對基于人工智能的信息網絡安全態勢感知技術分析

◆胡慶偉

對基于人工智能的信息網絡安全態勢感知技術分析

◆胡慶偉

（中國人民解放軍66295部隊 河北 072750）

為保障信息時代背景下的信息網絡安全，各企業需要通過多種防護手段提升網絡安全防護能力，保護信息隱私不受侵犯。本文將以人工智能為重點，從核心技術以及其他具體技術等方面對信息網絡安全態勢感知技術進行詳細闡述，希望能夠為從事相關工作的人員提供一些工作思路。

人工智能；安全態勢；數據采集；數據預處理

面臨愈加頻繁的網絡攻擊，將人工智能應用至信息網絡安全體系中勢在必行，利用人工智能高效的信息收集與處理能力以及高精度的判斷能力，能夠實現將網絡攻擊成功阻截的目的，因此應當梳理并明晰其中所蘊含的態勢感知技術，進一步增強信息網絡的安全性。

1 基于人工智能的信息網絡安全態勢感知核心技術

（1）預測態勢算法

預測態勢主要是指利用感知系統對當前信息現狀的調查，對于所預測內容的主要有關因素進行分析，并結合一定的歷史資料、預測經驗以及科學的方法理論對未來一定時期內可能出現的安全態勢變化進行預測。目前，基于人工智能展開的安全態勢預測方法主要分為以下兩種：第一是專家系統預測方法，是指一種利用人工智能模仿特定領域內的人類專家的思維來對安全態勢進行預測，此種預測方法需要一個具備豐富專業知識與人類預測經驗的智能專家系統，能夠求解較為復雜的問題，此預測方法具有易于理解、避免過于繁復的計算、逐漸豐富自身預測經驗使預測精準度不斷提升等優勢；第二是人工神經網絡的預測方法，目前所應用的人工神經網絡模型包括BP網絡、RBF網絡、Hopfield網絡等，人工神經網絡雖然在近年來與小波分析、粗糙/模糊集、灰色理論以及遺傳、進化、免疫等算法工具相結合取得了比較好的應用效果，但是仍舊存在局部最優解的問題，即在面對優化問題時，由于問題過于復雜，所需考慮因素較多，難以在短時間內完成全局最優解，導致優化結果傾向于局部最優解的現象[1]。

（2）表征態勢指標體系

在對信息網絡安全態勢進行預測時，需要制定出一套完整的指標體系，以此指標體系為基礎為人工智能進行態勢預判時提供參考標準，并得出合理預測結果，所以此指標體系其實是人工智能工作的依托。目前所應用的指標體系中主要包括以下三類指標：第一是基礎運行指標，是表征當前網絡性能、傳輸設備負載、物流環境的一系列指標，代表著當前企業所具備的基礎設施的基本情況。第二是網絡威脅指標，該指標能夠直接反映出網絡中所潛在或已經出現的威脅，如病毒、垃圾郵件、釣魚網站等，同時還能反映出網絡被惡意攻擊的程度和次數，如攻擊強度、掛馬密度等指數，人工智能可依據此指標。第三是網絡脆弱性指標，表征的是網絡整體上漏洞和脆弱性的情況，通過檢測DNS服務器、核心路由器等關鍵設備的健康指數為安全態勢預測提供基礎數據。人工智能系統可依據此三項指標的檢測結果為安全態勢感知提供大量數據參考，既能夠使系統識別危險難度減小，又能夠使企業的信息網絡問題反映更加直接，提醒技術人員及時對企業信息網絡短板進行完善，使問題處理更加高效，令人工智能在安全態勢感知方面的作用更加突出。

2 基于人工智能的信息網絡安全態勢感知具體技術

（1）數據采集階段

對防火墻日志、Web服務日志等信息進行采集能夠為態勢分析提供基礎數據，要求是所收集數據能夠被系統所識別并借助云服務器實現數據更新。由于網絡信息較多使流量鏡像數據的收集難度較大，所以可以依靠一些技術手段降低收集難度，主要技術包括以下四種：第一是端口匹配技術，當前時代網絡發展時間已長達幾十年，在網絡協議不斷發展的過程中形成了一系列標準協議規范，在此類規范中不同的協議類型所使用的端口相對固定，所以根據此現象以及相關標準能夠實現端口快速識別，檢測效率較高[2]。第二是流量特征檢測技術，此技術共有兩種檢測方式，分別針對標準協議流量與未公開協議流量，前者所包含的命令、狀態遷移機制等信息都有明確的專有字段和狀態，系統能夠直接且準確的進行識別，而后者則需要通過逆向工程對協議機制進行系統分析，對特征字段進行解密后方能識別該流量。第三是自動連接關聯技術，為避免單個鏈接完成所有任務的模式弊端，當前很多協議開始采取應用動態協商端口的方式進行數據傳輸，即通過控制鏈接上的報文信息自動關聯至數據傳輸鏈接以進行數據還原。第四是行為特征分析技術，此技術主要針對部分難以還原的數據流量，對于此類流量將利用鏈接的連接數、上下行流量等統計特征對數據流進行簡要區分。

（2）數據預處理階段

由于此感知技術基于人工智能所發展，所以能夠運用大數據對所采集信息進行預處理，降低數據的后續處理難度。此技術主要運用了大數據技術中的Stream框架，此框架具備數據處理速度較快、擴展性與并發處理能力較強的優勢。在具體的預處理活動中，將涉及以下幾點內容：第一是數據歸一，在Stream流中，系統將所收集的包括日志信息、數據流量等內容在內的數據進行統一處理，通過將其進行轉化的方式使其適應系統應用方式，并作為系統進行后續分析的數據元。第二是情報知識庫的關聯，通過將情報庫與知識庫相關聯的方式使企業獲取到自身進行安全態勢分析所需的支持信息，目的同樣是為系統后續分析提供數據基礎；第三是數據歸并，系統通過計算分析引擎按照預置的事件流程框架將數據進行歸并，在此活動中將所有事件處理完成后歸納進引擎入口并結合歷史數據中的內容分析出此數據流中是否存在異常，從而觸發警報。

（3）數據存儲與檢索階段

由于信息網絡中所存儲的信息量異常龐大，所以系統在對大量數據進行檢索時一般可以借助搜索引擎來完成，比如Elastic Search引擎，此搜索引擎能夠實現分布式全文搜索，與企業內的云計算環境非常契合。具體搜索模式為在系統平臺對信息進行處理與計算等操作后，將數據保存至分布式搜索引擎的索引文件中，再將各類型數據以時間、名稱、內容等為標準進行分類存儲，并提供出索引字段，以提供數據快速檢索功能。另外，將索引以多個分片和多個副本的形式存儲于分布式文件系統中，既能夠有效實現對近期錄入數據的近似值查詢，通過相類似信息佐證所查詢信息的真實性，保障數據可靠性，又能夠使系統中的TB級數據索引時間縮短至秒級，大幅度提升索引性能[3]。

（4）檢測分析與處理階段

在經過上述階段處理后，仍舊需要通過多種技術對數據進行深入分析與挖掘，發現其中的潛在風險。主要應用技術有以下四種：第一是惡意代碼智能檢測技術，通過對大量的正常軟件與惡意軟件樣本進行分析比對，挖掘出兩類軟件的本質特征，并以此為基礎建立機器學習模型，得到惡意軟件識別模型，從而發現更多惡意程序。第二是廣譜反病毒查殺技術，此技術是原有反病毒查殺技術的一次升級，其可靠性得到了極大提高；第三是機器學習技術，即利用機器強大的學習能力對海量信息數據進行篩選得到關鍵數據，并將其輸送至人工團隊進行分析；第四是自動化數據處理技術，雖然態勢感知技術以人工智能為依托，但仍舊需要以人為中心進行數據分析，利用使用自動化數據處理技術分析潛在威脅與人工干預相結合的方式能夠在最大程度上強化分析結果準確度。

3 總結

總而言之，當前此技術手段仍舊處于初步發展階段，存在較多技術難題有待攻克，通過以上幾部分對其中存在的具體技術內容進行梳理，有助于降低我國更多企業引進此感知系統的難度，并利用此技術對企業所面臨的威脅進行風險評估，檢測企業風險狀態，使企業始終處于安全保護之下。

[1]王小鴻.基于大數據和人工智能技術的信息安全態勢感知系統研究[J].大眾標準化，2019（14）：18+20.

[2]孟繁玉.網絡安全態勢感知與人工智能[J].中國信息界，2019（04）：89-91.

[3]鄭艷芳.人工智能應用與分析技術在信息安全態勢感知體系的研究和實踐[J].數字通信世界，2018（04）：221.