李長華

（江西軟件職業(yè)技術(shù)大學(xué) 江西 南昌 330041）

0 引言

隨著通信網(wǎng)絡(luò)技術(shù)、物聯(lián)網(wǎng)技術(shù)的發(fā)展，越來越多的機(jī)器和智能設(shè)備連接到網(wǎng)絡(luò)上，網(wǎng)絡(luò)安全的漏洞逐漸暴露出來，如何使網(wǎng)絡(luò)為人們提供高效、快速的服務(wù)，并滿足不同層次的安全需求已經(jīng)成為一個(gè)研究熱點(diǎn)，將人工智能融入網(wǎng)絡(luò)安全領(lǐng)域，不僅可以提高網(wǎng)絡(luò)的整體性能，而且還有效、可靠地保證了安全性。在具體的應(yīng)用實(shí)踐中，一方面可以將深度學(xué)習(xí)等人工智能技術(shù)引入網(wǎng)絡(luò)安全領(lǐng)域，構(gòu)建惡意軟件分類、入侵檢測和智能感知威脅的智能模型。另一方面，人工智能模型將面臨各種網(wǎng)絡(luò)威脅，這會干擾它們的樣本、學(xué)習(xí)和決策。因此，人工智能模型需要特定的網(wǎng)絡(luò)安全防御和保護(hù)技術(shù)來對抗敵對的機(jī)器學(xué)習(xí)，在機(jī)器學(xué)習(xí)中注意保護(hù)隱私。本文分析人工智能技術(shù)特點(diǎn)和網(wǎng)絡(luò)安全防護(hù)功能需要，探究了人工智能技術(shù)下計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)。

1 人工智能技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中的應(yīng)用意義

隨著惡意軟件的擴(kuò)散，與之相關(guān)的威脅也呈指數(shù)級增長，僅靠人工分析無法有效地解決網(wǎng)絡(luò)威脅，因此有必要引入人工智能算法，實(shí)現(xiàn)網(wǎng)絡(luò)信息的初級分析階段（分流），對網(wǎng)絡(luò)威脅因素進(jìn)行初步篩選，便于網(wǎng)絡(luò)安全系統(tǒng)對威脅因素的攻擊做出及時(shí)反應(yīng)。因此，網(wǎng)絡(luò)安全防護(hù)系統(tǒng)需要以動(dòng)態(tài)的方式進(jìn)行檢測，完成對應(yīng)的任務(wù)，以適應(yīng)隨環(huán)境變化的威脅。

在人工智能檢測任務(wù)方面，主要包含：

（1）分類：這是網(wǎng)絡(luò)安全框架中的主要任務(wù)之一。它用于正確識別相似的攻擊類型，例如屬于同一家族的不同惡意軟件，往往具有共同的特征和行為，即使它們的簽名不同（如多態(tài)惡意軟件）。同時(shí)能夠?qū)﹄娮余]件進(jìn)行充分分類，從而將垃圾郵件與合法電子郵件區(qū)分開[1]。

（2）聚類：聚類與分類的區(qū)別在于，當(dāng)事先無法獲得有關(guān)類別的信息時(shí)，聚類能夠自動(dòng)識別樣本所屬的類別。此任務(wù)在惡意軟件分析和取證分析中至關(guān)重要。

（3）預(yù)測分析：利用NN和DL，可以在威脅發(fā)生時(shí)識別它們。為此，必須采用高度動(dòng)態(tài)的方法，允許算法自動(dòng)優(yōu)化其學(xué)習(xí)能力。

人工智能在網(wǎng)絡(luò)安全系統(tǒng)中應(yīng)用層面：

（4）網(wǎng)絡(luò)保護(hù)：使用ML可以實(shí)現(xiàn)高度復(fù)雜的入侵檢測系統(tǒng)（intrusion detection system，IDS），該系統(tǒng)將用于網(wǎng)絡(luò)邊界保護(hù)領(lǐng)域。

（5）終端保護(hù)：針對勒索軟件這類威脅，通過采用學(xué)習(xí)此類惡意軟件典型行為的算法，可以充分檢測威脅，從而克服傳統(tǒng)防病毒軟件的局限性。

（6）應(yīng)用安全：對Web應(yīng)用程序的最隱蔽攻擊類型，包括服務(wù)器端請求偽造（server side requestforgery，SSRF）攻擊、SQL注入、跨站腳本（crosssite scripting，XSS）和分布式拒絕服務(wù)（distributed denial of service，DDoS）攻擊。這些都是可以通過AI和ML工具及算法來充分應(yīng)對的威脅類型。

（7）可疑用戶行為：及時(shí)識別惡意用戶欺詐或破壞應(yīng)用程序的企圖是DL應(yīng)用程序的新興領(lǐng)域之一。

2 人工智能技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)整體設(shè)計(jì)

2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)硬件設(shè)計(jì)

在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)中，以社會企業(yè)生產(chǎn)經(jīng)營中常用的Windows平臺為載體進(jìn)行開發(fā)與設(shè)計(jì)，在硬件系統(tǒng)上按照表1進(jìn)行配置，選用Python為開發(fā)語言，在數(shù)據(jù)庫儲存中，以大數(shù)據(jù)加密技術(shù)來實(shí)現(xiàn)信息安全保密工作。

表1 硬件配置

2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的功能設(shè)計(jì)

人工智能技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)中的應(yīng)用，極大地提高了防護(hù)系統(tǒng)的信息數(shù)據(jù)抓取效率和準(zhǔn)確性，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)信息數(shù)據(jù)的智能識別、智能防護(hù)等功能，顯著提高了計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的防護(hù)能力，具體的功能流程設(shè)計(jì)如圖1所示。

圖1 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)功能設(shè)計(jì)

（1）網(wǎng)絡(luò)數(shù)據(jù)采集功能

一是程序行為提取模塊，在操作系統(tǒng)內(nèi)部對程序行為進(jìn)行監(jiān)控和捕獲，以實(shí)現(xiàn)對文件系統(tǒng)、注冊表和系統(tǒng)過程的監(jiān)控。二是行為特征數(shù)據(jù)庫，對木馬病毒等危險(xiǎn)行為特征和正常程序的行為特征進(jìn)行分析處理，并分為特征集數(shù)據(jù)庫和反饋?zhàn)赃m應(yīng)數(shù)據(jù)庫[2]。特征集數(shù)據(jù)庫主要包括特征集表、測試特征表、參數(shù)表和特征數(shù)據(jù)表。反饋?zhàn)赃m應(yīng)數(shù)據(jù)庫主要包括分類性能表和系統(tǒng)參數(shù)表。三是行為分析模塊，行為分析模塊具有數(shù)據(jù)預(yù)處理、分類計(jì)算和分類器學(xué)習(xí)等功能，四是系統(tǒng)響應(yīng)模塊，在對需要檢測的程序進(jìn)行分類后，需要進(jìn)行系統(tǒng)處理[3]。例如，當(dāng)檢測出木馬異常行為后，需要消除木馬程序；如果檢測到正常程序，則停止監(jiān)控。

（2）大數(shù)據(jù)分析功能模塊

基于人工智能技術(shù)賦能下，對上一步完成的網(wǎng)絡(luò)信息數(shù)據(jù)采集進(jìn)行分析處理，將信息數(shù)據(jù)進(jìn)行功能分類，通過對數(shù)據(jù)的深度分析，就能挖掘出輸入數(shù)據(jù)中潛在的木馬病毒。并且也能實(shí)現(xiàn)相關(guān)數(shù)據(jù)特征的信息有效反饋，從幫助網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建立木馬病毒特征數(shù)據(jù)庫及反饋?zhàn)赃m應(yīng)數(shù)據(jù)庫，以此來提高數(shù)據(jù)庫中的數(shù)據(jù)處理效率[4]。確保網(wǎng)絡(luò)安全防護(hù)系統(tǒng)更好的判斷敏感數(shù)據(jù)、危險(xiǎn)數(shù)據(jù)等，并做好對應(yīng)的防護(hù)工作。

（3）計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)防護(hù)執(zhí)行功能

一是運(yùn)用系統(tǒng)自帶的人工智能防火墻對病毒數(shù)據(jù)進(jìn)行攔截、防護(hù)，防火墻技術(shù)主要是通過識別所有可能損害信息完整性和機(jī)密性的活動(dòng)來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)，防火墻可以隔離黑客對內(nèi)外網(wǎng)絡(luò)中的計(jì)算機(jī)的敵對攻擊，但對新型木馬病毒防護(hù)處理具有一定的局限性，存在攔截準(zhǔn)確度不夠、處理能力不強(qiáng)、作用效果不佳問題。而基于人工智能技術(shù)下的計(jì)算機(jī)防火墻，對數(shù)據(jù)信息處理效率更高，借助人工智能的深度學(xué)習(xí)、動(dòng)態(tài)識別增強(qiáng)了防火墻的木馬病毒識別效率，同時(shí)還具有記憶性和智能性，使得防火墻在進(jìn)行木馬病毒處理中更加精準(zhǔn)和高效，常用于在政府機(jī)關(guān)、商業(yè)銀行等機(jī)構(gòu)[5]。

二是建立網(wǎng)絡(luò)安全感知體系，在網(wǎng)絡(luò)安全感知體系中，主要是利用人工智能技術(shù)的自動(dòng)檢測、智能處理功能，對計(jì)算機(jī)運(yùn)行特征進(jìn)行動(dòng)態(tài)監(jiān)測，一旦出現(xiàn)網(wǎng)絡(luò)特征出現(xiàn)波動(dòng)，就會觸發(fā)網(wǎng)絡(luò)安全感知體系。引發(fā)防病毒技術(shù)的及時(shí)介入，對木馬病毒進(jìn)行快速識別、實(shí)時(shí)分析處理[6]。

三是借助機(jī)器學(xué)習(xí)，人工智能技術(shù)下的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)具有機(jī)器學(xué)習(xí)功能，能夠自動(dòng)識別木馬病毒特征和黑客攻擊行為。如建立規(guī)則生成類型專家系統(tǒng)，專家技術(shù)是網(wǎng)絡(luò)安全管理中廣泛應(yīng)用的人工智能技術(shù)之一。專家系統(tǒng)是一種入侵檢測系統(tǒng)，基于專家的所有專業(yè)知識而設(shè)計(jì)，專家系統(tǒng)的應(yīng)用可以減少入侵檢測的工作量。

3 人工智能技術(shù)下計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)功能示例

在網(wǎng)絡(luò)安全系統(tǒng)防護(hù)功能測試中，考慮到電子郵件作為人們生活及工作中必不可少的通信方式，對于電子郵件防護(hù)功能檢測主要分為感知機(jī)檢測垃圾郵件、使用邏輯回歸的網(wǎng)絡(luò)釣魚檢測。以下對感知機(jī)檢測垃圾郵件展開分析：

3.1 感知機(jī)檢測垃圾郵件

垃圾郵件檢測是AI在網(wǎng)絡(luò)安全領(lǐng)域最早的成功應(yīng)用之一，其中Spam Assassin是最著名的開源工具之一?？梢詫?shí)現(xiàn)有效的垃圾郵件檢測的策略有很多，其中最常見且最簡單、有效的方式是采用最基本形式的神經(jīng)網(wǎng)絡(luò)（NN），即感知機(jī)。

（1）感知機(jī)

感知機(jī)是最為簡單的神經(jīng)網(wǎng)絡(luò)，也是人工智能在網(wǎng)絡(luò)安全應(yīng)用的最初形態(tài)，

感知機(jī)是人工智能領(lǐng)域中神經(jīng)元的首批成功實(shí)驗(yàn)之一，就像人腦中的神經(jīng)元一樣，它的特征是分層結(jié)構(gòu)，旨在將輸出結(jié)果與一定的輸入層級相關(guān)聯(lián)；感知機(jī)模型結(jié)構(gòu)將給定的輸出值與一個(gè)或多個(gè)層級的輸入數(shù)據(jù)相關(guān)聯(lián)，以此來實(shí)現(xiàn)神經(jīng)元的人工智能表示[7]。通過使用輸入值的適當(dāng)權(quán)重來實(shí)現(xiàn)將輸入數(shù)據(jù)轉(zhuǎn)換為輸出值，這些權(quán)重被合成并傳遞給激活函數(shù)，當(dāng)超過某個(gè)閾值時(shí)，激活函數(shù)會產(chǎn)生一個(gè)輸出值，該輸出值又會被傳遞到NN的其余組件。

（2）選擇合適權(quán)重

統(tǒng)計(jì)模型與AI算法之間的一個(gè)不同之處在于，算法基于迭代實(shí)現(xiàn)了一個(gè)優(yōu)化策略。實(shí)際上在每次迭代中，算法都會嘗試賦予輸入值更大或更小的權(quán)重來調(diào)整估計(jì)值，以實(shí)現(xiàn)最小化代價(jià)函數(shù)。該算法的目的之一是精確地確定一個(gè)最優(yōu)權(quán)重向量用于估計(jì)值，以獲得對未知的未來數(shù)據(jù)的可靠預(yù)測。為了充分實(shí)現(xiàn)AI算法在垃圾郵件檢測中的強(qiáng)大功能，需厘清垃圾郵件過濾器包含哪些任務(wù)。

（3）垃圾郵件過濾器

為了了解垃圾郵件過濾器執(zhí)行的任務(wù)，可以在一個(gè)表格中列出收件箱中收到的所有郵件。在正常郵件或垃圾郵件分類上，可以通過查找可疑關(guān)鍵字在電子郵件文本中出現(xiàn)的次數(shù)。然后，根據(jù)關(guān)鍵字出現(xiàn)的次數(shù)，對被識別為垃圾郵件的各封郵件打分。該分?jǐn)?shù)還將為研究人員提供參考，以對后續(xù)的電子郵件進(jìn)行分類。

為了可以分離垃圾郵件，需要確定一個(gè)得分閾值。如果計(jì)算出的分?jǐn)?shù)超過閾值，則電子郵件將自動(dòng)歸類為垃圾郵件；否則它將被視為合法消息，因此被分類為正常郵件?？紤]到人們將來會遇到的一系列新的垃圾郵件，需要不斷重新確定該閾值（以及分配的分?jǐn)?shù)），還需要為分配給每封電子郵件的分?jǐn)?shù)設(shè)置一個(gè)閾值，超過該閾值的電子郵件將自動(dòng)被分類為垃圾郵件。同時(shí)必須正確權(quán)衡電子郵件文本中出現(xiàn)的關(guān)鍵字的重要性，以便充分表示含這些關(guān)鍵字的郵件代表垃圾郵件的可能性[8]。

垃圾郵件分類為一個(gè)持續(xù)不斷的迭代學(xué)習(xí)過程，非常適合使用AI算法來實(shí)現(xiàn)，基于深度學(xué)習(xí)下，感知機(jī)對垃圾郵件分類處于一種動(dòng)態(tài)處理方式，垃圾郵件過濾器能夠根據(jù)垃圾郵件發(fā)送者的不斷創(chuàng)新進(jìn)行學(xué)習(xí)，阻止垃圾郵件的重復(fù)推送[9]。

（4）感知機(jī)深度學(xué)習(xí)

深度學(xué)習(xí)是人工智能的關(guān)鍵要素，借助深度學(xué)習(xí)能夠不斷地完善感知機(jī)的功能作用，進(jìn)而增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力[10]；感知機(jī)是基于對人腦神經(jīng)元的簡化描述。就像大腦的神經(jīng)元在刺激信號的作用下會激活，而在其他情況下則保持惰性一樣，感知機(jī)中的閾值是通過激活函數(shù)體現(xiàn)的，該函數(shù)賦值為+1（在感知機(jī)興奮的情況下，表示已超過了預(yù)先設(shè)定的閾值）或-1（表示未超過閾值）。

采用數(shù)學(xué)表達(dá)式來確定感知機(jī)激活的條件：

wx的乘積（即相應(yīng)權(quán)重的輸入數(shù)據(jù)）必須克服0閾值才能激活感知機(jī)。由于輸入數(shù)據(jù)x已經(jīng)預(yù)定義，因此相應(yīng)權(quán)重的值將直接決定感知機(jī)的激活程度。

感知機(jī)的學(xué)習(xí)過程可以分為以下三個(gè)階段：

（1）將權(quán)重初始化為預(yù)定義值（通常等于0）；

（2）計(jì)算每個(gè)訓(xùn)練樣本x,對應(yīng)的輸出值y；

（3）根據(jù)期望輸出值（即與相應(yīng)輸入數(shù)據(jù)x的原始類別標(biāo)簽相關(guān)聯(lián)的y值）與預(yù)測值（由感知機(jī)估計(jì)得值y）之間的距離更新權(quán)重，各個(gè)權(quán)重更新：

此處，Δw值表示期望值（y）和預(yù)測值（y）之間的偏差：

期望值y和預(yù)測值y之間的偏差乘以輸入值xi，以及常數(shù)λ（代表感知機(jī)的學(xué)習(xí)率）。常數(shù)λ的值通常介于00和1.0之間，該值在感知機(jī)初始化階段進(jìn)行設(shè)置。

4 結(jié)語

互聯(lián)網(wǎng)技術(shù)已經(jīng)成為人們生活、學(xué)習(xí)、工作中必不可少的組成部分，網(wǎng)絡(luò)安全問題逐漸成為計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)深度發(fā)展的關(guān)鍵因素，本文通過分析人工智能技術(shù)對計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的重要意義，進(jìn)行了人工智能技術(shù)下計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的設(shè)計(jì)，并通過電子郵件進(jìn)行防護(hù)示例，以期為相關(guān)研究者提供一定的參考意見。