關(guān)鍵詞：人工智能；網(wǎng)絡(luò)空間安全；生成對抗網(wǎng)絡(luò)；安全防御機制

中圖分類號：TP393.2 文獻標識碼：A

1引言（Introduction）

在2021年公布的十大最新技術(shù)排行榜中[1]，人工智能與網(wǎng)絡(luò)空間安全技術(shù)均位列其中。隨著網(wǎng)絡(luò)在經(jīng)濟、政治、文化等領(lǐng)域的全面應(yīng)用，與網(wǎng)絡(luò)相關(guān)的公共安全問題不斷增多，每年全球在網(wǎng)絡(luò)空間安全上的花費超過數(shù)十億美元，中國、美國、俄羅斯等國家相繼出臺了針對網(wǎng)絡(luò)空間安全領(lǐng)域的建設(shè)規(guī)劃。全面加強網(wǎng)絡(luò)空間安全軟件和硬件設(shè)施建設(shè)，是保障社會穩(wěn)定、推動國家治理體系和治理能力現(xiàn)代化的基礎(chǔ)。人工智能技術(shù)的發(fā)展令人感到驚嘆，它在攻擊點多、面廣的新型網(wǎng)絡(luò)中發(fā)揮出不可比擬的優(yōu)越性。以生成對抗網(wǎng)絡(luò)為代表的人工智能技術(shù)和思想在網(wǎng)絡(luò)空間安全防御策略中的廣泛應(yīng)用，表明人工智能技術(shù)有助于構(gòu)建更加智能、全面的網(wǎng)絡(luò)空間防御體系，成為網(wǎng)絡(luò)安全創(chuàng)新發(fā)展新的方向。在網(wǎng)絡(luò)空間安全領(lǐng)域應(yīng)用人工智能技術(shù)，是一次應(yīng)用上的創(chuàng)新，是對網(wǎng)絡(luò)空間的一次防御加固，也是未來網(wǎng)絡(luò)空間安全領(lǐng)域發(fā)展的熱點和難點，具有現(xiàn)實的研究價值。

2目前網(wǎng)絡(luò)空間安全存在的問題（Problems incurrent cyberspace security）

網(wǎng)絡(luò)空間安全包含物理、系統(tǒng)、內(nèi)容等的安全[2]，其中物理安全是指參與連接人和物等要素的安全；系統(tǒng)安全是指構(gòu)建網(wǎng)絡(luò)互聯(lián)及應(yīng)用的軟件設(shè)備、硬件設(shè)備和通信數(shù)據(jù)的安全；內(nèi)容安全是指在網(wǎng)絡(luò)互聯(lián)環(huán)境中保證通信數(shù)據(jù)的機密性、完整性、可靠性。新形勢下，網(wǎng)絡(luò)空間安全存在以下問題。一是人工智能技術(shù)應(yīng)用于身份識別、垃圾郵件、拒絕服務(wù)、惡意代碼等網(wǎng)絡(luò)攻擊中，呈現(xiàn)出攻擊手段自動化、智能化、隱匿化、規(guī)?；忍攸c，能有效躲避、繞過防御端的檢測；二是網(wǎng)絡(luò)應(yīng)用范圍越來越廣，使其邊界急劇擴張，構(gòu)成網(wǎng)絡(luò)的結(jié)構(gòu)越來越復(fù)雜；三是網(wǎng)絡(luò)空間具有通信數(shù)據(jù)出現(xiàn)量大、類型復(fù)雜等特點，傳統(tǒng)的威脅檢測系統(tǒng)和手段已經(jīng)疲于應(yīng)付大量數(shù)據(jù)日志，未能很好地起到保護網(wǎng)絡(luò)空間安全的作用；四是網(wǎng)絡(luò)空間安全人才急缺，隨著各種新技術(shù)錯綜復(fù)雜地融合，技術(shù)單一的網(wǎng)絡(luò)空間安全工程師很難應(yīng)對目前層出不窮的安全問題，全面型人才是解決安全問題的核心力量；五是傳統(tǒng)網(wǎng)絡(luò)空間安全理念已經(jīng)不能適應(yīng)時代發(fā)展的要求，要改變以固定規(guī)則匹配攻擊類型的被動防御方式，不斷轉(zhuǎn)變?yōu)橹鲃臃烙绞?，并能主動進行規(guī)則學(xué)習(xí)；六是雖然網(wǎng)絡(luò)在各領(lǐng)域的應(yīng)用越來越深入，但是使用者用網(wǎng)層次和安全意識不一，大部分使用者的網(wǎng)絡(luò)空間安全意識淡薄。以上問題都是需要網(wǎng)絡(luò)空間安全工程師打破傳統(tǒng)被動的防御手段，在人工智能技術(shù)新環(huán)境下勇于創(chuàng)新并實踐。

3人工智能與網(wǎng)絡(luò)安全關(guān)聯(lián)度分析（Analysis of thecorrelation between artificial intelligence andnetwork security）

人工智能與網(wǎng)絡(luò)空間安全是兩個交叉學(xué)科，兩個領(lǐng)域均有非常全面的理論架構(gòu)和技術(shù)體系。認真厘清兩個學(xué)科之間的邏輯關(guān)系，是更好地將人工智能技術(shù)運用于網(wǎng)絡(luò)空間安全的關(guān)鍵。網(wǎng)絡(luò)空間安全起源于計算機網(wǎng)絡(luò)技術(shù)，人工智能技術(shù)與計算機網(wǎng)絡(luò)技術(shù)TCP/IP（Transmission ControlProtocol/Internet Protocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議）和OSI（Open System Interconnection，開放式系統(tǒng)互聯(lián)）參考模型的層次對應(yīng)關(guān)系如圖1所示。

（1）攻擊與防御。網(wǎng)絡(luò)空間安全是指對網(wǎng)絡(luò)空間信息在產(chǎn)生、傳輸、使用、存儲處理過程中的安全防護，包含網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)安全、內(nèi)容安全、行為安全和安全管理。理解網(wǎng)絡(luò)空間安全的一個重要維度是參與者，即攻擊者與防御者，二者之間存在典型的“道高一尺，魔高一丈”關(guān)系，因此都迫切需要利用更先進技術(shù)應(yīng)對對方的攻擊或防御行為。人工智能具備自動推理、分析識別等能力，是攻擊者與防御者都迫切需要的新技術(shù)。由此，可以引出人工智能與網(wǎng)絡(luò)空間安全的重要結(jié)合點，即人工智能應(yīng)用于網(wǎng)絡(luò)空間攻擊與防御[3]。其中，人工智能技術(shù)應(yīng)用于安全防御，是從防御者的角度出發(fā)，試圖引入人工智能技術(shù)加強網(wǎng)絡(luò)空間安全；而人工智能技術(shù)應(yīng)用于攻擊各類網(wǎng)絡(luò)空間，是從攻擊者的角度出發(fā)，試圖引入人工智能技術(shù)提升攻擊效率和效果。

（2）知識與模型?？梢越柚R層次理解人工智能安全。知識的表示、分析挖掘是人工智能的核心[4]，相比于信息和數(shù)據(jù)，知識位于更高的層次，而這種層次差異體現(xiàn)在知識的語義特征方面。知識信息具備更強的蘊含表達能力，由此更容易導(dǎo)致一些廣泛意義上的網(wǎng)絡(luò)空間安全問題。此類安全問題主要發(fā)生在內(nèi)容語義層面，涉及倫理道德、隱私性、健康性、公平正義等。微軟在線機器人Tay發(fā)表偏激言論、人臉識別的濫用、大數(shù)據(jù)“殺熟”、個人信息的過度索取、算法對物流配送員的控制、推薦算法推薦沒有價值的低俗內(nèi)容等現(xiàn)實的網(wǎng)絡(luò)空間安全問題，都是內(nèi)容語義層面表現(xiàn)出來的問題。隨著人工智能在網(wǎng)絡(luò)空間中的應(yīng)用和推廣，迫切需要建立可信、可靠的基于人工智能技術(shù)的網(wǎng)絡(luò)空間安全防御體系，而模型安全是其中的核心。

（3）漏洞與利用。不論哪種形式的安全問題，其根本原因是存在漏洞及可利用的途徑。由于信息系統(tǒng)復(fù)雜性高，各種軟件和硬件存在漏洞不可避免。攻擊者與防御者之間的對抗通常都是圍繞漏洞的發(fā)現(xiàn)、分析、利用與封堵。漏洞被封堵之后就失去了利用價值，因此攻擊者熱衷于尋找零日漏洞[5]，趁對方毫無防備時發(fā)起攻擊，而零日漏洞普遍存在于新技術(shù)、新系統(tǒng)中。人工智能在網(wǎng)絡(luò)空間中的應(yīng)用還處在發(fā)展過程，不可避免地存在一些未知漏洞，可能存在于知識處理的模型、算法和平臺中。從知識層次來看，相比于信息和數(shù)據(jù)，以知識處理為中心的新型應(yīng)用顯然為攻防二者開辟了新的對抗戰(zhàn)場。因此，人工智能模型、算法和平臺的漏洞發(fā)現(xiàn)與利用，成為人工智能安全發(fā)展的主要推動力。

4網(wǎng)絡(luò)空間安全知識架構(gòu)（Architecture of cyberspace security knowledge）

人工智能被認為是包括機器學(xué)習(xí)在內(nèi)的一個廣泛的研究領(lǐng)域，機器學(xué)習(xí)中包含了深度學(xué)習(xí)。機器學(xué)習(xí)有監(jiān)督學(xué)習(xí)、無監(jiān)督學(xué)習(xí)和強化學(xué)習(xí)三種類型[6]。機器學(xué)習(xí)技術(shù)也可以根據(jù)需要解決問題的種類劃分為分類、聚類、回歸、降維度和密度估計等技術(shù)，與此對應(yīng)的機器算法也就有支持向量機、貝葉斯網(wǎng)絡(luò)、決策樹、隨機森林、分層、遺傳、相似度等。

在人工智能時代，網(wǎng)絡(luò)空間攻擊的分類如圖2所示。其中，分類是根據(jù)輸入未知數(shù)據(jù)的特征或特性進行類別區(qū)分，因為應(yīng)用的數(shù)據(jù)是有標記的，所以是監(jiān)督學(xué)習(xí)。在網(wǎng)絡(luò)安全框架中，可以用于正確識別同一類的攻擊。通過訓(xùn)練數(shù)據(jù)驅(qū)動學(xué)習(xí)，將合法電子郵件發(fā)送給收件箱、垃圾郵件投入垃圾文件夾。同樣，基于文本內(nèi)容網(wǎng)頁分類也是分類，例如新聞、廣告等網(wǎng)頁。聚類與分類不同，屬于無監(jiān)督學(xué)習(xí)，在分類前沒有獲得類別的信息情況下就自動識別樣本類別，使用數(shù)據(jù)進行多次迭代，比如基于統(tǒng)一協(xié)議的惡意軟件攻擊、基于不同簽名的多態(tài)惡意軟件?；貧w主要通過對數(shù)據(jù)的統(tǒng)計，分析自變量和因變量之間存在關(guān)系實現(xiàn)數(shù)據(jù)預(yù)測，特別是對攻擊者先前行為日志數(shù)據(jù)進行分析，預(yù)測即將發(fā)生的攻擊，以此進行必要的防御。此時，必須采用高度動態(tài)的算法且需要算法有自動學(xué)習(xí)能力，比如入侵檢測、智能防火墻等。

目前，Python語言是網(wǎng)絡(luò)安全人員用于滲透測試與惡意軟件分析的最佳選擇，它提供了大量用于網(wǎng)絡(luò)空間安全的庫。其中，pefile庫用于分析可執(zhí)行文件，主要在靜態(tài)惡意軟件分析時查找軟件是否被破壞或加載惡意代碼，類似于用MD5和SHA1摘要算法檢測軟件的完整性；volatility庫是可以編程的實用程序，用來對可執(zhí)行程序運行內(nèi)存進行分析，發(fā)現(xiàn)存在的惡意軟件代碼，通常默認安裝在惡意軟件分析和滲透測試的發(fā)行版本中，允許從內(nèi)存中提取API（ApplicationProgramming Interface，應(yīng)用程序編程接口）掛鉤、網(wǎng)絡(luò)連接、內(nèi)核模塊等進程的重要信息；TensorFlow庫主要應(yīng)用在監(jiān)測欺詐程序、檢測網(wǎng)絡(luò)異常支付、生物認證、網(wǎng)絡(luò)用語異常行為等方面，特別是應(yīng)用在生成對抗網(wǎng)絡(luò)，可以生成與原生物特征一樣的樣本，這對傳統(tǒng)人臉識別和語音識別提出了挑戰(zhàn)。

5人工智能助力網(wǎng)絡(luò)空間安全（Artificial intelligencehelps cyberspace security）

5.1檢測垃圾郵件

電子郵件是計算機網(wǎng)絡(luò)誕生時最早的應(yīng)用，是網(wǎng)絡(luò)通信最重要的手段，因此電子郵件理所當然地成為網(wǎng)絡(luò)攻擊的主要載體。其中，垃圾郵件是未經(jīng)用戶許可就強行發(fā)送到用戶郵箱中的任何電子郵件[7]，通常包含廣告、病毒等。一般來說，過濾垃圾郵件的方法有知識工程和機器學(xué)習(xí)[8]。使用知識工程方法時，由于郵件傳輸流量巨大、需要選取一定數(shù)量的關(guān)鍵字、需要選擇一個不斷更新以區(qū)分垃圾郵件的閾值、垃圾郵件發(fā)送者會嘗試使用不同的策略欺騙過濾器等，導(dǎo)致這種以正則表達式識別垃圾郵件的靜態(tài)規(guī)則已經(jīng)很難跟上攻擊者的步伐，所建立規(guī)則的泛化能力也特別差。因此，利用機器學(xué)習(xí)算法完成這一任務(wù)將是必然選擇。目前，檢測垃圾郵件是AI（Artificial Intelligence，人工智能）在網(wǎng)絡(luò)安全領(lǐng)域最成功的應(yīng)用。

5.1.1感知機

模仿人腦神經(jīng)元分層結(jié)構(gòu)，將給定輸出結(jié)果與一個或者多個輸入層關(guān)聯(lián)起來。感知機通過預(yù)先選擇一個適當?shù)拈撝担ㄟ^線性分類器計算，如果電子郵件分數(shù)超過了閾值，就會分類為垃圾郵件。但是，感知機是一個二元線性分類器，局限于線性可分情況下使用，容易在數(shù)據(jù)周圍振蕩。

5.1.2支持向量機

與感知機不同，支持向量機是監(jiān)督學(xué)習(xí)方法，所識別的超平面不再局限于感知機線性模型，是感知機的一種擴展。

與感知機盡量使分類錯誤最小化不同，SVM（Support VectorMachine，支持向量機）目標是使超平面與支持向量之間的距離最大化。支持向量機除了以文本方式分類垃圾郵件，還可以通過圖片方式檢測垃圾郵件，可分為基于內(nèi)容、非基于內(nèi)容的過濾，其中前者與本文方式類似，主要采用光學(xué)字符識別技術(shù)識別圖片中的文字，后者主要利用計算機生成正常和垃圾郵件在圖片屬性上（比如顏色不同）的特征來分類。因此，為了提取圖片特征，需要進一步使用神經(jīng)網(wǎng)絡(luò)以及深度學(xué)習(xí)算法。

5.1.3樸素貝葉斯

通常個人郵件數(shù)量不多，很難成為訓(xùn)練樣本。由于概率估計原理來源于著名的貝葉斯定理，先驗概率可以作為后驗概率的輸入，以此動態(tài)更新概率統(tǒng)計，所以樸素貝葉斯最適合這種只需要很少輸入就可以分類的情況，在逐步累加的樣本信息中不斷優(yōu)化先前的估計，動態(tài)調(diào)整預(yù)測模型。結(jié)合文本分類技術(shù)[9]，能夠動態(tài)檢測垃圾郵件中的關(guān)鍵字。

5.1.4自然語言包

自然語言處理是人工智能的子領(lǐng)域，包含對人類語言的分析和理解，能夠從非結(jié)構(gòu)化數(shù)據(jù)中獲得敏感信息，應(yīng)用在翻譯、語音識別、情感分析、信息檢索等領(lǐng)域。其中，自然語言工具包可以結(jié)合樸素貝葉斯用在垃圾郵件的檢測中。

5.2檢測惡意軟件威脅

惡意軟件是包含對計算機構(gòu)成威脅代碼的文件[10]。惡意軟件有木馬、僵尸網(wǎng)絡(luò)、勒索軟件、零日漏洞等，可以嵌入可執(zhí)行文件或隱藏在圖片文件中，甚至普通文本文件也可以成為其傳播載體。以上方式都有一個共同特點，即破壞原有文件的完整性。所以，文件完整性檢測是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個重要環(huán)節(jié)，能夠有效防止惡意軟件的攻擊。惡意軟件傳播速度越快，所構(gòu)成的威脅就會呈現(xiàn)指數(shù)級增長。目前的惡意軟件有靜態(tài)、動態(tài)、多態(tài)、變態(tài)等形式和分類，檢測需要有靈活的應(yīng)對策略，常見的檢測手段有哈希文件計算、系統(tǒng)監(jiān)視、網(wǎng)絡(luò)監(jiān)視等。然而，傳統(tǒng)基于電子簽名和圖像文件的哈希檢測方法已經(jīng)不足以應(yīng)對惡意軟件的攻擊，引入人工智能技術(shù)重要且必要。

5.2.1 k均值聚類算法

[11]惡意軟件檢測過程中，檢測方法和檢測效率都很重要，正確識別惡意軟件的行為相似性很關(guān)鍵，這就需要將惡意軟件樣本及同類型惡意軟件相關(guān)聯(lián)，實現(xiàn)檢測自動化。關(guān)聯(lián)性分析可以利用k近鄰算法和k均值算法，將惡意軟件的不同特征用距離關(guān)聯(lián)，用來估計其相似性，單個特征作為n 維空間中的一個點，選擇一個合適的規(guī)則計算點與點之間的距離，作為度量。目前，可用來確定距離的度量有歐幾里得距離、切比雪夫距離、曼哈頓距離，如果軟件特征較多，可以選擇歐幾里得距離。度量確定后就是選擇合適的聚類算法，k均值算法是使用較為廣泛的一種無監(jiān)督算法，該算法可以根據(jù)所選歐幾里得距離度量將數(shù)據(jù)分為k 個不同子組，最小化由維度空間中點和各自質(zhì)心之間計算出的度量所表示的代價函數(shù)，最后返回對應(yīng)分組樣本。這個過程是選用scikit-learn庫中的算法實現(xiàn)的，該方法操作簡單，適用于大數(shù)據(jù)集，但是在n 維空間中會以稀疏形式發(fā)生維數(shù)災(zāi)難現(xiàn)象。

5.2.2決策樹

決策樹使用二叉樹進行數(shù)據(jù)分析和處理[12]，算法通過一系列if-then-else決策對學(xué)習(xí)過程進行建模，在迭代過程中把軟件樣本最終以數(shù)值和類別形式進行區(qū)分，代表的是一種非線性分類器，無法簡化為平面中的直線或超平面。決策樹的缺點是會出現(xiàn)過擬合現(xiàn)象，對樣本變化會產(chǎn)生比較大的振蕩，因此在實際做法中可以使用決策樹集合即隨機森林讓每棵樹都有投票權(quán)，票數(shù)最高的預(yù)測就是最后的結(jié)果。

5.2.3隱馬爾可夫模型（Hidden Markov Model，HMM）[13]

前面兩種方法都是基于靜態(tài)惡意軟件檢測方法，如果應(yīng)用在動態(tài)惡意軟件，甚至多態(tài)和變態(tài)惡意軟件檢測中，會有誤報情況發(fā)生。對于多態(tài)惡意軟件以及零日攻擊軟件的檢測，可使用基于HMM機器學(xué)習(xí)算法，這是一個無法直接觀測系統(tǒng)狀態(tài)的馬爾可夫過程，未來狀態(tài)概率分布取決于當前狀態(tài)。

5.2.4卷積神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)模仿人腦學(xué)習(xí)機制，由輸入層、輸出層和隱藏層組成。卷積神經(jīng)網(wǎng)絡(luò)具有圖像識別功能，通過卷積運算提取輸入的惡意軟件圖像特征，將其轉(zhuǎn)換成二進制序列，通過轉(zhuǎn)換灰度圖像中存在的布局和紋理相似性，利用圖像分類k鄰近算法實現(xiàn)分類。這種方法既能識別惡意代碼修改部分，使惡意軟件整體結(jié)構(gòu)不被破壞，也可以快捷識別同一家族的不同變體。

5.3網(wǎng)絡(luò)異常檢測

在網(wǎng)絡(luò)異常檢測領(lǐng)域，有基于電子簽名異常檢測和流量異常檢測。其中，基于電子簽名的異常檢測一般是通過已受攻擊的簽名知識庫來匹配同類攻擊，但它有明顯的缺陷，即必須通過不斷更新簽名庫來識別新型的網(wǎng)絡(luò)攻擊。基于流量的異常檢測主要通過檢測時間內(nèi)主機的連接數(shù)、不尋常通信端口的流量、單位時間內(nèi)突發(fā)流量高峰、網(wǎng)絡(luò)中固定主機占用大量帶寬等方式完成檢測。

5.3.1基于人工智能的入侵檢測系統(tǒng)[14]

防火墻是一組預(yù)先定義的網(wǎng)絡(luò)規(guī)則集合。通常放置于內(nèi)網(wǎng)和外網(wǎng)邊界，進行網(wǎng)絡(luò)異常檢測與防范，經(jīng)歷了包過濾、應(yīng)用代理、狀態(tài)檢測三個不同的發(fā)展階段。不管在哪個階段，最關(guān)鍵的都是進行網(wǎng)絡(luò)異常檢測，因此配備入侵檢測系統(tǒng)就顯得更加重要。根據(jù)基于簽名庫和流量的檢測種類，相應(yīng)出現(xiàn)了基于主機IDS（Intrusion Detection System，入侵檢測系統(tǒng)）和基于網(wǎng)絡(luò)流量IDS。隨著人工智能的高速發(fā)展，傳統(tǒng)檢測系統(tǒng)已經(jīng)無法應(yīng)對如今的網(wǎng)絡(luò)攻擊。這時，利用監(jiān)督和無監(jiān)督學(xué)習(xí)算法更新檢測解決方案就顯得必須和重要，基于異常IDS出現(xiàn)了。這種新檢測方法需要設(shè)置對不同數(shù)據(jù)進行分離的閾值，讓數(shù)據(jù)集之間存在一定距離，運用聚類算法對數(shù)據(jù)進行計算，評估其分布規(guī)律性，從而實現(xiàn)分類和達到自動檢測目的。在這個過程中，我們需要不斷分析各種服務(wù)日志，并將其轉(zhuǎn)換成有用的數(shù)據(jù)集；還必須把類似于惡意軟件、零日攻擊、會話劫持、端口掃描等各種攻擊的特征分類出來，為算法提供更加有代表性的數(shù)據(jù)集。

5.3.2僵尸網(wǎng)絡(luò)檢測

僵尸網(wǎng)絡(luò)是基于流量的網(wǎng)絡(luò)異常檢測的難點，是指攻擊者試圖通過發(fā)送木馬讓網(wǎng)絡(luò)中的計算機運行，然后不知情地接受攻擊者的命令后攻擊網(wǎng)絡(luò)中其他主機的行為。攻擊者通常結(jié)合分布式計算以及區(qū)塊連技術(shù)讓僵尸網(wǎng)絡(luò)參與發(fā)送垃圾郵件、發(fā)起DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）、密碼暴力破解等攻擊。僵尸網(wǎng)絡(luò)通常有三個階段：一是通過不同方式讓網(wǎng)絡(luò)中的主機運行惡意軟件；二是加入僵尸網(wǎng)絡(luò)；三是將僵尸網(wǎng)絡(luò)傳播到其他主機。在僵尸網(wǎng)絡(luò)中，受害主機為了接收新的指令，需要不斷與遠控主機進行信息溝通，并將從受害主機系統(tǒng)上獲得的信息發(fā)送到服務(wù)器中。這個過程的典型特征是需要持續(xù)保持會話活躍性且定期進行數(shù)據(jù)交換。因此，檢測僵尸網(wǎng)絡(luò)最關(guān)鍵的就是數(shù)據(jù)通信流量，并能圖形化地呈現(xiàn)出來。深度學(xué)習(xí)算法比如k鄰近算法、決策樹、高斯樸素貝葉斯模型都可以較好地用于僵尸網(wǎng)絡(luò)檢測。

5.3.3運用高斯分布進行異常檢測

高斯分布廣泛應(yīng)用于檢測數(shù)據(jù)分布建模，可識別數(shù)據(jù)中的離群點。離群點假定的異常元素相對于其他數(shù)據(jù)存在明顯差異，大多數(shù)據(jù)越是緊密集中在均值附近且方差越小，離群點所假定的異常值就越明顯。檢測需要導(dǎo)入Python中的numpy、pandas、matplotlib等庫，同時加載檢測數(shù)據(jù)流延時和網(wǎng)絡(luò)吞吐量的值，驗證樣本分布是否像高斯分布及以圖形式顯示相應(yīng)的值，最后將數(shù)據(jù)繪制在散點圖上，用可視化方式識別離群點。

5.4用戶行為異常檢測

用戶賬號是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個重要環(huán)節(jié)，主要用來保證網(wǎng)絡(luò)中數(shù)據(jù)的完整性和機密性。傳統(tǒng)密碼在健壯性方面已經(jīng)做得很好，其組成包括數(shù)字、字母、符號等，但是隨著各種網(wǎng)絡(luò)服務(wù)平臺的增加，密碼管理成為用戶們最大的困惑。一碼通用成為大家的習(xí)慣，這就給攻擊者提供了可乘之機，一旦密碼被破解，全部的網(wǎng)絡(luò)服務(wù)平臺就成為攻擊者的控制對象。當然，各類網(wǎng)絡(luò)服務(wù)平臺都采取了各種保護措施，如密碼地理區(qū)域限制、動態(tài)口令卡二級保護、手機驗證碼等，還使用了傳統(tǒng)密碼異常檢測方法，如暴力訪問嘗試次數(shù)控制、同賬號同時間異地登錄、不同設(shè)備登錄、用戶鍵盤打字頻率等，在一定程度上降低了攻擊的成功概率。盡管如此，針對用戶身份的攻擊依然是網(wǎng)絡(luò)安全領(lǐng)域的重災(zāi)區(qū)，傳統(tǒng)密碼保護措施與安全檢測方法之間矛盾越來越大。

5.4.1采用擊鍵識別用戶身份驗證

把數(shù)據(jù)挖掘和機器學(xué)習(xí)結(jié)合起來，從用戶關(guān)聯(lián)數(shù)據(jù)信息中識別出潛在的賬號違規(guī)行為，并采取相應(yīng)的防御操作成為新趨勢，特別是應(yīng)用在目前無監(jiān)督學(xué)習(xí)和監(jiān)督學(xué)習(xí)適用于挖掘數(shù)據(jù)中潛在的用戶可疑行為。把賬號風險預(yù)測由檢測違規(guī)行為轉(zhuǎn)換到對正確特征進行監(jiān)控，以積累用于訓(xùn)練的必要特征。但是，監(jiān)督學(xué)習(xí)算法不足，受到分類標簽的影響，難以識別新形式的異?；顒?，即使在后面檢測過程中加入了新的檢測規(guī)則，也不能避免放大先前標簽所引入識別的誤差。同樣，對于無監(jiān)督學(xué)習(xí)算法比如k均值算法，正確確定簇數(shù)量很重要，因為在實際應(yīng)用中并不能確定賬號分組必需的簇數(shù)量，所以不適用于檢測用戶可疑行為，也不能適用于以二進制分類值形式的用戶特征。隨著神經(jīng)網(wǎng)絡(luò)的發(fā)展，使用生物特征檢測可疑賬號越來越普及，其中擊鍵輸入與人臉虹膜、聲音、指紋可以作為識別用戶的特征。擊鍵過程屬于動力學(xué)領(lǐng)域，在這一過程中，個人的擊鍵節(jié)奏和韻律等動態(tài)信息是唯一的生物特征。這個技術(shù)過程主要是在清除了各種干擾因素后，將用戶相應(yīng)的原始擊鍵特征數(shù)據(jù)轉(zhuǎn)換為正確表示用戶特征的數(shù)據(jù)集，在這個基礎(chǔ)上運用k鄰近、支持向量機、多層感知機算法進行分析，可以根據(jù)攻擊者擊鍵特征識別出盜取別人賬號的行為，并予以制止。

5.4.2采用人臉識別用戶身份

智能手機、平板電腦等終端設(shè)備基本配備了采集用戶人臉信息的設(shè)備，讓各種應(yīng)用采用人臉識別實現(xiàn)登錄成為可能。人臉識別是一種分類技術(shù)，其中利用線性代數(shù)進行“特征臉”識別是最常見的一種，識別分為實時圖像識別和已有圖像批量導(dǎo)入識別，本研究利用各終端設(shè)備攝像頭實時采集的用戶人臉作為采集數(shù)據(jù)，將待驗證圖像與圖像集進行比對。在采集過程中受到光線、角度等客觀因素和如人臉自然衰老等因素的影響，會出現(xiàn)“撞臉”情況，加上圖片是高維數(shù)據(jù)，在識別過程中模型構(gòu)建和數(shù)據(jù)清洗很重要，所以通常利用無監(jiān)督降維算法、主成分分析法識別出主要代表性變量，從而減少變量數(shù)。第一步是去掉各種干擾因素、調(diào)整圖片位置等歸一化和去除噪聲預(yù)處理，把圖片轉(zhuǎn)換成黑白色和用直方圖均衡化圖片解決因為光線原因?qū)е碌拿靼刀葐栴}。這個過程雖然復(fù)雜，但是直接關(guān)系到識別速度和準確度；第二步是特征值提取，用k 維特征向量反映人臉圖片的特征信息；第三步是用k鄰近或者支持向量機等分類器對圖片進行分類，并與已訓(xùn)練數(shù)據(jù)集進行比對后，實現(xiàn)人臉識別。

6結(jié)論（Conclusion）

人工智能技術(shù)應(yīng)用在網(wǎng)絡(luò)空間安全領(lǐng)域具有獨特的優(yōu)勢，如提升網(wǎng)絡(luò)自動化管理的學(xué)習(xí)能力、加強識別網(wǎng)絡(luò)威脅的推理能力、模糊數(shù)據(jù)的處理能力、創(chuàng)建網(wǎng)絡(luò)管理機制和協(xié)作能力，以及有利于保證大數(shù)據(jù)處理技術(shù)和應(yīng)用的安全性，有利于改進人工神經(jīng)網(wǎng)絡(luò)的整體功能。人工智能與網(wǎng)絡(luò)空間安全相輔相成，人工智能在對網(wǎng)絡(luò)攻擊的感知、認知、防御、控制等方面都表現(xiàn)出顯著的優(yōu)勢，同時其在網(wǎng)絡(luò)空間安全領(lǐng)域的應(yīng)用也促進了人工智能的發(fā)展。在人工智能和網(wǎng)絡(luò)空間安全共同發(fā)展的歷程中，神經(jīng)網(wǎng)絡(luò)、深度學(xué)習(xí)等新技術(shù)作用于網(wǎng)絡(luò)攻防兩端，特別是生成對抗網(wǎng)絡(luò)（GenerativeAdversarial Network， GAN）[15]的出現(xiàn)，將兩者關(guān)系更加緊密地聯(lián)系起來，讓網(wǎng)絡(luò)空間安全進入了全新的發(fā)展階段，也讓人工智能展現(xiàn)出前所未有的優(yōu)勢，這將是未來的研究熱點。

作者簡介：

劉邦桂（1983-），男，碩士，講師.研究領(lǐng)域：人工智能技術(shù)，服務(wù)器技術(shù)，網(wǎng)絡(luò)空間安全.