◆胡慶偉
對(duì)基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)分析
◆胡慶偉
(中國(guó)人民解放軍66295部隊(duì) 河北 072750)
為保障信息時(shí)代背景下的信息網(wǎng)絡(luò)安全,各企業(yè)需要通過(guò)多種防護(hù)手段提升網(wǎng)絡(luò)安全防護(hù)能力,保護(hù)信息隱私不受侵犯。本文將以人工智能為重點(diǎn),從核心技術(shù)以及其他具體技術(shù)等方面對(duì)信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)進(jìn)行詳細(xì)闡述,希望能夠?yàn)閺氖孪嚓P(guān)工作的人員提供一些工作思路。
人工智能;安全態(tài)勢(shì);數(shù)據(jù)采集;數(shù)據(jù)預(yù)處理
面臨愈加頻繁的網(wǎng)絡(luò)攻擊,將人工智能應(yīng)用至信息網(wǎng)絡(luò)安全體系中勢(shì)在必行,利用人工智能高效的信息收集與處理能力以及高精度的判斷能力,能夠?qū)崿F(xiàn)將網(wǎng)絡(luò)攻擊成功阻截的目的,因此應(yīng)當(dāng)梳理并明晰其中所蘊(yùn)含的態(tài)勢(shì)感知技術(shù),進(jìn)一步增強(qiáng)信息網(wǎng)絡(luò)的安全性。
預(yù)測(cè)態(tài)勢(shì)主要是指利用感知系統(tǒng)對(duì)當(dāng)前信息現(xiàn)狀的調(diào)查,對(duì)于所預(yù)測(cè)內(nèi)容的主要有關(guān)因素進(jìn)行分析,并結(jié)合一定的歷史資料、預(yù)測(cè)經(jīng)驗(yàn)以及科學(xué)的方法理論對(duì)未來(lái)一定時(shí)期內(nèi)可能出現(xiàn)的安全態(tài)勢(shì)變化進(jìn)行預(yù)測(cè)。目前,基于人工智能展開(kāi)的安全態(tài)勢(shì)預(yù)測(cè)方法主要分為以下兩種:第一是專(zhuān)家系統(tǒng)預(yù)測(cè)方法,是指一種利用人工智能模仿特定領(lǐng)域內(nèi)的人類(lèi)專(zhuān)家的思維來(lái)對(duì)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè),此種預(yù)測(cè)方法需要一個(gè)具備豐富專(zhuān)業(yè)知識(shí)與人類(lèi)預(yù)測(cè)經(jīng)驗(yàn)的智能專(zhuān)家系統(tǒng),能夠求解較為復(fù)雜的問(wèn)題,此預(yù)測(cè)方法具有易于理解、避免過(guò)于繁復(fù)的計(jì)算、逐漸豐富自身預(yù)測(cè)經(jīng)驗(yàn)使預(yù)測(cè)精準(zhǔn)度不斷提升等優(yōu)勢(shì);第二是人工神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)方法,目前所應(yīng)用的人工神經(jīng)網(wǎng)絡(luò)模型包括BP網(wǎng)絡(luò)、RBF網(wǎng)絡(luò)、Hopfield網(wǎng)絡(luò)等,人工神經(jīng)網(wǎng)絡(luò)雖然在近年來(lái)與小波分析、粗糙/模糊集、灰色理論以及遺傳、進(jìn)化、免疫等算法工具相結(jié)合取得了比較好的應(yīng)用效果,但是仍舊存在局部最優(yōu)解的問(wèn)題,即在面對(duì)優(yōu)化問(wèn)題時(shí),由于問(wèn)題過(guò)于復(fù)雜,所需考慮因素較多,難以在短時(shí)間內(nèi)完成全局最優(yōu)解,導(dǎo)致優(yōu)化結(jié)果傾向于局部最優(yōu)解的現(xiàn)象[1]。
在對(duì)信息網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)時(shí),需要制定出一套完整的指標(biāo)體系,以此指標(biāo)體系為基礎(chǔ)為人工智能進(jìn)行態(tài)勢(shì)預(yù)判時(shí)提供參考標(biāo)準(zhǔn),并得出合理預(yù)測(cè)結(jié)果,所以此指標(biāo)體系其實(shí)是人工智能工作的依托。目前所應(yīng)用的指標(biāo)體系中主要包括以下三類(lèi)指標(biāo):第一是基礎(chǔ)運(yùn)行指標(biāo),是表征當(dāng)前網(wǎng)絡(luò)性能、傳輸設(shè)備負(fù)載、物流環(huán)境的一系列指標(biāo),代表著當(dāng)前企業(yè)所具備的基礎(chǔ)設(shè)施的基本情況。第二是網(wǎng)絡(luò)威脅指標(biāo),該指標(biāo)能夠直接反映出網(wǎng)絡(luò)中所潛在或已經(jīng)出現(xiàn)的威脅,如病毒、垃圾郵件、釣魚(yú)網(wǎng)站等,同時(shí)還能反映出網(wǎng)絡(luò)被惡意攻擊的程度和次數(shù),如攻擊強(qiáng)度、掛馬密度等指數(shù),人工智能可依據(jù)此指標(biāo)。第三是網(wǎng)絡(luò)脆弱性指標(biāo),表征的是網(wǎng)絡(luò)整體上漏洞和脆弱性的情況,通過(guò)檢測(cè)DNS服務(wù)器、核心路由器等關(guān)鍵設(shè)備的健康指數(shù)為安全態(tài)勢(shì)預(yù)測(cè)提供基礎(chǔ)數(shù)據(jù)。人工智能系統(tǒng)可依據(jù)此三項(xiàng)指標(biāo)的檢測(cè)結(jié)果為安全態(tài)勢(shì)感知提供大量數(shù)據(jù)參考,既能夠使系統(tǒng)識(shí)別危險(xiǎn)難度減小,又能夠使企業(yè)的信息網(wǎng)絡(luò)問(wèn)題反映更加直接,提醒技術(shù)人員及時(shí)對(duì)企業(yè)信息網(wǎng)絡(luò)短板進(jìn)行完善,使問(wèn)題處理更加高效,令人工智能在安全態(tài)勢(shì)感知方面的作用更加突出。
對(duì)防火墻日志、Web服務(wù)日志等信息進(jìn)行采集能夠?yàn)閼B(tài)勢(shì)分析提供基礎(chǔ)數(shù)據(jù),要求是所收集數(shù)據(jù)能夠被系統(tǒng)所識(shí)別并借助云服務(wù)器實(shí)現(xiàn)數(shù)據(jù)更新。由于網(wǎng)絡(luò)信息較多使流量鏡像數(shù)據(jù)的收集難度較大,所以可以依靠一些技術(shù)手段降低收集難度,主要技術(shù)包括以下四種:第一是端口匹配技術(shù),當(dāng)前時(shí)代網(wǎng)絡(luò)發(fā)展時(shí)間已長(zhǎng)達(dá)幾十年,在網(wǎng)絡(luò)協(xié)議不斷發(fā)展的過(guò)程中形成了一系列標(biāo)準(zhǔn)協(xié)議規(guī)范,在此類(lèi)規(guī)范中不同的協(xié)議類(lèi)型所使用的端口相對(duì)固定,所以根據(jù)此現(xiàn)象以及相關(guān)標(biāo)準(zhǔn)能夠?qū)崿F(xiàn)端口快速識(shí)別,檢測(cè)效率較高[2]。第二是流量特征檢測(cè)技術(shù),此技術(shù)共有兩種檢測(cè)方式,分別針對(duì)標(biāo)準(zhǔn)協(xié)議流量與未公開(kāi)協(xié)議流量,前者所包含的命令、狀態(tài)遷移機(jī)制等信息都有明確的專(zhuān)有字段和狀態(tài),系統(tǒng)能夠直接且準(zhǔn)確的進(jìn)行識(shí)別,而后者則需要通過(guò)逆向工程對(duì)協(xié)議機(jī)制進(jìn)行系統(tǒng)分析,對(duì)特征字段進(jìn)行解密后方能識(shí)別該流量。第三是自動(dòng)連接關(guān)聯(lián)技術(shù),為避免單個(gè)鏈接完成所有任務(wù)的模式弊端,當(dāng)前很多協(xié)議開(kāi)始采取應(yīng)用動(dòng)態(tài)協(xié)商端口的方式進(jìn)行數(shù)據(jù)傳輸,即通過(guò)控制鏈接上的報(bào)文信息自動(dòng)關(guān)聯(lián)至數(shù)據(jù)傳輸鏈接以進(jìn)行數(shù)據(jù)還原。第四是行為特征分析技術(shù),此技術(shù)主要針對(duì)部分難以還原的數(shù)據(jù)流量,對(duì)于此類(lèi)流量將利用鏈接的連接數(shù)、上下行流量等統(tǒng)計(jì)特征對(duì)數(shù)據(jù)流進(jìn)行簡(jiǎn)要區(qū)分。
由于此感知技術(shù)基于人工智能所發(fā)展,所以能夠運(yùn)用大數(shù)據(jù)對(duì)所采集信息進(jìn)行預(yù)處理,降低數(shù)據(jù)的后續(xù)處理難度。此技術(shù)主要運(yùn)用了大數(shù)據(jù)技術(shù)中的Stream框架,此框架具備數(shù)據(jù)處理速度較快、擴(kuò)展性與并發(fā)處理能力較強(qiáng)的優(yōu)勢(shì)。在具體的預(yù)處理活動(dòng)中,將涉及以下幾點(diǎn)內(nèi)容:第一是數(shù)據(jù)歸一,在Stream流中,系統(tǒng)將所收集的包括日志信息、數(shù)據(jù)流量等內(nèi)容在內(nèi)的數(shù)據(jù)進(jìn)行統(tǒng)一處理,通過(guò)將其進(jìn)行轉(zhuǎn)化的方式使其適應(yīng)系統(tǒng)應(yīng)用方式,并作為系統(tǒng)進(jìn)行后續(xù)分析的數(shù)據(jù)元。第二是情報(bào)知識(shí)庫(kù)的關(guān)聯(lián),通過(guò)將情報(bào)庫(kù)與知識(shí)庫(kù)相關(guān)聯(lián)的方式使企業(yè)獲取到自身進(jìn)行安全態(tài)勢(shì)分析所需的支持信息,目的同樣是為系統(tǒng)后續(xù)分析提供數(shù)據(jù)基礎(chǔ);第三是數(shù)據(jù)歸并,系統(tǒng)通過(guò)計(jì)算分析引擎按照預(yù)置的事件流程框架將數(shù)據(jù)進(jìn)行歸并,在此活動(dòng)中將所有事件處理完成后歸納進(jìn)引擎入口并結(jié)合歷史數(shù)據(jù)中的內(nèi)容分析出此數(shù)據(jù)流中是否存在異常,從而觸發(fā)警報(bào)。
由于信息網(wǎng)絡(luò)中所存儲(chǔ)的信息量異常龐大,所以系統(tǒng)在對(duì)大量數(shù)據(jù)進(jìn)行檢索時(shí)一般可以借助搜索引擎來(lái)完成,比如Elastic Search引擎,此搜索引擎能夠?qū)崿F(xiàn)分布式全文搜索,與企業(yè)內(nèi)的云計(jì)算環(huán)境非常契合。具體搜索模式為在系統(tǒng)平臺(tái)對(duì)信息進(jìn)行處理與計(jì)算等操作后,將數(shù)據(jù)保存至分布式搜索引擎的索引文件中,再將各類(lèi)型數(shù)據(jù)以時(shí)間、名稱(chēng)、內(nèi)容等為標(biāo)準(zhǔn)進(jìn)行分類(lèi)存儲(chǔ),并提供出索引字段,以提供數(shù)據(jù)快速檢索功能。另外,將索引以多個(gè)分片和多個(gè)副本的形式存儲(chǔ)于分布式文件系統(tǒng)中,既能夠有效實(shí)現(xiàn)對(duì)近期錄入數(shù)據(jù)的近似值查詢(xún),通過(guò)相類(lèi)似信息佐證所查詢(xún)信息的真實(shí)性,保障數(shù)據(jù)可靠性,又能夠使系統(tǒng)中的TB級(jí)數(shù)據(jù)索引時(shí)間縮短至秒級(jí),大幅度提升索引性能[3]。
在經(jīng)過(guò)上述階段處理后,仍舊需要通過(guò)多種技術(shù)對(duì)數(shù)據(jù)進(jìn)行深入分析與挖掘,發(fā)現(xiàn)其中的潛在風(fēng)險(xiǎn)。主要應(yīng)用技術(shù)有以下四種:第一是惡意代碼智能檢測(cè)技術(shù),通過(guò)對(duì)大量的正常軟件與惡意軟件樣本進(jìn)行分析比對(duì),挖掘出兩類(lèi)軟件的本質(zhì)特征,并以此為基礎(chǔ)建立機(jī)器學(xué)習(xí)模型,得到惡意軟件識(shí)別模型,從而發(fā)現(xiàn)更多惡意程序。第二是廣譜反病毒查殺技術(shù),此技術(shù)是原有反病毒查殺技術(shù)的一次升級(jí),其可靠性得到了極大提高;第三是機(jī)器學(xué)習(xí)技術(shù),即利用機(jī)器強(qiáng)大的學(xué)習(xí)能力對(duì)海量信息數(shù)據(jù)進(jìn)行篩選得到關(guān)鍵數(shù)據(jù),并將其輸送至人工團(tuán)隊(duì)進(jìn)行分析;第四是自動(dòng)化數(shù)據(jù)處理技術(shù),雖然態(tài)勢(shì)感知技術(shù)以人工智能為依托,但仍舊需要以人為中心進(jìn)行數(shù)據(jù)分析,利用使用自動(dòng)化數(shù)據(jù)處理技術(shù)分析潛在威脅與人工干預(yù)相結(jié)合的方式能夠在最大程度上強(qiáng)化分析結(jié)果準(zhǔn)確度。
總而言之,當(dāng)前此技術(shù)手段仍舊處于初步發(fā)展階段,存在較多技術(shù)難題有待攻克,通過(guò)以上幾部分對(duì)其中存在的具體技術(shù)內(nèi)容進(jìn)行梳理,有助于降低我國(guó)更多企業(yè)引進(jìn)此感知系統(tǒng)的難度,并利用此技術(shù)對(duì)企業(yè)所面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估,檢測(cè)企業(yè)風(fēng)險(xiǎn)狀態(tài),使企業(yè)始終處于安全保護(hù)之下。
[1]王小鴻.基于大數(shù)據(jù)和人工智能技術(shù)的信息安全態(tài)勢(shì)感知系統(tǒng)研究[J].大眾標(biāo)準(zhǔn)化,2019(14):18+20.
[2]孟繁玉.網(wǎng)絡(luò)安全態(tài)勢(shì)感知與人工智能[J].中國(guó)信息界,2019(04):89-91.
[3]鄭艷芳.人工智能應(yīng)用與分析技術(shù)在信息安全態(tài)勢(shì)感知體系的研究和實(shí)踐[J].數(shù)字通信世界,2018(04):221.