◆胡慶偉

對(duì)基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)分析

◆胡慶偉

（中國(guó)人民解放軍66295部隊(duì) 河北 072750）

為保障信息時(shí)代背景下的信息網(wǎng)絡(luò)安全，各企業(yè)需要通過(guò)多種防護(hù)手段提升網(wǎng)絡(luò)安全防護(hù)能力，保護(hù)信息隱私不受侵犯。本文將以人工智能為重點(diǎn)，從核心技術(shù)以及其他具體技術(shù)等方面對(duì)信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)進(jìn)行詳細(xì)闡述，希望能夠?yàn)閺氖孪嚓P(guān)工作的人員提供一些工作思路。

人工智能；安全態(tài)勢(shì)；數(shù)據(jù)采集；數(shù)據(jù)預(yù)處理

面臨愈加頻繁的網(wǎng)絡(luò)攻擊，將人工智能應(yīng)用至信息網(wǎng)絡(luò)安全體系中勢(shì)在必行，利用人工智能高效的信息收集與處理能力以及高精度的判斷能力，能夠?qū)崿F(xiàn)將網(wǎng)絡(luò)攻擊成功阻截的目的，因此應(yīng)當(dāng)梳理并明晰其中所蘊(yùn)含的態(tài)勢(shì)感知技術(shù)，進(jìn)一步增強(qiáng)信息網(wǎng)絡(luò)的安全性。

1 基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知核心技術(shù)

（1）預(yù)測(cè)態(tài)勢(shì)算法

預(yù)測(cè)態(tài)勢(shì)主要是指利用感知系統(tǒng)對(duì)當(dāng)前信息現(xiàn)狀的調(diào)查，對(duì)于所預(yù)測(cè)內(nèi)容的主要有關(guān)因素進(jìn)行分析，并結(jié)合一定的歷史資料、預(yù)測(cè)經(jīng)驗(yàn)以及科學(xué)的方法理論對(duì)未來(lái)一定時(shí)期內(nèi)可能出現(xiàn)的安全態(tài)勢(shì)變化進(jìn)行預(yù)測(cè)。目前，基于人工智能展開(kāi)的安全態(tài)勢(shì)預(yù)測(cè)方法主要分為以下兩種：第一是專(zhuān)家系統(tǒng)預(yù)測(cè)方法，是指一種利用人工智能模仿特定領(lǐng)域內(nèi)的人類(lèi)專(zhuān)家的思維來(lái)對(duì)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，此種預(yù)測(cè)方法需要一個(gè)具備豐富專(zhuān)業(yè)知識(shí)與人類(lèi)預(yù)測(cè)經(jīng)驗(yàn)的智能專(zhuān)家系統(tǒng)，能夠求解較為復(fù)雜的問(wèn)題，此預(yù)測(cè)方法具有易于理解、避免過(guò)于繁復(fù)的計(jì)算、逐漸豐富自身預(yù)測(cè)經(jīng)驗(yàn)使預(yù)測(cè)精準(zhǔn)度不斷提升等優(yōu)勢(shì)；第二是人工神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)方法，目前所應(yīng)用的人工神經(jīng)網(wǎng)絡(luò)模型包括BP網(wǎng)絡(luò)、RBF網(wǎng)絡(luò)、Hopfield網(wǎng)絡(luò)等，人工神經(jīng)網(wǎng)絡(luò)雖然在近年來(lái)與小波分析、粗糙/模糊集、灰色理論以及遺傳、進(jìn)化、免疫等算法工具相結(jié)合取得了比較好的應(yīng)用效果，但是仍舊存在局部最優(yōu)解的問(wèn)題，即在面對(duì)優(yōu)化問(wèn)題時(shí)，由于問(wèn)題過(guò)于復(fù)雜，所需考慮因素較多，難以在短時(shí)間內(nèi)完成全局最優(yōu)解，導(dǎo)致優(yōu)化結(jié)果傾向于局部最優(yōu)解的現(xiàn)象[1]。

（2）表征態(tài)勢(shì)指標(biāo)體系

在對(duì)信息網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)時(shí)，需要制定出一套完整的指標(biāo)體系，以此指標(biāo)體系為基礎(chǔ)為人工智能進(jìn)行態(tài)勢(shì)預(yù)判時(shí)提供參考標(biāo)準(zhǔn)，并得出合理預(yù)測(cè)結(jié)果，所以此指標(biāo)體系其實(shí)是人工智能工作的依托。目前所應(yīng)用的指標(biāo)體系中主要包括以下三類(lèi)指標(biāo)：第一是基礎(chǔ)運(yùn)行指標(biāo)，是表征當(dāng)前網(wǎng)絡(luò)性能、傳輸設(shè)備負(fù)載、物流環(huán)境的一系列指標(biāo)，代表著當(dāng)前企業(yè)所具備的基礎(chǔ)設(shè)施的基本情況。第二是網(wǎng)絡(luò)威脅指標(biāo)，該指標(biāo)能夠直接反映出網(wǎng)絡(luò)中所潛在或已經(jīng)出現(xiàn)的威脅，如病毒、垃圾郵件、釣魚(yú)網(wǎng)站等，同時(shí)還能反映出網(wǎng)絡(luò)被惡意攻擊的程度和次數(shù)，如攻擊強(qiáng)度、掛馬密度等指數(shù)，人工智能可依據(jù)此指標(biāo)。第三是網(wǎng)絡(luò)脆弱性指標(biāo)，表征的是網(wǎng)絡(luò)整體上漏洞和脆弱性的情況，通過(guò)檢測(cè)DNS服務(wù)器、核心路由器等關(guān)鍵設(shè)備的健康指數(shù)為安全態(tài)勢(shì)預(yù)測(cè)提供基礎(chǔ)數(shù)據(jù)。人工智能系統(tǒng)可依據(jù)此三項(xiàng)指標(biāo)的檢測(cè)結(jié)果為安全態(tài)勢(shì)感知提供大量數(shù)據(jù)參考，既能夠使系統(tǒng)識(shí)別危險(xiǎn)難度減小，又能夠使企業(yè)的信息網(wǎng)絡(luò)問(wèn)題反映更加直接，提醒技術(shù)人員及時(shí)對(duì)企業(yè)信息網(wǎng)絡(luò)短板進(jìn)行完善，使問(wèn)題處理更加高效，令人工智能在安全態(tài)勢(shì)感知方面的作用更加突出。

2 基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知具體技術(shù)

（1）數(shù)據(jù)采集階段

對(duì)防火墻日志、Web服務(wù)日志等信息進(jìn)行采集能夠?yàn)閼B(tài)勢(shì)分析提供基礎(chǔ)數(shù)據(jù)，要求是所收集數(shù)據(jù)能夠被系統(tǒng)所識(shí)別并借助云服務(wù)器實(shí)現(xiàn)數(shù)據(jù)更新。由于網(wǎng)絡(luò)信息較多使流量鏡像數(shù)據(jù)的收集難度較大，所以可以依靠一些技術(shù)手段降低收集難度，主要技術(shù)包括以下四種：第一是端口匹配技術(shù)，當(dāng)前時(shí)代網(wǎng)絡(luò)發(fā)展時(shí)間已長(zhǎng)達(dá)幾十年，在網(wǎng)絡(luò)協(xié)議不斷發(fā)展的過(guò)程中形成了一系列標(biāo)準(zhǔn)協(xié)議規(guī)范，在此類(lèi)規(guī)范中不同的協(xié)議類(lèi)型所使用的端口相對(duì)固定，所以根據(jù)此現(xiàn)象以及相關(guān)標(biāo)準(zhǔn)能夠?qū)崿F(xiàn)端口快速識(shí)別，檢測(cè)效率較高[2]。第二是流量特征檢測(cè)技術(shù)，此技術(shù)共有兩種檢測(cè)方式，分別針對(duì)標(biāo)準(zhǔn)協(xié)議流量與未公開(kāi)協(xié)議流量，前者所包含的命令、狀態(tài)遷移機(jī)制等信息都有明確的專(zhuān)有字段和狀態(tài)，系統(tǒng)能夠直接且準(zhǔn)確的進(jìn)行識(shí)別，而后者則需要通過(guò)逆向工程對(duì)協(xié)議機(jī)制進(jìn)行系統(tǒng)分析，對(duì)特征字段進(jìn)行解密后方能識(shí)別該流量。第三是自動(dòng)連接關(guān)聯(lián)技術(shù)，為避免單個(gè)鏈接完成所有任務(wù)的模式弊端，當(dāng)前很多協(xié)議開(kāi)始采取應(yīng)用動(dòng)態(tài)協(xié)商端口的方式進(jìn)行數(shù)據(jù)傳輸，即通過(guò)控制鏈接上的報(bào)文信息自動(dòng)關(guān)聯(lián)至數(shù)據(jù)傳輸鏈接以進(jìn)行數(shù)據(jù)還原。第四是行為特征分析技術(shù)，此技術(shù)主要針對(duì)部分難以還原的數(shù)據(jù)流量，對(duì)于此類(lèi)流量將利用鏈接的連接數(shù)、上下行流量等統(tǒng)計(jì)特征對(duì)數(shù)據(jù)流進(jìn)行簡(jiǎn)要區(qū)分。

（2）數(shù)據(jù)預(yù)處理階段

由于此感知技術(shù)基于人工智能所發(fā)展，所以能夠運(yùn)用大數(shù)據(jù)對(duì)所采集信息進(jìn)行預(yù)處理，降低數(shù)據(jù)的后續(xù)處理難度。此技術(shù)主要運(yùn)用了大數(shù)據(jù)技術(shù)中的Stream框架，此框架具備數(shù)據(jù)處理速度較快、擴(kuò)展性與并發(fā)處理能力較強(qiáng)的優(yōu)勢(shì)。在具體的預(yù)處理活動(dòng)中，將涉及以下幾點(diǎn)內(nèi)容：第一是數(shù)據(jù)歸一，在Stream流中，系統(tǒng)將所收集的包括日志信息、數(shù)據(jù)流量等內(nèi)容在內(nèi)的數(shù)據(jù)進(jìn)行統(tǒng)一處理，通過(guò)將其進(jìn)行轉(zhuǎn)化的方式使其適應(yīng)系統(tǒng)應(yīng)用方式，并作為系統(tǒng)進(jìn)行后續(xù)分析的數(shù)據(jù)元。第二是情報(bào)知識(shí)庫(kù)的關(guān)聯(lián)，通過(guò)將情報(bào)庫(kù)與知識(shí)庫(kù)相關(guān)聯(lián)的方式使企業(yè)獲取到自身進(jìn)行安全態(tài)勢(shì)分析所需的支持信息，目的同樣是為系統(tǒng)后續(xù)分析提供數(shù)據(jù)基礎(chǔ)；第三是數(shù)據(jù)歸并，系統(tǒng)通過(guò)計(jì)算分析引擎按照預(yù)置的事件流程框架將數(shù)據(jù)進(jìn)行歸并，在此活動(dòng)中將所有事件處理完成后歸納進(jìn)引擎入口并結(jié)合歷史數(shù)據(jù)中的內(nèi)容分析出此數(shù)據(jù)流中是否存在異常，從而觸發(fā)警報(bào)。

（3）數(shù)據(jù)存儲(chǔ)與檢索階段

由于信息網(wǎng)絡(luò)中所存儲(chǔ)的信息量異常龐大，所以系統(tǒng)在對(duì)大量數(shù)據(jù)進(jìn)行檢索時(shí)一般可以借助搜索引擎來(lái)完成，比如Elastic Search引擎，此搜索引擎能夠?qū)崿F(xiàn)分布式全文搜索，與企業(yè)內(nèi)的云計(jì)算環(huán)境非常契合。具體搜索模式為在系統(tǒng)平臺(tái)對(duì)信息進(jìn)行處理與計(jì)算等操作后，將數(shù)據(jù)保存至分布式搜索引擎的索引文件中，再將各類(lèi)型數(shù)據(jù)以時(shí)間、名稱(chēng)、內(nèi)容等為標(biāo)準(zhǔn)進(jìn)行分類(lèi)存儲(chǔ)，并提供出索引字段，以提供數(shù)據(jù)快速檢索功能。另外，將索引以多個(gè)分片和多個(gè)副本的形式存儲(chǔ)于分布式文件系統(tǒng)中，既能夠有效實(shí)現(xiàn)對(duì)近期錄入數(shù)據(jù)的近似值查詢(xún)，通過(guò)相類(lèi)似信息佐證所查詢(xún)信息的真實(shí)性，保障數(shù)據(jù)可靠性，又能夠使系統(tǒng)中的TB級(jí)數(shù)據(jù)索引時(shí)間縮短至秒級(jí)，大幅度提升索引性能[3]。

（4）檢測(cè)分析與處理階段

在經(jīng)過(guò)上述階段處理后，仍舊需要通過(guò)多種技術(shù)對(duì)數(shù)據(jù)進(jìn)行深入分析與挖掘，發(fā)現(xiàn)其中的潛在風(fēng)險(xiǎn)。主要應(yīng)用技術(shù)有以下四種：第一是惡意代碼智能檢測(cè)技術(shù)，通過(guò)對(duì)大量的正常軟件與惡意軟件樣本進(jìn)行分析比對(duì)，挖掘出兩類(lèi)軟件的本質(zhì)特征，并以此為基礎(chǔ)建立機(jī)器學(xué)習(xí)模型，得到惡意軟件識(shí)別模型，從而發(fā)現(xiàn)更多惡意程序。第二是廣譜反病毒查殺技術(shù)，此技術(shù)是原有反病毒查殺技術(shù)的一次升級(jí)，其可靠性得到了極大提高；第三是機(jī)器學(xué)習(xí)技術(shù)，即利用機(jī)器強(qiáng)大的學(xué)習(xí)能力對(duì)海量信息數(shù)據(jù)進(jìn)行篩選得到關(guān)鍵數(shù)據(jù)，并將其輸送至人工團(tuán)隊(duì)進(jìn)行分析；第四是自動(dòng)化數(shù)據(jù)處理技術(shù)，雖然態(tài)勢(shì)感知技術(shù)以人工智能為依托，但仍舊需要以人為中心進(jìn)行數(shù)據(jù)分析，利用使用自動(dòng)化數(shù)據(jù)處理技術(shù)分析潛在威脅與人工干預(yù)相結(jié)合的方式能夠在最大程度上強(qiáng)化分析結(jié)果準(zhǔn)確度。

3 總結(jié)

總而言之，當(dāng)前此技術(shù)手段仍舊處于初步發(fā)展階段，存在較多技術(shù)難題有待攻克，通過(guò)以上幾部分對(duì)其中存在的具體技術(shù)內(nèi)容進(jìn)行梳理，有助于降低我國(guó)更多企業(yè)引進(jìn)此感知系統(tǒng)的難度，并利用此技術(shù)對(duì)企業(yè)所面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，檢測(cè)企業(yè)風(fēng)險(xiǎn)狀態(tài)，使企業(yè)始終處于安全保護(hù)之下。

[1]王小鴻.基于大數(shù)據(jù)和人工智能技術(shù)的信息安全態(tài)勢(shì)感知系統(tǒng)研究[J].大眾標(biāo)準(zhǔn)化，2019（14）：18+20.

[2]孟繁玉.網(wǎng)絡(luò)安全態(tài)勢(shì)感知與人工智能[J].中國(guó)信息界，2019（04）：89-91.

[3]鄭艷芳.人工智能應(yīng)用與分析技術(shù)在信息安全態(tài)勢(shì)感知體系的研究和實(shí)踐[J].數(shù)字通信世界，2018（04）：221.