殷莉

關(guān)鍵詞：神經(jīng)網(wǎng)絡(luò)；機(jī)房；信息安全；態(tài)勢(shì)感知

中圖分類號(hào)：TP309.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8228（2023）11-112-04

0 引言

目前，機(jī)房?jī)?nèi)部安全態(tài)勢(shì)感知模型的研究大多集中在框架模型上，包括多傳感器信息集成架構(gòu)模型和基于Netflix 的機(jī)房安全態(tài)勢(shì)框架模型，而準(zhǔn)確的數(shù)學(xué)模型尚欠缺。密碼學(xué)是安全通信的科學(xué)，有科學(xué)家證明，安全通信不需要在發(fā)送方和接收方之間傳輸任何私鑰，這表明深度神經(jīng)網(wǎng)絡(luò)密碼學(xué)已經(jīng)進(jìn)入了一個(gè)相對(duì)動(dòng)蕩的時(shí)代[1]。

由于網(wǎng)絡(luò)攻擊越來越多，許多公司或組織將面臨大量的網(wǎng)絡(luò)攻擊，就像著名的“Aurora”對(duì)谷歌郵件服務(wù)器的攻擊。一些攻擊可以穿透保護(hù)系統(tǒng)，攻擊公司內(nèi)網(wǎng)，使公司機(jī)密信息泄露、信息被篡改等，導(dǎo)致遭受重大損失。針對(duì)網(wǎng)絡(luò)攻擊行為，我們需要盡早發(fā)現(xiàn)其來源和潛在威脅，因而大數(shù)據(jù)和人工智能的應(yīng)用非常重要[2]。本文探討了深度神經(jīng)網(wǎng)絡(luò)在機(jī)房信息安全系統(tǒng)中的應(yīng)用，以提高機(jī)房信息安全態(tài)勢(shì)感知的能力。

1 基于深度神經(jīng)網(wǎng)絡(luò)的機(jī)房信息安全態(tài)勢(shì)感知研究設(shè)計(jì)

1.1 數(shù)據(jù)采集及預(yù)處理

在數(shù)據(jù)收集方面，防火墻日志、路由器日志以及信息安全方面的鏡像流量收集了大量數(shù)據(jù)，數(shù)據(jù)安全主要是指系統(tǒng)可以識(shí)別和使用的智能數(shù)據(jù)，可以使用服務(wù)器云更新安全信息。當(dāng)前，沒有可靠的安全情報(bào)和數(shù)據(jù)支持標(biāo)準(zhǔn)。

經(jīng)過了系統(tǒng)實(shí)驗(yàn)與優(yōu)化，在IPv4/IPv6 的環(huán)境中，可以通過一個(gè)萬兆網(wǎng)收集網(wǎng)絡(luò)流量信息。所采用的方法主要有網(wǎng)絡(luò)端口鏡像方法與拆分器鏡像方法，將所收集到的數(shù)據(jù)送到分析系統(tǒng)中進(jìn)行數(shù)據(jù)分析，包括接口匹配、流量控制、自動(dòng)呼叫關(guān)聯(lián)和行為分析等。接口匹配是通過標(biāo)準(zhǔn)TCP/UDP 接口，此識(shí)別方法雖然擁有極快的探測(cè)速度，但很容易導(dǎo)致信息非法偽造，所以，非常必要對(duì)其分析出的信息進(jìn)行深入研究。

傳輸功能檢查一般有二種方式，一類是通過標(biāo)準(zhǔn)協(xié)議識(shí)別，另一類是通過未公開的協(xié)議識(shí)別。此外還包括對(duì)指令和數(shù)據(jù)的特別要求，通過指令和信息可以在計(jì)算和測(cè)試環(huán)境中對(duì)獨(dú)特字段的傳輸狀態(tài)作出有特征的檢驗(yàn)。后者需要采用反向解析技術(shù)，通過這種方式對(duì)報(bào)文中的唯一字段進(jìn)行解碼和識(shí)別，從而實(shí)現(xiàn)流量識(shí)別。自動(dòng)連接關(guān)聯(lián)是隨著網(wǎng)絡(luò)數(shù)據(jù)傳輸日漸增大，單一接口實(shí)現(xiàn)所有數(shù)據(jù)傳輸?shù)募夹g(shù)已經(jīng)不能跟上現(xiàn)實(shí)需要。在物聯(lián)網(wǎng)工程中，需要將有關(guān)連接中的信息組合起來，并自動(dòng)將其與數(shù)據(jù)傳輸鏈路相關(guān)聯(lián)。某些數(shù)據(jù)流量的恢復(fù)可能受到限制，在此情況下，可以使用行為特征分析方法，該方法監(jiān)測(cè)業(yè)務(wù)中的呼叫數(shù)量、先前和較低業(yè)務(wù)的比率以及數(shù)據(jù)傳輸?shù)念l率，以便獲得數(shù)據(jù)業(yè)務(wù)的識(shí)別[3]。

1.2 搭建信息安全態(tài)勢(shì)感知架構(gòu)

基于數(shù)據(jù)采集及預(yù)處理之后，需要開始搭建信息安全態(tài)勢(shì)感知架構(gòu)。在深度神經(jīng)網(wǎng)絡(luò)時(shí)代，為了解決大型企業(yè)在運(yùn)營(yíng)過程中面對(duì)信息安全問題，對(duì)現(xiàn)有的安全感知體系進(jìn)行更深入的研究和分析非常重要。經(jīng)過對(duì)海量數(shù)據(jù)的研究、組織、分析和總結(jié)等一系列過程，最終總結(jié)出信息安全態(tài)勢(shì)感知系統(tǒng)的總體設(shè)計(jì)框架。其設(shè)計(jì)理念是將機(jī)房范圍的內(nèi)部安全與外部互聯(lián)網(wǎng)安全數(shù)據(jù)更有效地結(jié)合起來，對(duì)收集到的數(shù)據(jù)內(nèi)容進(jìn)行全面的威脅分析和風(fēng)險(xiǎn)整合，最終提高機(jī)房運(yùn)營(yíng)過程中對(duì)信息安全威脅的感知。同時(shí)為了更好地實(shí)現(xiàn)整體項(xiàng)目框架的各項(xiàng)功能，有必要對(duì)框架中涉及系統(tǒng)的設(shè)計(jì)組成進(jìn)行更深入的探索和分析，以更好地促進(jìn)機(jī)房的信息安全感知優(yōu)化。機(jī)房安全態(tài)勢(shì)基于報(bào)警事件提供統(tǒng)一的安全視圖狀態(tài)下信息，能夠使網(wǎng)絡(luò)安全管理員快速并且準(zhǔn)確地捕捉到網(wǎng)絡(luò)安全當(dāng)前狀態(tài)，并在此基礎(chǔ)上及時(shí)采取適當(dāng)?shù)拇胧4]。

系統(tǒng)架構(gòu)分為四個(gè)層次：數(shù)據(jù)收集層、計(jì)算存儲(chǔ)層、業(yè)務(wù)能力層和系統(tǒng)服務(wù)層。

⑴ 數(shù)據(jù)收集層。主要收集防火墻日志、入侵檢測(cè)日志、關(guān)鍵主機(jī)日志、主機(jī)訪問漏洞信息和威脅信息。由于數(shù)據(jù)源不同，它們通常以不同的格式來定義機(jī)房中的信息安全事件，因此有必要通過正常的表格處理將數(shù)據(jù)統(tǒng)一格式，剔除不必要的和有噪聲的數(shù)據(jù)。

⑵ 計(jì)算存儲(chǔ)層。在計(jì)算存儲(chǔ)層需要使用Hadoop MapReduce 以及Spark 來構(gòu)建計(jì)算平臺(tái)和大規(guī)模數(shù)據(jù)存儲(chǔ)規(guī)劃。存儲(chǔ)大量數(shù)據(jù)使得能夠大規(guī)模存儲(chǔ)和處理日志以進(jìn)行態(tài)勢(shì)感知，對(duì)大量數(shù)據(jù)的快速處理，為深入分析高速網(wǎng)絡(luò)流量的安全性和高智能模型算法的計(jì)算資源提供了技術(shù)支持。

⑶ 業(yè)務(wù)能力層。通過協(xié)同工作引擎、網(wǎng)絡(luò)安全引擎、安全分析引擎、運(yùn)行和維護(hù)云引擎、智能學(xué)習(xí)引擎，集成多個(gè)安全事件探測(cè)器提供的底層信息，動(dòng)態(tài)地反映機(jī)房的信息安全狀態(tài)，具有機(jī)房信息安全發(fā)展趨勢(shì)預(yù)期和警告能力。

⑷ 系統(tǒng)服務(wù)層。通過感知安全狀態(tài)和網(wǎng)絡(luò)狀態(tài)、掌握攻擊情況和來源，了解機(jī)房信息安全狀態(tài)和發(fā)展趨勢(shì)，制定預(yù)測(cè)性應(yīng)急計(jì)劃并采取適當(dāng)?shù)念A(yù)防措施，通過安全云服務(wù)中心構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全體系，增強(qiáng)信息安全保護(hù)能力。

系統(tǒng)采用大數(shù)據(jù)技術(shù)，根據(jù)預(yù)先設(shè)計(jì)的流程處理數(shù)據(jù)，提高準(zhǔn)確性和可靠性，在大數(shù)據(jù)流框架下，技術(shù)具有分布式、高可擴(kuò)展性特性，如果集群節(jié)點(diǎn)的數(shù)量增加，處理攻擊發(fā)生的能力就會(huì)提高。在數(shù)據(jù)處理過程中，涉及數(shù)據(jù)標(biāo)準(zhǔn)化和情報(bào)數(shù)據(jù)庫(kù)的連接。數(shù)據(jù)規(guī)范化是系統(tǒng)使用正則表達(dá)式對(duì)各種硬件信息、傳輸數(shù)據(jù)等進(jìn)行規(guī)范化，將數(shù)據(jù)轉(zhuǎn)換為系統(tǒng)平臺(tái)上的常用數(shù)據(jù)，以便更好地進(jìn)行分析。知識(shí)庫(kù)訪談是數(shù)據(jù)通過情報(bào)庫(kù)連接到知識(shí)庫(kù)和本公司自己的支持情報(bào)數(shù)據(jù)，為后續(xù)的檢測(cè)和分析提供數(shù)據(jù)。系統(tǒng)必須完成對(duì)大量數(shù)據(jù)的搜索，因此它依賴搜索引擎來獲取這些數(shù)據(jù)。利用搜索引擎可以實(shí)現(xiàn)內(nèi)容、名稱、分類等全文分布式搜索，搜索過程中，時(shí)間可以用作數(shù)據(jù)分析的索引字段。分析數(shù)據(jù)是研究潛在的數(shù)據(jù)威脅并采取預(yù)防措施，包括使用智能軟件檢測(cè)技術(shù)、殺毒技術(shù)、機(jī)器學(xué)習(xí)技術(shù)、自動(dòng)化數(shù)據(jù)處理技術(shù)等[5]。

構(gòu)建信息安全態(tài)勢(shì)感知架構(gòu)中，需要采用智能惡意軟件檢測(cè)技術(shù)來實(shí)現(xiàn)，通過大量的傳統(tǒng)軟件和惡意軟件樣本，創(chuàng)建人工智能引擎來檢查兩種類型軟件的特征，構(gòu)建模型來識(shí)別惡意軟件安全風(fēng)險(xiǎn)，采用技術(shù)來改進(jìn)現(xiàn)有的防病毒探測(cè)規(guī)則，提高其可靠性，更好地識(shí)別病毒和相關(guān)的機(jī)器學(xué)習(xí)數(shù)據(jù)。利用沙盒技術(shù)收集和處理數(shù)據(jù)也必須基于機(jī)器學(xué)習(xí)和相關(guān)性分析等手段來過濾大數(shù)據(jù)并提取關(guān)鍵數(shù)據(jù)，發(fā)送給運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行大數(shù)據(jù)分析，采用自動(dòng)化數(shù)據(jù)處理技術(shù)來進(jìn)行數(shù)據(jù)處理及其感知。盡管態(tài)勢(shì)感知技術(shù)已經(jīng)是一種智能工具，但它仍然是基于機(jī)器人的，為了向?qū)I(yè)人士提供更可靠的綜合數(shù)據(jù)，基于人工智能的自動(dòng)數(shù)據(jù)處理平臺(tái)正在不斷研發(fā)中，跟蹤攻擊者以持續(xù)檢測(cè)未知威脅，生成本地可用信息威脅分析規(guī)則，可供本地分析平臺(tái)使用，基于以上步驟完成對(duì)信息安全態(tài)勢(shì)感知架構(gòu)的構(gòu)建。

1.3 構(gòu)建機(jī)房信息安全態(tài)勢(shì)感知模型

基于深度神經(jīng)網(wǎng)絡(luò)構(gòu)建的信息安全態(tài)勢(shì)感知模型，在分析國(guó)內(nèi)外機(jī)房信息安全態(tài)勢(shì)感知有關(guān)研究現(xiàn)狀基礎(chǔ)上，結(jié)合JDL 功能模型及態(tài)勢(shì)感知心理模型等其他領(lǐng)域的經(jīng)典態(tài)勢(shì)感知模型分析，給出了機(jī)房信息安全的概念模型，包含機(jī)房信息安全狀態(tài)感知層、態(tài)勢(shì)評(píng)估層及狀況預(yù)測(cè)層等三個(gè)層次，如圖1 所示。

級(jí)別1 狀態(tài)感知是態(tài)勢(shì)感知的基礎(chǔ)。該級(jí)別是采用已有的技術(shù)手段從千千萬萬的數(shù)據(jù)中挖掘出有效的機(jī)房安全信息，并用諸如XML 格式進(jìn)行標(biāo)注，作為評(píng)價(jià)的輸入數(shù)據(jù)信息。

級(jí)別2 態(tài)勢(shì)評(píng)估是態(tài)勢(shì)感知的核心，也是當(dāng)前安全形勢(shì)的動(dòng)態(tài)理解過程。它通過判別抽取出安全事件，并保證關(guān)聯(lián)性，在此基礎(chǔ)上構(gòu)建相應(yīng)的安全情況圖來表征整個(gè)機(jī)房信息安全情況。

級(jí)別3 狀況預(yù)測(cè)是根據(jù)過去的機(jī)房信息安全狀況和當(dāng)前的機(jī)房信息安全狀況來判斷未來的安全趨勢(shì)，這將有助于決策者更深入地了解機(jī)房信息安全狀況，并為合理而精確的決策提供證據(jù)。

根據(jù)灰色模型GM（1，1）：

x （t） + az （t） =b

其中，a 為系數(shù)，b 為灰度輸出。當(dāng)a<2 時(shí)，則GM（1，1）起作用，因而預(yù)測(cè)結(jié)果隨a 變化而變化。

假定t 時(shí)間內(nèi)，情境數(shù)據(jù)庫(kù)中抽取出來的異常值安全序列可以用x 表示，即為：

X = X （1） ，X （2） ，…，X （n）

和

X （t） ≥ 0，t = 1，2，…，n

來進(jìn)行標(biāo)識(shí)?；谝陨喜襟E能夠完成機(jī)房信息安全態(tài)勢(shì)感知模型的建立[6]。

2 對(duì)比實(shí)驗(yàn)

2.1 實(shí)驗(yàn)說明

為驗(yàn)證上文所設(shè)計(jì)的基于深度神經(jīng)網(wǎng)絡(luò)的機(jī)房信息安全態(tài)勢(shì)感知研究的有效性，特建立對(duì)比實(shí)驗(yàn)。將基于深度神經(jīng)的機(jī)房信息安全態(tài)勢(shì)感知研究（方法1）與依賴RSA 公鑰加密算法的機(jī)房信息安全態(tài)勢(shì)感知系統(tǒng)（方法2）以及基于大數(shù)據(jù)的機(jī)房信息安全態(tài)勢(shì)感知系統(tǒng)研究進(jìn)行對(duì)比。

2.2 實(shí)驗(yàn)準(zhǔn)備

該機(jī)房模型實(shí)驗(yàn)在RED 160G 平臺(tái)下進(jìn)行了測(cè)試，該平臺(tái)配置了華為5000 多層路由交換機(jī)、防火墻和10 臺(tái)PC。每一臺(tái)PC 的配置都是RED 160G，并且?guī)в?G Ethemet。將下午兩點(diǎn)至下午七點(diǎn)分為五個(gè)時(shí)間段，分別為T1，T2，T3，T4 和T5。在每一個(gè)時(shí)間內(nèi)，一些黑客工具用于測(cè)試。

2.3 實(shí)驗(yàn)結(jié)果

三種方法對(duì)于機(jī)房中的信息安全態(tài)勢(shì)感知結(jié)果如表1 所示。

由表1 可知，方法1 感知到的網(wǎng)絡(luò)威脅數(shù)量與實(shí)際網(wǎng)絡(luò)威脅數(shù)量一致，且每個(gè)時(shí)間段都符合，而方法2和方法3 結(jié)果雖然與實(shí)際情況接近，但數(shù)值并不準(zhǔn)確，個(gè)別時(shí)間段感知到的結(jié)果相差較大，由此，可以得出方法1 即基于深度神經(jīng)網(wǎng)絡(luò)的機(jī)房信息安全態(tài)勢(shì)感知研究方法最為準(zhǔn)確。

3 結(jié)束語

機(jī)房信息安全感知系統(tǒng)是現(xiàn)階段比較重要的研究領(lǐng)域，我們可以提高系統(tǒng)對(duì)意外事件的響應(yīng)能力，減少網(wǎng)絡(luò)攻擊的損失，可以檢測(cè)異常違規(guī)行為，并增加系統(tǒng)反擊的力量。本文基于深度神經(jīng)網(wǎng)絡(luò)，首先分步提出了機(jī)房安全狀況認(rèn)知模型，經(jīng)過仿真檢驗(yàn)后，說明基于該方法的機(jī)房信息安全態(tài)勢(shì)感知準(zhǔn)確性較高，可以在信息安全態(tài)勢(shì)感知領(lǐng)域得到進(jìn)一步應(yīng)用，機(jī)房信息安全態(tài)勢(shì)感知的應(yīng)用前景非常廣闊。該方法可以通過實(shí)時(shí)監(jiān)測(cè)、分析和識(shí)別網(wǎng)絡(luò)活動(dòng)、系統(tǒng)漏洞、異常行為等，提供全面的安全態(tài)勢(shì)感知，幫助及早發(fā)現(xiàn)和應(yīng)對(duì)潛在的安全威脅。

在機(jī)房信息安全態(tài)勢(shì)感知領(lǐng)域，還有一些需要進(jìn)一步研究和待解決的問題，例如大規(guī)模數(shù)據(jù)處理、智能化分析與預(yù)測(cè)、多維度數(shù)據(jù)關(guān)聯(lián)、自動(dòng)化響應(yīng)與處置、隱私保護(hù)與合規(guī)性、跨機(jī)房安全協(xié)同等。未來可以針對(duì)這些問題進(jìn)行深入研究，以提高機(jī)房信息安全態(tài)勢(shì)感知的能力和效果。