淺談網(wǎng)絡(luò)安全中的人工智能

龔濤

摘 要 隨著信息時代的不斷發(fā)展，網(wǎng)絡(luò)的開放性、互聯(lián)性及共享程度也在不斷提高，于是來自于外部的各類攻擊致使網(wǎng)絡(luò)安全和管理問題日益突顯，面對這些重大的挑戰(zhàn)，僅依靠人員的管理已無法滿足需求。而人工智能技術(shù)的發(fā)展及應(yīng)用領(lǐng)域正在逐步擴(kuò)大，并在信息處理上擁有強大的分析能力，所以運用人工智能技術(shù)來解決網(wǎng)絡(luò)安全問題就有了很大優(yōu)勢。為此，本文將針對人工智能在安全領(lǐng)域中的應(yīng)用展開研究與討論。

關(guān)鍵詞 人工智能;分析;攻擊;聯(lián)動;處置

1計算機網(wǎng)絡(luò)安全面臨的主要威脅

隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)安全面臨的威脅也呈現(xiàn)出多種多樣的形式。計算機網(wǎng)絡(luò)安全主要面臨的威脅可分為五種情況，分別為：人員疏忽、人為攻擊、軟件漏洞、非授權(quán)訪問及信息泄露丟失。人為疏忽主要是由于操作員安全配置不當(dāng)、安全意識薄弱等原因造成。人為攻擊又分為主動攻擊與被動攻擊兩種形式，主動攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用等方法，有選擇的破壞信息完整性，而被動攻擊主要目的是為了收集信息，比如截獲、竊取、破譯等。軟件漏洞幾乎是不可避免的，這也常常成為黑客攻擊的首要目標(biāo)。非授權(quán)訪問主要是指沒有經(jīng)過同意的前提下擅自使用網(wǎng)絡(luò)或計算機資源，主要包括假冒、身份攻擊等。信息泄露丟失就是指一些敏感信息有意或無意的被泄露出去或是丟失掉，近年來，信息泄露情況十分嚴(yán)重，甚至出現(xiàn)大量用戶個人信息被叫價出賣的情況?？偠灾?，計算機網(wǎng)絡(luò)安全所面臨的威脅也與我們的生活息息相關(guān)，網(wǎng)絡(luò)安全生態(tài)圈也要進(jìn)一步找到更高效的對應(yīng)措施[1]。

2數(shù)據(jù)分析的前期準(zhǔn)備

2.1 數(shù)據(jù)采集

通過分布式數(shù)據(jù)收集平臺，支持Syslog、SNMP、JDBC/ODBC、FTP/SFTP、TCP/UDP、File、Web service等多種采集方法。應(yīng)適配多種數(shù)據(jù)源，但著重采集安全類數(shù)據(jù)，應(yīng)包括安全設(shè)備日志、安全合規(guī)日志、威脅情報信息以及安全運行數(shù)據(jù)。

2.2 數(shù)據(jù)標(biāo)準(zhǔn)化

事件采集后通過一定的解析方式將所有字段根據(jù)預(yù)先定義好的相關(guān)標(biāo)準(zhǔn)格式進(jìn)行匹配，數(shù)據(jù)標(biāo)準(zhǔn)化都在采集過程實現(xiàn)，通過采集器接口匯總采集的各類數(shù)據(jù)信息會產(chǎn)生實時數(shù)據(jù)流，該數(shù)據(jù)流將經(jīng)過ETL處理過程后進(jìn)入分布式消息總線。ETL過程包括數(shù)據(jù)清理/數(shù)據(jù)過濾、數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)關(guān)聯(lián)。在整個治理過程中應(yīng)具備強大的處理能力，保證數(shù)據(jù)的時效性。

2.3 分布式消息訂閱

分布式消息流平臺可支持多種應(yīng)用場景，比如：活動跟蹤、傳遞消息、度量指標(biāo)、日志記錄、流式處理。具有五個特點：高吞吐、低延遲;高伸縮性;持久性、可靠性;容錯性;高并發(fā)。分布式消息總線需支撐后續(xù)的集中數(shù)據(jù)入庫和數(shù)據(jù)的分發(fā)訂閱，人工智能即可結(jié)合分布式消息系統(tǒng)，快速地從數(shù)據(jù)中讀取數(shù)據(jù)進(jìn)行分析[2]。

3人工智能在網(wǎng)絡(luò)安全中的應(yīng)用

3.1 人工智能分析

目前AI前期的很大一部分工作都需要人工完成，必須人工建模、人工貼標(biāo)簽，人工引導(dǎo)自主學(xué)習(xí)，等人工將模型訓(xùn)練到一定程度，才可能實現(xiàn)自我訓(xùn)練和深度學(xué)習(xí)。

人工智能中機器學(xué)習(xí)的算法分為三類：有監(jiān)督學(xué)習(xí)、無監(jiān)督學(xué)習(xí)、增強學(xué)習(xí)。有監(jiān)督學(xué)習(xí)需要標(biāo)識數(shù)據(jù)（用于訓(xùn)練，既有正例又有負(fù)例），無監(jiān)督學(xué)習(xí)不需要標(biāo)識數(shù)據(jù)，增強學(xué)習(xí)介于兩者之間（有部分標(biāo)識數(shù)據(jù)）。因此，算法的分類主要還是有監(jiān)督和無監(jiān)督。有監(jiān)督學(xué)習(xí)類中樸素貝葉斯分類可以更好地運用到此應(yīng)用場景中。樸素貝葉斯分類是一族基于貝葉斯定理和特征之間的強獨立性（樸素）的簡單分類器。顯著特點是方程式—— P（A|B） 是后驗概率，P（B|A） 是似然概率，P（A） 是類的先驗概率，P（B） 是預(yù)測的先驗概率。

目前，該算法主要用于解決如下問題：標(biāo)記一個電子郵件為垃圾郵件或非垃圾郵件;將新聞文章分為技術(shù)類、政治類或體育類;檢查一段文字表達(dá)積極的情緒，或消極的情緒;用于人臉識別軟件。

樸素貝葉斯分類算法在網(wǎng)絡(luò)安全方面也有著很好的應(yīng)用前景，它能夠根據(jù)攻擊者IP地址、攻擊行為或者攻擊方式能夠準(zhǔn)確進(jìn)行分類，將相關(guān)的特征、關(guān)鍵信息存儲起來做學(xué)習(xí)樣本，后續(xù)由程序自學(xué)習(xí)并建立未知攻擊手段檢測分析模型，并記錄本地專家系統(tǒng)數(shù)據(jù)庫，除此之外選擇合理的處置方法。

3.2 人工智能處置

處置也是整個應(yīng)用場景不可獲取的一部分，對于防護(hù)手段來說，網(wǎng)絡(luò)層面的阻斷連接是最有效的方式。

基于人工智能的特點，將各網(wǎng)絡(luò)出口進(jìn)口的防火墻授予一定的權(quán)限給分析模型，分析模型可按照原生防火墻的命令集發(fā)起指令，類似于SMP的防火墻策略下發(fā)，將攻擊源IP、目的IP、目的端口等基本參數(shù)仿照ACL的語法傳輸指令至防火墻實現(xiàn)攻擊源的封堵，利用樸素貝葉斯分類算法可分為以下4個處置場景：

（1）獲取全球威脅情報庫，對于高威脅的IP地址優(yōu)先進(jìn)行防火墻聯(lián)動封堵攻擊源地址，并記錄攻擊相關(guān)特征。

（2）通過樸素貝葉斯分類可將攻擊等級進(jìn)行分類，攻擊源地址進(jìn)行分時長的靈活封堵，攻擊等級越低封堵時長越低，相反攻擊等級越高則封堵時間越長。第一次攻擊后予以2小時的封堵時長，阻斷攻擊者IP對所有防護(hù)范圍服務(wù)的訪問，并記錄攻擊相關(guān)特征。

（3）第二次攻擊時檢測到相關(guān)特征直接進(jìn)行阻斷，由此通過上一個學(xué)習(xí)樣本進(jìn)行自動處置，并記錄攻擊相關(guān)特征。

（4）第三次攻擊時，攻擊者換了一種入侵方式，但由于源IP地址無變化，人工智能將識別到源IP地址為“高威脅IP地址”，再次進(jìn)行處置，同時上報攻擊者的IP地址和攻擊手段至云端威脅情報庫供全球分享[3]。

4結(jié)束語

網(wǎng)絡(luò)的迅速發(fā)展方便了人們的生活，但也為我們造成了許多困擾，各種入侵手段層出不窮，如果單單只依靠傳統(tǒng)的防護(hù)方法，肯定已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足現(xiàn)實需求，所以找到一些新型處理方法是我們的首要目標(biāo)，這樣才能更加高效地解決網(wǎng)絡(luò)安全問題。由于人工智能的分析、學(xué)習(xí)等能力顯著，網(wǎng)絡(luò)安全與人工智能相結(jié)合必定成為一個重要的研究方向，其智能化、自動化等特征為建立IDS系統(tǒng)提供了有效的途徑。

參考文獻(xiàn)

[1] 謝銘.基于人工智能的電網(wǎng)信息安全工作分析[J].中國科技投資，2019（2）：63-64.

[2] 馬秀榮，王化宇.簡述人工智能技術(shù)在網(wǎng)絡(luò)安全管理中的應(yīng)用[J].呼倫貝爾學(xué)院學(xué)報，2005，13（2）：65-66，83.

[3] 袁媛.人工智能與網(wǎng)絡(luò)安全[J].內(nèi)江科技，2009（12）：103.