基于Chatbot的網絡管理及安全事件處置方法研究

◆王 璐 李 鶴 王保利

(1.中國人民解放軍91655部隊 北京 100036;2.中國人民解放軍91917部隊 北京 100084; 3.中科院計算技術研究所 北京 100190)

基于Chatbot的網絡管理及安全事件處置方法研究

◆王 璐1李 鶴2王保利3

(1.中國人民解放軍91655部隊 北京 100036;2.中國人民解放軍91917部隊 北京 100084; 3.中科院計算技術研究所 北京 100190)

隨著網絡設備與網絡架構的發展越來越多元化和復雜化，政府、企業、軍隊等機構的網絡管理及安全事件處置方法也亟待優化改進。針對這些問題，本文提出了一種基于Chatbot的網絡管理及安全事件處置方法，通過借助Chatbot的智能化交互特性，可有效地輔助網絡管理、優化安全事件處置流程、減小經濟成本及提高工作效率。

Chatbot；網絡管理；安全事件

0 引言

隨著企事業單位、軍隊信息化程度的不斷提高，數據中心、云計算、虛擬化技術的廣泛應用，各部門、人員的日常工作深度依賴于組織內部、組織對外的網絡。但現有網絡有線/無線接入設備種類繁雜，設備軟件系統漏洞頻發，病毒、黑客攻擊和內部人員管理問題，使得網絡管理和安全問題面臨嚴峻挑戰。[1]當網絡故障和安全事件發生時，首要工作是確保受損業務的快速恢復和控制安全事件的影響范圍。現有人工智能技術應用于各行各業，在日常網絡檢查、故障修復和安全事件處置方面，可以輔助運維人員快速進行處理，及時、有效保障網絡安全、有序、高效運行。

1 網絡管理及安全事件處置面臨的問題

1.1 網絡結構混雜

在效率、成本雙重考量下，計算、存儲、網絡資源依托各種公有云、私有云、混合云和傳統 IT基礎設施，物理、邏輯、虛擬的網絡結構交織。復雜混合的網絡路由拓撲結構，一方面存在大量隱形的、未知的安全隱患，另一方面增加了網絡故障及安全問題查找的難度。

此外，各種有線、無線網絡傳輸技術保證人員網絡便捷接入。但無線網絡暴露在公共環境中，安全隱患多。有線無線互聯節點也很容易成為進入內網環境的通道，安全面臨極大挑戰。

1.2 接入網元繁多

在云計算、大數據等新技術的影響下，網絡運維工作遇到新的挑戰，進入傳統和云化IT基礎設施雙態模式。在這種模式下，接入網絡的實體包含路由器、交換機、服務器、安全設備等傳統網元，包含PAD、手機、智能傳感器等移動網元，還包含虛擬計算、存儲、網絡節點等虛擬網元。種類繁多，網絡運行及安全特質各異。

1.3 軟件漏洞頻出

接入網元操作系統涵蓋Windows、linux、Unix、Android、IOS等，還有VMware、KVM、OpenStack等虛擬化系統，各種版本漏洞不同，升級程度不同?；陂_源組件，采用C++、JAVA、PHP、Python等語言開發的軟件接力著業務的各個流程、環節。數據庫方面，除依托Mysql、Oracle外，HBase、Redis、Mongdb、InfluxDB等NoSQL、NewSQL技術的引入在提高業務計算效率的同時，也存在網絡故障點和安全問題。

1.4 內部管理隱患

內部泄密和網絡攻擊成為威脅網絡安全應用的最大隱患。在眾多內部網絡安全威脅中，最主要和最應關注的有：內部設備/人員主被動泄密、內部人員主被動制造和傳播病毒、非授權使用或授權濫用、安全管理不善引發的 IT資源不可用等。管理制度上的不完善，防范技術上的不完整，內網安全管理沒有形成有機整體，存在諸多隱患。

2 Chatbot技術簡介

Chatbot（聊天機器人）是人工智能在人機交互領域的革命，是一個多技術融合的平臺，必備組件包含NLU（Natural Language Understanding，自然語言理解）和 NLG（Natural Language Generation，自然語言生成），其中結合機器學習、深度學習等技術。[2]以計算機程序為基礎，通過人工智能+對話式交互為手段，匯聚應用所需的優質數據與服務，節約用戶交互時間和經濟成本。Chatbot在智能客服、智能教育等領域發展迅猛，各類軟件產品在不同程度上融合Chatbot技術。

從功能場景看，Chatbot可以分為虛擬助手和消息應用程序兩種類型：

虛擬助手，幫助用戶檢索信息、記錄信息，實現私人電子助理的角色。例如蘋果Siri、亞馬遜Alexa、微軟Cortana以及谷歌助手。能通過機器學習或深度學習等方式，理解人類口語表達的命令，并執行一系列操作，省去不必要的繁瑣操作流程。

消息應用程序，允許企業24小時在線全天候提供客戶支持（例如即時響應，快速答案，投訴解決）。很多互聯網企業為了保證服務質量，需要建立龐大的客服團隊，處理退貨、投訴、咨詢等一系列事情，這些事情的特點就是重復性強，雖然每天接到的電話數以萬計，但統計一下就會發現無非是幾種主要的情況，客服人員的工作就是按照類似“操作手冊”的東西找到對應事件的處理方法，這些恰恰是機器人可以毫不費力解決的事情。阿里、京東等在線客服，便是這類聊天機器人通過遵循預編程規則與用戶進行交互的典型實例。

從表現形式看，Chatbot 可以分為單輪對話和多輪對話兩種類型：

單輪對話其實可以看做是問答系統（Question Answering System）的變形，一般是一問一答的形式，用戶提問，機器生成相應答案的文本或者是綜合與答案相關的各種信息返回給用戶；多輪對話則更接近我們通常理解的人與人之間的對話模式，通常是有問有答，除了用戶提問，機器也會主動向用戶詢問，并且會根據上下文來判斷該給出什么樣的答案或提出什么樣的問題。從應用的角度來看，單輪對話更適合使用在信息查詢、客戶服務、產品介紹等等目標明確、會話行程短的淺服務類項目，用戶對通過使用這類產品獲得的服務有明確的預期，更多的是把它看做快速獲取信息、提升效率的入口。

多輪對話服務，往往會應用在信息搜集、商品和服務導購推薦、專業方案咨詢等等一系列結構復雜、會話行程長的深度服務項目里，用戶通過使用這類產品會在某一領域獲得相對完整的服務，解決一個復雜問題，或者獲得某種方向性的引導。一般來說，企業使用多輪對話服務的目標不僅僅是提升效率降低成本，還往往可以改進產品質量帶來更多的收入。

3 基于Chatbot的網絡管理及安全事件處置方法

網絡接入硬軟件種類繁多，運維人員很難全面掌握安全事件處置方法，而且安全漏洞處置經驗及時更新。網絡安全事件處置Chatbot的虛擬助手和消息應用服務兩項功能可以解決這些問題。

3.1 網絡安全事件處置Chatbot實現模型

網絡安全事件處置Chatbot實現算法模型主要有兩種：基于檢索模型和基于生成模型。

基于檢索的模型在算法流程、結構上，與搜索引擎的技術實現類似，其核心代碼可以用開源搜索引擎來實現的。首先定義好網絡管理及安全事件處置問題庫和答案知識庫或回答的模板，然后通過 NLP 技術對用戶提出的問題進行分析，通過關鍵詞提取、倒排索引、文檔排序等等方法與定義好的知識庫進行匹配，并返回給用戶。 在規則匹配和文檔排序上，可以加入針對網絡安全事件特征信息的啟發式規則或者機器學習算法，從而提高匹配精度。并且，在運維知識庫上還可以嵌入知識發現和推理機制，提升對話質量。

基于生成的模型通常不依賴于特定的事件處置答案庫，而是依據從大量語料中學習的“語言能力”來進行對話，看起來這個過程更加接近人類思考和產生語言的過程。在網絡管理及安全事件處置領域形成的“語言能力”，涉及到本領域基本語言元素的知識表示、以某種結構（比如深度神經網絡）來模擬的語言模型，以及對生成的語言對象的評價和選擇標準。

兩種模型適用場景不同。基于檢索模型對于領域范圍清晰、指向明確的問題，對話質量相對高，并且不易出現語法錯誤。但回答的內容很難跳出預定的答案庫，需要花費很大的精力來維護更新知識庫和匹配規則?；谏赡Ｐ椭苯訌恼Z料來訓練知識表示和語言模型，可以有效降低維護問答庫和規則的工作量；同時，基于生成模型可以應對各種不在預設知識庫的問題，表現形式靈活。但好的生成模型往往需要巨大規模的網絡運維及安全領域訓練語料，并且，對話中的上下文關系、信息一致性以及關鍵意圖識別等一系列問題都是生成模型需要克服的難關。

在深度學習技術取得突破性進展之后，研究者把目光更多轉向生成模型，因為深度學習的序列化（Sequence-to-Sequence）學習方式可以較好的實現生成模型的框架。而且深度學習強大的計算和抽象能力，自動從海量的數據源中歸納、抽取對解決問題有價值的知識和特征，使知識生成過程對于問題的解決者來說透明化，從而規避人為特征工程所帶來的不確定性和繁重的工作量。因此隨著時間推移，積累足夠多的網絡管理和安全領域對話語料，應用 RNN（Recurrent Neural Network）的端到端技術框架就可以利用端到端框架直接進行領域訓練，而不必考慮復雜的語法規則、微妙的對話情景等等一系列人為特征工程需要關注的焦點。[3]

3.2 網絡安全事件處置Chatbot工作

用戶通過固定或移動終端的 Web瀏覽器訪問安全事件處置Chatbot。網絡安全事件表征的獲取，一方面可以通過人工語音或文本輸入，另一方面直接對接網絡管理系統、安全防護體系的告警模塊，如圖1所示。

圖1 網絡安全事件處置Chatbot工作流程圖

Chatbot在獲取到安全事件告警描述后，識別理解并轉化為意圖指令，并執行一系列檢索、記錄信息操作。通過領域模型匹配，與網絡運維知識庫和安全事件處置知識庫的數據對接，將處置方案以語音或文本的形式反饋給用戶。用戶對處置方案的有效性進行效果判定，或者新增處置方案，為以后事件的處置提供參考。

3.3 Chatbot網絡安全事件處置系統架構

Chatbot網絡安全事件處置系統架構如圖2所示。

圖2 Chatbot網絡安全事件處置系統架構圖

（1）即時消息服務組件，主要負責實現的語音與文本消息的相互轉換及轉發操作；

（2）Message通過消息傳入組件模塊從即使消息服務組件傳遞到Bot引擎模塊，通過消息傳出組件模塊從Bot引擎模塊傳遞到即時消息服務組件模塊；

（3）Chatbot引擎，處理網絡安全運維知識圖譜、處置對話過程、對話內容、對話規則和主題。對話主題是基于人工經驗制作的。除了包括引導用戶做安全事件特征描述的“理解對話”，還要包括實現事件解決的“服務對話”。Bot引擎不能做到回復所有問題，因為基于規則的原因，能覆蓋的對話內容范圍小，當在Bot引擎中，得不到好的答案或者沒有命中一個規則時，就請求背后的Bot模型；

（4）Chatbot模型是通過深度神經網絡訓練而來，隨著時間推移回答的網絡管理和安全事件處置問題逐步增多，還可以對接互聯網公開的最新安全事件漏洞和處置情報中心，豐富其訓練數據；

（5）在對話服務過程中，會產生新的數據，使用強化學習，給Chatbot模型正向的激勵。使用知識圖譜記錄Bot，User， World三層知識。

4 總結

網絡管理及安全事件處置，需要依托智能化手段，輔助快速解決不可預知的安全問題。Chatbot為運維人員提供得力的工具，擺脫現在面臨知識過載、更新迭代慢的困境。在全息管理視圖之上，針對不同安全事件，構建管理邊界，聚焦管理范圍，選取、推送所需的輔助處置信息。Chatbot的領域匹配模型和深度學習模型形成針對問題場景的運維及安全處置方法，不斷沉淀專家經驗，形成知識庫，使運維逐步擺脫對人的依賴，從容應對各項常規和突發任務，確保網絡及網聯設備和系統的暢通和安全。

[1]薛新慈，任艷斐.計算機網絡管理與安全技術探析[J]. 通信技術，2010.

[2]Shawar B A， Atwell E S. Using corpora in machine-learning chatbot systems[J].International Journal of Corpus Linguistics，2005.

[3]何明翰. ChatBotEx - 基於Web探勘技術實現之智慧型答詢系統[J].暨南大學資訊工程學系學位論文，2010.

[4]Developing AI chatbots.https://www.code project.com/Articles/12454/Developing-AI-chatbots.