（厦门安胜网络科技有限公司 福建 361000）

1 网络安全发展概述

网络安全源自网络通信的保密安全，随着通信网络及其安全需求的发展而发展，其有着自身的发展轨迹。网络安全的发展经历了几个阶段：

第一个阶段：只有信息加密或信息保密，通过对信息的“移位”或“替代”等密码算法来加密原始信息，保证信息数据的机密性。

第二个阶段：已经出现了计算机和网络。伴随着计算机及网络应用的发展，产生了早期的黑客，他们通过计算机语言编写完成特定功能的程序代码，并发布到网络中。

第三个阶段：这一时期的黑客逐渐形成了黑客产业链，通过入侵网络或个人计算机系统破坏，牟取经济利益。

第四个阶段：针对互联网等多种网络信息系统设计产生了入侵检测、防火墙等多种网络安全技术及产品，这些产品有效地减轻了网络攻击带来的安全威胁，为网络提供了更加安全可靠的保障。

2 网络安全的实践

2.1 基于人工智能技术实现威胁检测

2.1.1 实现DGA域名检测

DGA是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段。攻击者常常会使用域名将恶意程序连接至C&C服务器，从而达到操控受害者机器的目的。在DGA 检测中，主要分为三个步骤：

（1）域名分析：一个完整的域名由两个或者两个以上部分组成，至少包含一个顶级域名和一个二级域名。我们对由随机算法生成的DGA域名进行进行特征提取。

（2）域名词袋处理：我们引入词袋模型对域名进行处理，构建适合BiLSTM神经网络的输入数据。

（3）双向LSTM神经网络算法：BiLSTM 同时考虑了过去和未来的特征，使用两个LSTM，一个正向输入序列，一个反向输入序列，再将两者的输出结合起来作为最终的结果。

通过深度学习对DGA的智能检测，找到C&C服务器，进而解决僵尸网络威胁的发现场景，为溯源取证提供依据。

2.1.2 实现基因图谱检测技术

通过结合图像文理分析技术与恶意代码变种检测技术，将可疑文件的二进制代码映射为无法压缩的灰阶图片，与已有的恶意代码基因库图片进行相似度匹配，根据相似程度判断是否为威胁变种。主要分为如下5个步骤：

（1）将恶意代码映射为灰度图像，并提取其灰度图像特征。

（2）利用恶意代码灰度图像特征进行聚类，并将聚类结果进行恶意代码家族标注。

（3）建立CNN(卷积神经元网络)模型，并设置网络结构参数和训练参数。

（4）利用恶意代码家族灰度图像集合训练卷积神经元网络，并建立检测模型。

（5）最后我们利用检测模型对恶意代码及其变种进行家族检测。

2.1.3 实现恶意外联检测

攻击者为控制远程的受害主机，必定有一个和被控主机的连接过程，一般是通过在被控主机中植入后门等手段，由受控主机主动发出连接请求。该连接产生的流量就是恶意外联流量。

可以基于机器学习实现http 恶意外联流量的检测，分为5个步骤：

（1）提取请求头字段：将http 流量划分为url、url参数，user-agent、host 等结构化字段。

（2）泛化：同一家族的恶意流量结构一致，但是有部分具体细节不同。通过泛化取消它们的差异性部分并将两个url的结构特征得以保留。

（3）相识度计算：评估每个字段的特异性，字段内容特异性越高，则其恶意特征越明显，相应的就应该赋予更高权重。

（4）层次聚类：利用层次聚类算法将请求头划分为若干类。每一类中的请求头都具有相似的结构，用于后续生成恶意流量模板。

（5）生成模版检测：聚类后的每一类，都是结构和内容相似的恶意流量。对其中的每个参数都作为检测模版中的值，以此生成模版用于实现威胁的检测。

2.2 基于大数据技术实现追踪溯源

利用人工智能技术快速检测威胁识别异常，再结合大数据日常收集的人、地、事、物、组织等行为特征进行关联碰撞分析，可减少安全操作小组的工作量，从海量的日志里筛选出可疑威胁情报数据。如能有效地碰撞出异常，网络和安全操作人员将会进一步进行人工研判，去获取真实的态势感知。

2.2.1 事前感知

通过扫描搜集企业、单位或个人的流量信息，从中筛选出经常有使用相关的工具软件做一些扫描、下载等疑似黑客行为的特征，建立相关的疑似黑客画像库。这样当企业、单位或个人的网站被攻击时，如果黑客画像库的黑客有发现异常行为时，就可以触发疑似发现攻击者预警。还可提取已经发生的历史攻击事件的特征，建立事件预测模型，对企业、单位或个人全量数据进行预测，对预测结果判定为潜在可能成为事件的进行预警，预警按照事件发生的可能性排序，通过人工鉴别预警结果。

2.2.2 事中响应

（1）可以在企业、单位或个人的服务器上放置一些高诱惑性的文件，当对方尝试去查看或获取资源时，触发报警，并尝试获取黑客的真实IP等信息。

（2）针对常见的APT攻击的流量特征建模，实现例如当发现某个邮箱接收邮件后，短时间内有下载可疑文件并发起可疑请求时，触发报警。

（3）如果系统有接入防火墙的控制接口，当触发报警时，系统也可以选择设置防火墙阻断该黑客发起的攻击，或者引导该攻击流向系统搭建的蜜罐系统。

2.2.3 事后追踪

（1）可疑文件分析：通过web 特定页面的访问异常行为，判断可疑文件并上传进行分析，同时结合风险IP库等信息资源库积累，综合研判。

（2）IP行为关联性分析：获取区域内的IP通联日志，通过通联记录与异常行为的IP进行碰撞分析，落地到具体的可疑对象。

（3）APT 控制后门特征分析：目前很多高级黑客经常使用自制化工具进行相关的攻击行为，我们可以根据工具的相关特征来判断某些异常行为。如发包频率的特殊性等。

3 网络安全追踪溯源新技术

3.1 网络中的传播源定位技术

现实生活中，定位污染源或病毒源是非常具有吸引力但同时也极具挑战性的任务。而网络追踪溯源的研究则是通过在网络的部分节点搜集感染数据，来推导传播的源头。在这一方面，人们已经取得的一些研究成果。通过假设网络中所有节点的状态已知，实现对复杂网络的可控。

通过对企业、单位或个人网络中的一小部分节点进行观察和监测，实现对网络传播源的定位。有研究成果显示，只需要监视企业、单位或个人网络的10%至20%的节点，即能以高概率确定传播源头位置。

3.2 基于攻击者知识库的溯源技术

通过收集全球黑客信息，分析其行为模式等，构建全球黑客信息库。并根据信息库提供的特征、指纹等信息与特定攻击事件进行匹配。若匹配成功，则能够确定该攻击事件由哪个攻击者、哪个团伙实施，从而实现网络攻击溯源。

基于攻击者知识库溯源技术的难点是构建完善的攻击者及其行为信息库，完成特征描述与预测的方法，利用恶意软件开发者往往会在其方案中重复使用某代码块的特点，通过研究不同恶意软件的旧代码，来确定不同恶意软件的起源和种类，因此对目标进行追踪溯源。

4 结束语

针对网络空间攻击行为的追踪定位，也涌现出了新的思路和技术路线，可以极大丰富网络空间安全及威胁防范技术手段。网络威胁检测及追踪溯源必将得到进一步的发展，迈向实用化及产品化的大道，为网络空间安全的发展提供有力的保障。