人工智能應(yīng)用與分析技術(shù)在信息安全態(tài)勢(shì)感知體系的研究和實(shí)踐

鄭艷芳

（興業(yè)銀行股份有限公司杭州分行，杭州 310012）

1 基于人工智能信息安全網(wǎng)絡(luò)感知系統(tǒng)結(jié)構(gòu)

關(guān)于人工智能信息網(wǎng)絡(luò)安全感知系統(tǒng)結(jié)構(gòu)，詳細(xì)見圖1.該系統(tǒng)主要包括：預(yù)處理信息、態(tài)勢(shì)評(píng)估、信息融合、態(tài)勢(shì)感知、信息提取等模塊構(gòu)成。

圖1 基于人工智能信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)結(jié)構(gòu)

（1）態(tài)勢(shì)感知：該模塊是利用人工智能算法預(yù)測(cè)、理解、識(shí)別態(tài)勢(shì)等來(lái)完成態(tài)勢(shì)感知。（2）信息融合：收集的安全態(tài)勢(shì)數(shù)據(jù)一般了來(lái)自交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，以及IDS/IPS、防火墻等安全設(shè)備，還有應(yīng)用程序、服務(wù)、數(shù)據(jù)庫(kù)方面等，所以系統(tǒng)需要對(duì)這些來(lái)源不同的數(shù)據(jù)進(jìn)行整合，從而提高態(tài)勢(shì)感知的準(zhǔn)確率。（3）信息提取：該模塊屬于安全感知態(tài)勢(shì)的基礎(chǔ)。安全態(tài)勢(shì)數(shù)據(jù)基本都是從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用和服務(wù)系統(tǒng)獲取的，信息提取主要是從這些模塊來(lái)獲取信息，對(duì)信息進(jìn)行修訂和標(biāo)準(zhǔn)化，同時(shí)擴(kuò)展時(shí)間的基本特征等。（4）態(tài)勢(shì)評(píng)估：該模塊主要是分析態(tài)勢(shì)情況和關(guān)聯(lián)性。在根據(jù)態(tài)勢(shì)進(jìn)行結(jié)果評(píng)估，并建立綜合網(wǎng)絡(luò)態(tài)勢(shì)圖，以及分析態(tài)勢(shì)報(bào)告，從而為管理人員提供決策依據(jù)。（5）信息預(yù)處理：態(tài)勢(shì)感知主要是利用多個(gè)傳感器進(jìn)行數(shù)據(jù)收集，所以采集過(guò)程中會(huì)有很多噪聲，也可能出現(xiàn)數(shù)據(jù)缺失情況，這種情況都需要對(duì)數(shù)據(jù)進(jìn)行去噪聲處理。同時(shí)也能實(shí)現(xiàn)對(duì)不完整數(shù)據(jù)的預(yù)處理，比如：過(guò)濾雜質(zhì)、處理用戶分布等。

2 基于人工智能安全信息網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)

2.1 人工智能中預(yù)測(cè)態(tài)勢(shì)算法

想要提高預(yù)測(cè)的科學(xué)性，就要對(duì)事物的發(fā)展現(xiàn)狀和歷史情況進(jìn)行詳細(xì)調(diào)查，就是對(duì)于任何相關(guān)因素進(jìn)行分析。預(yù)測(cè)就是根據(jù)事物發(fā)展跡象對(duì)于將要發(fā)生、無(wú)法確定的事件進(jìn)行推測(cè)和估計(jì)。態(tài)勢(shì)預(yù)測(cè)需要對(duì)網(wǎng)絡(luò)發(fā)生的安全威脅歷史情況，通過(guò)科學(xué)方法、理論和經(jīng)驗(yàn)，對(duì)未來(lái)可能出現(xiàn)的安全威脅進(jìn)行推測(cè)、分析和估計(jì)。目前，使用的態(tài)勢(shì)預(yù)測(cè)人工智能方法包括幾類：建立在人工神經(jīng)網(wǎng)絡(luò)上的預(yù)測(cè)方法、專家系統(tǒng)支撐的預(yù)測(cè)方法。

2.1.1 人工神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)法

近幾年，人們多是將多種算法結(jié)合使用，比如：融合模糊/粗糙集、小波分析、人工神經(jīng)網(wǎng)絡(luò)、灰色理論、遺傳、免疫、進(jìn)化等，取得的效果比較好。關(guān)于人工神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型主要包括：RBF網(wǎng)絡(luò)、BP網(wǎng)絡(luò)、Hopfield網(wǎng)絡(luò)等。但是神經(jīng)網(wǎng)絡(luò)有個(gè)缺陷，就是很容易出現(xiàn)局部最優(yōu)解情況。

2.1.2 專家系統(tǒng)預(yù)測(cè)方法

專家系統(tǒng)主要是由知識(shí)與經(jīng)驗(yàn)構(gòu)成的計(jì)算機(jī)智能程序系統(tǒng)，智能程度體現(xiàn)在可以模仿專家人類思維在特定領(lǐng)域中，并解出復(fù)雜問(wèn)題。利用專家系統(tǒng)預(yù)測(cè)態(tài)勢(shì)具有容易理解、符合人類思維、能減少數(shù)值復(fù)雜計(jì)算、可以用案例和規(guī)則表示知識(shí)、在不修改主程序條件下對(duì)知識(shí)庫(kù)進(jìn)行修改和擴(kuò)展、對(duì)自身推理具有解釋過(guò)程等優(yōu)勢(shì)。缺陷就是存在較強(qiáng)的針對(duì)性，該方法需要依靠豐富的知識(shí)和高水平的數(shù)據(jù)，才能獲得準(zhǔn)確的英寸，這些在復(fù)雜且規(guī)模龐大的網(wǎng)絡(luò)中會(huì)受到限制。

2.2 表征態(tài)勢(shì)指標(biāo)體系建立

2.2.1 網(wǎng)絡(luò)脆弱指標(biāo)

該指標(biāo)可以反應(yīng)網(wǎng)絡(luò)中存在脆弱和漏洞等情況。網(wǎng)絡(luò)脆弱指標(biāo)包括：DNS服務(wù)器、關(guān)鍵設(shè)備、核心交換機(jī)負(fù)載、核心路由器等設(shè)備的健康指數(shù)。

2.2.2 基礎(chǔ)運(yùn)行指標(biāo)

就目前的形勢(shì)基礎(chǔ)指標(biāo)在安全檢測(cè)中已經(jīng)不能成為重要參考依據(jù)，但是也是不能缺少的系統(tǒng)運(yùn)行情況的基礎(chǔ)數(shù)據(jù)?；A(chǔ)運(yùn)行指標(biāo)可以體現(xiàn)處反應(yīng)傳輸設(shè)備的負(fù)載、物流環(huán)境、網(wǎng)絡(luò)性能等情況。比如：如果網(wǎng)絡(luò)出現(xiàn)基礎(chǔ)流量過(guò)大，這時(shí)遇到攻擊行為，很可能出現(xiàn)網(wǎng)絡(luò)擁擠情況。基礎(chǔ)流量也會(huì)給網(wǎng)絡(luò)抗沖擊力產(chǎn)生一定的影響。

2.2.3 網(wǎng)絡(luò)威脅指標(biāo)

該指標(biāo)直接反應(yīng)給網(wǎng)絡(luò)造成威脅的因素，它包括網(wǎng)絡(luò)被攻擊的程度和次數(shù)，以及網(wǎng)絡(luò)潛在的威脅因素。比如：掛馬、病毒、僵尸網(wǎng)絡(luò)、垃圾郵件、釣魚網(wǎng)站等危險(xiǎn)因素。網(wǎng)絡(luò)威脅實(shí)際就是指網(wǎng)絡(luò)受到的攻擊強(qiáng)度、仿冒網(wǎng)站、掛馬密度、入侵事件等指數(shù)。

3 結(jié)束語(yǔ)

目前，人們?cè)诎踩W(wǎng)絡(luò)信息態(tài)勢(shì)感知上的研究屬于該領(lǐng)域的主要內(nèi)容，另外還包括：數(shù)據(jù)挖掘、數(shù)據(jù)融合、識(shí)別模式等技術(shù)，這些都是處于初期研究解決的態(tài)勢(shì)預(yù)測(cè)技術(shù)。

[1] 章翔凌，楊永群，黃勤龍，等.基于大數(shù)據(jù)分析的應(yīng)用安全態(tài)勢(shì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)空間安全，2017，8（z1）：54-59.