趙賓華 楊國瑞 賈哲

摘要：網(wǎng)絡(luò)空間是信息化戰(zhàn)爭獨(dú)立的作戰(zhàn)域，該領(lǐng)域的網(wǎng)絡(luò)攻防行動快速但會產(chǎn)生海量的網(wǎng)絡(luò)事件，對傳統(tǒng)的點(diǎn)對點(diǎn)防御理念和堡壘式安全防御體提出了巨大挑戰(zhàn)，人工智能和深度學(xué)習(xí)是未來網(wǎng)絡(luò)空間防御的一個(gè)重要研究方向。在闡述傳統(tǒng)網(wǎng)絡(luò)防御模式和人工智能在網(wǎng)絡(luò)防御的研究現(xiàn)狀基礎(chǔ)上，提出并設(shè)計(jì)了基于人工智能的網(wǎng)絡(luò)安全防御系統(tǒng)，重點(diǎn)闡述了對網(wǎng)絡(luò)協(xié)議攻擊、入侵檢測、網(wǎng)絡(luò)異常行為的檢測方案，分析了基于人工智能的網(wǎng)絡(luò)防御系統(tǒng)的優(yōu)勢以及未來前景。

關(guān)鍵詞：人工智能;網(wǎng)絡(luò)防御;入侵檢測;深度學(xué)習(xí)

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2021）12-57-4

Cyberspace Defense Technology Based on Artificial Intelligence

ZHAO Binhua，YANG Guorui，JIA Zhe

（The 54th Research Institute ofCETC，Shijiazhuang 050081，China）

Abstract： The military cyberspace is an independent combat domain for information warfare. The cyber attack and defense actions in this filed is fast and can produce a large number of network events，that presents great challenges to the traditional point-to-point defenses concept and fortress security defense systems. The technology of artificial intelligence and deep learning is an important research direction of cyber defense. On the basis of expounding the traditional cyber defense and the research status of artificial intelligence in cyber defense，the network defense system based on artificial intelligence is proposed and designed，and the network protocol attacks， intrusion detection，and network anomaly detection scheme are expounded in detail. At last，the advantages of network defense system based on artificial intelligence and the future prospects are analyzed.

Keywords：artificial intelligence;network defense; intrusion detection;deep learning

0引言

網(wǎng)絡(luò)空間中的各種行為是物理作戰(zhàn)域中各種作戰(zhàn)實(shí)體行為的體現(xiàn)，且網(wǎng)絡(luò)空間中的行為往往先于物理空間的行為，是作戰(zhàn)實(shí)體的行為意圖，網(wǎng)絡(luò)空間行為感知是其他物理作戰(zhàn)空間態(tài)勢感知信息的重要來源，通過對網(wǎng)絡(luò)空間行為進(jìn)行準(zhǔn)確感知、認(rèn)知和理解，對準(zhǔn)確把握敵方作戰(zhàn)意圖、作戰(zhàn)行動具有很大幫助。信息化戰(zhàn)爭中，敵我雙方會在網(wǎng)絡(luò)空間，通過冒充合法用戶、捕獲操縱對方節(jié)點(diǎn)等在敵軍信息系統(tǒng)實(shí)現(xiàn)病毒木馬注入、偽造虛假以及篡改轉(zhuǎn)發(fā)作戰(zhàn)指令等攻擊行為，需要在網(wǎng)絡(luò)空間對異常行為進(jìn)行感知、識別、定位和跟蹤。

傳統(tǒng)通信安全解決方案一般是通過捕獲協(xié)議或異常流量、狀態(tài)日志的特征來檢測網(wǎng)絡(luò)空間的異常行為，從而防御針對作戰(zhàn)網(wǎng)絡(luò)的安全威脅。在網(wǎng)絡(luò)空間防御作戰(zhàn)方面，目前網(wǎng)絡(luò)空間防御主要還是采用堵漏洞、筑高墻、防外攻的模式，利用病毒防護(hù)、入侵檢測、內(nèi)容檢測、防火墻、虛擬專用網(wǎng)等手段構(gòu)建防護(hù)體系，是以靜態(tài)構(gòu)建“安全籬笆”的手段應(yīng)對動態(tài)的安全威脅。在網(wǎng)絡(luò)空間異常行為檢測方面，傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制依靠防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等進(jìn)行被動防御[1-5]，基于規(guī)則庫的攻擊檢測難以應(yīng)對未知安全威脅，邊界部署的方式無法實(shí)現(xiàn)對內(nèi)部異常行為的檢測、識別、定位，缺乏快速響應(yīng)機(jī)制和數(shù)據(jù)分析能力，未來網(wǎng)絡(luò)攻擊跨網(wǎng)化、攻擊方式多樣化，網(wǎng)絡(luò)入侵和滲透行為更為隱蔽，傳統(tǒng)的通信網(wǎng)絡(luò)防御機(jī)制只能實(shí)現(xiàn)被動防御，基于規(guī)則庫的攻擊檢測難以應(yīng)對未知安全威脅，邊界部署的方式無法實(shí)現(xiàn)對內(nèi)部異常行為的檢測、識別和定位。

傳統(tǒng)的網(wǎng)絡(luò)防御機(jī)制，基于靜態(tài)事件解決方案沒有能力動態(tài)跟蹤、記錄和分析行為，無法及時(shí)分析和跟蹤攻擊源，只能在發(fā)生期間或之后進(jìn)行異常檢測，缺乏合理有效的手段對異常節(jié)點(diǎn)進(jìn)行檢測、識別和定位。因此，有必要引入人工智能技術(shù)，構(gòu)建智能體異常行為樣本庫，進(jìn)行訓(xùn)練迭代，開展對網(wǎng)絡(luò)空間實(shí)體異常行為的預(yù)測，對戰(zhàn)場上異常行為的實(shí)體進(jìn)行分類、判定和鑒別，在通信網(wǎng)絡(luò)的合法節(jié)點(diǎn)中剔除假冒非法節(jié)點(diǎn)和被捕獲的異常節(jié)點(diǎn)，實(shí)現(xiàn)通信網(wǎng)絡(luò)的主動安全防御。

1人工智能在網(wǎng)絡(luò)空間防御領(lǐng)域的應(yīng)用現(xiàn)狀

近十年來，人工智能技術(shù)飛速發(fā)展，在深度學(xué)習(xí)、遷移學(xué)習(xí)、語音識別、圖像識別及計(jì)算機(jī)視覺等方面取得突破，并逐步應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。

美國多個(gè)國家實(shí)驗(yàn)室及大學(xué)實(shí)驗(yàn)室在人工智能+網(wǎng)絡(luò)空間防御領(lǐng)域開展了深入研究。AI2全新人工智能系統(tǒng)是麻省理工（MIT）計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL）開發(fā)，可不斷學(xué)習(xí)來自安全分析員的反饋，AI2在檢測網(wǎng)絡(luò)攻擊方面實(shí)現(xiàn)了85%的準(zhǔn)確性;Deep Instinct基于深度學(xué)習(xí)的智能網(wǎng)絡(luò)防御技術(shù)，實(shí)現(xiàn)從反應(yīng)式防御到主動式防御，識別準(zhǔn)確率達(dá)到98%以上;DARPA積極推動人工智能+網(wǎng)絡(luò)安全的研究，研制AI攻防軟件，在2016年夏天舉辦的網(wǎng)絡(luò)大挑戰(zhàn)賽（CGC）上，DARPA讓AI系統(tǒng)捉對廝殺，比拼實(shí)時(shí)查找、利用、修復(fù)軟件安全漏洞的能力[6]。

國內(nèi)，計(jì)算機(jī)病毒防治技術(shù)國家工程實(shí)驗(yàn)室提出了一種基于大數(shù)據(jù)平臺的大規(guī)模網(wǎng)絡(luò)異常流量實(shí)時(shí)監(jiān)測系統(tǒng)架構(gòu)，通過對流量、日志等網(wǎng)絡(luò)安全大數(shù)據(jù)的分析，實(shí)現(xiàn)對DDoS、蠕蟲、掃描、密碼探測等異常流量的實(shí)時(shí)監(jiān)測。奇虎公司提出了“云+終端+邊界”的安全模型，將360系列產(chǎn)品囊括在該模型中，其中的云系列產(chǎn)品都涉及安全大數(shù)據(jù)平臺和相關(guān)技術(shù)，如數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等[7]。

2基于人工智能的網(wǎng)絡(luò)空間防御系統(tǒng)設(shè)計(jì)

2.1系統(tǒng)總體架構(gòu)設(shè)計(jì)

針對網(wǎng)絡(luò)空間中攻擊行動跨網(wǎng)化、攻擊方式多樣化，網(wǎng)絡(luò)入侵和滲透行為隱蔽，傳統(tǒng)防御機(jī)制無法快速檢測威脅做出反應(yīng)的問題，將人工智能技術(shù)引入到網(wǎng)絡(luò)空間防御系統(tǒng)設(shè)計(jì)中，基于深度學(xué)習(xí)和威脅模型自演進(jìn)的威脅檢測技術(shù)，對采集的網(wǎng)絡(luò)空間主機(jī)狀態(tài)、網(wǎng)絡(luò)信息與服務(wù)行為進(jìn)行關(guān)聯(lián)同步，然后進(jìn)行深度融合分析發(fā)現(xiàn)其中的異常行為和威脅。基于人工智能的網(wǎng)絡(luò)空間防御系統(tǒng)架構(gòu)如圖1所示，主要包括數(shù)據(jù)收集、數(shù)據(jù)感知及數(shù)據(jù)決策等。

數(shù)據(jù)收集層收集主機(jī)、網(wǎng)絡(luò)、用戶等操作行為，形成一條條存儲信息事件的記錄，一方面將主機(jī)狀態(tài)、網(wǎng)絡(luò)信息與服務(wù)行為進(jìn)行關(guān)聯(lián)和梳理，形成分析日志;數(shù)據(jù)感知層一方面對數(shù)據(jù)進(jìn)行清洗整合，根據(jù)不同日志中的行為特征分別對主機(jī)端、網(wǎng)絡(luò)端、用戶端、服務(wù)器端行為進(jìn)行特征提取。另一方面對提取后的特征歸一化處理等，以符合深度學(xué)習(xí)算法的輸入要求;數(shù)據(jù)決策層中，根據(jù)正常行為的特征，利用深度學(xué)習(xí)算法進(jìn)行模型訓(xùn)練，訓(xùn)練好模型后根據(jù)輸入數(shù)據(jù)量及行為特征數(shù)，動態(tài)調(diào)整神經(jīng)網(wǎng)絡(luò)參數(shù)，以達(dá)到最佳識別率，該模型方便決策層快速對主機(jī)、網(wǎng)絡(luò)、用戶行為和服務(wù)方出現(xiàn)未知的違規(guī)異常事件進(jìn)行檢測，然后對需要檢測的未知數(shù)據(jù)提取特征后輸入訓(xùn)練好的模型中進(jìn)行檢測，將檢測結(jié)果存儲到數(shù)據(jù)庫中并向風(fēng)險(xiǎn)評估模塊進(jìn)行反饋，風(fēng)險(xiǎn)評估模塊根據(jù)該結(jié)果進(jìn)行相應(yīng)的計(jì)算及評估。

針對通信環(huán)境復(fù)雜、網(wǎng)絡(luò)資源受限、容易遭受惡意攻擊等特點(diǎn)，通過引入人工智能、大數(shù)據(jù)技術(shù)，開展無監(jiān)督學(xué)習(xí)與有監(jiān)督學(xué)習(xí)相結(jié)合的多算法關(guān)聯(lián)的人工智能關(guān)系圖譜分析理論研究，通過無監(jiān)督學(xué)習(xí)從已知網(wǎng)絡(luò)行為數(shù)據(jù)集中理解并分析網(wǎng)絡(luò)關(guān)系、定位用戶節(jié)點(diǎn);通過有監(jiān)督學(xué)習(xí)注入已知網(wǎng)絡(luò)信息、歷史經(jīng)驗(yàn)信息和環(huán)境感知信息，識別特定環(huán)境下賽博空間中網(wǎng)絡(luò)流量的正常和異常行為，建立網(wǎng)絡(luò)流量正常行為模型與異常行為模型，為網(wǎng)絡(luò)空間異常行為檢測提供支持。

多算法關(guān)聯(lián)的人工智能關(guān)系圖譜分析技術(shù)途徑主要包括如下2個(gè)方面，基于自編碼器的協(xié)議和行為分類提供了一種對網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行高速分類的方法，基于半監(jiān)督和特征選擇的入侵檢測技術(shù)實(shí)現(xiàn)對網(wǎng)絡(luò)入侵等異常攻擊流量的檢測識別。

2.2基于自編碼器的協(xié)議和行為分類

通過自動編碼器實(shí)現(xiàn)數(shù)據(jù)的特征提取和降維，使用K-means聚類算法進(jìn)行協(xié)議的無監(jiān)督分類，最后使用基于自動編碼器的無監(jiān)督聚類方法對網(wǎng)絡(luò)協(xié)議進(jìn)行分類識別，如圖2所示。

在分類模型訓(xùn)練階段，模型由編碼器層和分類器層組成。

第1步，對預(yù)處理后的數(shù)據(jù)進(jìn)行特征提取，經(jīng)過預(yù)處理后的流量數(shù)據(jù)為I′=（m1′，m2′，m3′，…，mn′），其中選擇每個(gè)數(shù)據(jù)對象mi′=（mi1′，mi2′，mi3′，…，mil′）是長度為l且經(jīng)過歸一化的向量，將數(shù)據(jù)集I′輸入編碼器f（x）中得到壓縮后的數(shù)據(jù)H=（h1，h2，h3，…，hn）。

第2步，按照規(guī)則分類壓縮后的數(shù)據(jù)，使用改進(jìn)的具有相對熵的K均值聚類算法作為量度分類器，根據(jù)指定的分類數(shù)K對第一步中獲得的壓縮數(shù)據(jù)進(jìn)行分類。

最終得到改進(jìn)K-means的目標(biāo)函數(shù)為P（x）和Q（x）的相對熵：

。

每次迭代都為數(shù)據(jù)點(diǎn)A重新分配簇v，如下所示：

。

重新計(jì)算每個(gè)簇的中心，計(jì)算簇vj的中心μj，如下所示：

。

分類器通過不停迭代使目標(biāo)函數(shù)L的值越來越小，分類越來越具有準(zhǔn)確性。

2.3基于半監(jiān)督和特征選擇的入侵檢測

為應(yīng)對未知攻擊檢測和訓(xùn)練數(shù)據(jù)少的挑戰(zhàn)，使用未標(biāo)記的數(shù)據(jù)和特征選擇后的已標(biāo)記數(shù)據(jù)來提取行為特征以形成網(wǎng)絡(luò)行為特征數(shù)據(jù)庫，根據(jù)網(wǎng)絡(luò)行為特征數(shù)據(jù)庫的信息，使用CPLE半監(jiān)督學(xué)習(xí)方法來訓(xùn)練和學(xué)習(xí)經(jīng)過特征選擇的數(shù)據(jù)，并進(jìn)行迭代訓(xùn)練，通過學(xué)習(xí)模型不斷優(yōu)化行為特征數(shù)據(jù)庫。最后，通過半監(jiān)督學(xué)習(xí)分類器對上述數(shù)據(jù)集進(jìn)行分類，實(shí)現(xiàn)檢測數(shù)據(jù)流量以及特征的目的。CPLE半監(jiān)督算法訓(xùn)練流程如圖3所示。

3結(jié)束語

針對通信網(wǎng)絡(luò)行為復(fù)雜多變、隱藏行為混雜難辨、人工分析低效的特點(diǎn)，將人工智能引入網(wǎng)絡(luò)安全防御中，從多個(gè)角度提取深層行為數(shù)據(jù)特征，利用機(jī)器學(xué)習(xí)模型學(xué)習(xí)正常有效的行為規(guī)律，構(gòu)建智能體異常行為樣本庫進(jìn)行訓(xùn)練迭代，開展對網(wǎng)絡(luò)空間實(shí)體異常行為的預(yù)測，感知已知和未知網(wǎng)絡(luò)威脅，最終用來識別特定環(huán)境下異常行為，為通信網(wǎng)絡(luò)由被動安全防護(hù)向主動安全防御轉(zhuǎn)型提供支撐。

參考文獻(xiàn)

[1]李建華.網(wǎng)絡(luò)空間威脅情報(bào)感知、共享與分析技術(shù)綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016，2（2）：16-29.

[2]SHAKSHUKI E M，KANG N，SHELTAMI T R. EAACK-a Secure Intrusion-detection System for MANETs[J].IEEE Transactions on Industrial Electronics，2013，60（3）： 1089-1098.

[3]陳華山，皮蘭，劉峰，等.網(wǎng)絡(luò)空間安全科學(xué)基礎(chǔ)的研究前沿及發(fā)展趨勢[J].信息網(wǎng)絡(luò)安全，2015（3）：1-5.

[4] CHEN H S，PI L，LIU F，et al. Research on Frontier and Trends of Science of Cybersecurity[J].Netinfo Security，2015（3）： 1-5.

[5]沈昌祥，張煥國，馮登國，等.信息安全綜述[J].中國科學(xué)（E輯：信息科學(xué)），2007（2）：129-150.

[6]范亮，陳倩.人工智能在網(wǎng)絡(luò)安全領(lǐng)域的最新發(fā)展[J].中國信息安全，2017（4）：104-107.

[7]伍榮，褚龍，余興華.大數(shù)據(jù)技術(shù)在信息安全領(lǐng)域中的應(yīng)用[J].通信技術(shù)，2017，50（6）：1295-1298.