馮政鑫 ，唐 寅 ，韓 磊 ，吳 錫

(1.成都信息工程大學(xué) 計算機學(xué)院，四川 成都610225；2.北京計算機技術(shù)及應(yīng)用研究所，北京100854)

0 引言

當(dāng)前，大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等前沿技術(shù)飛速發(fā)展，海量數(shù)據(jù)從不計其數(shù)的網(wǎng)絡(luò)接入點、聯(lián)網(wǎng)設(shè)備以及網(wǎng)絡(luò)應(yīng)用中產(chǎn)生，這使得網(wǎng)絡(luò)空間安全面臨著巨大挑戰(zhàn)[1]。每天，大量的告警信息從安全設(shè)備中產(chǎn)生，而目前安全事件響應(yīng)主要還是依靠安全分析人員完成，事件處置嚴(yán)重依賴個人經(jīng)驗[2]。目前憑借人力已經(jīng)難以從海量的安全數(shù)據(jù)、告警信息中迅速分析以及追蹤溯源各種安全事件，并對其及時處置。其次，在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，安全管理人員的決策結(jié)果往往也存在一定的局限性[3]。面對新的網(wǎng)絡(luò)環(huán)境和安全形勢，需要研究和配備更加智能的防護手段。由此本文開展了網(wǎng)絡(luò)安全智能決策系統(tǒng)的相關(guān)研究，旨在根據(jù)網(wǎng)絡(luò)當(dāng)前面臨的安全態(tài)勢情況，智能化地進行決策，自動化地實現(xiàn)事件的響應(yīng)。本文將時間、空間等多維準(zhǔn)則引入決策過程，提出了網(wǎng)絡(luò)安全智能決策系統(tǒng)(Intelligent Decision-making System for Cyber Security，IDSCS)的整體架構(gòu)和層次化模型，設(shè)計了系統(tǒng)中的網(wǎng)絡(luò)安全智能決策引擎(Intelligent Decision-making Engine for Cyber Security，IDECS)，對網(wǎng)絡(luò)安全智能決策系統(tǒng)的實現(xiàn)和部署具有重要意義，為進一步提升動態(tài)安全防御能力提供了新的解決思路和技術(shù)方法。

1 智能決策支持技術(shù)概況

解決在安全決策和安全事件響應(yīng)中人力的局限性和低時效性，同時驅(qū)動從感知到?jīng)Q策再到響應(yīng)的閉環(huán)安全防護系統(tǒng)的建設(shè)，關(guān)鍵在于如何基于當(dāng)前安全狀態(tài)信息進行準(zhǔn)確、高效的安全策略或方案的選擇，即如何智能化地進行安全決策。

傳統(tǒng)決策支持系統(tǒng)主要依據(jù)運籌學(xué)理論方法，采用定量分析模型，在解決定性問題和模糊推理等方面有一定的缺陷[4]。智能決策支持系統(tǒng)(Intelligent Decision Support System，IDSS)中通過引入智能數(shù)據(jù)處理理論與方法，使定量分析模型中的一些問題得到了解決，使決策支持系統(tǒng)具有更好的學(xué)習(xí)、發(fā)現(xiàn)和使用知識的能力以及更高的智能性。IDSS 可用于實現(xiàn)情報處理和方案確定等的輔助決策支持[5]，其一般組成結(jié)構(gòu)如圖1 所示。隨著社會節(jié)奏的加快，企業(yè)或組織所面臨的內(nèi)外部環(huán)境更加復(fù)雜，業(yè)務(wù)問題呈現(xiàn)非線性、不確定性、多維化和實時性等特點。此時繼續(xù)使用傳統(tǒng)IDSS 方法，利用局部數(shù)據(jù)進行決策分析已經(jīng)難以獲取高質(zhì)量的決策效果[6]。

以神經(jīng)網(wǎng)絡(luò)、深度學(xué)習(xí)為基礎(chǔ)的智能決策技術(shù)采用并行推理，可以實現(xiàn)更加高效的決策方法。從知識處理的角度來看，傳統(tǒng)智能決策支持系統(tǒng)側(cè)重于邏輯思維，神經(jīng)網(wǎng)絡(luò)更側(cè)重于經(jīng)驗思維，這導(dǎo)致它們在很多方面具有不同的特性。表1 將傳統(tǒng)智能決策支持系統(tǒng)與基于神經(jīng)網(wǎng)絡(luò)、深度學(xué)習(xí)的智能決策技術(shù)的特性進行了對比，可以發(fā)現(xiàn)后者在并行推理、模糊數(shù)據(jù)處理、自適應(yīng)能力、容錯能力等方面顯示出了明顯的優(yōu)越性。

神經(jīng)網(wǎng)絡(luò)對于輸入輸出變量數(shù)目沒有特定的要求，具有處理速度快、預(yù)測精度高、非線性映射能力強等主要特點，目前已經(jīng)被廣泛應(yīng)用到行為決策研究中[7-9]。

圖1 IDSS 組成結(jié)構(gòu)

表1 傳統(tǒng)專家系統(tǒng)決策技術(shù)與最新智能決策技術(shù)特性對比

基于神經(jīng)網(wǎng)絡(luò)、深度學(xué)習(xí)的智能決策技術(shù)和方法的不斷發(fā)展，為優(yōu)化網(wǎng)絡(luò)安全場景下的智能決策問題提供了技術(shù)支持。雖然它們支持非線性、模糊推理，具備自適應(yīng)和學(xué)習(xí)能力，但目前也只適合解決一些規(guī)模較小的問題，對于網(wǎng)絡(luò)安全應(yīng)用的復(fù)雜環(huán)境中的感知狀態(tài)信息和動作空間很容易產(chǎn)生狀態(tài)爆炸，決策方法的性能在很大程度上受到限制，所以研究切實可行的網(wǎng)絡(luò)安全智能決策方案迫在眉睫。

2 網(wǎng)絡(luò)安全智能決策的提出

“網(wǎng)絡(luò)安全智能決策”這一概念首先由綠盟科技天樞實驗室提出[3]。他們指出網(wǎng)絡(luò)安全智能決策的目標(biāo)是根據(jù)當(dāng)前的網(wǎng)絡(luò)環(huán)境以及歷史經(jīng)驗，在一定時間內(nèi)實現(xiàn)對安全事件的響應(yīng)。

自動駕駛是目前具有完備的決策流程、豐富的技術(shù)經(jīng)驗及成熟的實際產(chǎn)品的研究領(lǐng)域之一。在一個典型的無人駕駛系統(tǒng)中，整個技術(shù)架構(gòu)常被劃分成三部分，即環(huán)境感知、決策規(guī)劃以及運動控制[10]。通過這三個環(huán)節(jié)能夠使車輛結(jié)合周圍環(huán)境信息，實現(xiàn)自動駕駛行為。綠盟科技以自動駕駛領(lǐng)域的技術(shù)路線為引導(dǎo)，以自動駕駛決策類比安全決策，提出了網(wǎng)絡(luò)安全智能決策的大體功能結(jié)構(gòu)，如圖2 所示。

通過將網(wǎng)絡(luò)安全智能決策過程解耦為“戰(zhàn)略-戰(zhàn)術(shù)-過程”三個層次，形成了“攻擊理解-行動決策-動作執(zhí)行” 的技術(shù)方案，為網(wǎng)絡(luò)安全智能決策系統(tǒng)(IDSCS)的研究提供了一定的參考。

3 網(wǎng)絡(luò)安全智能決策系統(tǒng)

自動駕駛領(lǐng)域的技術(shù)路線對網(wǎng)絡(luò)安全智能決策具有一定的參考價值，但由于兩者在數(shù)據(jù)采集、環(huán)境感知、決策規(guī)劃以及任務(wù)分解等方面仍存在著大量的差別，故仍需做出定制化的處理，網(wǎng)絡(luò)安全智能決策的最終實現(xiàn)也必須落實到系統(tǒng)的研究和設(shè)計層面上來。

結(jié)合相關(guān)研究與以上分析，本節(jié)提出了網(wǎng)絡(luò)安全智能決策系統(tǒng)的整體架構(gòu)，并對架構(gòu)中的核心部件智能決策引擎(IDECS)進行了詳細描述，最后考慮到分布式大規(guī)模的網(wǎng)絡(luò)環(huán)境，設(shè)計了層次化的系統(tǒng)部署架構(gòu)。

3.1 IDSCS 整體架構(gòu)及工作原理

網(wǎng)絡(luò)安全智能決策系統(tǒng)需要對所面臨的不確定性威脅攻擊進行智能分析并開展主動防護，決策的安全機制和服務(wù)需要動態(tài)自適應(yīng)實際網(wǎng)絡(luò)環(huán)境的復(fù)雜多變。本文設(shè)計的網(wǎng)絡(luò)安全智能決策系統(tǒng)的整體架構(gòu)如圖3 所示。

圖2 綠盟科技網(wǎng)絡(luò)安全智能決策功能結(jié)構(gòu)圖

IDSCS 基于人工智能的決策支持以及安全策略分解，能夠基于當(dāng)前網(wǎng)絡(luò)安全態(tài)勢信息，以安全防護目標(biāo)為基本依據(jù)，進行安全智能決策和自動安全策略分解與下發(fā)。

態(tài)勢感知系統(tǒng)能夠識別出網(wǎng)絡(luò)中存在的各類異?；顒樱瑸镮DSCS 提供輸入支持。通過將來自于保護對象和安全資源中的安全數(shù)據(jù)進行融合處理，實現(xiàn)對系統(tǒng)的背景狀態(tài)及活動語義的提取，從而形成態(tài)勢數(shù)據(jù)[11]。中間智能決策引擎(IDECS)是智能決策系統(tǒng)的“大腦”，其基本組成結(jié)構(gòu)和工作原理將在3.2 節(jié)中進行詳細描述。它依賴于態(tài)勢感知系統(tǒng)收集感知信息作為輸入，以邏輯安全目標(biāo)為基本依據(jù)進行決策，在決策過程中借助已有知識庫去學(xué)習(xí)各種不同環(huán)境下對應(yīng)的處置操作，最后輸出分解策略和與之相關(guān)安全設(shè)備執(zhí)行節(jié)點信息給聯(lián)動響應(yīng)系統(tǒng)。聯(lián)動響應(yīng)系統(tǒng)主要進行策略的響應(yīng)執(zhí)行[12]，執(zhí)行后的結(jié)果可以為系統(tǒng)提供信息反饋，對信息的再輸出起到控制和影響的作用。在下一次決策之前，智能決策系統(tǒng)會評估當(dāng)前所感知安全態(tài)勢信息的狀態(tài)下，所分解執(zhí)行的策略在執(zhí)行后對系統(tǒng)環(huán)境的影響，然后根據(jù)該評估的結(jié)果確定響應(yīng)執(zhí)行的價值。通過對該策略響應(yīng)執(zhí)行價值和智能決策對其的期望值兩者之間的比較來調(diào)整策略的選擇，從而實現(xiàn)整個決策過程的自動化，包括方案選擇的自動化以及效果跟蹤、評估與反饋的自動化。

IDSCS 整體架構(gòu)集態(tài)勢感知系統(tǒng)、聯(lián)動響應(yīng)系統(tǒng)于一體，構(gòu)成了“感知-決策-響應(yīng)”的安全防護閉環(huán)。

3.2 智能決策引擎IDECS 及其工作原理

智能決策基于轉(zhuǎn)換的機器能識別的數(shù)據(jù)，依賴多智能體決策信息支持技術(shù)[13]提供智能和自適應(yīng)能力。IDECS 是IDSCS 的核心部件，通過安全策略自主選擇與安全策略自動分解兩個步驟完成決策，基本結(jié)構(gòu)如圖4 所示，主要由以下三個部分組成：

圖3 網(wǎng)絡(luò)安全智能決策系統(tǒng)（IDSCS）整體架構(gòu)

圖4 網(wǎng)絡(luò)安全智能決策引擎（IDECS）基本結(jié)構(gòu)

(1)注意力網(wǎng)絡(luò)

在一些問題當(dāng)中，輸入的某些部分可能會比其他部分對決策更有幫助[14]。從不同信息源得到的觀測信息，往往也只有部分起到關(guān)鍵作用，另一部分則如同噪聲，會干擾系統(tǒng)的正常決策。基于此，決策引擎首先需要對不同的信息進行區(qū)分，篩選出系統(tǒng)中潛在的威脅信號。注意力網(wǎng)絡(luò)對于傳感器的感知信息進行篩選(輸出信源S 中事件級別特征)，動態(tài)關(guān)注不同時刻引起系統(tǒng)威脅的主要因素，進而輔助后續(xù)系統(tǒng)的決策。

(2)通信網(wǎng)絡(luò)

該網(wǎng)絡(luò)用來實現(xiàn)節(jié)點之間的協(xié)作，完成不同節(jié)點之間信息的傳遞。經(jīng)過該網(wǎng)絡(luò)，完成當(dāng)前節(jié)點的信息和與之相關(guān)的其他節(jié)點信息的整合，這里的節(jié)點即為網(wǎng)絡(luò)安全行為空間中的設(shè)備或服務(wù)。

(3)基于RNN 的復(fù)雜動作決策網(wǎng)絡(luò)

系統(tǒng)在做出決策時，往往需要考慮前一時刻節(jié)點的狀態(tài)和相關(guān)信息，并將其作為輸入之一，輔助當(dāng)前時刻的決策。循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network，RNN)能夠高效處理序列數(shù)據(jù)，此處引入RNN 用于輸出節(jié)點的動作信息?？紤]到端到端的系統(tǒng)設(shè)計，網(wǎng)絡(luò)輸出包括系統(tǒng)當(dāng)前節(jié)點的類型、命令以及該命令需要接收的參數(shù)，其對應(yīng)安全行為空間中的分解動作與執(zhí)行節(jié)點，即任意節(jié)點的動作。

通過設(shè)計注意力網(wǎng)絡(luò)，系統(tǒng)可以動態(tài)地學(xué)習(xí)不同時刻對當(dāng)前決策起到?jīng)Q定作用的狀態(tài)信息。信息經(jīng)過注意力網(wǎng)絡(luò)的篩選傳遞到不同節(jié)點中，這個過程需要不同節(jié)點的相互配合，通信網(wǎng)絡(luò)可以輔助完成設(shè)備的控制，實現(xiàn)不同節(jié)點之間的信息傳遞。決策網(wǎng)絡(luò)接收前一時刻以及當(dāng)前時刻的系統(tǒng)狀態(tài)信息，進行綜合決策，決策過程基于邏輯安全目標(biāo)，輸出針對當(dāng)前安全感知狀態(tài)的單個最優(yōu)聯(lián)動動作集，即多個執(zhí)行動作的組合，為后續(xù)自動安全策略分解提供輸入。自動安全策略分解基于決策引擎輸出結(jié)果進行策略分解并選中可用的安全資源的可執(zhí)行節(jié)點。節(jié)點動作輸出是一個層級的結(jié)構(gòu)，包括節(jié)點的類型、命令以及當(dāng)下命令的相關(guān)參數(shù)，用作聯(lián)動響應(yīng)系統(tǒng)的輸入。

圖5 IDSCS 層次化部署架構(gòu)

3.3 分布式大規(guī)模網(wǎng)絡(luò)中IDSCS 層次化部署架構(gòu)

前文提出了智能決策系統(tǒng)的整體架構(gòu)，設(shè)計了智能決策引擎，為解決實際問題提供了技術(shù)思路。但在實際網(wǎng)絡(luò)應(yīng)用下，還需要將IDSCS 結(jié)構(gòu)進一步拓展，形成層次化的框架，以滿足分布式大規(guī)模網(wǎng)絡(luò)結(jié)構(gòu)的需求。

參考智能安全防護軟件自主決策系統(tǒng)的相關(guān)研究[15]，在分布式大規(guī)模網(wǎng)絡(luò)結(jié)構(gòu)下，IDSCS 也應(yīng)當(dāng)具備分散配置和易拓展等特點。為了能夠兼顧不同目標(biāo)及不同粒度的決策需求，需要將決策過程嵌入到不同層次中，形成層次化的結(jié)構(gòu)，達到兼顧目標(biāo)節(jié)點和網(wǎng)絡(luò)整體安全的目的。另外，在應(yīng)用于大型網(wǎng)絡(luò)時，IDSCS 還應(yīng)可以進一步擴展。

由IDSCS 的基本結(jié)構(gòu)和功能特點結(jié)合以上分析，本文設(shè)計了IDSCS 的層次化部署架構(gòu)，將整個系統(tǒng)劃分為底層、中間層和頂層的三層結(jié)構(gòu)，如圖5所示。

IDSCS 頂層負責(zé)網(wǎng)絡(luò)的整體安全監(jiān)測，部署在網(wǎng)絡(luò)安全管理中心。頂層中主要包括態(tài)勢感知系統(tǒng)，它基于底層傳感器收集的感知信息，對網(wǎng)絡(luò)安全態(tài)勢進行分析及預(yù)測，識別出存在的各類網(wǎng)絡(luò)活動以及其中異?；顒?，將信息整合處理后傳遞到中間層。

若干部署在不同安全域的IDECS 構(gòu)成了中間層。它基于來自頂層的綜合態(tài)勢信息進行智能決策，輸出安全分解策略及相關(guān)信息，將其下發(fā)到底層。安全策略能夠高效執(zhí)行是底層快速響應(yīng)的前提。如將具有同等保護級別和相同安全需求的網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及其他系統(tǒng)等劃分到同一個安全域[16]。這樣便于安全策略的執(zhí)行，有利于設(shè)備的協(xié)同聯(lián)動。

底層部署在安全防護實體中，包括安全子域中的安全防護設(shè)備以及其他重要設(shè)備。底層主要由傳感器、底層決策模塊以及聯(lián)動控制模塊構(gòu)成。傳感器接收來自高層的信息訂閱需求，采集所需信息上傳至高層進行安全態(tài)勢分析。當(dāng)中間層下達決策策略后，安全防護實體中的聯(lián)動控制模塊會判斷策略中的節(jié)點類型、命令以及其他參數(shù)是否滿足自身條件，若滿足則向設(shè)備發(fā)送控制命令以執(zhí)行相應(yīng)的響應(yīng)動作。底層決策模塊是針對節(jié)點嚴(yán)重異常情況的決策，主要由一系列事先指定的策略構(gòu)成。嚴(yán)重異常如系統(tǒng)崩潰、攻擊引起系統(tǒng)死機等，遇到此類情況底層決策模塊可以自主調(diào)用對應(yīng)的安全策略如重啟防護模塊、重啟系統(tǒng)、提高防護等級等，進行反射式策略決策。

經(jīng)過層次化的結(jié)構(gòu)設(shè)計，使得IDSCS 能夠兼顧不同粒度的決策需求。通過將整個系統(tǒng)分散配置到不同的位置，能夠最大程度地發(fā)揮各個部件的作用，同時使得系統(tǒng)消耗大大降低。層次化的分散配置也使得系統(tǒng)的拓展變得更加容易，能夠滿足分布式大規(guī)模網(wǎng)絡(luò)的部署需求。

4 結(jié)論

本文在網(wǎng)絡(luò)安全智能決策最新研究的基礎(chǔ)上提出了網(wǎng)絡(luò)安全智能決策系統(tǒng)整體架構(gòu)與智能決策引擎，采用了機器學(xué)習(xí)決策手段，相比傳統(tǒng)決策技術(shù)具有更強大的自主學(xué)習(xí)、數(shù)據(jù)處理以及邏輯推理等能力；通過對態(tài)勢感知、聯(lián)動響應(yīng)以及其他相關(guān)部件的引入與設(shè)計，使得機器學(xué)習(xí)決策手段能夠深度融入網(wǎng)絡(luò)安全決策，形成“感知-決策-響應(yīng)”的安全防護閉環(huán)。這為解決人力在面臨海量安全數(shù)據(jù)時決策的局限性、安全事件響應(yīng)速度慢以及處置不及時等問題提供了新的解決思路，對進一步提升動態(tài)安全防御能力具有重要意義。