統(tǒng)安全改造中能利用簡單的數(shù)據(jù)編程模式完成分布式數(shù)據(jù)處理，因此在計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全中能夠提供更為強(qiáng)大的流量感知功能[1]。

（二）面向大數(shù)據(jù)的異常流量識別

通過構(gòu)建異常流量分析與預(yù)警模型能夠記錄整個網(wǎng)絡(luò)系統(tǒng)中的流量變化，在綜合對比不同技術(shù)的優(yōu)勢之后，發(fā)現(xiàn)k-means算法具有實現(xiàn)簡單、聚類效果滿意的優(yōu)點，可以作為本次大數(shù)據(jù)識別的突破口。該算法的基本操作步驟為：

步驟1，構(gòu)建聚類分?jǐn)?shù)K，在目標(biāo)樣本中選取K個數(shù)據(jù)，將其劃分為本次異常流量識別的聚類中心。

步驟2，計算中心點與非中心數(shù)據(jù)點之間的距離，并通過數(shù)次迭代的方法使所有點位之間的距離逐漸趨于穩(wěn)定。若結(jié)果顯示穩(wěn)定，則可執(zhí)行“步驟4”；若結(jié)果不穩(wěn)定，即可執(zhí)行“步驟3”。

步驟3，確定每個類中的新參數(shù)并設(shè)定對應(yīng)的聚類中心，同時完成步驟2的操作。

步驟4，獲得最優(yōu)化的聚類中心，并輸出面向異常流量的所屬類別相對應(yīng)的聚類中心。

在上述操作步驟的基礎(chǔ)上，整個算法模型的計算過程如公式（1）所示。

（1）

在公式（1）中，C1表示已經(jīng)生成的簇類中心，Ct+1則表示簇類中心下一次迭代的輸出結(jié)果，表示衰減因子，nt表示迭代后該位置簇類點的數(shù)量，xt則表示新到的數(shù)據(jù)中分到該簇類的數(shù)據(jù)的中心點，mt表示新到數(shù)據(jù)中分配到該簇類中的數(shù)據(jù)個數(shù)。

在正常的計算機(jī)網(wǎng)絡(luò)條件下，異常流量依然是無法避免的問題，但相關(guān)文獻(xiàn)[ 2]統(tǒng)計后認(rèn)為，當(dāng)異常流量的占比維持在1.5%～2.0%時屬于正常水平。基于上述研究結(jié)果，在數(shù)據(jù)聚類處理過程中，正常流量依然會維持相當(dāng)大的占比，而異常流量則會相對分散，基本不會出現(xiàn)異常流量明顯聚集的問題。

（三）異常流量識別的操作步驟

本文基于Hadoop開源大數(shù)據(jù)框架與k-means算法構(gòu)建的異常流量識別運算過程如圖1所示。

（四）異常流量預(yù)警

為進(jìn)一步提升計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全等級水平，需要通過異常流量預(yù)警的方法強(qiáng)化系統(tǒng)對異常流量的識別能力。基于上述要求，在本次系統(tǒng)設(shè)計中將異常流量預(yù)警模型布設(shè)在整個分析模塊的下游位置，并能與異常流量識別模塊之間形成關(guān)鍵信息交互，異常流量預(yù)警模塊收到數(shù)據(jù)資料后，分析查找其中哪些是異常流量信息并將異常流量提取、匯總在一起[3]。此時只需要識別異常流量數(shù)據(jù)中的對應(yīng)IP地址就能持續(xù)鎖定異常IP，減少計算機(jī)網(wǎng)絡(luò)系統(tǒng)后期所面臨的損失。系統(tǒng)在獲得異常流量預(yù)警數(shù)據(jù)后，能將相關(guān)預(yù)警內(nèi)容填寫到“err_topic”模塊中達(dá)到長期智能識別目標(biāo)IP的效果。除此之外，系統(tǒng)將觸發(fā)攻擊溯源請求，最終獲得邊界路由到被攻擊節(jié)點之間的關(guān)鍵信息。

（五）面向大數(shù)據(jù)的攻擊溯源識別

攻擊溯源識別是異常流量預(yù)警模塊的重要組成部分，對整個系統(tǒng)安全有直接影響，因此本文引入遞歸式攻擊溯源識別模型，該模型的優(yōu)勢是不區(qū)分攻擊過程中的子模塊與主模塊，只需要完成部署后即可針對每一個攻擊過程完成溯源，并遞歸向最鄰近的模塊發(fā)送溯源請求，直至攻擊過程被完全識別。

（六）系統(tǒng)功能評估

1.構(gòu)建訓(xùn)練模型

為判斷上述系統(tǒng)設(shè)計方案的合理性，通過功能測試的方法綜合評價整個系統(tǒng)的安全性情況。本次系統(tǒng)測試的環(huán)境是在VMware基礎(chǔ)上搭設(shè)的，共包括4臺虛擬主機(jī)，均采用CentOS6.5系統(tǒng)。

2.異常流量識別測試

在上述測試環(huán)境搭設(shè)結(jié)束后即可做異常流量模型訓(xùn)練。本環(huán)節(jié)訓(xùn)練中采用CICID數(shù)據(jù)集，該數(shù)據(jù)集能更真實地體現(xiàn)網(wǎng)絡(luò)情況，模擬僵尸網(wǎng)絡(luò)造成的Dos攻擊情況。模擬過程中所產(chǎn)生的數(shù)據(jù)集格式主要包括“.pcap”格式與“.csv”格式兩種，數(shù)據(jù)流信息的總量達(dá)到98119條。系統(tǒng)對數(shù)據(jù)流量的判斷標(biāo)準(zhǔn)結(jié)果見表1。

根據(jù)表1所記錄的異常流量占比可以發(fā)現(xiàn)，其占比達(dá)到了3.98%，明顯高出上文提出的“1.5%～2.0%”正常范圍值，提示本次仿真中存在計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險，網(wǎng)絡(luò)安全問題得到識別。

3.網(wǎng)絡(luò)攻擊溯源判定

在OPNET軟件上搭設(shè)面向攻擊溯源系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，該軟件具有強(qiáng)大的網(wǎng)絡(luò)仿真與識別能力，能真實還原現(xiàn)實生活中的網(wǎng)絡(luò)設(shè)備之間的連接關(guān)系，可在Windows系統(tǒng)中正常運行。本次網(wǎng)絡(luò)攻擊溯源模擬的主要目的是判斷整個系統(tǒng)在面臨安全攻擊下的防護(hù)效果。最終數(shù)據(jù)資料見表2。

根據(jù)表2所統(tǒng)計的相關(guān)數(shù)據(jù)可發(fā)現(xiàn)，在運用遞歸式攻擊溯源識別模型后，隨著時間的延長能顯著提升攻擊溯源成功次數(shù)，但當(dāng)模型測試時間達(dá)到15分鐘后，平均成功占比超過98.0%，并且測試結(jié)果與20分鐘、30分鐘的數(shù)據(jù)相比差異不顯著，因此可以認(rèn)為，在使用遞歸式攻擊溯源識別模型后，只需要連續(xù)運行15分鐘即可取得滿意效果，能夠達(dá)到網(wǎng)絡(luò)攻擊溯源的效果。

在啟動遞歸式攻擊溯源識別模型后，再一次測試數(shù)據(jù)集流量變化情況，結(jié)果顯示異常流量數(shù)量從測試前的3909條下降至1643條，占比僅為1.67%，屬于正常水平。出現(xiàn)該結(jié)果的原因可能為遞歸式攻擊溯源識別模型的使用能有效預(yù)防異常IP對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的攻擊行為，具有可行性。

三、人工智能技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

（一）人工智能技術(shù)的選擇

為保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全，本次研究引入循環(huán)神經(jīng)網(wǎng)絡(luò)模型技術(shù)，該技術(shù)能針對具有時間序列特征的數(shù)據(jù)完成深入處理，獲得與數(shù)據(jù)相關(guān)的時序參數(shù)，并將遞歸化數(shù)據(jù)結(jié)果反饋到神經(jīng)網(wǎng)絡(luò)中[4]。該方法的計算過程可以用公式（2）來表述。

（2）

在公式（2）中，Ot表示循環(huán)神經(jīng)網(wǎng)絡(luò)模型輸出層參數(shù)，g表示輸出層權(quán)重值，V表示隱藏層和輸出層之間權(quán)重矩陣輸出結(jié)果，St表示W(wǎng)加權(quán)計算后得到隱藏層數(shù)值，W表示模型最初的權(quán)重矩陣輸出值，U表示權(quán)重矩陣的有序輸入數(shù)列，Xt表示網(wǎng)絡(luò)輸入層的輸入數(shù)據(jù)，St-1表示St運算的前一時刻，f表示矩陣的相對系數(shù)。

（二）計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全檢測方法

1.人工智能技術(shù)的運算模型

在循環(huán)神經(jīng)網(wǎng)絡(luò)模型技術(shù)的支持下，本次計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全識別使用在客戶端本地模型上存儲的數(shù)據(jù)完成訓(xùn)練，并將每個輪次的臨時模型訓(xùn)練結(jié)果發(fā)送至中央服務(wù)器上，此時中央服務(wù)器可以按照客戶端的權(quán)重值將其匯總并整合在一起，最終構(gòu)建完整的參數(shù)模型集合，并將該模型的相關(guān)數(shù)據(jù)更新至對應(yīng)的客戶端上?？蛻舳藙t可以按照新模型完成下一環(huán)節(jié)的訓(xùn)練，直至滿足使用要求為止。

該方法的基本運算步驟為：

步驟1，先完成數(shù)據(jù)預(yù)處理，其間可根據(jù)數(shù)據(jù)的用途將數(shù)據(jù)劃分為不同的處理集合。

步驟2，客戶端獲得中央服務(wù)器下發(fā)的初始循環(huán)神經(jīng)網(wǎng)絡(luò)模型。

步驟3，利用本次數(shù)據(jù)集完成循環(huán)神經(jīng)網(wǎng)絡(luò)模型的初次訓(xùn)練，在訓(xùn)練結(jié)束后先評估本地數(shù)據(jù)集結(jié)果。

步驟4，將本次循環(huán)神經(jīng)網(wǎng)絡(luò)模型評估結(jié)果上傳到中央服務(wù)器。

步驟5，中央服務(wù)器更新相關(guān)資料，并根據(jù)權(quán)重完成客戶端參數(shù)更新聚合，形成新的循環(huán)神經(jīng)網(wǎng)絡(luò)模型。

步驟6，經(jīng)中央服務(wù)器下發(fā)新的循環(huán)神經(jīng)網(wǎng)絡(luò)模型。

步驟7，重復(fù)步驟3至步驟6的過程，直至循環(huán)神經(jīng)網(wǎng)絡(luò)模型完成收斂，即可結(jié)束本次訓(xùn)練。

步驟8，對循環(huán)神經(jīng)網(wǎng)絡(luò)模型的最終測試結(jié)果展開評估。

2.提取僵尸網(wǎng)絡(luò)拓?fù)涮卣?/p>

在計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全處理中，提取僵尸網(wǎng)絡(luò)拓?fù)涮卣魇瞧渲械年P(guān)鍵點。按照僵尸網(wǎng)絡(luò)的Camp;C結(jié)構(gòu)，將其劃分為集中式僵尸網(wǎng)絡(luò)與分散式網(wǎng)絡(luò)兩種模式。集中式僵尸網(wǎng)絡(luò)的主要通信協(xié)議類型包括HTTP協(xié)議以及IRC協(xié)議兩種類型，在網(wǎng)絡(luò)設(shè)置上則會通過星形拓?fù)浣Y(jié)構(gòu)結(jié)果單點故障造成的網(wǎng)絡(luò)癱瘓模式，因此在網(wǎng)絡(luò)通信中會同時存在多個Camp;C結(jié)構(gòu)。

為提升僵尸網(wǎng)絡(luò)拓?fù)涮卣鞯奶崛∧芰?，在循環(huán)神經(jīng)網(wǎng)絡(luò)模型基礎(chǔ)上提出了結(jié)構(gòu)化特征提取方法，其基本運算過程為：

將計算機(jī)網(wǎng)絡(luò)系統(tǒng)的通信圖定義為G＝{V，A}，其中，V表示僵尸網(wǎng)絡(luò)流量跟蹤中發(fā)現(xiàn)的節(jié)點組成的集合，則V={v1，v2…vn}；A∈R，R表示對稱鄰接矩陣，此時假設(shè)集合V中的任意兩個節(jié)點之間存在通信關(guān)系，則A＝1，否則為0。在上述計算流程基礎(chǔ)上，通信圖上隨機(jī)移動的混合時間基本維持在相對平衡分布的狀態(tài)，但僵尸網(wǎng)絡(luò)的流量值明顯區(qū)別于正常，并且網(wǎng)絡(luò)之間的間隔越大越容易被檢測。為滿足上述要求，將在循環(huán)神經(jīng)網(wǎng)絡(luò)模型中添加特征值i，該特征值與隨機(jī)移動概率相關(guān)，i的數(shù)值越小則證明整個模型的混合速率越快，對應(yīng)的混合時間更短，僵尸網(wǎng)絡(luò)的傳播效果更強(qiáng)，計算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)安全風(fēng)險的威脅更高[5]。其中，i的計算方法如公式（3）所示。

（3）

在公式（3）中，F(xiàn)I（i）表示特征值的絕對系數(shù)，m表示為特征值i所能提供的服務(wù)類型數(shù)量，wj表示j 類隨機(jī)移動概率的重要性，vij表示第j類隨機(jī)移動在特征值i上是否可被衡量，若發(fā)現(xiàn)網(wǎng)絡(luò)中存在多個節(jié)點能夠提供服務(wù)，則證明vij需要被平分。

3.惡意網(wǎng)絡(luò)檢測過程實現(xiàn)

在面向循環(huán)神經(jīng)網(wǎng)絡(luò)模型的惡意軟件檢測過程中，設(shè)定整個人工智能技術(shù)分為兩個訓(xùn)練部分，分別為獨立訓(xùn)練、聯(lián)合訓(xùn)練。獨立訓(xùn)練強(qiáng)調(diào)從客戶端到中央服務(wù)中獲得待訓(xùn)練模型，在中央服務(wù)器的支持下能夠保證所有客戶端均可獲得相同訓(xùn)練，即可根據(jù)本地保存的數(shù)據(jù)獨立完成訓(xùn)練，解決了常規(guī)方法中存在的客戶端相互影響的問題。在該方法中由于不同客戶端所存儲的數(shù)據(jù)存在一定差異，這一現(xiàn)象也會導(dǎo)致模型對應(yīng)的參數(shù)發(fā)生變化。在聯(lián)合訓(xùn)練模式下，則由中央服務(wù)器獲得客戶端訓(xùn)練好的模型參數(shù)，在完成權(quán)重匯總后即可更新相應(yīng)的模型信息，最后只需要將更新好的數(shù)據(jù)發(fā)送至客戶端即可。該技術(shù)的局部訓(xùn)練步驟如下：

步驟1，完成流量數(shù)據(jù)的預(yù)處理，本環(huán)節(jié)將利用Meter工具將滿足格式標(biāo)準(zhǔn)的數(shù)據(jù)整合為流級數(shù)據(jù)，之后做歸一化處理。

步驟2，獲得異構(gòu)流級數(shù)據(jù)編碼。通過編碼方法獲得每個數(shù)據(jù)的唯一身份數(shù)據(jù)，方便從循環(huán)神經(jīng)網(wǎng)絡(luò)模型中快速提取特征值。

步驟3，客戶端將從中央服務(wù)器中獲得初始的全局模型。

步驟4，客戶端先對本地數(shù)據(jù)模型展開訓(xùn)練。

步驟5，將訓(xùn)練后的循環(huán)神經(jīng)網(wǎng)絡(luò)模型數(shù)據(jù)發(fā)送至中央服務(wù)器。

步驟6，中央服務(wù)器收集所有客戶端發(fā)送的神經(jīng)網(wǎng)絡(luò)模型，通過模型參數(shù)聚合的方法構(gòu)建新的全局模型。

步驟7，將新的全局模型發(fā)送至客戶端，由客戶端重復(fù)步驟3至步驟6的處理過程，直至模型完全收斂。

在上述技術(shù)操作步驟的基礎(chǔ)上，整個循環(huán)神經(jīng)網(wǎng)絡(luò)模型的操作過程如圖2所示。

（三）人工智能技術(shù)的應(yīng)用效果評價

1.測試過程

為判斷上述技術(shù)方案的合理性，在本次研究中選擇在原始數(shù)據(jù)中對惡意軟件的流量展開分析，采用CTU-13數(shù)據(jù)集。該數(shù)據(jù)集來源于捷克技術(shù)大學(xué)研發(fā)的惡意軟件捕獲項目，在內(nèi)部能設(shè)定不同的場景，每個場景都有對應(yīng)的惡意軟件行為，是目前評估軟件安全中較為常見的研究模型。

本次研究設(shè)定的實驗環(huán)境為分布式場景，創(chuàng)建四個客戶端，并將不同場景下的攻擊數(shù)據(jù)分散至不同客戶端作為訓(xùn)練數(shù)據(jù)。上述訓(xùn)練方法的最終目的是保證攻擊場景多樣化，進(jìn)而綜合評估人工智能技術(shù)在提升系統(tǒng)安全性中的作用。

2.測試結(jié)果評價

研究發(fā)現(xiàn)，四個客戶端在不同運行時長的檢測準(zhǔn)確率存在一定差異，其具體數(shù)據(jù)見表3。

從表3的相關(guān)數(shù)據(jù)可以發(fā)現(xiàn)，人工智能技術(shù)在運行20分鐘后，四個客戶端的網(wǎng)絡(luò)異常檢出率均超過98%，取得滿意效果。

四、結(jié)語

大數(shù)據(jù)與人工智能技術(shù)的出現(xiàn)能夠顯著提升計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全水平，具有廣闊的應(yīng)用前景。本文的相關(guān)研究結(jié)果也證實，在采用兩種技術(shù)后，在規(guī)定時間內(nèi)網(wǎng)絡(luò)異常檢出率均超過98%，證明上述技術(shù)實現(xiàn)方案科學(xué)有效，對未來計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全改造有一定的指導(dǎo)與借鑒價值，值得推廣。

參考文獻(xiàn)

[1]閆軍.大數(shù)據(jù)時代人工智能在計算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用[J].軟件，2024，45（03）：164-166.

[2]周琴.大數(shù)據(jù)視域下人工智能在計算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用[J].信息與電腦（理論版），2024，36（05）：137-139.

[3]范彪.大數(shù)據(jù)與人工智能技術(shù)在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用[J].電子技術(shù)，2024，53（02）：108-109.

[4]斯馬依力江·木薩汗，姜杰，李晴，等.大數(shù)據(jù)時代人工智能在計算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2024，42（01）：82-84.

[5]劉遠(yuǎn)見.大數(shù)據(jù)技術(shù)在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用[J].電子技術(shù)，2024，53（01）：172-173.

作者單位：銅仁職業(yè)技術(shù)學(xué)院

責(zé)任編輯：張津平、尚丹