◆胡慶偉

對基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)分析

◆胡慶偉

（中國人民解放軍66295部隊 河北 072750）

為保障信息時代背景下的信息網(wǎng)絡(luò)安全，各企業(yè)需要通過多種防護手段提升網(wǎng)絡(luò)安全防護能力，保護信息隱私不受侵犯。本文將以人工智能為重點，從核心技術(shù)以及其他具體技術(shù)等方面對信息網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)進行詳細闡述，希望能夠為從事相關(guān)工作的人員提供一些工作思路。

人工智能；安全態(tài)勢；數(shù)據(jù)采集；數(shù)據(jù)預(yù)處理

面臨愈加頻繁的網(wǎng)絡(luò)攻擊，將人工智能應(yīng)用至信息網(wǎng)絡(luò)安全體系中勢在必行，利用人工智能高效的信息收集與處理能力以及高精度的判斷能力，能夠?qū)崿F(xiàn)將網(wǎng)絡(luò)攻擊成功阻截的目的，因此應(yīng)當(dāng)梳理并明晰其中所蘊含的態(tài)勢感知技術(shù)，進一步增強信息網(wǎng)絡(luò)的安全性。

1 基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢感知核心技術(shù)

（1）預(yù)測態(tài)勢算法

預(yù)測態(tài)勢主要是指利用感知系統(tǒng)對當(dāng)前信息現(xiàn)狀的調(diào)查，對于所預(yù)測內(nèi)容的主要有關(guān)因素進行分析，并結(jié)合一定的歷史資料、預(yù)測經(jīng)驗以及科學(xué)的方法理論對未來一定時期內(nèi)可能出現(xiàn)的安全態(tài)勢變化進行預(yù)測。目前，基于人工智能展開的安全態(tài)勢預(yù)測方法主要分為以下兩種：第一是專家系統(tǒng)預(yù)測方法，是指一種利用人工智能模仿特定領(lǐng)域內(nèi)的人類專家的思維來對安全態(tài)勢進行預(yù)測，此種預(yù)測方法需要一個具備豐富專業(yè)知識與人類預(yù)測經(jīng)驗的智能專家系統(tǒng)，能夠求解較為復(fù)雜的問題，此預(yù)測方法具有易于理解、避免過于繁復(fù)的計算、逐漸豐富自身預(yù)測經(jīng)驗使預(yù)測精準(zhǔn)度不斷提升等優(yōu)勢；第二是人工神經(jīng)網(wǎng)絡(luò)的預(yù)測方法，目前所應(yīng)用的人工神經(jīng)網(wǎng)絡(luò)模型包括BP網(wǎng)絡(luò)、RBF網(wǎng)絡(luò)、Hopfield網(wǎng)絡(luò)等，人工神經(jīng)網(wǎng)絡(luò)雖然在近年來與小波分析、粗糙/模糊集、灰色理論以及遺傳、進化、免疫等算法工具相結(jié)合取得了比較好的應(yīng)用效果，但是仍舊存在局部最優(yōu)解的問題，即在面對優(yōu)化問題時，由于問題過于復(fù)雜，所需考慮因素較多，難以在短時間內(nèi)完成全局最優(yōu)解，導(dǎo)致優(yōu)化結(jié)果傾向于局部最優(yōu)解的現(xiàn)象[1]。

（2）表征態(tài)勢指標(biāo)體系

在對信息網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測時，需要制定出一套完整的指標(biāo)體系，以此指標(biāo)體系為基礎(chǔ)為人工智能進行態(tài)勢預(yù)判時提供參考標(biāo)準(zhǔn)，并得出合理預(yù)測結(jié)果，所以此指標(biāo)體系其實是人工智能工作的依托。目前所應(yīng)用的指標(biāo)體系中主要包括以下三類指標(biāo)：第一是基礎(chǔ)運行指標(biāo)，是表征當(dāng)前網(wǎng)絡(luò)性能、傳輸設(shè)備負載、物流環(huán)境的一系列指標(biāo)，代表著當(dāng)前企業(yè)所具備的基礎(chǔ)設(shè)施的基本情況。第二是網(wǎng)絡(luò)威脅指標(biāo)，該指標(biāo)能夠直接反映出網(wǎng)絡(luò)中所潛在或已經(jīng)出現(xiàn)的威脅，如病毒、垃圾郵件、釣魚網(wǎng)站等，同時還能反映出網(wǎng)絡(luò)被惡意攻擊的程度和次數(shù)，如攻擊強度、掛馬密度等指數(shù)，人工智能可依據(jù)此指標(biāo)。第三是網(wǎng)絡(luò)脆弱性指標(biāo)，表征的是網(wǎng)絡(luò)整體上漏洞和脆弱性的情況，通過檢測DNS服務(wù)器、核心路由器等關(guān)鍵設(shè)備的健康指數(shù)為安全態(tài)勢預(yù)測提供基礎(chǔ)數(shù)據(jù)。人工智能系統(tǒng)可依據(jù)此三項指標(biāo)的檢測結(jié)果為安全態(tài)勢感知提供大量數(shù)據(jù)參考，既能夠使系統(tǒng)識別危險難度減小，又能夠使企業(yè)的信息網(wǎng)絡(luò)問題反映更加直接，提醒技術(shù)人員及時對企業(yè)信息網(wǎng)絡(luò)短板進行完善，使問題處理更加高效，令人工智能在安全態(tài)勢感知方面的作用更加突出。

2 基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢感知具體技術(shù)

（1）數(shù)據(jù)采集階段

對防火墻日志、Web服務(wù)日志等信息進行采集能夠為態(tài)勢分析提供基礎(chǔ)數(shù)據(jù)，要求是所收集數(shù)據(jù)能夠被系統(tǒng)所識別并借助云服務(wù)器實現(xiàn)數(shù)據(jù)更新。由于網(wǎng)絡(luò)信息較多使流量鏡像數(shù)據(jù)的收集難度較大，所以可以依靠一些技術(shù)手段降低收集難度，主要技術(shù)包括以下四種：第一是端口匹配技術(shù)，當(dāng)前時代網(wǎng)絡(luò)發(fā)展時間已長達幾十年，在網(wǎng)絡(luò)協(xié)議不斷發(fā)展的過程中形成了一系列標(biāo)準(zhǔn)協(xié)議規(guī)范，在此類規(guī)范中不同的協(xié)議類型所使用的端口相對固定，所以根據(jù)此現(xiàn)象以及相關(guān)標(biāo)準(zhǔn)能夠?qū)崿F(xiàn)端口快速識別，檢測效率較高[2]。第二是流量特征檢測技術(shù)，此技術(shù)共有兩種檢測方式，分別針對標(biāo)準(zhǔn)協(xié)議流量與未公開協(xié)議流量，前者所包含的命令、狀態(tài)遷移機制等信息都有明確的專有字段和狀態(tài)，系統(tǒng)能夠直接且準(zhǔn)確的進行識別，而后者則需要通過逆向工程對協(xié)議機制進行系統(tǒng)分析，對特征字段進行解密后方能識別該流量。第三是自動連接關(guān)聯(lián)技術(shù)，為避免單個鏈接完成所有任務(wù)的模式弊端，當(dāng)前很多協(xié)議開始采取應(yīng)用動態(tài)協(xié)商端口的方式進行數(shù)據(jù)傳輸，即通過控制鏈接上的報文信息自動關(guān)聯(lián)至數(shù)據(jù)傳輸鏈接以進行數(shù)據(jù)還原。第四是行為特征分析技術(shù)，此技術(shù)主要針對部分難以還原的數(shù)據(jù)流量，對于此類流量將利用鏈接的連接數(shù)、上下行流量等統(tǒng)計特征對數(shù)據(jù)流進行簡要區(qū)分。

（2）數(shù)據(jù)預(yù)處理階段

由于此感知技術(shù)基于人工智能所發(fā)展，所以能夠運用大數(shù)據(jù)對所采集信息進行預(yù)處理，降低數(shù)據(jù)的后續(xù)處理難度。此技術(shù)主要運用了大數(shù)據(jù)技術(shù)中的Stream框架，此框架具備數(shù)據(jù)處理速度較快、擴展性與并發(fā)處理能力較強的優(yōu)勢。在具體的預(yù)處理活動中，將涉及以下幾點內(nèi)容：第一是數(shù)據(jù)歸一，在Stream流中，系統(tǒng)將所收集的包括日志信息、數(shù)據(jù)流量等內(nèi)容在內(nèi)的數(shù)據(jù)進行統(tǒng)一處理，通過將其進行轉(zhuǎn)化的方式使其適應(yīng)系統(tǒng)應(yīng)用方式，并作為系統(tǒng)進行后續(xù)分析的數(shù)據(jù)元。第二是情報知識庫的關(guān)聯(lián)，通過將情報庫與知識庫相關(guān)聯(lián)的方式使企業(yè)獲取到自身進行安全態(tài)勢分析所需的支持信息，目的同樣是為系統(tǒng)后續(xù)分析提供數(shù)據(jù)基礎(chǔ)；第三是數(shù)據(jù)歸并，系統(tǒng)通過計算分析引擎按照預(yù)置的事件流程框架將數(shù)據(jù)進行歸并，在此活動中將所有事件處理完成后歸納進引擎入口并結(jié)合歷史數(shù)據(jù)中的內(nèi)容分析出此數(shù)據(jù)流中是否存在異常，從而觸發(fā)警報。

（3）數(shù)據(jù)存儲與檢索階段

由于信息網(wǎng)絡(luò)中所存儲的信息量異常龐大，所以系統(tǒng)在對大量數(shù)據(jù)進行檢索時一般可以借助搜索引擎來完成，比如Elastic Search引擎，此搜索引擎能夠?qū)崿F(xiàn)分布式全文搜索，與企業(yè)內(nèi)的云計算環(huán)境非常契合。具體搜索模式為在系統(tǒng)平臺對信息進行處理與計算等操作后，將數(shù)據(jù)保存至分布式搜索引擎的索引文件中，再將各類型數(shù)據(jù)以時間、名稱、內(nèi)容等為標(biāo)準(zhǔn)進行分類存儲，并提供出索引字段，以提供數(shù)據(jù)快速檢索功能。另外，將索引以多個分片和多個副本的形式存儲于分布式文件系統(tǒng)中，既能夠有效實現(xiàn)對近期錄入數(shù)據(jù)的近似值查詢，通過相類似信息佐證所查詢信息的真實性，保障數(shù)據(jù)可靠性，又能夠使系統(tǒng)中的TB級數(shù)據(jù)索引時間縮短至秒級，大幅度提升索引性能[3]。

（4）檢測分析與處理階段

在經(jīng)過上述階段處理后，仍舊需要通過多種技術(shù)對數(shù)據(jù)進行深入分析與挖掘，發(fā)現(xiàn)其中的潛在風(fēng)險。主要應(yīng)用技術(shù)有以下四種：第一是惡意代碼智能檢測技術(shù)，通過對大量的正常軟件與惡意軟件樣本進行分析比對，挖掘出兩類軟件的本質(zhì)特征，并以此為基礎(chǔ)建立機器學(xué)習(xí)模型，得到惡意軟件識別模型，從而發(fā)現(xiàn)更多惡意程序。第二是廣譜反病毒查殺技術(shù)，此技術(shù)是原有反病毒查殺技術(shù)的一次升級，其可靠性得到了極大提高；第三是機器學(xué)習(xí)技術(shù)，即利用機器強大的學(xué)習(xí)能力對海量信息數(shù)據(jù)進行篩選得到關(guān)鍵數(shù)據(jù)，并將其輸送至人工團隊進行分析；第四是自動化數(shù)據(jù)處理技術(shù)，雖然態(tài)勢感知技術(shù)以人工智能為依托，但仍舊需要以人為中心進行數(shù)據(jù)分析，利用使用自動化數(shù)據(jù)處理技術(shù)分析潛在威脅與人工干預(yù)相結(jié)合的方式能夠在最大程度上強化分析結(jié)果準(zhǔn)確度。

3 總結(jié)

總而言之，當(dāng)前此技術(shù)手段仍舊處于初步發(fā)展階段，存在較多技術(shù)難題有待攻克，通過以上幾部分對其中存在的具體技術(shù)內(nèi)容進行梳理，有助于降低我國更多企業(yè)引進此感知系統(tǒng)的難度，并利用此技術(shù)對企業(yè)所面臨的威脅進行風(fēng)險評估，檢測企業(yè)風(fēng)險狀態(tài)，使企業(yè)始終處于安全保護之下。

[1]王小鴻.基于大數(shù)據(jù)和人工智能技術(shù)的信息安全態(tài)勢感知系統(tǒng)研究[J].大眾標(biāo)準(zhǔn)化，2019（14）：18+20.

[2]孟繁玉.網(wǎng)絡(luò)安全態(tài)勢感知與人工智能[J].中國信息界，2019（04）：89-91.

[3]鄭艷芳.人工智能應(yīng)用與分析技術(shù)在信息安全態(tài)勢感知體系的研究和實踐[J].數(shù)字通信世界，2018（04）：221.