智能化應(yīng)用發(fā)展場(chǎng)景下網(wǎng)絡(luò)安全防御技術(shù)分析

摘要：智能化應(yīng)用發(fā)展場(chǎng)景下，網(wǎng)絡(luò)安全防御技術(shù)進(jìn)一步升級(jí)。簡(jiǎn)單介紹網(wǎng)絡(luò)安全防御，論述網(wǎng)絡(luò)安全防御在智能化場(chǎng)景下的發(fā)展趨勢(shì)，探究智能化應(yīng)用發(fā)展場(chǎng)景下的網(wǎng)絡(luò)安全防御技術(shù)。得出：智能化場(chǎng)景下，網(wǎng)絡(luò)安全防御向行為分析、自動(dòng)化應(yīng)對(duì)、威脅情報(bào)、機(jī)器學(xué)習(xí)、可解釋人工智能等方向發(fā)展，人工智能技術(shù)、神經(jīng)網(wǎng)絡(luò)、專(zhuān)家系統(tǒng)在網(wǎng)絡(luò)安全防御領(lǐng)域的潛力被逐步發(fā)掘。

關(guān)鍵詞：智能化應(yīng)用；網(wǎng)絡(luò)安全防御技術(shù)；人工智能技術(shù)；神經(jīng)網(wǎng)絡(luò)；專(zhuān)家系統(tǒng)

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）31-0091-05

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID） ：

1 網(wǎng)絡(luò)安全防御概述

網(wǎng)絡(luò)安全防御是指為保護(hù)數(shù)字信息和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全而采取的措施和策略，旨在保護(hù)網(wǎng)絡(luò)、應(yīng)用程序、計(jì)算機(jī)數(shù)據(jù)免受網(wǎng)絡(luò)攻擊、未經(jīng)授權(quán)訪問(wèn)等威脅[1]。網(wǎng)絡(luò)安全防御主要組成如圖1所示。

圖1中，網(wǎng)絡(luò)安全防御主要由持續(xù)漏洞/入侵監(jiān)控、潛在威脅教育、攻擊后恢復(fù)、快速響應(yīng)處理威脅等幾個(gè)部分構(gòu)成。

2 智能化場(chǎng)景下網(wǎng)絡(luò)安全領(lǐng)域發(fā)展趨勢(shì)

2.1 行為分析

行為分析是智能化場(chǎng)景下網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的基本趨勢(shì)，表現(xiàn)為自動(dòng)分析用戶網(wǎng)絡(luò)行為，在檢測(cè)到用戶于不常登錄地點(diǎn)開(kāi)展敏感操作時(shí)，提醒管理員進(jìn)行調(diào)查驗(yàn)證[2]。智能化場(chǎng)景下，網(wǎng)絡(luò)行為分析對(duì)象不僅涉及傳統(tǒng)反威脅應(yīng)用程序（如圖2所示），而且涉及專(zhuān)有網(wǎng)絡(luò)的不尋常事件及趨勢(shì)。

在智能化場(chǎng)景下的網(wǎng)絡(luò)行為分析發(fā)展過(guò)程中，將以通用模型引入、模型訓(xùn)練為重點(diǎn)構(gòu)建AIGC（Artifi?cial Intelligence Generated Content，生成式人工智能）大模型。首先，經(jīng)開(kāi)源平臺(tái)、第三方服務(wù)商引入MOSS（Model of Open-domain Serialized Generation ofHuman-like Text，對(duì)話式大型語(yǔ)言模型）、GPT（Genera?tive Pre-trained Transformer，基于人工智能的語(yǔ)言模型）等輕量級(jí)自適應(yīng)模型。其次，經(jīng)SecGPT（開(kāi)源式網(wǎng)絡(luò)安全大模型）處理高度動(dòng)態(tài)的網(wǎng)絡(luò)安全數(shù)據(jù)，確保安全防御與網(wǎng)絡(luò)安全環(huán)境同步。再次，借助網(wǎng)絡(luò)安全數(shù)據(jù)，應(yīng)用更高性能的流量，分析神經(jīng)網(wǎng)絡(luò)推理算法與算子庫(kù)。最后，開(kāi)展定向大數(shù)據(jù)訓(xùn)練，有效檢測(cè)網(wǎng)絡(luò)行為中蘊(yùn)含的威脅信息[3]。

2.2 自動(dòng)化應(yīng)對(duì)

智能化場(chǎng)景下，網(wǎng)絡(luò)安全領(lǐng)域趨向于自動(dòng)化入侵響應(yīng)、自動(dòng)化攻擊應(yīng)對(duì)、自動(dòng)化漏洞挖掘與修復(fù)。智能化場(chǎng)景下的網(wǎng)絡(luò)安全漏洞自動(dòng)應(yīng)對(duì)可借助特定類(lèi)型漏洞程序，根據(jù)漏洞自動(dòng)定位、分析、生成補(bǔ)丁并驗(yàn)證應(yīng)用。比如，借助ChapGPT（Chat Generative Pretrainedtransformer） 的代碼理解與生成能力，開(kāi)發(fā)自動(dòng)化工具，搜索軟件中的漏洞并提出修復(fù)建議，實(shí)現(xiàn)網(wǎng)絡(luò)軟件安全的自動(dòng)化加固[4]。在代碼理解方面，作為一種自然語(yǔ)言處理模型，ChapGPT使用了基于Trans?former的神經(jīng)網(wǎng)絡(luò)架構(gòu)，將一種語(yǔ)言的文本自動(dòng)轉(zhuǎn)換為另外一種語(yǔ)言（可被計(jì)算機(jī)理解）的語(yǔ)言文本，并從文本數(shù)據(jù)中抽取有價(jià)值的信息，完成代碼的準(zhǔn)確理解及快速生成。同時(shí)，ChapGPT是當(dāng)前最先進(jìn)的預(yù)訓(xùn)練語(yǔ)言模型，可以從大量文本數(shù)據(jù)中查找相關(guān)信息，并從文本數(shù)據(jù)中識(shí)別具有特定名稱(chēng)的實(shí)體，完成軟件漏洞的快速搜索。根據(jù)實(shí)體漏洞名稱(chēng)及特征，ChapGPT 自動(dòng)生成邏輯、語(yǔ)法均高度準(zhǔn)確的連貫文本，為漏洞修復(fù)提供支持?；贑hapGPT的網(wǎng)絡(luò)安全漏洞自動(dòng)化修復(fù)程序如下：

第一，建立初始prompt，獲得首個(gè)patch；

第二，通過(guò)test suite，判定patch是否成立；

第三，輸入已獲得的plausible patch及相關(guān)信息，獲得更多plausible patch；

第四，重復(fù)test suite判斷和plausible patch輸入。

雖然ChapGPT在代碼理解、漏洞修復(fù)方面取得了很大進(jìn)展，但在理解、處理代碼語(yǔ)義及漏洞建議方面仍然存在局限性。因自然語(yǔ)言對(duì)語(yǔ)境的大力依賴(lài)性，ChapGPT極難準(zhǔn)確理解、闡釋代碼中的復(fù)雜語(yǔ)義，導(dǎo)致代碼處理期間解釋錯(cuò)誤問(wèn)題頻繁發(fā)生。同時(shí)，在漏洞修復(fù)方面，ChapGPT存在邏輯一致性的不足，無(wú)法判斷邏輯結(jié)構(gòu)，導(dǎo)致生成漏洞修復(fù)建議存在邏輯上的矛盾性，對(duì)漏洞修復(fù)效果造成不利影響。

2.3 威脅情報(bào)

智能化場(chǎng)景下，網(wǎng)絡(luò)安全領(lǐng)域傾向于分析海量威脅情報(bào)數(shù)據(jù)，發(fā)現(xiàn)潛在安全威脅、攻擊模式，輔助網(wǎng)絡(luò)安全威脅預(yù)防與應(yīng)對(duì)決策[5]。比如，在一次實(shí)際應(yīng)用中，一家成立于2013 年的公司Darktrace 的AI（Artifi?cial Intelligence，人工智能）系統(tǒng)通過(guò)比較一個(gè)看似正常的請(qǐng)求與正常行為模式的差異，識(shí)別出請(qǐng)求潛在惡意性，自動(dòng)阻止威脅并發(fā)出警報(bào)，通知安全團(tuán)隊(duì)采取進(jìn)一步行動(dòng)，規(guī)避復(fù)雜攻擊對(duì)公司內(nèi)部網(wǎng)絡(luò)造成的破壞。

2.4 機(jī)器學(xué)習(xí)

機(jī)器學(xué)習(xí)是計(jì)算機(jī)無(wú)需顯式編程即可學(xué)習(xí)的技術(shù)，可以跨海量數(shù)據(jù)集為支撐構(gòu)建行為模型，在模型中對(duì)新輸入信息進(jìn)行預(yù)測(cè)，是網(wǎng)絡(luò)安全防御的主流趨勢(shì)[6]。根據(jù)ABI Research分析估測(cè)報(bào)告，在網(wǎng)絡(luò)安全界，機(jī)器學(xué)習(xí)將推動(dòng)2021年1月到12月全年人工智能及分析的投資達(dá)到960億美元，越來(lái)越多網(wǎng)絡(luò)科技公司開(kāi)始運(yùn)用機(jī)器學(xué)習(xí)開(kāi)展網(wǎng)絡(luò)安全防御。智能化場(chǎng)景下，網(wǎng)絡(luò)安全防御領(lǐng)域的入侵檢測(cè)趨向于應(yīng)用機(jī)器學(xué)習(xí)算法，集成分析網(wǎng)絡(luò)流量、日志數(shù)據(jù)，發(fā)現(xiàn)潛在入侵行為（含未知攻擊）。比如，Google Chrome Chrome 瀏覽器借助機(jī)器學(xué)習(xí)ML（Machine Learning） 分析安卓移動(dòng)終端入侵，識(shí)別被入侵終端惡意軟件并清除，此時(shí)，在某些時(shí)段，若權(quán)限提示總是被拒絕，則下次可被自動(dòng)阻止（如圖3所示）。

在網(wǎng)絡(luò)安全防御領(lǐng)域，機(jī)器學(xué)習(xí)還可用于過(guò)濾垃圾郵件、檢測(cè)惡意軟件等。比如，Google通過(guò)機(jī)器學(xué)習(xí)自由學(xué)習(xí)垃圾郵件的特征與模式，高效過(guò)濾垃圾郵件。根據(jù)Google官方發(fā)布數(shù)據(jù)，利用機(jī)器學(xué)習(xí)技術(shù)，其垃圾郵件和網(wǎng)絡(luò)釣魚(yú)郵件的識(shí)別率已經(jīng)達(dá)到99.9%。在檢測(cè)垃圾郵件這一使用場(chǎng)景下，經(jīng)過(guò)訓(xùn)練的機(jī)器學(xué)習(xí)模型可以根據(jù)郵件中的詞匯順序，判斷其是否屬于垃圾郵件或正常郵件，若為垃圾郵件則進(jìn)行過(guò)濾。再如，Unit 42研究人員提出了基于虛擬機(jī)監(jiān)控程序的沙盒中基于內(nèi)存的工件構(gòu)建的機(jī)器學(xué)習(xí)渠道，可以精準(zhǔn)檢測(cè)Advanced WildFire中的惡意軟件。在惡意軟件檢測(cè)場(chǎng)景下，機(jī)器學(xué)習(xí)模型以惡意軟件在沙盒內(nèi)的執(zhí)行痕跡為基礎(chǔ)，根據(jù)任何數(shù)量的線索預(yù)測(cè)惡意行為，避免惡意軟件無(wú)意或有意地破壞沙盒環(huán)境。

2.5 可解釋人工智能

可解釋人工智能是網(wǎng)絡(luò)攻擊方法日益復(fù)雜背景下網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)發(fā)展趨勢(shì)。作為一種高度透明的人工智能，可解釋的人工智能（如圖4所示）可以描述人工智能模型、預(yù)期影響、潛在偏差。

圖4中，可解釋的人工智能遵循有意義、知識(shí)限制、解釋準(zhǔn)確性、解釋等規(guī)則。將可解釋的人工智能規(guī)則應(yīng)用到網(wǎng)絡(luò)安全防御領(lǐng)域，可以闡釋特定活動(dòng)或異常被標(biāo)記為潛在威脅的原因，提高漏洞、潛在危害評(píng)估透明度，便于按照漏洞優(yōu)先級(jí)制定安全策略，增強(qiáng)網(wǎng)絡(luò)安全防御決策準(zhǔn)確度。

具體到網(wǎng)絡(luò)安全防御實(shí)踐應(yīng)用中，可解釋的人工智能在攻擊溯源、安全事件解釋、安全策略?xún)?yōu)化等方面表現(xiàn)突出。在攻擊溯源場(chǎng)景下，可解釋的人工智能可建立網(wǎng)絡(luò)流量的正常行為模型，監(jiān)控當(dāng)前流量與模型的區(qū)別，將超出特定閾值的流量標(biāo)記為攻擊。隨后，分析標(biāo)記為攻擊的網(wǎng)絡(luò)流量可疑事件之間的關(guān)聯(lián)，識(shí)別具有攻擊模式的事件序列。最后，利用貝葉斯網(wǎng)絡(luò)統(tǒng)計(jì)模型（或決策樹(shù)模型、支持向量機(jī)模型）對(duì)網(wǎng)絡(luò)流量進(jìn)行分類(lèi)，完成攻擊流量溯源。

在安全事件解釋場(chǎng)景下，可解釋的人工智能通過(guò)圍繞輸入操作，生成局部可解釋模型可不可知論機(jī)器，對(duì)本地安全事件進(jìn)行解釋?zhuān)?duì)可疑文件進(jìn)行分類(lèi)，以判斷其是否為惡意軟件。

在安全策略?xún)?yōu)化場(chǎng)景下，可解釋的人工智能創(chuàng)建交互式可視化儀表板，展示網(wǎng)絡(luò)安全策略的制定、運(yùn)行過(guò)程，輔助尋找安全策略的不足。同時(shí)，借助趨勢(shì)線、圖表等可視化元素，直觀呈現(xiàn)安全策略的運(yùn)行數(shù)據(jù)。在這個(gè)基礎(chǔ)上，提供自定義選項(xiàng)，運(yùn)行策略制定者根據(jù)特定需求調(diào)整，實(shí)現(xiàn)安全策略的優(yōu)化。

3 智能化應(yīng)用發(fā)展場(chǎng)景下網(wǎng)絡(luò)安全防御技術(shù)

3.1 人工智能技術(shù)

智能化應(yīng)用發(fā)展場(chǎng)景下，網(wǎng)絡(luò)規(guī)模持續(xù)擴(kuò)大，攻擊形式日益多樣，攻擊對(duì)象呈現(xiàn)出隨機(jī)性特點(diǎn)，因網(wǎng)絡(luò)節(jié)點(diǎn)本身攻擊承受能力各異，造成大量節(jié)點(diǎn)安全度量數(shù)據(jù)冗余?；诖?，可以引入人工智能范疇的不精確推理技術(shù)——權(quán)重D-S證據(jù)（Dempster-Shafer） ，區(qū)分網(wǎng)絡(luò)節(jié)點(diǎn)危險(xiǎn)程度“不確定”與“不知道”，實(shí)現(xiàn)更科學(xué)的網(wǎng)絡(luò)安全防御管理[7]。在不確定信息處理方面，權(quán)重D-S證據(jù)合成公式可以綜合不同專(zhuān)家（或數(shù)據(jù)源）的知識(shí)（或數(shù)據(jù)），支撐不確定信息的智能化快速處理。同時(shí)，較之概率推理理論，權(quán)重D-S證據(jù)處理不確定信息需要的先驗(yàn)數(shù)據(jù)更為直觀、獲得難度小，處理效率較高。在基于權(quán)重D-S證據(jù)的網(wǎng)絡(luò)安全防御管理過(guò)程中，主要步驟如下：

第一，明確全部網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)辨識(shí)框架，如下：

bel：2? → [ 0，1] ，?A ? D （1）

式（1）為命題A的信任函數(shù)，命題借助集合表示，變量x的全部可能取值形成集合?，且集合中的元素有空集、存在互斥。2?是網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)辨識(shí)框架的全部子集；bel：2?表示網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)辨識(shí)框架的全部子集的真實(shí)信任程度。Bel（A） 表示A的真實(shí)信任程度，Pl（A） 表示A的非假信任程度，Pl（A） -Bel（A） 表示命題A不可知的程度，廣泛用于未知網(wǎng)絡(luò)安全信息處理。

第二，分配網(wǎng)絡(luò)節(jié)點(diǎn)度量權(quán)重，建立證據(jù)與命題邏輯（網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)→網(wǎng)絡(luò)安全態(tài)勢(shì)匯聚方式）。根據(jù)復(fù)雜網(wǎng)絡(luò)理論關(guān)于各節(jié)點(diǎn)對(duì)網(wǎng)絡(luò)影響力的多重差異，設(shè)定網(wǎng)絡(luò)安全防御管理中，需解決關(guān)鍵節(jié)點(diǎn)的重要度I（i） 由結(jié)構(gòu)重要度、資產(chǎn)重要度、功能重要度組成，逐一度量后，考慮網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)，進(jìn)行權(quán)重分配。即：

式（2）中，W為權(quán)重，i為網(wǎng)絡(luò)節(jié)點(diǎn)；I（i） 為關(guān)鍵節(jié)點(diǎn)的重要度；A為網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)。

第三，根據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)據(jù)，不間斷使用帶權(quán)重的Dempster證據(jù)合成規(guī)則，融合新的網(wǎng)絡(luò)安全態(tài)勢(shì)概率分配。融合規(guī)則如下：

式（3）中，m（V） 為帶權(quán)重的Dempster證據(jù)合成規(guī)則表達(dá)，即證據(jù)重要度。在m（V） =1時(shí)，證據(jù)重要度最高；V是證據(jù)的焦元；i為網(wǎng)絡(luò)節(jié)點(diǎn)；Vi為i個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)證據(jù)的焦元；mi為基本概率分配系數(shù)。

第四，基于差異思維，修正網(wǎng)絡(luò)安全態(tài)勢(shì)融合結(jié)果，獲得高度精準(zhǔn)的網(wǎng)絡(luò)安全狀態(tài)信息，規(guī)避網(wǎng)絡(luò)擁塞、系統(tǒng)崩潰對(duì)網(wǎng)絡(luò)安全防御的影響。差異系數(shù)表示為：

式（4）中，i、j均為網(wǎng)絡(luò)節(jié)點(diǎn)；sij 表示i、j的差異系數(shù)，與證據(jù)差異度呈正相關(guān)；kij表示證據(jù)i、j的沖突；dij表示i、j證據(jù)融合結(jié)果的可信程度。對(duì)于任意參與融合的網(wǎng)絡(luò)節(jié)點(diǎn)i、j，用信任系數(shù)進(jìn)行修正，參與后續(xù)網(wǎng)絡(luò)安全防御證據(jù)融合中，實(shí)現(xiàn)網(wǎng)絡(luò)安全防御管理工作的自適應(yīng)優(yōu)化。

3.2 神經(jīng)網(wǎng)絡(luò)

智能化應(yīng)用場(chǎng)景下，網(wǎng)絡(luò)未來(lái)安全態(tài)勢(shì)預(yù)測(cè)成為網(wǎng)絡(luò)安全防御的重要任務(wù)，神經(jīng)網(wǎng)絡(luò)是這一任務(wù)成功完成的重要技術(shù)支撐。在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方面，RBF神經(jīng)網(wǎng)絡(luò)可以尋找網(wǎng)絡(luò)安全態(tài)勢(shì)值的非線性映射關(guān)系，將復(fù)雜的模式分類(lèi)問(wèn)題非線性投射到高維空間，促使原本低維非線性可分問(wèn)題變得線性可分，適應(yīng)復(fù)雜網(wǎng)絡(luò)系統(tǒng)安全態(tài)勢(shì)預(yù)測(cè)形式。同時(shí)，RBF神可以利用均方根誤差（或歸一化均方根誤差、多元統(tǒng)計(jì)系數(shù)）等參數(shù)檢驗(yàn)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)值的準(zhǔn)確性，在預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)時(shí)表現(xiàn)出色。但是，RBF神經(jīng)網(wǎng)絡(luò)是一種前饋神經(jīng)網(wǎng)絡(luò)，在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)領(lǐng)域的表現(xiàn)受RBF中心點(diǎn)選擇的直接影響，對(duì)于給定的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)問(wèn)題，一旦RBF中心選擇不當(dāng)，預(yù)測(cè)準(zhǔn)確度將會(huì)顯著下降。同時(shí)，RBF神經(jīng)網(wǎng)絡(luò)對(duì)噪聲、異常值高度敏感，面對(duì)未知網(wǎng)絡(luò)態(tài)勢(shì)數(shù)據(jù)，RBF神經(jīng)網(wǎng)絡(luò)將過(guò)度擬合訓(xùn)練集，導(dǎo)致未知網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)準(zhǔn)確度下降。較之傳統(tǒng)前饋神經(jīng)網(wǎng)絡(luò)，RBF神經(jīng)網(wǎng)絡(luò)的計(jì)算復(fù)雜度較高，隨著中心數(shù)量的增長(zhǎng)，計(jì)算量呈指數(shù)級(jí)增長(zhǎng)，計(jì)算復(fù)雜度的增加，可能導(dǎo)致RBF神經(jīng)網(wǎng)絡(luò)在處理大規(guī)模數(shù)據(jù)集時(shí)效率下降。因此，根據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)非線性時(shí)間序列的特征，可借助訓(xùn)練RBF（Radial basis func?tion，徑向基函數(shù)網(wǎng)絡(luò)）神經(jīng)網(wǎng)絡(luò)的方式，尋找態(tài)勢(shì)值和后續(xù)值的非線性映射關(guān)系[8]。進(jìn)而，借助映射關(guān)系，開(kāi)展網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)，預(yù)測(cè)框架如圖5所示。

圖5中，將網(wǎng)絡(luò)攻擊過(guò)程中產(chǎn)生多類(lèi)別告警加權(quán)獲得的底層運(yùn)行數(shù)據(jù)x抽象為時(shí)間序列t的函數(shù)，即x=f（t） 。假定網(wǎng)絡(luò)安全態(tài)勢(shì)值的時(shí)間序列x={xi|xi∈R，i=1，2，...，L}，序列的前A個(gè)時(shí)刻網(wǎng)絡(luò)態(tài)勢(shì)值已知，需預(yù)測(cè)未來(lái)B個(gè)時(shí)刻的網(wǎng)絡(luò)態(tài)勢(shì)值。此時(shí)，為尋找RA到RB的非線性映射關(guān)系，設(shè)置滑動(dòng)窗口為時(shí)間序列x的前A個(gè)時(shí)刻數(shù)據(jù)，將其映射為B個(gè)值（如表1所示）。

根據(jù)表1，將L個(gè)長(zhǎng)度為A+B的數(shù)據(jù)段視為一個(gè)樣本，RBF神經(jīng)網(wǎng)絡(luò)的輸入為每個(gè)樣本的前A個(gè)值，目標(biāo)輸出為樣本后B個(gè)值，經(jīng)過(guò)神經(jīng)網(wǎng)絡(luò)訓(xùn)練，實(shí)現(xiàn)從輸入空間RA到輸出空間RB的映射。RBF神經(jīng)網(wǎng)絡(luò)訓(xùn)練目標(biāo)函數(shù)如下：

式（5）中，J為目標(biāo)函數(shù)；c為輸入/輸出樣本組數(shù)，c=1，2，...，L；dc為輸出樣本；yc是xc輸入下RBF神經(jīng)網(wǎng)絡(luò)的輸出向量。目標(biāo)函數(shù)確定后，給定各隱節(jié)點(diǎn)初始中心，計(jì)算歐式空間距離：

di（t） = ｜｜x（t） - ei（t - 1） ｜｜ （6）

式（6）中，i為網(wǎng)絡(luò)節(jié)點(diǎn)；di（t） 為時(shí)間序列t的歐式空間距離；x（t） 為時(shí)間序列t對(duì)應(yīng)的底層運(yùn)行數(shù)據(jù)；ei（t-1） 為RBF神經(jīng)網(wǎng)絡(luò)徑向基層節(jié)點(diǎn)的初始中心，調(diào)整中心，將t值+1，重復(fù)歐式空間距離計(jì)算過(guò)程，直到ei（t-1） 的改變值接近0。調(diào)整完畢后，按照相同的思路，進(jìn)行RBF神經(jīng)網(wǎng)絡(luò)徑向基函數(shù)權(quán)值調(diào)整。隨后，輸入網(wǎng)絡(luò)訓(xùn)練樣本，以3天為周期，進(jìn)行未來(lái)一天內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)。

3.3 專(zhuān)家系統(tǒng)

智能化應(yīng)用背景下，專(zhuān)家系統(tǒng)在網(wǎng)絡(luò)安全防御領(lǐng)域表現(xiàn)卓越。面對(duì)復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題，專(zhuān)家系統(tǒng)可以模擬人類(lèi)專(zhuān)家的決策過(guò)程，學(xué)習(xí)和適應(yīng)新的網(wǎng)絡(luò)安全形勢(shì)，提供實(shí)時(shí)的網(wǎng)絡(luò)安全分析、決策，提高網(wǎng)絡(luò)攻擊應(yīng)對(duì)效率。同時(shí)，專(zhuān)家系統(tǒng)可以從以往的網(wǎng)絡(luò)安全攻擊事件中學(xué)習(xí)經(jīng)驗(yàn)，持續(xù)更新網(wǎng)絡(luò)安全防御知識(shí)與規(guī)則，并提供實(shí)時(shí)的安全分析與決策建議，適應(yīng)動(dòng)態(tài)變化的網(wǎng)絡(luò)安全防御環(huán)境，彌補(bǔ)因人為因素導(dǎo)致的判斷失誤與操作錯(cuò)誤，確保決策者在短時(shí)間內(nèi)做出正確的應(yīng)對(duì)措施。但是，在實(shí)際應(yīng)用中，面對(duì)日趨復(fù)雜的網(wǎng)絡(luò)攻擊手段、持續(xù)變化的網(wǎng)絡(luò)攻擊方法，專(zhuān)家系統(tǒng)在網(wǎng)絡(luò)安全防御方面的準(zhǔn)確性可能受到干擾。特別是在惡意軟件檢測(cè)方面，專(zhuān)家系統(tǒng)可能無(wú)法適應(yīng)惡意軟件的持續(xù)進(jìn)化速度，無(wú)法在短時(shí)間內(nèi)尋找惡意軟件的家族特征，最終影響惡意軟件的預(yù)測(cè)及防御效果。基于專(zhuān)家系統(tǒng)的網(wǎng)絡(luò)安全防御需要在統(tǒng)一的策略指導(dǎo)下，兼顧操作系統(tǒng)訪問(wèn)控制、防火墻加密與動(dòng)態(tài)入侵檢測(cè)、漏洞掃描。即依據(jù)防護(hù)、檢測(cè)、響應(yīng)的閉環(huán)自適應(yīng)思路，借鑒P2DR（Policy Protection Detection Re?sponse，安全保護(hù)風(fēng)險(xiǎn)、執(zhí)行策略、系統(tǒng)實(shí)施）模型，集成審計(jì)、檢測(cè)、推理、控制，并借助專(zhuān)家系統(tǒng)的學(xué)習(xí)功能，持續(xù)補(bǔ)充知識(shí)、規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)時(shí)防御與非實(shí)時(shí)防御的有機(jī)結(jié)合，總體框架如圖6所示。

圖6中，智能化應(yīng)用背景下網(wǎng)絡(luò)安全防御專(zhuān)家系統(tǒng)由防火墻的包過(guò)濾、入侵檢測(cè)的數(shù)據(jù)分析與審計(jì)、專(zhuān)家系統(tǒng)規(guī)則庫(kù)等構(gòu)成，可經(jīng)過(guò)網(wǎng)絡(luò)數(shù)據(jù)包采集、過(guò)濾、特征提取、事實(shí)轉(zhuǎn)換、審計(jì)分析、響應(yīng)推理、規(guī)則生成與控制等幾個(gè)環(huán)節(jié)，阻斷入侵。其中，專(zhuān)家系統(tǒng)規(guī)則庫(kù)是由知識(shí)庫(kù)、推理機(jī)、解釋機(jī)制、綜合數(shù)據(jù)庫(kù)、知識(shí)獲取過(guò)程的機(jī)制，涵蓋數(shù)百條相互連接的規(guī)則以及網(wǎng)絡(luò)安全防御領(lǐng)域的證據(jù)、推理中間結(jié)果、初始數(shù)據(jù)等，可自動(dòng)根據(jù)綜合數(shù)據(jù)庫(kù)內(nèi)出發(fā)數(shù)據(jù)、網(wǎng)絡(luò)安全防御問(wèn)題解決目標(biāo)，從知識(shí)庫(kù)內(nèi)提取規(guī)則、事實(shí)，經(jīng)規(guī)則解釋器對(duì)事實(shí)進(jìn)行解釋。整個(gè)過(guò)程與人類(lèi)認(rèn)知過(guò)程高度相近。為實(shí)現(xiàn)基于專(zhuān)家系統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)與自動(dòng)阻止，可將有關(guān)網(wǎng)絡(luò)入侵的知識(shí)轉(zhuǎn)化為條件－措施復(fù)合結(jié)構(gòu)，即if-then。隨后，借助專(zhuān)家系統(tǒng)開(kāi)發(fā)工具CLIPS（C LanguageIntegrated Production System，C語(yǔ)言集成產(chǎn)生式系統(tǒng)），設(shè)計(jì)正向鏈+逆向鏈。CLIPS是由美國(guó)國(guó)家航天局約翰遜空間中心人工智能部門(mén)在1985年推出的專(zhuān)家系統(tǒng)開(kāi)發(fā)工具，由事實(shí)、規(guī)則、推理機(jī)三個(gè)部分組成，CLIPS支持多種編程風(fēng)格語(yǔ)言，包括面向過(guò)程的編程、基于規(guī)則的編程、面向?qū)ο蟮木幊痰?。作為?yīng)用函數(shù)式語(yǔ)言的開(kāi)發(fā)工具，CLIPS具有多范例編程語(yǔ)言、支持正向鏈規(guī)則、操作系統(tǒng)命令格式多樣化等特點(diǎn)，極大減輕了程序編寫(xiě)難度，但也抑制了程序的執(zhí)行效率。同時(shí)，CLIPS去除了循環(huán)控制，強(qiáng)調(diào)由初始知識(shí)逐步應(yīng)用規(guī)則輸出結(jié)果，給定相同的輸入可得到不同的輸出。當(dāng)前，CLIPS主要用于機(jī)器學(xué)習(xí)、模式識(shí)別，提供一種規(guī)則語(yǔ)言，表示知識(shí)并解決問(wèn)題。一般在C語(yǔ)言中，可以調(diào)用CLIPS的外部函數(shù)接口，實(shí)現(xiàn)CLIPS的集成的使用?；贑LIPS的網(wǎng)絡(luò)安全防御需要借助事實(shí)定義命令deffacts 實(shí)現(xiàn)，格式如下：

（<deffacts<deffacts-name>[<optional comment>]

<<facts>>） 在加入事實(shí)后，利用defrule定義系統(tǒng)規(guī)則庫(kù)內(nèi)提取的規(guī)則，即：

（defrule<rule-name>[<optional comment>]

<<pattern>>

=>

<<action>>）

在定義規(guī)則后，利用邏輯謂詞函數(shù)and/or，將事實(shí)與規(guī)則匹配，完成智能化應(yīng)用背景下網(wǎng)絡(luò)安全防御專(zhuān)家系統(tǒng)開(kāi)發(fā)，實(shí)時(shí)檢測(cè)入侵、自動(dòng)防護(hù)。

4 展望

未來(lái)，智能化應(yīng)用發(fā)展場(chǎng)景下的網(wǎng)絡(luò)安全防御技術(shù)將實(shí)現(xiàn)輕量化，研究深度模型自動(dòng)壓縮策略，在資源受限的物聯(lián)網(wǎng)設(shè)備上設(shè)計(jì)輕量化網(wǎng)絡(luò)異常流量深度檢測(cè)模型，對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)決策進(jìn)行全局、局部闡釋?zhuān)瑵M足網(wǎng)絡(luò)安全實(shí)時(shí)高精度防御要求。同時(shí)，面對(duì)未來(lái)大規(guī)模分布式網(wǎng)絡(luò)的安全防御需求，研究基于分布式人工智能的對(duì)抗攻擊防御算法，實(shí)現(xiàn)大規(guī)模分布式異構(gòu)流量數(shù)據(jù)下的網(wǎng)絡(luò)自適應(yīng)安全加固。在實(shí)現(xiàn)大規(guī)模網(wǎng)絡(luò)自適應(yīng)安全加固的基礎(chǔ)上，面對(duì)未來(lái)網(wǎng)絡(luò)安全領(lǐng)域的重重威脅，量子計(jì)算、區(qū)塊鏈等新興技術(shù)有望應(yīng)用到網(wǎng)絡(luò)安全防御領(lǐng)域，進(jìn)一步降低網(wǎng)絡(luò)安全防御壓力。其中量子計(jì)算有望大幅提升計(jì)算能力，解決現(xiàn)今時(shí)期計(jì)算機(jī)無(wú)法解決的問(wèn)題，特別是計(jì)算機(jī)安全通信加密問(wèn)題。借助量子計(jì)算機(jī)，以指數(shù)級(jí)速度破解當(dāng)前大范圍應(yīng)用到RSA（Rivest-Shamir-Adleman） 、ECC（Ellipse Curve Ctyptography） 傳統(tǒng)密碼算法，使得傳統(tǒng)基于整數(shù)分解的加密算法安全性能下降。同時(shí)，在量子計(jì)算機(jī)成功求解多項(xiàng)式時(shí)間內(nèi)求解離散對(duì)數(shù)情況下，傳統(tǒng)ElGamal、Diffe-Hellman等基于離散對(duì)數(shù)問(wèn)題的加密算法性能下降。基于此，未來(lái)根據(jù)量子計(jì)算應(yīng)用背景下的網(wǎng)絡(luò)安全加密形勢(shì)，可進(jìn)一步優(yōu)化網(wǎng)絡(luò)安全加密算法。比如，應(yīng)用數(shù)字貨幣的底層技術(shù)——區(qū)塊鏈，利用區(qū)塊鏈的權(quán)利下放、跟蹤功能，免除第三方驗(yàn)證，對(duì)區(qū)塊鏈內(nèi)全部網(wǎng)絡(luò)交易節(jié)點(diǎn)進(jìn)行數(shù)字簽名并附時(shí)間戳，促使用戶在任何歷史時(shí)間輕松跟蹤交易節(jié)點(diǎn)數(shù)據(jù)和賬戶，并進(jìn)行網(wǎng)絡(luò)攻擊溯源，打造網(wǎng)絡(luò)安全的多重防線。

5 結(jié)束語(yǔ)

持續(xù)漏洞監(jiān)控、潛在威脅教育、攻擊后恢復(fù)、快速響應(yīng)處理威脅是網(wǎng)絡(luò)安全防御的主要組成部分，網(wǎng)絡(luò)安全防御在智能化場(chǎng)景下呈現(xiàn)新的趨勢(shì)，包括自動(dòng)化應(yīng)對(duì)、可解釋人工智能等。為了實(shí)現(xiàn)網(wǎng)絡(luò)安全防御智能化，應(yīng)主動(dòng)應(yīng)用人工智能技術(shù)、神經(jīng)網(wǎng)絡(luò)、專(zhuān)家系統(tǒng)，構(gòu)建集網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估、預(yù)測(cè)、警報(bào)入侵檢測(cè)的防御體系。

參考文獻(xiàn)：

[1] 趙慧.歐盟網(wǎng)絡(luò)防御政策研究[J].信息安全研究，2024，10（1）：94-96.

[2] 陳涵，張仰森，何梓源，等.基于大數(shù)據(jù)平臺(tái)的網(wǎng)絡(luò)日志機(jī)器行為分析[J].計(jì)算機(jī)工程與設(shè)計(jì)，2023，44（7）：2232-2241.

[3] 陳泳全，姜瑛.基于卷積神經(jīng)網(wǎng)絡(luò)的APP用戶行為分析方法[J].計(jì)算機(jī)科學(xué)，2022，49（8）：78-85.

[4] 張謐，潘旭東，楊珉.JADE-DB：基于靶向變異的大語(yǔ)言模型安全通用基準(zhǔn)測(cè)試集[J]. 計(jì)算機(jī)研究與發(fā)展，2024，61（5）：1113-1127.

[5] 吳沛穎，王俊峰，崔澤源，等.網(wǎng)絡(luò)威脅情報(bào)處理方法綜述[J].四川大學(xué)學(xué)報(bào)（自然科學(xué)版），2023，60（5）：7-24.

[6] 沈華，田晨，郭森森，等.基于對(duì)抗性機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法研究[J].信息網(wǎng)絡(luò)安全，2023，23（8）：66-75.

[7] 孫佳航，王楷杰，黃景光，等.基于權(quán)重修正D-S理論多判據(jù)融合的含新能源低壓配網(wǎng)中性線斷線判別方法[J].電力系統(tǒng)保護(hù)與控制，2023，51（11）：1-14.

[8] 劉威，鄧巍.基于RBF神經(jīng)網(wǎng)絡(luò)的主動(dòng)配電網(wǎng)通信過(guò)程安全態(tài)勢(shì)感知方法[J].電網(wǎng)與清潔能源，2024，40（5）：52-58.

【通聯(lián)編輯：光文玲】