周金全 朱世偉 張建平
摘要:針對網(wǎng)絡空間安全預警和安全防御的迫切需求,以大數(shù)據(jù)和人工智能為技術背景和方法基礎,針對安全態(tài)勢要素定義和綜合態(tài)勢計算等關鍵環(huán)節(jié),分析其中的主要技術方法,為網(wǎng)絡安全態(tài)勢感知系統(tǒng)提供設計參考。
關鍵詞:網(wǎng)絡安全;態(tài)勢感知;大數(shù)據(jù);人工智能
一、引言
近年來,我國網(wǎng)絡空間安全問題日益嚴峻。一方面,有目的性的高級網(wǎng)絡攻擊事件頻發(fā),大量竊取我國政治、軍事、經(jīng)濟等領域的機密信息和敏感信息;另一方面,通過網(wǎng)絡攻擊獲取數(shù)據(jù)進而實施詐騙的事件也日益增長,大量的網(wǎng)絡攻擊事件已經(jīng)嚴重威脅到社會秩序。這些網(wǎng)絡攻擊事件的愈演愈烈暴露出我國網(wǎng)絡空間一系列安全問題,包括系統(tǒng)安全防護能力不足、網(wǎng)絡安全監(jiān)測預警不到位以及主動防御措施缺乏持續(xù)更新等。當前,解決網(wǎng)絡空間安全問題已經(jīng)上升到國家戰(zhàn)略高度,提高網(wǎng)絡安全的態(tài)勢感知和主動防御能力至關重要[1]。
二、網(wǎng)絡安全態(tài)勢感知技術發(fā)展趨勢分析
隨著計算機和通信技術的不斷發(fā)展,網(wǎng)絡攻擊行為更加偏向于分散化,也更加有組織規(guī)模。面對有組織、成體系、分布式的等更為復雜的網(wǎng)絡攻擊手段,僅僅依靠入侵檢測、防火墻、訪問控制等單一的網(wǎng)絡安全防護技術,已經(jīng)滿足不了網(wǎng)絡安全的基本要求[2]。傳統(tǒng)的安全防護理念和防護產(chǎn)品網(wǎng)絡安全態(tài)勢感知主要以孤立、靜態(tài)的方式來實現(xiàn)對已有威脅的響應,但隨著網(wǎng)絡中不斷新產(chǎn)生的威脅,特別是一些新型的影響較小、危害不大的網(wǎng)絡威脅難以通過已有的感知策略發(fā)現(xiàn),隨著不斷積累最后形成“雪球”效應,出現(xiàn)影響深遠的重大網(wǎng)絡安全事故,這成為當前靜態(tài)感知無法解決的主要原因,其安全態(tài)勢感知框架或產(chǎn)品中大多存在以下四個方面的問題:
(一)根據(jù)預制規(guī)則的數(shù)據(jù)庫檢測,數(shù)據(jù)庫不完備或未及時更新將導致無法有效檢測新型威脅;
(二)缺乏對數(shù)據(jù)的智能分析評估,無法提前預測即將發(fā)生的安全威脅;
(三)系統(tǒng)多設備協(xié)作聯(lián)動困難,無法對網(wǎng)絡進行動態(tài)多維度協(xié)作防御;
(四)網(wǎng)絡安全防御基礎數(shù)據(jù)獲取單一,無法溯源分析已知網(wǎng)絡安全攻擊。
基于此,網(wǎng)絡安全態(tài)勢感知技術需對影響網(wǎng)絡安全的各類威脅進行動態(tài)的監(jiān)控,通過大數(shù)據(jù)深度分析,對未來可能存在威脅網(wǎng)絡安全的各種要素進行預測和評估,以實現(xiàn)態(tài)勢感知的精準,其發(fā)展主要包括以下幾點:
(一)挖掘網(wǎng)絡安全態(tài)勢中潛在的威脅,動態(tài)獲取網(wǎng)絡安全態(tài)勢;
(二)融合多源異構傳感器獲取的數(shù)據(jù)并可視化展示;
(三)成體系分析網(wǎng)絡安全防御態(tài)勢并進行評估,對網(wǎng)絡安威脅進行預警;
(四)通過智能學習與預測,發(fā)現(xiàn)潛在的、未知的網(wǎng)絡威脅能夠及時管控快速響應。
三、態(tài)勢感知分析框架
基于大數(shù)據(jù)和人工智能的網(wǎng)絡安全態(tài)勢感知分析平臺框架[3],其典型結(jié)構如圖1所示。
具體從以下三個層面來構建網(wǎng)絡安全態(tài)勢感知平臺:
(一)網(wǎng)絡安全多元感知。從網(wǎng)絡安全防御采集各類網(wǎng)絡安全威脅情報信息,包括完了運行流量、系統(tǒng)安全審計、安全防護監(jiān)測、安全工作日志等數(shù)據(jù),進行統(tǒng)一匯總存儲,形成安全態(tài)勢數(shù)據(jù)庫。
(二)制定評估體系。針對網(wǎng)絡制定安全規(guī)則和安全模型,通過特定的分析算法,深度挖掘并分析數(shù)據(jù)庫中的安全數(shù)據(jù),并基于大數(shù)據(jù)進行不斷地學習深化,動態(tài)擴展評估體系。
(三)網(wǎng)絡安全態(tài)勢評估。基于感知的海量數(shù)據(jù)和評估體系,通過大數(shù)據(jù)分析其中潛在的威脅并預測可能存在的安全事件,對發(fā)現(xiàn)潛在威脅報警、對重要網(wǎng)絡動態(tài)監(jiān)測、對重大網(wǎng)絡事件實時感知、對網(wǎng)絡安全態(tài)勢可視化展示,進行預先防范。
四、安全態(tài)勢及其要素定義
網(wǎng)絡安全態(tài)勢感知的對象是包括各種網(wǎng)絡設備的運行狀況、用戶的網(wǎng)絡活動以及潛在的網(wǎng)絡攻擊行為等。Tim Bass在網(wǎng)絡態(tài)勢感知的概念中提出,應對影響網(wǎng)絡態(tài)勢的要素(重點是安全要素)進行理解、顯示并預測其短期的發(fā)展趨勢[4]。因此,網(wǎng)絡安全態(tài)勢要素可認為是一種多維度的量化,詳細如下:
(一)網(wǎng)絡安全態(tài)勢是一種可量化指標,通過評估,可綜合呈現(xiàn)網(wǎng)絡當前的安全態(tài)勢,通過分析計算,能夠預測網(wǎng)絡后續(xù)的發(fā)展趨勢。如:通過構建網(wǎng)絡安全態(tài)勢整體可評估的量化指標體系,其態(tài)勢就是對各量化指標值的計算評估過程。
(二)網(wǎng)絡安全態(tài)勢可分不同的維度,可以從不同層次、不同角度反映網(wǎng)絡的不同狀態(tài)和后續(xù)發(fā)展趨勢。如:從網(wǎng)絡攻擊的角度,可通過定義網(wǎng)絡態(tài)勢安全要素反映當前網(wǎng)絡受到入侵攻擊的嚴重程度和后續(xù)安全事件的發(fā)展趨勢。
以安全態(tài)勢為例,其主要安全態(tài)勢要素如圖2所示[5]。包括網(wǎng)絡安全要素、可靠要素和可用要素。
(一)安全要素,用于反應網(wǎng)絡當前受到攻擊嚴重程度、對網(wǎng)絡后續(xù)造成的影響,包括通過木馬分發(fā)攻擊、安全漏洞攻擊、物理探測攻擊進行篡改、截取、中斷、偽造等。
(二)可靠要素,用于反映當前網(wǎng)絡受到攻擊后的物理損傷程度。
(三)可用要素,用于反應受到損傷后網(wǎng)絡運行功能和性能的實際狀態(tài),包括網(wǎng)絡的可用狀態(tài)以及資源的富余程度等。
五、態(tài)勢分析中的人工智能基礎算法
在大數(shù)據(jù)基礎平臺中,共性基礎算法和分析技術是后續(xù)計算、分析的基礎[6]。典型共性算法介紹如下:
(一)特征選擇算法
特征選擇是通過對大量特征的篩選,得到其中最有效的特征,舍棄不直觀的特征以降低空間維數(shù),特征選擇的這個過程可以用圖進行表示分析。特征選擇算法通過設計特征評估函數(shù),從特征中選取部分特征形成一個特征子集進行評估,并與網(wǎng)絡安全預期標準進行比較,如果評估結(jié)果優(yōu)于預期標準則停止,等待下一次篩選;如果評估結(jié)果劣于預期標準,則重新選擇篩選下一個子集直到最后出現(xiàn)最優(yōu)子集。篩選評估完成后,對選出來的特征子集進行有效性驗證。
(二)分類算法
分類算法是對數(shù)據(jù)集進行分類識別的重要基礎算法。包括支持向量機(support vector machines, SVM)、樸素貝葉斯方法(Na?ve Bayes)、基于質(zhì)心的分類器算法Centroid-Based classifier(CBC)、KNN算法(K Nearest Neighbor)和隨機森林算法等。
(三)網(wǎng)絡空間實體抽取算法
態(tài)勢感知過程需要在網(wǎng)絡空間態(tài)勢數(shù)據(jù)中抽取網(wǎng)絡空間中的實體。實體包括設備、鏈路、資源、終端、應用、服務、態(tài)勢特征等。典型方法包括以下兩種。
基于統(tǒng)計機器學習的方法:如KNN算法+CRF模型,字典輔助下的最大熵算法等。該方法從異構日志中采用統(tǒng)計機器學習抽取各類網(wǎng)絡空間實體,并采用聚類算法對實體進行聚類。
基于實體分類和聚類的方法:基于層次結(jié)構的命名實體分類體系;基于特征建模的命名實體列表方法;使用無監(jiān)督學習算法識別出大量信息中的命名實體、然后對識別出的實體對象進行聚類算法分析的方法。
(四)態(tài)勢預測算法
態(tài)勢預測就是依據(jù)網(wǎng)絡安全在發(fā)展中變化的實際數(shù)據(jù)和歷史資料,運用科學的理論和方法、各種經(jīng)驗和知識去分析、推測、估計網(wǎng)絡安全在未來一定時期內(nèi)可能的變化趨勢。網(wǎng)絡態(tài)勢預測是信息安全管理的最高表現(xiàn)形式,準確有效地預測網(wǎng)絡安全態(tài)勢,能夠?qū)W(wǎng)絡安全問題主動采取措施,將信息安全的管理從被動的一方變?yōu)橹鲃拥囊环?。態(tài)勢預測可使網(wǎng)絡管理人員了解網(wǎng)絡當前的狀態(tài)并預知網(wǎng)絡未來的發(fā)展趨勢,因此當網(wǎng)絡受到大規(guī)模攻擊時,能夠提前采取措施,不至于造成更為嚴重的損失。同時通過提升網(wǎng)絡設備和安全設備的安全策略,達到網(wǎng)絡安全主動防御的目的。
目前網(wǎng)絡安全態(tài)勢預測相關的方法和模型很多,例如時間序列預測、灰色理論預測、LSTM神經(jīng)網(wǎng)絡、支持向量機、基于深度學習的預測、基于RBF神經(jīng)網(wǎng)絡的預測方法等。圖3是一種基于多層次深度學習框架的網(wǎng)絡安全態(tài)勢預測方法,通過構建多層次的深度學習模型,實時對當前網(wǎng)絡安全狀態(tài)進行感知、抽取特征并融合,最終通過多層次學習模型進行安全態(tài)勢預測。
六、結(jié)束語
基于大數(shù)據(jù)和人工智能的網(wǎng)絡空間安全態(tài)勢感知和評估目前缺少成熟的應用產(chǎn)品,具有十分廣闊的研究前景和應用價值。應當看到,當前在人工智能算法應用、海量態(tài)勢數(shù)據(jù)實時處理、態(tài)勢核心要素的提取和展示在網(wǎng)絡安全態(tài)勢方面仍需進一步探索,在可以預見的未來,隨著人工智能技術的進一步突破和海量大數(shù)據(jù)知識化挖掘能力的快速進展,新一代網(wǎng)絡安全態(tài)勢感知也將獲得質(zhì)的飛躍。
作者單位:周金全? ? 朱世偉? ? 張建平? ? 中國電子科技集團公司第三十研究所
參? 考? 文? 獻
[1]王以伍,張牧.基于大數(shù)據(jù)的網(wǎng)絡安全態(tài)勢感知關鍵技術研究[J].電腦知識與技術, 2020,16(15):43-46.
[2]石樂義,劉佳,劉祎豪,朱紅強,段鵬飛.網(wǎng)絡安全態(tài)勢感知研究綜述[J].計算機工程與應用, 2019,55(24):1-9.
[3] S. Zhang, A. Zhang, J. Wu, L. Guo, J. Li and B. Pei, “A Layered and Componentized Security Architecture for Linux Based Mobile Network Elements,” 2015 Ninth International Conference on Frontier of Computer Science and Technology, Dalian, 2015, pp. 330-334, doi: 10.1109/FCST.2015.46.
[4] G. Goth, “Functionality Meets Terminology to Address Network Security Vulnerabilities,” in IEEE Distributed Systems Online, vol. 7, no. 6, pp. 4-4, June 2006, doi: 10.1109/MDSO.2006.40.
[5] C. Si, H. Zhang, Y. Wang and J. Liu, “Network Security Situation Elements Fusion Method Based on Ontology,” 2014 Seventh International Symposium on Computational Intelligence and Design, Hangzhou, 2014, pp. 272-275, doi: 10.1109/ISCID.2014.132.
[6]肖喜生,龍春,彭凱飛,魏金俠,趙靜,馮偉華,陳瑞.基于人工智能的安全態(tài)勢預測技術研究綜述[J].信息安全研究,2020,6(06):506-513.