基于深度学习的信息安全防御系统研究与设计

高怀鑫，陈政翰，王嘉昕，刘书荣

（兰州中川国际机场有限公司，甘肃 兰州 730087）

0 引 言

大数据、云计算等技术的快速发展促进了大数据中心等信息系统的应用和普及，例如华为云、中国移动云、百度云、阿里云以及腾讯云等大数据中心相继成立，为中国信息系统的发展提供了强大的推动力，取得了显著的应用成效[1]。但是，信息系统在为电子商务、电子政务、金融证券等提供便捷服务的同时，也面临着海量的病毒攻击、木马攻击等威胁[2]。传统的信息安全防御系统采用防火墙、访问控制规则、杀毒软件等，一定程度上提高了信息安全保护水平，但是由于这些攻击威胁发作速度非常快，因此需要引入更加先进的技术进一步提高安全防御能力，实现防患于未然[3]。

1 基于深度学习的信息安全防御系统设计

深度学习是一种非常先进的数据挖掘、模式识别和机器学习算法，采用的核心技术为卷积神经网络，将单层的网络划分为卷积层、池化层、全连接层等，从而提高了模式识别学习和训练的适应能力[4]。深度学习在信息安全防御中的应用可以有效提高深度神经网络的可解释性，降低样本收集和计算成本，解决样本集不均衡的问题。同时可以建立一个纵深层次的防御体系，提高信息安全管理的主动性和智能化[5]。

系统的功能主要包括数据采集、病毒或木马识别、病毒查杀等[6]。数据采集可以针对访问信息系统的数据流进行采集，实时抓取每一个数据包，将这些数据包发送给识别模块。识别模块利用深度学习算法，可以识别数据流中是否潜藏病毒或木马。如果存在病毒或木马，需要将其发送给病毒查杀模块，启动防御工具（例如360安全卫士企业版、卡巴斯基杀毒工具企业版等），从而及时消除病毒和木马[7]。基于深度学习的信息安全防御系统运行流程如图1所示。

图1 基于深度学习的信息安全防御系统运行流程

基于深度学习的信息安全防御系统包括输入层、卷积层C1、池化层S1、卷积层C2、池化层S2以及全连接层6个层次，相关结构如图2所示。

图2 基于深度学习的信息安全防御系统结构

输入层可以接受访问信息安全系统的数据，并且利用归一化方法统一处理，实现量纲统一，也可以通过预处理清除噪声数据[8]。卷积层可以执行窗口滑动操作和局部关联操作，联合完成信息系统访问数据的特征过滤和特征提取工作，从而提高深度学习算法的准确度[9]。池化层可以进一步降低访问信息系统的特征数据规模，从而降低深度学习分类器的复杂度，避免发生过度拟合的现象[10]。全连接层是一个完整的分类器，可以将深度学习训练的结果保存在这一层，从而识别和发现潜在的病毒或木马，限制携带病毒或木马的数据访问信息系统，避免信息系统受到不法侵害。全连接层可以进行动态训练和改进，从而及时更新分类器，有效提升分类器的准确性。

2 实验及结果分析

为了验证本文深度学习算法的识别准确度，构建了一个模拟测试环境，利用模拟攻击终端生成18 000条攻击记录。这些攻击含有各种网络病毒或木马，包括震网病毒、Duqu病毒、“火焰”病毒、Havex病毒、Sandworm病毒、格盘病毒、“方程式”组织病毒库、黑暗能量黑客攻击以及网络协议漏洞攻击等，数据集构成如表1所示。

表1 实验数据集构成

攻击9个模拟终端，详细数据如表2所示。

表2 模拟终端及攻击记录数据

测试基于支持向量机算法的信息安全防御系统、基于AdaBoost算法的信息安全防御系统以及本文所提出的基于深度学习算法的信息安全防御系统的精确度，对比结果如表3所示。

表3 不同系统的识别精确度对比结果 （单位：%）

根据表3，基于深度学习算法的系统识别准确度最高为99.62%，支持向量机算法的系统识别准确度最高为76.24%，基于AdaBoost算法的系统识别准确度最高为81.18%，表明基于深度学习算法能够有效识别病毒或木马。同时，本文通过对各个模拟终端的信息安全识别精确度，发现深度学习算法的识别准确度比较稳定，其余的算法波动较大，如图3所示。

图3 算法识别结果的稳定性

3 结 论

结合深度学习开展信息安全防御工作，利用先进的数据挖掘和识别技术识别网络中潜在的病毒和木马，并且将识别结果发送给病毒查杀工具，从而及时清除病毒或木马。与此同时，阻止后续同一个数据源的访问，实现防患于未然，进一步提高网络安全防御水平。