人工智能技术在通信安全防御系统中的应用与研究

王斌，李鸿飞，许少蔚

（1.西安航空计算技术研究所，陕西西安，710065；2.西安飞行自动控制研究所，陕西西安，710065）

0 引言

云计算、大数据、5G通信等技术的快速发展和进步，目前许多领域已经进入了“互联网+”时代，金融证券、智能旅游、在线学习、电子商务、电子政务等取得了极大的信息化成果，具有重要的作用和意义。但是，互联网通信技术在为人们提供便捷的同时也面临着很多的安全威胁，许多不法分子开发了勒索病毒、盗号木马、网银木马、蠕虫木马等，非法窃取互联网信息，给网络用户带来严重的经济损失，侵犯网络用户的合法权益，直接影响“互联网+”普及力度[1]。2021年5月，美国石油管道网络遭受到了严重的病毒攻击，长达8850公里的输油管道无法运营，支付了500多万美元才恢复正常运营。因此，非法分子利用勒索病毒要求大型企业支付赎金，否则就无法正常使用网络，为用户带来不可估量的损失。因此，网络安全需要引入先进的防御技术，进一步提高安全防御能力[2]。

1 通信安全防御系统应用现状

通信安全防御系统经过多年的研究和应用，已经吸引了很多的学者和企业进行研发，比如360安全卫士、卡巴斯基杀毒软件等，一定程度上提高了通信安全防御水平。本文通过对近年来常用的通信安全防御系统进行研究，发现通信安全防御系统已经在很多领域得到广泛普及，比如电子商务、大数据中心、电子政务等，也提高了百度、腾讯、阿里等网络内容服务商的安全运行水平[3]。本文根据通信网络安全防御的实践，描述包过滤系统、访问控制系统和杀毒软件等防御技术。

（1）访问控制系统

访问控制系统是最常用和简单的通信安全防御技术，该技术可以根据大中小企业网络的应用实际需求，部署一个安全访问服务器，该服务器就类似于一个网络安全关口，配置和部署网络黑名单或白名单，从而确保通信系统安全运行。访问控制系统已经在中国移动、中国电信和中国联通等运营商机房中得到部署，并且可以根据每一个省市的机房大小，配置不同的防御规则，具有一定的应用灵活性。

（2）深度包过滤系统

深度包过滤系统是访问控制系统的升级版，也是安全防御研发企业推出的电信级防御技术，该技术能够针对每一个网络数据包进行检查，不仅覆盖网络应用层，还可以覆盖传输层和网络层，从而能够将数据包的包头部分、数据部分进行全面检查，避免木马或病毒隐藏在这些位置。深度包过滤已经在天猫商城、苏宁商城、京东商城、唯品会、手机银行等金融商务系统进行部署，从而避免消费者和企业的信息财产损失。

（3）杀毒软件系统

杀毒软件系统是互联网安全防御的重要手段。由于互联网运行中难免存在木马或病毒入侵，因此一旦发生安全事件，互联网就要启动杀毒软件，从而可以将木马或病毒清除[7]。互互联网经过多年的普及和使用，已经诞生了卡巴斯基、360安全等大型企业，研发和设计了更加先进杀毒软件，引入了脱壳技术、修复技术和自我保护技术，这些技术可以提高病毒或木马的脱壳能力，避免非法数据包由于采用高级别的隐藏技术导致瞒天过海，从而侵袭网络服务器，造成数据内容被污染或破坏，无法有效的保护互联网正常使用。

2 人工智能在通信安全防御系统中的应用

访问控制系统、深度包过滤和杀毒软件采用的通信安全防御模式均为被动型，由于木马和病毒的隐藏时间长，如果一旦攻击技术提升，通信系统将会面临严重的威胁和损失。因此，防患于未然成为通信安全防御系统的研究重点。人工智能作为一种模式识别和机器学习技术，其可以利用病毒或木马的基因特征，进行自主学习和演化，从而可以持续的改进通信安全防御性能。基于人工智能的通信安全防御系统业务流程如图1所示。

图1 基于人工智能的通信安全防御系统业务流程

人工智能实现算法采用深度学习，该算法包括六个层次，分别是输入层、卷积层C1、池化层S1、卷积层C2、池化层S2和全连接层，相关结构如图2所示[4]。

图2 深度学习算法学习和训练模型

深度学习在通信安全防御过程中，每一层的功能及作用描述如下。

（1）输入层。输入层的功能是实现通信数据包的预处理，可以删除一些噪声数据、非常安全的数据等，这些都不会潜藏病毒或木马，同时还可以将数据进行矩阵化操作，以便能够显示每一个数据包的类别，对其进行归一化处理，便于卷积神经网络进行处理。

（2）卷积层。卷积层通常包括两个关键操作，可以实现卷积网络的局部关联操作和窗口滑动操作。局部操作可以针对数据特征进行过滤，滑动窗口可以完成卷积神经网络特征的提取，实现卷积神经网络的特征分析，进一步改进卷积神经网络的准确度。

（3）池化层。池化层可以减少网络设置的参数数量，神经网络可以获取数据包的病毒基因特征，这些特征数据采取池化操作之后就可以计算某一个局部卷积特征平均值，也可以计算最大值或最小值，利用这些值可以针对卷积层获取的特征数量进行过滤，从而可以降低分类器的计算复杂度，充分的减少过度拟合发生的概率。

（4）全连接层。全连接层是一个分类器，其可以将神经网络经过学习和训练的结果输出到全连接层，这样就可以直接为通信安全防御提供决策支撑。比如，如果某一个数据包包含病毒或木马的特征，此时经过卷积神经网络匹配成功之后，就可以将这些病毒或木马存在的信息通知给网络管理员，及时启动杀毒软件，将病毒或木马清除。

本文为了能够验证提出的安全防御模型的有效性，将深度学习算法识别的病毒和木马准确度与其他算法进行比较，其他算法包括决策树算法、逻辑回归算法。具体的，本文从多个攻击服务器发送包含网银木马、网游木马、盗号木马、勒索病毒等60多种病毒的基因特征数据包，这些数据包攻击服务器，从而可以查看识别出的数据包的准确度。具体的，本文提出的通信安全防御模型实验结果如表1所示。

表1 通信安全实验结果

本文针对通信安全实验结果进行分析，发现深度学习算法的精确度最高可以达到98.8%，但是决策树算法和逻辑回归算法的准确度最高分别是67.5%和74.6%，远低于深度学习算法，同时本文针对深度学习算法的稳定性和鲁棒性进行考察，发现其运行过程较为稳定，优于同类算法。深度学习算法的准确度高，可以更好的识别通信数据中的潜在威胁，这样就可以提高通信安全防御的性能，适用于当前通信数据较大和复杂的情况，提高通信安全防御水平。

3 结束语

通信安全防御作为一个系统的、复杂的、持续的工作，经过多年的研究和应用，已经提出了很多的通信安全防御技术，比如防火墙、包过滤系统等，但是通信安全防御是一个长期的工作，常言道“魔高一尺，道高一丈”，因此为了保证通信系统的安全和避免用户信息产生损失，本文提出引入深度学习算法，构建一个人工智能安全防御系统，大幅度提高网络安全防御性能。深度学习算法能够实时的进行学习和升级，以便获取最新的网络病毒或木马基因，从而可以准确的识别网络数据流中的安全威胁。深度学习算法还可以通过硬件或固件实现，这样就可以提高算法运行的速度，不影响通信数据传输速度，不仅可以保护网络数据的安全传输，还可以避免由于添加了安全防御控制系统造成的信息时延，具有重要的意义。