深度学习在网络安全防御中的应用研究

◆李 婷

深度学习在网络安全防御中的应用研究

◆李 婷

（信阳师范学院 河南 464000）

网络安全是影响其普及使用的一个重要因素，经过多年的研究和实践，许多学者和网络安全公司致力于防御研究，取得了一定的成就。但是，防火墙、杀毒软件等均具有一定的被动型，没有采集实时的、主动的防御模式。本文为了改进防御系统性能，引入了深度学习技术。深度学习是一种多层次的卷积神经网络，其可以从海量数据中发现潜在的、有价值的数据，将其应用于网络安全防御中，可以及时地发现网络中的病毒或木马数据，从而提高网络安全防御的主动性。

深度学习；卷积神经网络；网络安全防御；人工智能

1 引言

随着互联网、大数据、云计算等技术的快速发展和改进，人们已经进入到智能化时代，网络通信传输的数据流越来越大，面临的安全威胁也越来越复杂，许多病毒或木马采用了先进的网络攻击技术，比如脱壳技术、隐藏技术等，给互联网带来了严重的威胁[1]。传统的防火墙、杀毒软件或包过滤等防御软件多属于被动查杀模式，病毒或木马一旦爆发就会为网络带来严重损失，因此本文为了提高网络安全防御性能，提出基于深度学习的网络安全防御模式，进一步提高和改进安全防御能力，保证网络的正常安全运行。

2 深度学习技术研究

深度学习是一种多层次的卷积神经网络，与传统的神经网络不同，其拥有两个以上层次，比如卷积层、池化层和全连接层，增加了神经网络的训练和学习深度，这样就可以更好地调整输入输出参数[2]。深度学习把Sigmoid函数作为卷及网络的激活函数，这样就使得特征映射之间具有位移不变性，位于同一平面上的神经元都可以共享权值，这就可以大大地减少对自由参数的设置。卷积神经网络的每一个卷积层都跟着一个用来求取局部平均与二次提取的计算层，这样就可以大大地减小特征分辨率。深度学习已经为图像分类、人脸识别、目标检测等领域所接纳。深度学习的权值具有共性特征，减少自由参数的训练次数，便于用于高纬数据处理。深度学习是一种人工智能算法，因此也可以将其应用于网络安全防御过程中，从而提高网络安全防御性能，旨在解决当前网络安全防御被动的问题，也可以积极、持续地改进网络安全防御性能[3]。

3 网络安全防御技术现状分析

目前，很多网络安全防御技术已经被开发出来，比如防火墙、杀毒软件或包过滤等，都大幅度提升了网络安全防御能力。

（1）防火墙。防火墙是一种软件，其可以根据网络通信需求设置一些启发式规则，符合规则要求的数据被允许通过防火墙，不符合规则要求的数据不能通过防火墙，从而将病毒、木马等设置为不符合规则要求的数据，禁止这些数据通过网络。经过多年的实践和应用，目前防火墙产生了多种类型，比如服务器防火墙、数据库防火墙等，可应用于网络不同的位置，起到了较好的防御效果。

（2）杀毒软件。杀毒软件一直是主流的网络安全防御工具，目前研究网络杀毒软件的企业、科研机构都非常多，比如著名的360安全卫士、卡巴斯基、江民杀毒、腾讯管家等，利用网络中爆发的病毒基因特征识别当前数据流中是否存在威胁，及时地将这些网络安全威胁清除。但是，由于杀毒软件也是一个工具，许多病毒或木马均采用了更加先进的技术，比如脱壳技术和防查杀技术等，逃避防御软件的查杀，给用户带来一定的损失。

（3）包过滤。随着网络流量的增多，防火墙和杀毒软件的过滤性能逐渐降低，因此网络安全专家经过研究，提出了一种软硬件结合在一起的防御技术，也即是深度包过滤，其同样采用枚举和迭代的规则，检查数据包的包头信息、包内容等，这种穿透式检查不放过数据包的任何一部分，因此可以分析每一个协议字段的内容，从而提高网络杀毒性能，深度包过滤基于硬件进行设计，因此可以提高数据包检查的效率，满足大流量网络应用需求。

4 深度学习在网络安全防御中的应用

随着用户数量的增多，网络安装和部署的设备也非常多，因此数据信息流量非常大。网络数据监控采集层需要及时采集用户信息、设备信息和网络流量信息。同时，系统还需要将这些信息进行处理，以便能够提高网络安全分析的效率。目前，虽然网络安全管理人员采取了很多的措施，但是由于互联网攻击的技术正不断发展，目前网络安全依然存在一些问题，比如作业人员无法实时掌握系统运行状态，不能够有效分析网络流量状态，导致网络不能安全运行。因此，本文设计了基于深度学习的网络安全防御模型，该模型基于人工智能构建数据分析模型，使用病毒基因片段特征库进行训练学习，识别网络中的病毒木马[4]。

深度学习在网络安全防御中包括六个层次，分别是输入层、卷积层C1、池化层S1、卷积层C2、池化层S2和全连接层，输入层可以接收互联网数据流量，然后针对这些数据进行预处理，实现对数据模型的构建和预处理操作，然后可以将这些数据传输到中间层，也即是卷积层和池化层，相关结构如图1所示。

图1 深度学习在网络安全防御中的应用结构

输入层的主要作用就是对原始的网络数据进行预处理。

卷积层一般包含两个操作，其一是进行局部的关联，将每个神经元看作是一个过滤器；其二是进行窗口滑动，过滤器对局部的网络数据进行计算。卷积层的关键作用就是获取网络数据的局部特征，每一卷积层都可以作为一个特征提取层，并且可以减少参数的设置数量，提高卷积准确度。卷积层可以采用的核函数非常多，比如Sigmoid函数，适用于网络安全防御。

池化层的主要作用是用来压缩网络数据和参数的数量，减小过拟合。在卷积层提取的木马或病毒特征基础上，池化可以计算某一个局部的卷积特征平均值，也可以计算最大值或最小值，减小卷积层特征的维数，这样就可以持续降低分类器的计算复杂度，减轻分类器的负担，也可以避免分类器过度拟合。

全连接层可以输出分类结果，起到了一个分类器的作用，能够将训练好的模型输出出来，这样就可以提取木马或病毒的特征。

5 结束语

网络安全防御是一项非常复杂的、动态的工作，传统网络安全防御采用被动模式，无法满足大数据时代的安全防御需求。因此，本文基于深度学习提出了一个人工智能安全防御模型，构建一个防患于未然的安全防御模型，主动发现网络中的病毒或木马特征，从而及时地将这些数据清除。未来，网络安全防御模型还可以引入效果评估模型，发现网络杀毒是否彻底，如果不彻底可以持续训练深度学习模型，提高人工智能模型的分析准确度。

[1]李传煌，吴艳，钱正哲，等. SDN下基于深度学习混合模型的DDoS攻击检测与防御[J].通信学报，2018，39（7）：176-187.

[2]张玉清，董颖，柳彩云，等.深度学习应用于网络空间安全的现状、趋势与展望[J]. 计算机研究与发展，2018，55（6）：1117-1142.

[3]蔡洪民，王庆香.基于深度学习的入侵检测技术研究[J]. 网络安全技术与应用，2017（11）：62-64.

[4]张钹.从“事后诸葛亮”到“防患于未然”——“深度学习与信息安全”解读[J].信息安全研究，2017，3（11）：962-965.