趙賓華 楊國瑞 賈哲

摘要：網絡空間是信息化戰(zhàn)爭獨立的作戰(zhàn)域，該領域的網絡攻防行動快速但會產生海量的網絡事件，對傳統(tǒng)的點對點防御理念和堡壘式安全防御體提出了巨大挑戰(zhàn)，人工智能和深度學習是未來網絡空間防御的一個重要研究方向。在闡述傳統(tǒng)網絡防御模式和人工智能在網絡防御的研究現狀基礎上，提出并設計了基于人工智能的網絡安全防御系統(tǒng)，重點闡述了對網絡協議攻擊、入侵檢測、網絡異常行為的檢測方案，分析了基于人工智能的網絡防御系統(tǒng)的優(yōu)勢以及未來前景。

關鍵詞：人工智能;網絡防御;入侵檢測;深度學習

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2021）12-57-4

Cyberspace Defense Technology Based on Artificial Intelligence

ZHAO Binhua，YANG Guorui，JIA Zhe

（The 54th Research Institute ofCETC，Shijiazhuang 050081，China）

Abstract： The military cyberspace is an independent combat domain for information warfare. The cyber attack and defense actions in this filed is fast and can produce a large number of network events，that presents great challenges to the traditional point-to-point defenses concept and fortress security defense systems. The technology of artificial intelligence and deep learning is an important research direction of cyber defense. On the basis of expounding the traditional cyber defense and the research status of artificial intelligence in cyber defense，the network defense system based on artificial intelligence is proposed and designed，and the network protocol attacks， intrusion detection，and network anomaly detection scheme are expounded in detail. At last，the advantages of network defense system based on artificial intelligence and the future prospects are analyzed.

Keywords：artificial intelligence;network defense; intrusion detection;deep learning

0引言

網絡空間中的各種行為是物理作戰(zhàn)域中各種作戰(zhàn)實體行為的體現，且網絡空間中的行為往往先于物理空間的行為，是作戰(zhàn)實體的行為意圖，網絡空間行為感知是其他物理作戰(zhàn)空間態(tài)勢感知信息的重要來源，通過對網絡空間行為進行準確感知、認知和理解，對準確把握敵方作戰(zhàn)意圖、作戰(zhàn)行動具有很大幫助。信息化戰(zhàn)爭中，敵我雙方會在網絡空間，通過冒充合法用戶、捕獲操縱對方節(jié)點等在敵軍信息系統(tǒng)實現病毒木馬注入、偽造虛假以及篡改轉發(fā)作戰(zhàn)指令等攻擊行為，需要在網絡空間對異常行為進行感知、識別、定位和跟蹤。

傳統(tǒng)通信安全解決方案一般是通過捕獲協議或異常流量、狀態(tài)日志的特征來檢測網絡空間的異常行為，從而防御針對作戰(zhàn)網絡的安全威脅。在網絡空間防御作戰(zhàn)方面，目前網絡空間防御主要還是采用堵漏洞、筑高墻、防外攻的模式，利用病毒防護、入侵檢測、內容檢測、防火墻、虛擬專用網等手段構建防護體系，是以靜態(tài)構建“安全籬笆”的手段應對動態(tài)的安全威脅。在網絡空間異常行為檢測方面，傳統(tǒng)的網絡安全機制依靠防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等進行被動防御[1-5]，基于規(guī)則庫的攻擊檢測難以應對未知安全威脅，邊界部署的方式無法實現對內部異常行為的檢測、識別、定位，缺乏快速響應機制和數據分析能力，未來網絡攻擊跨網化、攻擊方式多樣化，網絡入侵和滲透行為更為隱蔽，傳統(tǒng)的通信網絡防御機制只能實現被動防御，基于規(guī)則庫的攻擊檢測難以應對未知安全威脅，邊界部署的方式無法實現對內部異常行為的檢測、識別和定位。

傳統(tǒng)的網絡防御機制，基于靜態(tài)事件解決方案沒有能力動態(tài)跟蹤、記錄和分析行為，無法及時分析和跟蹤攻擊源，只能在發(fā)生期間或之后進行異常檢測，缺乏合理有效的手段對異常節(jié)點進行檢測、識別和定位。因此，有必要引入人工智能技術，構建智能體異常行為樣本庫，進行訓練迭代，開展對網絡空間實體異常行為的預測，對戰(zhàn)場上異常行為的實體進行分類、判定和鑒別，在通信網絡的合法節(jié)點中剔除假冒非法節(jié)點和被捕獲的異常節(jié)點，實現通信網絡的主動安全防御。

1人工智能在網絡空間防御領域的應用現狀

近十年來，人工智能技術飛速發(fā)展，在深度學習、遷移學習、語音識別、圖像識別及計算機視覺等方面取得突破，并逐步應用于網絡安全領域。

美國多個國家實驗室及大學實驗室在人工智能+網絡空間防御領域開展了深入研究。AI2全新人工智能系統(tǒng)是麻省理工（MIT）計算機科學和人工智能實驗室（CSAIL）開發(fā)，可不斷學習來自安全分析員的反饋，AI2在檢測網絡攻擊方面實現了85%的準確性;Deep Instinct基于深度學習的智能網絡防御技術，實現從反應式防御到主動式防御，識別準確率達到98%以上;DARPA積極推動人工智能+網絡安全的研究，研制AI攻防軟件，在2016年夏天舉辦的網絡大挑戰(zhàn)賽（CGC）上，DARPA讓AI系統(tǒng)捉對廝殺，比拼實時查找、利用、修復軟件安全漏洞的能力[6]。

國內，計算機病毒防治技術國家工程實驗室提出了一種基于大數據平臺的大規(guī)模網絡異常流量實時監(jiān)測系統(tǒng)架構，通過對流量、日志等網絡安全大數據的分析，實現對DDoS、蠕蟲、掃描、密碼探測等異常流量的實時監(jiān)測。奇虎公司提出了“云+終端+邊界”的安全模型，將360系列產品囊括在該模型中，其中的云系列產品都涉及安全大數據平臺和相關技術，如數據挖掘、機器學習等[7]。

2基于人工智能的網絡空間防御系統(tǒng)設計

2.1系統(tǒng)總體架構設計

針對網絡空間中攻擊行動跨網化、攻擊方式多樣化，網絡入侵和滲透行為隱蔽，傳統(tǒng)防御機制無法快速檢測威脅做出反應的問題，將人工智能技術引入到網絡空間防御系統(tǒng)設計中，基于深度學習和威脅模型自演進的威脅檢測技術，對采集的網絡空間主機狀態(tài)、網絡信息與服務行為進行關聯同步，然后進行深度融合分析發(fā)現其中的異常行為和威脅。基于人工智能的網絡空間防御系統(tǒng)架構如圖1所示，主要包括數據收集、數據感知及數據決策等。

數據收集層收集主機、網絡、用戶等操作行為，形成一條條存儲信息事件的記錄，一方面將主機狀態(tài)、網絡信息與服務行為進行關聯和梳理，形成分析日志;數據感知層一方面對數據進行清洗整合，根據不同日志中的行為特征分別對主機端、網絡端、用戶端、服務器端行為進行特征提取。另一方面對提取后的特征歸一化處理等，以符合深度學習算法的輸入要求;數據決策層中，根據正常行為的特征，利用深度學習算法進行模型訓練，訓練好模型后根據輸入數據量及行為特征數，動態(tài)調整神經網絡參數，以達到最佳識別率，該模型方便決策層快速對主機、網絡、用戶行為和服務方出現未知的違規(guī)異常事件進行檢測，然后對需要檢測的未知數據提取特征后輸入訓練好的模型中進行檢測，將檢測結果存儲到數據庫中并向風險評估模塊進行反饋，風險評估模塊根據該結果進行相應的計算及評估。

針對通信環(huán)境復雜、網絡資源受限、容易遭受惡意攻擊等特點，通過引入人工智能、大數據技術，開展無監(jiān)督學習與有監(jiān)督學習相結合的多算法關聯的人工智能關系圖譜分析理論研究，通過無監(jiān)督學習從已知網絡行為數據集中理解并分析網絡關系、定位用戶節(jié)點;通過有監(jiān)督學習注入已知網絡信息、歷史經驗信息和環(huán)境感知信息，識別特定環(huán)境下賽博空間中網絡流量的正常和異常行為，建立網絡流量正常行為模型與異常行為模型，為網絡空間異常行為檢測提供支持。

多算法關聯的人工智能關系圖譜分析技術途徑主要包括如下2個方面，基于自編碼器的協議和行為分類提供了一種對網絡流量數據包進行高速分類的方法，基于半監(jiān)督和特征選擇的入侵檢測技術實現對網絡入侵等異常攻擊流量的檢測識別。

2.2基于自編碼器的協議和行為分類

通過自動編碼器實現數據的特征提取和降維，使用K-means聚類算法進行協議的無監(jiān)督分類，最后使用基于自動編碼器的無監(jiān)督聚類方法對網絡協議進行分類識別，如圖2所示。

在分類模型訓練階段，模型由編碼器層和分類器層組成。

第1步，對預處理后的數據進行特征提取，經過預處理后的流量數據為I′=（m1′，m2′，m3′，…，mn′），其中選擇每個數據對象mi′=（mi1′，mi2′，mi3′，…，mil′）是長度為l且經過歸一化的向量，將數據集I′輸入編碼器f（x）中得到壓縮后的數據H=（h1，h2，h3，…，hn）。

第2步，按照規(guī)則分類壓縮后的數據，使用改進的具有相對熵的K均值聚類算法作為量度分類器，根據指定的分類數K對第一步中獲得的壓縮數據進行分類。

最終得到改進K-means的目標函數為P（x）和Q（x）的相對熵：

。

每次迭代都為數據點A重新分配簇v，如下所示：

。

重新計算每個簇的中心，計算簇vj的中心μj，如下所示：

。

分類器通過不停迭代使目標函數L的值越來越小，分類越來越具有準確性。

2.3基于半監(jiān)督和特征選擇的入侵檢測

為應對未知攻擊檢測和訓練數據少的挑戰(zhàn)，使用未標記的數據和特征選擇后的已標記數據來提取行為特征以形成網絡行為特征數據庫，根據網絡行為特征數據庫的信息，使用CPLE半監(jiān)督學習方法來訓練和學習經過特征選擇的數據，并進行迭代訓練，通過學習模型不斷優(yōu)化行為特征數據庫。最后，通過半監(jiān)督學習分類器對上述數據集進行分類，實現檢測數據流量以及特征的目的。CPLE半監(jiān)督算法訓練流程如圖3所示。

3結束語

針對通信網絡行為復雜多變、隱藏行為混雜難辨、人工分析低效的特點，將人工智能引入網絡安全防御中，從多個角度提取深層行為數據特征，利用機器學習模型學習正常有效的行為規(guī)律，構建智能體異常行為樣本庫進行訓練迭代，開展對網絡空間實體異常行為的預測，感知已知和未知網絡威脅，最終用來識別特定環(huán)境下異常行為，為通信網絡由被動安全防護向主動安全防御轉型提供支撐。

參考文獻

[1]李建華.網絡空間威脅情報感知、共享與分析技術綜述[J].網絡與信息安全學報，2016，2（2）：16-29.

[2]SHAKSHUKI E M，KANG N，SHELTAMI T R. EAACK-a Secure Intrusion-detection System for MANETs[J].IEEE Transactions on Industrial Electronics，2013，60（3）： 1089-1098.

[3]陳華山，皮蘭，劉峰，等.網絡空間安全科學基礎的研究前沿及發(fā)展趨勢[J].信息網絡安全，2015（3）：1-5.

[4] CHEN H S，PI L，LIU F，et al. Research on Frontier and Trends of Science of Cybersecurity[J].Netinfo Security，2015（3）： 1-5.

[5]沈昌祥，張煥國，馮登國，等.信息安全綜述[J].中國科學（E輯：信息科學），2007（2）：129-150.

[6]范亮，陳倩.人工智能在網絡安全領域的最新發(fā)展[J].中國信息安全，2017（4）：104-107.

[7]伍榮，褚龍，余興華.大數據技術在信息安全領域中的應用[J].通信技術，2017，50（6）：1295-1298.