基于大數(shù)據(jù)和人工智能的網(wǎng)絡(luò)安全態(tài)勢分析方法研究

周金全　朱世偉　張建平

摘要：針對網(wǎng)絡(luò)空間安全預(yù)警和安全防御的迫切需求，以大數(shù)據(jù)和人工智能為技術(shù)背景和方法基礎(chǔ)，針對安全態(tài)勢要素定義和綜合態(tài)勢計算等關(guān)鍵環(huán)節(jié)，分析其中的主要技術(shù)方法，為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)提供設(shè)計參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知;大數(shù)據(jù);人工智能

一、引言

近年來，我國網(wǎng)絡(luò)空間安全問題日益嚴(yán)峻。一方面，有目的性的高級網(wǎng)絡(luò)攻擊事件頻發(fā)，大量竊取我國政治、軍事、經(jīng)濟(jì)等領(lǐng)域的機(jī)密信息和敏感信息;另一方面，通過網(wǎng)絡(luò)攻擊獲取數(shù)據(jù)進(jìn)而實施詐騙的事件也日益增長，大量的網(wǎng)絡(luò)攻擊事件已經(jīng)嚴(yán)重威脅到社會秩序。這些網(wǎng)絡(luò)攻擊事件的愈演愈烈暴露出我國網(wǎng)絡(luò)空間一系列安全問題，包括系統(tǒng)安全防護(hù)能力不足、網(wǎng)絡(luò)安全監(jiān)測預(yù)警不到位以及主動防御措施缺乏持續(xù)更新等。當(dāng)前，解決網(wǎng)絡(luò)空間安全問題已經(jīng)上升到國家戰(zhàn)略高度，提高網(wǎng)絡(luò)安全的態(tài)勢感知和主動防御能力至關(guān)重要[1]。

二、網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)發(fā)展趨勢分析

隨著計算機(jī)和通信技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊行為更加偏向于分散化，也更加有組織規(guī)模。面對有組織、成體系、分布式的等更為復(fù)雜的網(wǎng)絡(luò)攻擊手段，僅僅依靠入侵檢測、防火墻、訪問控制等單一的網(wǎng)絡(luò)安全防護(hù)技術(shù)，已經(jīng)滿足不了網(wǎng)絡(luò)安全的基本要求[2]。傳統(tǒng)的安全防護(hù)理念和防護(hù)產(chǎn)品網(wǎng)絡(luò)安全態(tài)勢感知主要以孤立、靜態(tài)的方式來實現(xiàn)對已有威脅的響應(yīng)，但隨著網(wǎng)絡(luò)中不斷新產(chǎn)生的威脅，特別是一些新型的影響較小、危害不大的網(wǎng)絡(luò)威脅難以通過已有的感知策略發(fā)現(xiàn)，隨著不斷積累最后形成“雪球”效應(yīng)，出現(xiàn)影響深遠(yuǎn)的重大網(wǎng)絡(luò)安全事故，這成為當(dāng)前靜態(tài)感知無法解決的主要原因，其安全態(tài)勢感知框架或產(chǎn)品中大多存在以下四個方面的問題：

（一）根據(jù)預(yù)制規(guī)則的數(shù)據(jù)庫檢測，數(shù)據(jù)庫不完備或未及時更新將導(dǎo)致無法有效檢測新型威脅;

（二）缺乏對數(shù)據(jù)的智能分析評估，無法提前預(yù)測即將發(fā)生的安全威脅;

（三）系統(tǒng)多設(shè)備協(xié)作聯(lián)動困難，無法對網(wǎng)絡(luò)進(jìn)行動態(tài)多維度協(xié)作防御;

（四）網(wǎng)絡(luò)安全防御基礎(chǔ)數(shù)據(jù)獲取單一，無法溯源分析已知網(wǎng)絡(luò)安全攻擊。

基于此，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)需對影響網(wǎng)絡(luò)安全的各類威脅進(jìn)行動態(tài)的監(jiān)控，通過大數(shù)據(jù)深度分析，對未來可能存在威脅網(wǎng)絡(luò)安全的各種要素進(jìn)行預(yù)測和評估，以實現(xiàn)態(tài)勢感知的精準(zhǔn)，其發(fā)展主要包括以下幾點(diǎn)：

（一）挖掘網(wǎng)絡(luò)安全態(tài)勢中潛在的威脅，動態(tài)獲取網(wǎng)絡(luò)安全態(tài)勢;

（二）融合多源異構(gòu)傳感器獲取的數(shù)據(jù)并可視化展示;

（三）成體系分析網(wǎng)絡(luò)安全防御態(tài)勢并進(jìn)行評估，對網(wǎng)絡(luò)安威脅進(jìn)行預(yù)警;

（四）通過智能學(xué)習(xí)與預(yù)測，發(fā)現(xiàn)潛在的、未知的網(wǎng)絡(luò)威脅能夠及時管控快速響應(yīng)。

三、態(tài)勢感知分析框架

基于大數(shù)據(jù)和人工智能的網(wǎng)絡(luò)安全態(tài)勢感知分析平臺框架[3]，其典型結(jié)構(gòu)如圖1所示。

具體從以下三個層面來構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知平臺：

（一）網(wǎng)絡(luò)安全多元感知。從網(wǎng)絡(luò)安全防御采集各類網(wǎng)絡(luò)安全威脅情報信息，包括完了運(yùn)行流量、系統(tǒng)安全審計、安全防護(hù)監(jiān)測、安全工作日志等數(shù)據(jù)，進(jìn)行統(tǒng)一匯總存儲，形成安全態(tài)勢數(shù)據(jù)庫。

（二）制定評估體系。針對網(wǎng)絡(luò)制定安全規(guī)則和安全模型，通過特定的分析算法，深度挖掘并分析數(shù)據(jù)庫中的安全數(shù)據(jù)，并基于大數(shù)據(jù)進(jìn)行不斷地學(xué)習(xí)深化，動態(tài)擴(kuò)展評估體系。

（三）網(wǎng)絡(luò)安全態(tài)勢評估?；诟兄暮Ａ繑?shù)據(jù)和評估體系，通過大數(shù)據(jù)分析其中潛在的威脅并預(yù)測可能存在的安全事件，對發(fā)現(xiàn)潛在威脅報警、對重要網(wǎng)絡(luò)動態(tài)監(jiān)測、對重大網(wǎng)絡(luò)事件實時感知、對網(wǎng)絡(luò)安全態(tài)勢可視化展示，進(jìn)行預(yù)先防范。

四、安全態(tài)勢及其要素定義

網(wǎng)絡(luò)安全態(tài)勢感知的對象是包括各種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、用戶的網(wǎng)絡(luò)活動以及潛在的網(wǎng)絡(luò)攻擊行為等。Tim Bass在網(wǎng)絡(luò)態(tài)勢感知的概念中提出，應(yīng)對影響網(wǎng)絡(luò)態(tài)勢的要素（重點(diǎn)是安全要素）進(jìn)行理解、顯示并預(yù)測其短期的發(fā)展趨勢[4]。因此，網(wǎng)絡(luò)安全態(tài)勢要素可認(rèn)為是一種多維度的量化，詳細(xì)如下：

（一）網(wǎng)絡(luò)安全態(tài)勢是一種可量化指標(biāo)，通過評估，可綜合呈現(xiàn)網(wǎng)絡(luò)當(dāng)前的安全態(tài)勢，通過分析計算，能夠預(yù)測網(wǎng)絡(luò)后續(xù)的發(fā)展趨勢。如：通過構(gòu)建網(wǎng)絡(luò)安全態(tài)勢整體可評估的量化指標(biāo)體系，其態(tài)勢就是對各量化指標(biāo)值的計算評估過程。

（二）網(wǎng)絡(luò)安全態(tài)勢可分不同的維度，可以從不同層次、不同角度反映網(wǎng)絡(luò)的不同狀態(tài)和后續(xù)發(fā)展趨勢。如：從網(wǎng)絡(luò)攻擊的角度，可通過定義網(wǎng)絡(luò)態(tài)勢安全要素反映當(dāng)前網(wǎng)絡(luò)受到入侵攻擊的嚴(yán)重程度和后續(xù)安全事件的發(fā)展趨勢。

以安全態(tài)勢為例，其主要安全態(tài)勢要素如圖2所示[5]。包括網(wǎng)絡(luò)安全要素、可靠要素和可用要素。

（一）安全要素，用于反應(yīng)網(wǎng)絡(luò)當(dāng)前受到攻擊嚴(yán)重程度、對網(wǎng)絡(luò)后續(xù)造成的影響，包括通過木馬分發(fā)攻擊、安全漏洞攻擊、物理探測攻擊進(jìn)行篡改、截取、中斷、偽造等。

（二）可靠要素，用于反映當(dāng)前網(wǎng)絡(luò)受到攻擊后的物理損傷程度。

（三）可用要素，用于反應(yīng)受到損傷后網(wǎng)絡(luò)運(yùn)行功能和性能的實際狀態(tài)，包括網(wǎng)絡(luò)的可用狀態(tài)以及資源的富余程度等。

五、態(tài)勢分析中的人工智能基礎(chǔ)算法

在大數(shù)據(jù)基礎(chǔ)平臺中，共性基礎(chǔ)算法和分析技術(shù)是后續(xù)計算、分析的基礎(chǔ)[6]。典型共性算法介紹如下：

（一）特征選擇算法

特征選擇是通過對大量特征的篩選，得到其中最有效的特征，舍棄不直觀的特征以降低空間維數(shù)，特征選擇的這個過程可以用圖進(jìn)行表示分析。特征選擇算法通過設(shè)計特征評估函數(shù)，從特征中選取部分特征形成一個特征子集進(jìn)行評估，并與網(wǎng)絡(luò)安全預(yù)期標(biāo)準(zhǔn)進(jìn)行比較，如果評估結(jié)果優(yōu)于預(yù)期標(biāo)準(zhǔn)則停止，等待下一次篩選;如果評估結(jié)果劣于預(yù)期標(biāo)準(zhǔn)，則重新選擇篩選下一個子集直到最后出現(xiàn)最優(yōu)子集。篩選評估完成后，對選出來的特征子集進(jìn)行有效性驗證。

（二）分類算法

分類算法是對數(shù)據(jù)集進(jìn)行分類識別的重要基礎(chǔ)算法。包括支持向量機(jī)（support vector machines， SVM）、樸素貝葉斯方法（Na?ve Bayes）、基于質(zhì)心的分類器算法Centroid-Based classifier（CBC）、KNN算法（K Nearest Neighbor）和隨機(jī)森林算法等。

（三）網(wǎng)絡(luò)空間實體抽取算法

態(tài)勢感知過程需要在網(wǎng)絡(luò)空間態(tài)勢數(shù)據(jù)中抽取網(wǎng)絡(luò)空間中的實體。實體包括設(shè)備、鏈路、資源、終端、應(yīng)用、服務(wù)、態(tài)勢特征等。典型方法包括以下兩種。

基于統(tǒng)計機(jī)器學(xué)習(xí)的方法：如KNN算法+CRF模型，字典輔助下的最大熵算法等。該方法從異構(gòu)日志中采用統(tǒng)計機(jī)器學(xué)習(xí)抽取各類網(wǎng)絡(luò)空間實體，并采用聚類算法對實體進(jìn)行聚類。

基于實體分類和聚類的方法：基于層次結(jié)構(gòu)的命名實體分類體系;基于特征建模的命名實體列表方法;使用無監(jiān)督學(xué)習(xí)算法識別出大量信息中的命名實體、然后對識別出的實體對象進(jìn)行聚類算法分析的方法。

（四）態(tài)勢預(yù)測算法

態(tài)勢預(yù)測就是依據(jù)網(wǎng)絡(luò)安全在發(fā)展中變化的實際數(shù)據(jù)和歷史資料，運(yùn)用科學(xué)的理論和方法、各種經(jīng)驗和知識去分析、推測、估計網(wǎng)絡(luò)安全在未來一定時期內(nèi)可能的變化趨勢。網(wǎng)絡(luò)態(tài)勢預(yù)測是信息安全管理的最高表現(xiàn)形式，準(zhǔn)確有效地預(yù)測網(wǎng)絡(luò)安全態(tài)勢，能夠?qū)W(wǎng)絡(luò)安全問題主動采取措施，將信息安全的管理從被動的一方變?yōu)橹鲃拥囊环健B(tài)勢預(yù)測可使網(wǎng)絡(luò)管理人員了解網(wǎng)絡(luò)當(dāng)前的狀態(tài)并預(yù)知網(wǎng)絡(luò)未來的發(fā)展趨勢，因此當(dāng)網(wǎng)絡(luò)受到大規(guī)模攻擊時，能夠提前采取措施，不至于造成更為嚴(yán)重的損失。同時通過提升網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全策略，達(dá)到網(wǎng)絡(luò)安全主動防御的目的。

目前網(wǎng)絡(luò)安全態(tài)勢預(yù)測相關(guān)的方法和模型很多，例如時間序列預(yù)測、灰色理論預(yù)測、LSTM神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)、基于深度學(xué)習(xí)的預(yù)測、基于RBF神經(jīng)網(wǎng)絡(luò)的預(yù)測方法等。圖3是一種基于多層次深度學(xué)習(xí)框架的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，通過構(gòu)建多層次的深度學(xué)習(xí)模型，實時對當(dāng)前網(wǎng)絡(luò)安全狀態(tài)進(jìn)行感知、抽取特征并融合，最終通過多層次學(xué)習(xí)模型進(jìn)行安全態(tài)勢預(yù)測。

六、結(jié)束語

基于大數(shù)據(jù)和人工智能的網(wǎng)絡(luò)空間安全態(tài)勢感知和評估目前缺少成熟的應(yīng)用產(chǎn)品，具有十分廣闊的研究前景和應(yīng)用價值。應(yīng)當(dāng)看到，當(dāng)前在人工智能算法應(yīng)用、海量態(tài)勢數(shù)據(jù)實時處理、態(tài)勢核心要素的提取和展示在網(wǎng)絡(luò)安全態(tài)勢方面仍需進(jìn)一步探索，在可以預(yù)見的未來，隨著人工智能技術(shù)的進(jìn)一步突破和海量大數(shù)據(jù)知識化挖掘能力的快速進(jìn)展，新一代網(wǎng)絡(luò)安全態(tài)勢感知也將獲得質(zhì)的飛躍。

作者單位：周金全? ? 朱世偉? ? 張建平? ? 中國電子科技集團(tuán)公司第三十研究所

參? 考? 文? 獻(xiàn)

[1]王以伍，張牧.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J].電腦知識與技術(shù)， 2020，16（15）：43-46.

[2]石樂義，劉佳，劉祎豪，朱紅強(qiáng)，段鵬飛.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].計算機(jī)工程與應(yīng)用， 2019，55（24）：1-9.

[3] S. Zhang， A. Zhang， J. Wu， L. Guo， J. Li and B. Pei， “A Layered and Componentized Security Architecture for Linux Based Mobile Network Elements，” 2015 Ninth International Conference on Frontier of Computer Science and Technology， Dalian， 2015， pp. 330-334， doi： 10.1109/FCST.2015.46.

[4] G. Goth， “Functionality Meets Terminology to Address Network Security Vulnerabilities，” in IEEE Distributed Systems Online， vol. 7， no. 6， pp. 4-4， June 2006， doi： 10.1109/MDSO.2006.40.

[5] C. Si， H. Zhang， Y. Wang and J. Liu， “Network Security Situation Elements Fusion Method Based on Ontology，” 2014 Seventh International Symposium on Computational Intelligence and Design， Hangzhou， 2014， pp. 272-275， doi： 10.1109/ISCID.2014.132.

[6]肖喜生，龍春，彭凱飛，魏金俠，趙靜，馮偉華，陳瑞.基于人工智能的安全態(tài)勢預(yù)測技術(shù)研究綜述[J].信息安全研究，2020，6（06）：506-513.