基于Chatbot的網(wǎng)絡管理及安全事件處置方法研究

◆王 璐 李 鶴 王保利

(1.中國人民解放軍91655部隊 北京 100036;2.中國人民解放軍91917部隊 北京 100084; 3.中科院計算技術(shù)研究所 北京 100190)

基于Chatbot的網(wǎng)絡管理及安全事件處置方法研究

◆王 璐1李 鶴2王保利3

(1.中國人民解放軍91655部隊 北京 100036;2.中國人民解放軍91917部隊 北京 100084; 3.中科院計算技術(shù)研究所 北京 100190)

隨著網(wǎng)絡設(shè)備與網(wǎng)絡架構(gòu)的發(fā)展越來越多元化和復雜化，政府、企業(yè)、軍隊等機構(gòu)的網(wǎng)絡管理及安全事件處置方法也亟待優(yōu)化改進。針對這些問題，本文提出了一種基于Chatbot的網(wǎng)絡管理及安全事件處置方法，通過借助Chatbot的智能化交互特性，可有效地輔助網(wǎng)絡管理、優(yōu)化安全事件處置流程、減小經(jīng)濟成本及提高工作效率。

Chatbot；網(wǎng)絡管理；安全事件

0 引言

隨著企事業(yè)單位、軍隊信息化程度的不斷提高，數(shù)據(jù)中心、云計算、虛擬化技術(shù)的廣泛應用，各部門、人員的日常工作深度依賴于組織內(nèi)部、組織對外的網(wǎng)絡。但現(xiàn)有網(wǎng)絡有線/無線接入設(shè)備種類繁雜，設(shè)備軟件系統(tǒng)漏洞頻發(fā)，病毒、黑客攻擊和內(nèi)部人員管理問題，使得網(wǎng)絡管理和安全問題面臨嚴峻挑戰(zhàn)。[1]當網(wǎng)絡故障和安全事件發(fā)生時，首要工作是確保受損業(yè)務的快速恢復和控制安全事件的影響范圍?，F(xiàn)有人工智能技術(shù)應用于各行各業(yè)，在日常網(wǎng)絡檢查、故障修復和安全事件處置方面，可以輔助運維人員快速進行處理，及時、有效保障網(wǎng)絡安全、有序、高效運行。

1 網(wǎng)絡管理及安全事件處置面臨的問題

1.1 網(wǎng)絡結(jié)構(gòu)混雜

在效率、成本雙重考量下，計算、存儲、網(wǎng)絡資源依托各種公有云、私有云、混合云和傳統(tǒng) IT基礎(chǔ)設(shè)施，物理、邏輯、虛擬的網(wǎng)絡結(jié)構(gòu)交織。復雜混合的網(wǎng)絡路由拓撲結(jié)構(gòu)，一方面存在大量隱形的、未知的安全隱患，另一方面增加了網(wǎng)絡故障及安全問題查找的難度。

此外，各種有線、無線網(wǎng)絡傳輸技術(shù)保證人員網(wǎng)絡便捷接入。但無線網(wǎng)絡暴露在公共環(huán)境中，安全隱患多。有線無線互聯(lián)節(jié)點也很容易成為進入內(nèi)網(wǎng)環(huán)境的通道，安全面臨極大挑戰(zhàn)。

1.2 接入網(wǎng)元繁多

在云計算、大數(shù)據(jù)等新技術(shù)的影響下，網(wǎng)絡運維工作遇到新的挑戰(zhàn)，進入傳統(tǒng)和云化IT基礎(chǔ)設(shè)施雙態(tài)模式。在這種模式下，接入網(wǎng)絡的實體包含路由器、交換機、服務器、安全設(shè)備等傳統(tǒng)網(wǎng)元，包含PAD、手機、智能傳感器等移動網(wǎng)元，還包含虛擬計算、存儲、網(wǎng)絡節(jié)點等虛擬網(wǎng)元。種類繁多，網(wǎng)絡運行及安全特質(zhì)各異。

1.3 軟件漏洞頻出

接入網(wǎng)元操作系統(tǒng)涵蓋Windows、linux、Unix、Android、IOS等，還有VMware、KVM、OpenStack等虛擬化系統(tǒng)，各種版本漏洞不同，升級程度不同。基于開源組件，采用C++、JAVA、PHP、Python等語言開發(fā)的軟件接力著業(yè)務的各個流程、環(huán)節(jié)。數(shù)據(jù)庫方面，除依托Mysql、Oracle外，HBase、Redis、Mongdb、InfluxDB等NoSQL、NewSQL技術(shù)的引入在提高業(yè)務計算效率的同時，也存在網(wǎng)絡故障點和安全問題。

1.4 內(nèi)部管理隱患

內(nèi)部泄密和網(wǎng)絡攻擊成為威脅網(wǎng)絡安全應用的最大隱患。在眾多內(nèi)部網(wǎng)絡安全威脅中，最主要和最應關(guān)注的有：內(nèi)部設(shè)備/人員主被動泄密、內(nèi)部人員主被動制造和傳播病毒、非授權(quán)使用或授權(quán)濫用、安全管理不善引發(fā)的 IT資源不可用等。管理制度上的不完善，防范技術(shù)上的不完整，內(nèi)網(wǎng)安全管理沒有形成有機整體，存在諸多隱患。

2 Chatbot技術(shù)簡介

Chatbot（聊天機器人）是人工智能在人機交互領(lǐng)域的革命，是一個多技術(shù)融合的平臺，必備組件包含NLU（Natural Language Understanding，自然語言理解）和 NLG（Natural Language Generation，自然語言生成），其中結(jié)合機器學習、深度學習等技術(shù)。[2]以計算機程序為基礎(chǔ)，通過人工智能+對話式交互為手段，匯聚應用所需的優(yōu)質(zhì)數(shù)據(jù)與服務，節(jié)約用戶交互時間和經(jīng)濟成本。Chatbot在智能客服、智能教育等領(lǐng)域發(fā)展迅猛，各類軟件產(chǎn)品在不同程度上融合Chatbot技術(shù)。

從功能場景看，Chatbot可以分為虛擬助手和消息應用程序兩種類型：

虛擬助手，幫助用戶檢索信息、記錄信息，實現(xiàn)私人電子助理的角色。例如蘋果Siri、亞馬遜Alexa、微軟Cortana以及谷歌助手。能通過機器學習或深度學習等方式，理解人類口語表達的命令，并執(zhí)行一系列操作，省去不必要的繁瑣操作流程。

消息應用程序，允許企業(yè)24小時在線全天候提供客戶支持（例如即時響應，快速答案，投訴解決）。很多互聯(lián)網(wǎng)企業(yè)為了保證服務質(zhì)量，需要建立龐大的客服團隊，處理退貨、投訴、咨詢等一系列事情，這些事情的特點就是重復性強，雖然每天接到的電話數(shù)以萬計，但統(tǒng)計一下就會發(fā)現(xiàn)無非是幾種主要的情況，客服人員的工作就是按照類似“操作手冊”的東西找到對應事件的處理方法，這些恰恰是機器人可以毫不費力解決的事情。阿里、京東等在線客服，便是這類聊天機器人通過遵循預編程規(guī)則與用戶進行交互的典型實例。

從表現(xiàn)形式看，Chatbot 可以分為單輪對話和多輪對話兩種類型：

單輪對話其實可以看做是問答系統(tǒng)（Question Answering System）的變形，一般是一問一答的形式，用戶提問，機器生成相應答案的文本或者是綜合與答案相關(guān)的各種信息返回給用戶；多輪對話則更接近我們通常理解的人與人之間的對話模式，通常是有問有答，除了用戶提問，機器也會主動向用戶詢問，并且會根據(jù)上下文來判斷該給出什么樣的答案或提出什么樣的問題。從應用的角度來看，單輪對話更適合使用在信息查詢、客戶服務、產(chǎn)品介紹等等目標明確、會話行程短的淺服務類項目，用戶對通過使用這類產(chǎn)品獲得的服務有明確的預期，更多的是把它看做快速獲取信息、提升效率的入口。

多輪對話服務，往往會應用在信息搜集、商品和服務導購推薦、專業(yè)方案咨詢等等一系列結(jié)構(gòu)復雜、會話行程長的深度服務項目里，用戶通過使用這類產(chǎn)品會在某一領(lǐng)域獲得相對完整的服務，解決一個復雜問題，或者獲得某種方向性的引導。一般來說，企業(yè)使用多輪對話服務的目標不僅僅是提升效率降低成本，還往往可以改進產(chǎn)品質(zhì)量帶來更多的收入。

3 基于Chatbot的網(wǎng)絡管理及安全事件處置方法

網(wǎng)絡接入硬軟件種類繁多，運維人員很難全面掌握安全事件處置方法，而且安全漏洞處置經(jīng)驗及時更新。網(wǎng)絡安全事件處置Chatbot的虛擬助手和消息應用服務兩項功能可以解決這些問題。

3.1 網(wǎng)絡安全事件處置Chatbot實現(xiàn)模型

網(wǎng)絡安全事件處置Chatbot實現(xiàn)算法模型主要有兩種：基于檢索模型和基于生成模型。

基于檢索的模型在算法流程、結(jié)構(gòu)上，與搜索引擎的技術(shù)實現(xiàn)類似，其核心代碼可以用開源搜索引擎來實現(xiàn)的。首先定義好網(wǎng)絡管理及安全事件處置問題庫和答案知識庫或回答的模板，然后通過 NLP 技術(shù)對用戶提出的問題進行分析，通過關(guān)鍵詞提取、倒排索引、文檔排序等等方法與定義好的知識庫進行匹配，并返回給用戶。 在規(guī)則匹配和文檔排序上，可以加入針對網(wǎng)絡安全事件特征信息的啟發(fā)式規(guī)則或者機器學習算法，從而提高匹配精度。并且，在運維知識庫上還可以嵌入知識發(fā)現(xiàn)和推理機制，提升對話質(zhì)量。

基于生成的模型通常不依賴于特定的事件處置答案庫，而是依據(jù)從大量語料中學習的“語言能力”來進行對話，看起來這個過程更加接近人類思考和產(chǎn)生語言的過程。在網(wǎng)絡管理及安全事件處置領(lǐng)域形成的“語言能力”，涉及到本領(lǐng)域基本語言元素的知識表示、以某種結(jié)構(gòu)（比如深度神經(jīng)網(wǎng)絡）來模擬的語言模型，以及對生成的語言對象的評價和選擇標準。

兩種模型適用場景不同。基于檢索模型對于領(lǐng)域范圍清晰、指向明確的問題，對話質(zhì)量相對高，并且不易出現(xiàn)語法錯誤。但回答的內(nèi)容很難跳出預定的答案庫，需要花費很大的精力來維護更新知識庫和匹配規(guī)則。基于生成模型直接從語料來訓練知識表示和語言模型，可以有效降低維護問答庫和規(guī)則的工作量；同時，基于生成模型可以應對各種不在預設(shè)知識庫的問題，表現(xiàn)形式靈活。但好的生成模型往往需要巨大規(guī)模的網(wǎng)絡運維及安全領(lǐng)域訓練語料，并且，對話中的上下文關(guān)系、信息一致性以及關(guān)鍵意圖識別等一系列問題都是生成模型需要克服的難關(guān)。

在深度學習技術(shù)取得突破性進展之后，研究者把目光更多轉(zhuǎn)向生成模型，因為深度學習的序列化（Sequence-to-Sequence）學習方式可以較好的實現(xiàn)生成模型的框架。而且深度學習強大的計算和抽象能力，自動從海量的數(shù)據(jù)源中歸納、抽取對解決問題有價值的知識和特征，使知識生成過程對于問題的解決者來說透明化，從而規(guī)避人為特征工程所帶來的不確定性和繁重的工作量。因此隨著時間推移，積累足夠多的網(wǎng)絡管理和安全領(lǐng)域?qū)υ捳Z料，應用 RNN（Recurrent Neural Network）的端到端技術(shù)框架就可以利用端到端框架直接進行領(lǐng)域訓練，而不必考慮復雜的語法規(guī)則、微妙的對話情景等等一系列人為特征工程需要關(guān)注的焦點。[3]

3.2 網(wǎng)絡安全事件處置Chatbot工作

用戶通過固定或移動終端的 Web瀏覽器訪問安全事件處置Chatbot。網(wǎng)絡安全事件表征的獲取，一方面可以通過人工語音或文本輸入，另一方面直接對接網(wǎng)絡管理系統(tǒng)、安全防護體系的告警模塊，如圖1所示。

圖1 網(wǎng)絡安全事件處置Chatbot工作流程圖

Chatbot在獲取到安全事件告警描述后，識別理解并轉(zhuǎn)化為意圖指令，并執(zhí)行一系列檢索、記錄信息操作。通過領(lǐng)域模型匹配，與網(wǎng)絡運維知識庫和安全事件處置知識庫的數(shù)據(jù)對接，將處置方案以語音或文本的形式反饋給用戶。用戶對處置方案的有效性進行效果判定，或者新增處置方案，為以后事件的處置提供參考。

3.3 Chatbot網(wǎng)絡安全事件處置系統(tǒng)架構(gòu)

Chatbot網(wǎng)絡安全事件處置系統(tǒng)架構(gòu)如圖2所示。

圖2 Chatbot網(wǎng)絡安全事件處置系統(tǒng)架構(gòu)圖

（1）即時消息服務組件，主要負責實現(xiàn)的語音與文本消息的相互轉(zhuǎn)換及轉(zhuǎn)發(fā)操作；

（2）Message通過消息傳入組件模塊從即使消息服務組件傳遞到Bot引擎模塊，通過消息傳出組件模塊從Bot引擎模塊傳遞到即時消息服務組件模塊；

（3）Chatbot引擎，處理網(wǎng)絡安全運維知識圖譜、處置對話過程、對話內(nèi)容、對話規(guī)則和主題。對話主題是基于人工經(jīng)驗制作的。除了包括引導用戶做安全事件特征描述的“理解對話”，還要包括實現(xiàn)事件解決的“服務對話”。Bot引擎不能做到回復所有問題，因為基于規(guī)則的原因，能覆蓋的對話內(nèi)容范圍小，當在Bot引擎中，得不到好的答案或者沒有命中一個規(guī)則時，就請求背后的Bot模型；

（4）Chatbot模型是通過深度神經(jīng)網(wǎng)絡訓練而來，隨著時間推移回答的網(wǎng)絡管理和安全事件處置問題逐步增多，還可以對接互聯(lián)網(wǎng)公開的最新安全事件漏洞和處置情報中心，豐富其訓練數(shù)據(jù)；

（5）在對話服務過程中，會產(chǎn)生新的數(shù)據(jù)，使用強化學習，給Chatbot模型正向的激勵。使用知識圖譜記錄Bot，User， World三層知識。

4 總結(jié)

網(wǎng)絡管理及安全事件處置，需要依托智能化手段，輔助快速解決不可預知的安全問題。Chatbot為運維人員提供得力的工具，擺脫現(xiàn)在面臨知識過載、更新迭代慢的困境。在全息管理視圖之上，針對不同安全事件，構(gòu)建管理邊界，聚焦管理范圍，選取、推送所需的輔助處置信息。Chatbot的領(lǐng)域匹配模型和深度學習模型形成針對問題場景的運維及安全處置方法，不斷沉淀專家經(jīng)驗，形成知識庫，使運維逐步擺脫對人的依賴，從容應對各項常規(guī)和突發(fā)任務，確保網(wǎng)絡及網(wǎng)聯(lián)設(shè)備和系統(tǒng)的暢通和安全。

[1]薛新慈，任艷斐.計算機網(wǎng)絡管理與安全技術(shù)探析[J]. 通信技術(shù)，2010.

[2]Shawar B A， Atwell E S. Using corpora in machine-learning chatbot systems[J].International Journal of Corpus Linguistics，2005.

[3]何明翰. ChatBotEx - 基於Web探勘技術(shù)實現(xiàn)之智慧型答詢系統(tǒng)[J].暨南大學資訊工程學系學位論文，2010.

[4]Developing AI chatbots.https://www.code project.com/Articles/12454/Developing-AI-chatbots.