廣州賽度檢測(cè)服務(wù)有限公司 曾幸欽 葉 婷 劉惠玲 曾熾強(qiáng) 曾灶煙 李樹湖 舒雨鋒 熊長(zhǎng)煒 劉志偉
隨著信息技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)應(yīng)用不斷豐富,網(wǎng)絡(luò)在給人們帶來(lái)便利的同時(shí),也產(chǎn)生了網(wǎng)絡(luò)空間安全問題。本文給出了一種基于人工輔助的網(wǎng)絡(luò)空間安全策略,對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行了描述,對(duì)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行了梳理,對(duì)融合人工輔助的安全防御措施進(jìn)行了闡述。
隨著大規(guī)模集成電路及通信技術(shù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷革新。人們能夠足不出戶就可以通過互聯(lián)網(wǎng)購(gòu)買個(gè)性化商品,可以通過瀏覽網(wǎng)頁(yè)獲取最新的資訊,可以通過網(wǎng)絡(luò)平臺(tái)進(jìn)行資金往來(lái)與商業(yè)活動(dòng)。與此同時(shí),網(wǎng)絡(luò)空間安全問題凸顯,人們?cè)诘玫骄W(wǎng)絡(luò)帶來(lái)的便利的同時(shí),也常常被網(wǎng)絡(luò)空間安全所困擾。如黑客通過網(wǎng)絡(luò)漏洞潛入目標(biāo)數(shù)據(jù)庫(kù)竊取信息;如詐騙分子通過偽裝套取資金。當(dāng)前,面向網(wǎng)絡(luò)空間安全的研究成果較為豐富,如基于云服務(wù)的網(wǎng)絡(luò)空間安全技術(shù)、基于大數(shù)據(jù)的安全技術(shù)等。本文給出了一種基于人工輔助的網(wǎng)絡(luò)空間安全策略,對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行了建模,對(duì)潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行了梳理,對(duì)融入人工輔助的安全防御措施進(jìn)行了闡述,本文具有一定的理論價(jià)值和實(shí)踐意義。
本文將網(wǎng)絡(luò)空間定義為六層架構(gòu),一是網(wǎng)絡(luò)節(jié)點(diǎn)層,主要包括各類能夠連接網(wǎng)絡(luò)、可進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)接收或傳遞的獨(dú)立設(shè)備單元,如計(jì)算機(jī)、服務(wù)器、嵌入式終端、交換機(jī)等;二是用戶層,主要包括應(yīng)用網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)接收或發(fā)送的個(gè)體,即網(wǎng)絡(luò)應(yīng)用使用者;三是網(wǎng)絡(luò)服務(wù)提供層,主要包括各類網(wǎng)絡(luò)應(yīng)用的開發(fā)商、網(wǎng)絡(luò)資源管理者,網(wǎng)絡(luò)協(xié)議定義者等;四是網(wǎng)絡(luò)攻擊者,主要包括針對(duì)網(wǎng)絡(luò)或利用網(wǎng)絡(luò)進(jìn)行破壞、盜竊、傷害等違法、不道德事件的實(shí)施者;五是網(wǎng)絡(luò)安全維護(hù)層,主要包括各類維護(hù)網(wǎng)絡(luò)安全的軟件、策略和硬件實(shí)體,如防火墻、殺毒軟件、密碼、動(dòng)態(tài)口令、安全證書、密鑰等;六是網(wǎng)絡(luò)鏈路層,主要包括承載數(shù)據(jù)通信的各類有線鏈路和無(wú)線鏈路等,如WIFI、RJ45、光纜等。下面將基于上述六層網(wǎng)絡(luò)空間模型對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行梳理。
在網(wǎng)絡(luò)節(jié)點(diǎn)層存在三類網(wǎng)絡(luò)安全風(fēng)險(xiǎn),一是節(jié)點(diǎn)數(shù)據(jù)的安全風(fēng)險(xiǎn),數(shù)據(jù)可能被盜取、篡改、刪除;二是節(jié)點(diǎn)硬件設(shè)施失靈風(fēng)險(xiǎn),如通過網(wǎng)絡(luò)入侵等方式對(duì)節(jié)點(diǎn)硬件運(yùn)行模式、工作流程進(jìn)行修改、停機(jī)等,進(jìn)而造成不確定性危害;三是節(jié)點(diǎn)成為病毒宿主,進(jìn)而利用網(wǎng)絡(luò)鏈路進(jìn)行二次病毒傳播。在用戶層存在三類網(wǎng)絡(luò)安全風(fēng)險(xiǎn),一是用戶身份偽裝,如不法分子通過竊取用戶密碼、用戶名實(shí)施網(wǎng)絡(luò)入侵;二是用戶直接進(jìn)行網(wǎng)絡(luò)入侵,如用戶制造網(wǎng)絡(luò)入侵程序、或利用病毒軟件進(jìn)行網(wǎng)絡(luò)安全侵害;三是用戶主觀行為導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn),如網(wǎng)絡(luò)安全意識(shí)不強(qiáng)導(dǎo)致對(duì)網(wǎng)絡(luò)安全入侵行為判斷能力有限,造成了網(wǎng)絡(luò)安全事件的發(fā)生。在網(wǎng)絡(luò)服務(wù)提供層存在兩類網(wǎng)絡(luò)安全風(fēng)險(xiǎn),一是通信協(xié)議定義有漏洞,如網(wǎng)絡(luò)攻擊可以利用APR協(xié)議造成網(wǎng)絡(luò)通信擁堵,進(jìn)而造成網(wǎng)絡(luò)通信癱瘓;二是服務(wù)開發(fā)欠缺網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控機(jī)制,如沒有進(jìn)行數(shù)據(jù)通信的加密算法處理、沒有進(jìn)行安全證書制定等。對(duì)于網(wǎng)絡(luò)攻擊者,具有搜尋網(wǎng)絡(luò)漏洞、進(jìn)行網(wǎng)絡(luò)入侵、造成網(wǎng)絡(luò)損害的主動(dòng)性,而網(wǎng)絡(luò)安全維護(hù)層,具有防御網(wǎng)絡(luò)入侵、修補(bǔ)漏洞、屏蔽網(wǎng)絡(luò)侵害的被動(dòng)性,網(wǎng)絡(luò)攻擊者和網(wǎng)絡(luò)安全維護(hù)層具有動(dòng)態(tài)博弈性。下面將基于上述安全風(fēng)險(xiǎn)對(duì)融合人工輔助的網(wǎng)絡(luò)安全對(duì)策進(jìn)行闡述。
從第2節(jié)給出的網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)分析中可知,網(wǎng)絡(luò)空間安全可以分為兩大類,一是基于人工行為的主動(dòng)網(wǎng)絡(luò)空間安全攻擊,如人為數(shù)據(jù)盜取、用戶偽裝、等;二是基于人工制造的病毒自主網(wǎng)絡(luò)空間攻擊,如病毒傳播、硬件失靈等。則網(wǎng)絡(luò)空間風(fēng)險(xiǎn)可歸結(jié)為人工直接和人工間接行為導(dǎo)致,基于此,本文將人工輔助引入網(wǎng)絡(luò)空間安全防御,基本思想包括三個(gè)層面:一是去中心化思想。即網(wǎng)絡(luò)行為透明可見,網(wǎng)絡(luò)用戶實(shí)名制,網(wǎng)絡(luò)應(yīng)用者既是使用者也是管理員,形成互相監(jiān)督機(jī)制;二是網(wǎng)絡(luò)安全防御的群體化思想。當(dāng)前,網(wǎng)絡(luò)架構(gòu)日益復(fù)雜,網(wǎng)絡(luò)應(yīng)用不斷豐富,網(wǎng)絡(luò)節(jié)點(diǎn)不斷增多,網(wǎng)絡(luò)用戶群體逐步龐大;并且網(wǎng)絡(luò)入侵行為大部分是被普通用戶所感知,鑒于此,發(fā)揮用戶個(gè)體的網(wǎng)絡(luò)安全防御主動(dòng)性將對(duì)網(wǎng)絡(luò)空間安全防御帶來(lái)積極作用;三是,對(duì)于網(wǎng)絡(luò)入侵行為產(chǎn)生的影響可在人工輔助下進(jìn)行消除,有利于提高問題消除的效率和質(zhì)量,如機(jī)器失靈,可人工更換或進(jìn)行系統(tǒng)重裝、參數(shù)重置等。
為了達(dá)到網(wǎng)絡(luò)應(yīng)用的去中心化效果,要構(gòu)建基于網(wǎng)絡(luò)數(shù)據(jù)的共享機(jī)制和行為管理機(jī)制,基本流程為:第一步,用戶加入網(wǎng)絡(luò)數(shù)據(jù)共享機(jī)制,用戶通過協(xié)議等方式同意將個(gè)人信息、網(wǎng)絡(luò)通信數(shù)據(jù)、操作軌跡等公開透明。第二步,構(gòu)建數(shù)據(jù)共享云服務(wù)器,用戶通過客戶端登錄云服務(wù)器進(jìn)行網(wǎng)絡(luò)服務(wù)應(yīng)用,如軟硬件資源定制、數(shù)據(jù)資料管理、異常行為申訴、通知信息確定等。云服務(wù)器中保存了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)應(yīng)用個(gè)性化信息及操作軌跡,且對(duì)所有用戶透明可見,用戶端采取邊緣計(jì)算模式可進(jìn)行小規(guī)模數(shù)據(jù)信息的存儲(chǔ)、處理,具備云服務(wù)器登錄和本地化數(shù)值計(jì)算等功能。第三步,用戶網(wǎng)絡(luò)行為的許可性實(shí)施,在本文所述的去中心化的網(wǎng)絡(luò)應(yīng)用架構(gòu)中,用戶實(shí)施的網(wǎng)絡(luò)行為需要先提交給云服務(wù)器,云服務(wù)器在進(jìn)行完既定許可流程后,若通過則進(jìn)行網(wǎng)絡(luò)行為實(shí)施,若被否定則不進(jìn)行此網(wǎng)絡(luò)行為的實(shí)施,算法1對(duì)網(wǎng)絡(luò)行為的許可進(jìn)行介紹。第四步,用戶網(wǎng)絡(luò)行為的撤銷。若在一定時(shí)間內(nèi)經(jīng)過裁決的用戶網(wǎng)絡(luò)行為是可撤銷的,則由此被撤銷網(wǎng)絡(luò)行為所產(chǎn)生的相關(guān)行為均將被撤銷。算法2對(duì)網(wǎng)絡(luò)行為的撤銷進(jìn)行介紹。
算法1:網(wǎng)絡(luò)行為許可算法。輸入:網(wǎng)絡(luò)行為,云服務(wù)器,網(wǎng)絡(luò)用戶;輸出:網(wǎng)絡(luò)行為許可判定。第一步,用戶在邊緣計(jì)算終端登錄云服務(wù)器,應(yīng)用云服務(wù)器中的硬件資源進(jìn)行基于云服務(wù)器應(yīng)用軟件的網(wǎng)絡(luò)行為實(shí)施,如登錄某網(wǎng)絡(luò)應(yīng)用服務(wù)、利用某服務(wù)進(jìn)行資金轉(zhuǎn)接等。第二步,云服務(wù)器在接收到用戶提交的實(shí)施網(wǎng)絡(luò)行為申請(qǐng)后,可根據(jù)需求實(shí)施多種類型的許可模式。一是,基于關(guān)聯(lián)用戶的行為認(rèn)可,遍歷網(wǎng)絡(luò)用戶數(shù)據(jù)表格,若當(dāng)前用戶與網(wǎng)絡(luò)行為實(shí)施用戶存在關(guān)聯(lián),如家庭關(guān)聯(lián)、業(yè)務(wù)關(guān)聯(lián)等,則系統(tǒng)將此網(wǎng)絡(luò)行為發(fā)送給若干關(guān)聯(lián)用戶進(jìn)行行為確認(rèn),若行為允許報(bào)文數(shù)量達(dá)到規(guī)定閾值,則允許此網(wǎng)絡(luò)行為的發(fā)生。二是,基于智能識(shí)別的網(wǎng)絡(luò)行為許可,如在對(duì)用戶身份進(jìn)行確認(rèn)時(shí),可通過用戶端實(shí)時(shí)采集用戶的個(gè)人特征信息,如動(dòng)態(tài)的人臉信息、指紋信息、聲音信息、口令問答信息等。三是,基于行為推演的網(wǎng)絡(luò)行為許可,系統(tǒng)通過模擬實(shí)施用戶申請(qǐng)的網(wǎng)絡(luò)行為,進(jìn)而對(duì)此網(wǎng)絡(luò)行為產(chǎn)生的影響進(jìn)行推演,若經(jīng)過推演評(píng)估到此網(wǎng)絡(luò)行為安全可靠,則批準(zhǔn)此網(wǎng)絡(luò)行為的發(fā)生;反之,則否定此網(wǎng)絡(luò)行為實(shí)施提案。第三步,輸出網(wǎng)絡(luò)行為許可判定。
網(wǎng)絡(luò)行為推演的基本思想為:第一步,在云服務(wù)數(shù)據(jù)庫(kù)中構(gòu)建網(wǎng)絡(luò)行為關(guān)聯(lián)表格,采取專家判斷的方式,將網(wǎng)絡(luò)行為及其關(guān)聯(lián)行為進(jìn)行枚舉,并對(duì)關(guān)聯(lián)行為的風(fēng)險(xiǎn)指數(shù)進(jìn)行評(píng)估賦值。第二步,遍歷云服務(wù)數(shù)據(jù)庫(kù)中的網(wǎng)絡(luò)行為關(guān)聯(lián)表格,若當(dāng)前行為與擬實(shí)施的網(wǎng)絡(luò)行為相同,則遍歷其關(guān)聯(lián)行為,若各行為風(fēng)險(xiǎn)指數(shù)之和的平均值小于既定閾值,則批準(zhǔn)擬實(shí)施的網(wǎng)絡(luò)行為發(fā)生,反之,則否定網(wǎng)絡(luò)行為的發(fā)生。
算法2:網(wǎng)絡(luò)行為撤銷算法。輸入:網(wǎng)絡(luò)行為,云服務(wù)器,網(wǎng)絡(luò)用戶;輸出:網(wǎng)絡(luò)行為還原。第一步,云服務(wù)器接收到網(wǎng)絡(luò)行為x的撤銷請(qǐng)求,撤銷請(qǐng)求的發(fā)起者可以是網(wǎng)絡(luò)用戶,也可以是系統(tǒng)本身。第二步,云服務(wù)器對(duì)網(wǎng)絡(luò)行為撤銷請(qǐng)求進(jìn)行審核,一是對(duì)撤銷原因進(jìn)行審核,判斷是否實(shí)施撤銷。網(wǎng)絡(luò)行為允許撤銷的一般性原則為:如若發(fā)生了網(wǎng)絡(luò)入侵行為、對(duì)網(wǎng)絡(luò)安全造成了損害或產(chǎn)生了其他等不良影響則允許對(duì)網(wǎng)絡(luò)行為進(jìn)行撤銷。二是判斷網(wǎng)絡(luò)行為能否實(shí)施撤銷,即判定網(wǎng)絡(luò)行為是否具有可逆性,若行為可逆則實(shí)施網(wǎng)絡(luò)行為撤銷,若行為不可逆,不進(jìn)行行為撤銷。
本文所述的群體化防御流程為:第一步,在云服務(wù)器中構(gòu)建群體化防御表格,屬性包括用戶ID、用戶名稱、類別、聯(lián)系方式、網(wǎng)絡(luò)安全表現(xiàn)、提交時(shí)間、防御建議。第二步,信息上報(bào)。用戶在網(wǎng)絡(luò)應(yīng)用過程中,若發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),可登陸云服務(wù)器對(duì)群體化防御表格相關(guān)屬性進(jìn)行賦值。例如,某用戶發(fā)現(xiàn)點(diǎn)擊了某郵件應(yīng)用后,本地網(wǎng)絡(luò)通信系統(tǒng)崩潰;還如,某用戶在進(jìn)行網(wǎng)絡(luò)支付時(shí),被虛假網(wǎng)站套取了資金;則用戶可以通過人工方式將網(wǎng)絡(luò)風(fēng)險(xiǎn)信息錄入到云服務(wù)器表格中,系統(tǒng)可實(shí)施激勵(lì)機(jī)制優(yōu)化人工輔助網(wǎng)絡(luò)安全防御。
結(jié)語(yǔ):鑒于網(wǎng)絡(luò)空間安全問題凸顯的實(shí)際情況,本文提出了一種基于人工輔助的網(wǎng)絡(luò)空間安全策略。對(duì)網(wǎng)絡(luò)空間架構(gòu)進(jìn)行了描述,對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行了梳理,給出了人工輔助與計(jì)算機(jī)智能化網(wǎng)絡(luò)安全防御技術(shù)的融合理念。本文工作豐富了網(wǎng)絡(luò)空間安全技術(shù)理論,優(yōu)化了網(wǎng)絡(luò)安全防御架構(gòu)。下一步,將對(duì)網(wǎng)絡(luò)安全入侵檢測(cè)進(jìn)行研究,利用形式化技術(shù)增強(qiáng)網(wǎng)絡(luò)入侵行為的計(jì)算機(jī)識(shí)別效果。