◆廖彬

基于人工智能的校園網(wǎng)絡安全探索與研究

◆廖彬

（福州大學網(wǎng)絡安全與信息化辦公室 福建 350108）

本文針對校園網(wǎng)絡安全問題提出了人工智能的解決策略，如：網(wǎng)絡的防火墻配置對策、基于用戶權限的管理等。本文還通過人工智能來判斷防火墻政策規(guī)則的新增、刪除及規(guī)則順序調整的動作，作為調整防火墻政策規(guī)則的參考，保持防火墻系統(tǒng)維持較佳狀態(tài)。

校園網(wǎng)絡；網(wǎng)絡安全；人工智能

1 引言

在大學校園電子化發(fā)達的情形下，使得原本傳統(tǒng)的紙本作業(yè)以數(shù)字化的方式被處理及傳遞，雖然帶來了便利，但也同時隱含著許多風險，例如含有機敏性及個人隱私的數(shù)據(jù)在公開的網(wǎng)絡上遭竊取、或偽冒身份從事不當行為、癱瘓系統(tǒng)網(wǎng)絡導致造成損失等，種種的網(wǎng)絡安全事件已頻傳在政府、企業(yè)等單位，甚至在單純校園里也難以幸免，雖然學校是以學術研究及培育人才為目的，對于入侵者來說不如政府機關擁有國家機密、企業(yè)有著商業(yè)機密來得有誘因，但也不可掉以輕心，因為在信息應用普及下，學校的行政流程以及學生的教學互動等作業(yè)大量依賴計算機系統(tǒng)的運作，同時伴隨網(wǎng)絡上種種越權存取(unauthenticated access)、入侵(cracking)、計算機犯罪(computer crime)的新挑戰(zhàn)，在本研究中，針對人工智能對校園信息安全處理對策進行探討。

2 AI在網(wǎng)絡安全中的應用場景

2.1 AI網(wǎng)絡安全分場景建設主要采用技術

AI網(wǎng)絡安全場景建設方面，可基于大數(shù)據(jù)做大安全?；跈C器學習、深度學習算法的人工智能安全分析引擎，能夠更好地處理模糊、非線性、海量數(shù)據(jù)，通過對不同數(shù)據(jù)類型的大量數(shù)據(jù)進行聚合、分類、序列化，有效檢測識別各類網(wǎng)絡安全威脅，大大提升安全檢測效率、精準度和自動化程度。人工智能技術可對各種網(wǎng)絡安全要素數(shù)據(jù)進行歸并、關聯(lián)分析、融合處理，通過大量安全風險數(shù)據(jù)進行關聯(lián)性安全態(tài)勢分析，綜合分析網(wǎng)絡安全要素，評估網(wǎng)絡安全狀況，預測其發(fā)展趨勢，進而構建智能化網(wǎng)絡安全威脅態(tài)勢感知體系。

2.2 AI網(wǎng)絡安全分場景

在網(wǎng)絡入侵檢測方面。入侵檢測技術是利用各種手段方式，對異常網(wǎng)絡流量等數(shù)據(jù)進行收集、篩選、處理，自動生成安全報告提供給用戶，如DDoS檢測、僵尸網(wǎng)絡檢測。

在預測性惡意軟件防御方面。預測性惡意軟件防御技術通過使用機器學習和統(tǒng)計模型，尋找惡意軟件家族特征，預測進化方向，提前進行防御。包括智能防病毒網(wǎng)關、智能Web應用防火墻、智能防火墻、智能網(wǎng)絡流量分析等。

在網(wǎng)絡安全動態(tài)感知方面，包括網(wǎng)絡安全預警通報、網(wǎng)絡系統(tǒng)安全風險自評估、網(wǎng)絡安全自動化運營等，網(wǎng)絡安全態(tài)勢感知技術利用數(shù)據(jù)融合、人工智能、智能分析和可視化等技術，直觀顯示、預測網(wǎng)絡安全態(tài)勢，為網(wǎng)絡安全預警防護提供保障，可在不斷的自學習過程中提高系統(tǒng)的防御水平。

此外，人工智能技術在網(wǎng)絡安全運營管理、網(wǎng)絡系統(tǒng)安全風險自評估及物聯(lián)網(wǎng)安全問題上多有應用。

3 基于人工智能的網(wǎng)絡安全防御策略

近年來有部分研究運用防火墻日志記錄進行分析，嘗試運用人工智能技術來找出隱含于防火墻日志記錄的規(guī)則，進而提供管理者作為加入或更新防火墻政策規(guī)則的參考，以提升防火墻的效率。本研究所提出防火墻規(guī)則自動更新方法流程如圖1所示，主要可以分為四個步驟，依次為：數(shù)據(jù)前處理、關聯(lián)規(guī)則挖掘、改變挖掘及防火墻政策規(guī)則評估。

關聯(lián)規(guī)則與防火墻政策規(guī)則的整合評估流程如圖1所示。經(jīng)由數(shù)據(jù)挖掘，可以得到新興樣式、新增樣式及消失樣式等三種不同樣式的關聯(lián)規(guī)則。其次，不同樣式的關聯(lián)規(guī)則再與現(xiàn)存的防火墻政策規(guī)則（或稱原規(guī)則表）進行比較與整合。本研究根據(jù)防火墻系統(tǒng)運作的特性，最終比對不到規(guī)則的封包都將會拒絕（Deny），而原本允許（Allow）的記錄則表示這些規(guī)則已存在于現(xiàn)行防火墻政策規(guī)則表中，最后通過調整允許規(guī)則及新增、刪除拒絕規(guī)則來持續(xù)提升并保持防火墻系統(tǒng)的效率。

圖1 防火墻政策規(guī)則整合流程圖

本研究的防火墻政策調整動作原則如表1所示，此表匯整出任何兩個時間點所產(chǎn)生的關聯(lián)規(guī)則比對表，符合該表的特征即執(zhí)行后續(xù)相關動作。例如：在連續(xù)兩周所挖掘出來的拒絕關聯(lián)規(guī)則符合新興樣式（即支持度增加），就將此結果通知管理人員并且建議可將該筆拒絕類型的關聯(lián)規(guī)則加入防火墻政策規(guī)則中。同樣地，在連續(xù)兩個月所挖掘出來的允許類型的關聯(lián)規(guī)則符合新興樣式（即支持度增加），而且此規(guī)則已經(jīng)存在現(xiàn)有規(guī)則表中，即可建議管理人員調整此筆允許類型關聯(lián)規(guī)則的優(yōu)先比對順序，使得防火墻系統(tǒng)運作更有效率。

表1 各種類型規(guī)則的執(zhí)行動作

*Not Available：不可能出現(xiàn)的情況。

*若規(guī)則不屬于上述類型的規(guī)則，則維持現(xiàn)狀（對現(xiàn)有防火墻規(guī)則表不做任何異動）。

由于防火墻運采用正面表列的方式，若封包與現(xiàn)有防火墻規(guī)則表中的規(guī)則都比對不到的話，就會拒絕該封包存取。各種規(guī)則類型的執(zhí)行動作詳細描述如下：

（1）因為該規(guī)則既然已經(jīng)存在現(xiàn)有防火墻規(guī)則表（有），而且關聯(lián)規(guī)則類型屬于允許，故對現(xiàn)有防火墻規(guī)則表不做任何異動，即維持現(xiàn)狀。

（2）因為該規(guī)則既然未存在現(xiàn)有防火墻規(guī)則表（無），代表不可能有任何封包因為該規(guī)則而通過防火墻（即不可能出現(xiàn)此規(guī)則），故此狀況屬于NotAvailable。

（3）因為該規(guī)則既然已經(jīng)存在現(xiàn)有防火墻規(guī)則表（有），而且關聯(lián)規(guī)則類型屬于允許，故對現(xiàn)有防火墻規(guī)則表不做任何異動，即維持現(xiàn)狀。

（4）因為該規(guī)則既然未存在現(xiàn)有防火墻規(guī)則表（無），代表不可能有任何封包因為符合該規(guī)則而通過防火墻（即不可能出現(xiàn)此規(guī)則），故此狀況屬于NotAvailable。

（5）因為該規(guī)則屬于Emerging（即規(guī)則的支持度大幅增加），代表符合此規(guī)則的封包將大幅增加，為了讓封包與防火墻規(guī)則的比對次數(shù)減少。因此，將調整該規(guī)則在防火墻規(guī)則表中的先后順序，即該規(guī)則的順序往前調整，讓此符合此規(guī)則的封包盡快通過，以降低封包的比對次數(shù)。

（6）因為該規(guī)則既然未存在現(xiàn)有防火墻規(guī)則表（無），代表不可能有任何封包因為符合該規(guī)則而通過防火墻（即不可能出現(xiàn)此規(guī)則），故此狀況屬于NotAvailable。

（7）因為該規(guī)則既然已經(jīng)存在現(xiàn)有防火墻規(guī)則表（有），而且關聯(lián)規(guī)則類型屬于拒絕，故對現(xiàn)有防火墻規(guī)則表不做任何異動，即維持現(xiàn)狀。

（8）因為該規(guī)則既然未存在現(xiàn)有防火墻規(guī)則表（無），而且關聯(lián)規(guī)則類型屬于拒絕，故對現(xiàn)有防火墻規(guī)則表不做任何異動，即維持現(xiàn)狀。

（9）因為該規(guī)則屬于Perished（即規(guī)則的支持度低于最小支持度門檻值），代表符合此規(guī)則的封包已經(jīng)大量減少或消失，為了讓封包與防火墻規(guī)則的比對次數(shù)減少。因此，可以評估將該規(guī)則從防火墻規(guī)則表中刪除，以降低封包的比對次數(shù)。

（10）因為該規(guī)則既然未存在現(xiàn)有防火墻規(guī)則表（無），而且關聯(lián)規(guī)則類型屬于拒絕，故對現(xiàn)有防火墻規(guī)則表不做任何異動，即維持現(xiàn)狀。

（11）因為該規(guī)則屬于Emerging（即規(guī)則的支持度大幅增加），代表符合此規(guī)則的封包將大幅增加，為了讓封包與防火墻規(guī)則的比對次數(shù)減少。因此，將調整該規(guī)則在防火墻規(guī)則表中的先后順序，即該規(guī)則的順序往前調整，讓此符合此規(guī)則的封包盡快拒絕，以降低封包的比對次數(shù)。

（12）因為該規(guī)則既然未存在現(xiàn)有防火墻規(guī)則表（無），然而該規(guī)則屬于Emerging（即規(guī)則的支持度大幅增加），代表符合此規(guī)則的封包將大幅增加，為了讓封包與防火墻規(guī)則的比對次數(shù)減少，故防火墻規(guī)則表中應加入此規(guī)則，讓此符合此規(guī)則的封包盡快拒絕，以降低封包的比對次數(shù)。

本研究嘗試整合關聯(lián)規(guī)則挖掘及改變挖掘等技術，提出基于人工智能的防火墻規(guī)則自動更新方法。首先挖掘出關聯(lián)規(guī)則，進而運用改變挖掘技術分辨出新興樣式、新增樣式及消失樣式等3種不同樣式的關聯(lián)規(guī)則。最后，將具有不同樣式的關聯(lián)規(guī)則運用于防火墻政策規(guī)則的調整，進而提升防火墻效率。實驗結果也證實基于人工智能的防火墻規(guī)則自動更新方法的效果優(yōu)于原始規(guī)則表及Apriori方法，同樣的網(wǎng)絡攻擊方法，本文提出的方法可以比原來的方法甄別效率提高一倍，效果提高一倍。

4 總結

本文以解決校園網(wǎng)絡信息安全問題的角度開發(fā)出分析人工智能在網(wǎng)絡信息安全中的應用，協(xié)助管理人員可以快速地完成偵測網(wǎng)絡攻擊和異常。本文以解決部門信息安全問題的角度分析人工智能在網(wǎng)絡信息安全中的應用，協(xié)助管理人員可以快速地完成網(wǎng)絡攻擊和異常。本文所開發(fā)的網(wǎng)絡安全管理系統(tǒng)不但可以節(jié)省網(wǎng)絡管理員的管理時間，還可以提高管理效率。而當面臨如目標式攻擊此類需要長時間且大量的數(shù)據(jù)以進行分析時，傳統(tǒng)的關聯(lián)式數(shù)據(jù)庫無法處理如此巨量數(shù)據(jù)，因此，本研究利用人工智能技術以解決此問題，而實驗證明本研究所設計的系統(tǒng)大幅提升解決巨量記錄文件分析效率的問題。

[1]王興國.企業(yè)網(wǎng)安全管理問題與策略研究[J]. 遼寧行政學院學報，2015（05）：23-25.

[2]陳堅.校園網(wǎng)絡安全問題分析及解決方案設計[D]. 長春工業(yè)大學，2016：23-26.

[3]崔孝林.網(wǎng)絡安全評估系統(tǒng)的設計與實現(xiàn)[D]. 中國科學技術大學，2019：56-59.

[3]李江濤.基于行為的病毒檢測系統(tǒng)的設計與實現(xiàn)[D]. 北京交通大學，2018：90-92.