人工輔助的網絡空間安全技術

廣州賽度檢測服務有限公司 曾幸欽 葉 婷 劉惠玲 曾熾強 曾灶煙 李樹湖 舒雨鋒 熊長煒 劉志偉

隨著信息技術的不斷發展，網絡應用不斷豐富，網絡在給人們帶來便利的同時，也產生了網絡空間安全問題。本文給出了一種基于人工輔助的網絡空間安全策略，對網絡架構進行了描述，對潛在的網絡安全風險進行了梳理，對融合人工輔助的安全防御措施進行了闡述。

隨著大規模集成電路及通信技術的不斷發展，計算機網絡技術不斷革新。人們能夠足不出戶就可以通過互聯網購買個性化商品，可以通過瀏覽網頁獲取最新的資訊，可以通過網絡平臺進行資金往來與商業活動。與此同時，網絡空間安全問題凸顯，人們在得到網絡帶來的便利的同時，也常常被網絡空間安全所困擾。如黑客通過網絡漏洞潛入目標數據庫竊取信息；如詐騙分子通過偽裝套取資金。當前，面向網絡空間安全的研究成果較為豐富，如基于云服務的網絡空間安全技術、基于大數據的安全技術等。本文給出了一種基于人工輔助的網絡空間安全策略，對網絡架構進行了建模，對潛在的網絡安全風險進行了梳理，對融入人工輔助的安全防御措施進行了闡述，本文具有一定的理論價值和實踐意義。

1 網絡空間模型

本文將網絡空間定義為六層架構，一是網絡節點層，主要包括各類能夠連接網絡、可進行網絡數據接收或傳遞的獨立設備單元，如計算機、服務器、嵌入式終端、交換機等；二是用戶層，主要包括應用網絡節點進行網絡數據接收或發送的個體，即網絡應用使用者；三是網絡服務提供層，主要包括各類網絡應用的開發商、網絡資源管理者，網絡協議定義者等；四是網絡攻擊者，主要包括針對網絡或利用網絡進行破壞、盜竊、傷害等違法、不道德事件的實施者；五是網絡安全維護層，主要包括各類維護網絡安全的軟件、策略和硬件實體，如防火墻、殺毒軟件、密碼、動態口令、安全證書、密鑰等；六是網絡鏈路層，主要包括承載數據通信的各類有線鏈路和無線鏈路等，如WIFI、RJ45、光纜等。下面將基于上述六層網絡空間模型對網絡安全風險進行梳理。

2 安全風險分析

在網絡節點層存在三類網絡安全風險，一是節點數據的安全風險，數據可能被盜取、篡改、刪除；二是節點硬件設施失靈風險，如通過網絡入侵等方式對節點硬件運行模式、工作流程進行修改、停機等，進而造成不確定性危害；三是節點成為病毒宿主，進而利用網絡鏈路進行二次病毒傳播。在用戶層存在三類網絡安全風險，一是用戶身份偽裝，如不法分子通過竊取用戶密碼、用戶名實施網絡入侵；二是用戶直接進行網絡入侵，如用戶制造網絡入侵程序、或利用病毒軟件進行網絡安全侵害；三是用戶主觀行為導致網絡安全風險，如網絡安全意識不強導致對網絡安全入侵行為判斷能力有限，造成了網絡安全事件的發生。在網絡服務提供層存在兩類網絡安全風險，一是通信協議定義有漏洞，如網絡攻擊可以利用APR協議造成網絡通信擁堵，進而造成網絡通信癱瘓；二是服務開發欠缺網絡安全風險管控機制，如沒有進行數據通信的加密算法處理、沒有進行安全證書制定等。對于網絡攻擊者，具有搜尋網絡漏洞、進行網絡入侵、造成網絡損害的主動性，而網絡安全維護層，具有防御網絡入侵、修補漏洞、屏蔽網絡侵害的被動性，網絡攻擊者和網絡安全維護層具有動態博弈性。下面將基于上述安全風險對融合人工輔助的網絡安全對策進行闡述。

3 網絡安全策略

3.1 基本思想概述

從第2節給出的網絡空間安全風險分析中可知，網絡空間安全可以分為兩大類，一是基于人工行為的主動網絡空間安全攻擊，如人為數據盜取、用戶偽裝、等；二是基于人工制造的病毒自主網絡空間攻擊，如病毒傳播、硬件失靈等。則網絡空間風險可歸結為人工直接和人工間接行為導致，基于此，本文將人工輔助引入網絡空間安全防御，基本思想包括三個層面：一是去中心化思想。即網絡行為透明可見，網絡用戶實名制，網絡應用者既是使用者也是管理員，形成互相監督機制；二是網絡安全防御的群體化思想。當前，網絡架構日益復雜，網絡應用不斷豐富，網絡節點不斷增多，網絡用戶群體逐步龐大；并且網絡入侵行為大部分是被普通用戶所感知，鑒于此，發揮用戶個體的網絡安全防御主動性將對網絡空間安全防御帶來積極作用；三是，對于網絡入侵行為產生的影響可在人工輔助下進行消除，有利于提高問題消除的效率和質量，如機器失靈，可人工更換或進行系統重裝、參數重置等。

3.2 去中心化策略

為了達到網絡應用的去中心化效果，要構建基于網絡數據的共享機制和行為管理機制，基本流程為：第一步，用戶加入網絡數據共享機制，用戶通過協議等方式同意將個人信息、網絡通信數據、操作軌跡等公開透明。第二步，構建數據共享云服務器，用戶通過客戶端登錄云服務器進行網絡服務應用，如軟硬件資源定制、數據資料管理、異常行為申訴、通知信息確定等。云服務器中保存了網絡用戶的網絡應用個性化信息及操作軌跡，且對所有用戶透明可見，用戶端采取邊緣計算模式可進行小規模數據信息的存儲、處理，具備云服務器登錄和本地化數值計算等功能。第三步，用戶網絡行為的許可性實施，在本文所述的去中心化的網絡應用架構中，用戶實施的網絡行為需要先提交給云服務器，云服務器在進行完既定許可流程后，若通過則進行網絡行為實施，若被否定則不進行此網絡行為的實施，算法1對網絡行為的許可進行介紹。第四步，用戶網絡行為的撤銷。若在一定時間內經過裁決的用戶網絡行為是可撤銷的，則由此被撤銷網絡行為所產生的相關行為均將被撤銷。算法2對網絡行為的撤銷進行介紹。

算法1：網絡行為許可算法。輸入：網絡行為，云服務器，網絡用戶；輸出：網絡行為許可判定。第一步，用戶在邊緣計算終端登錄云服務器，應用云服務器中的硬件資源進行基于云服務器應用軟件的網絡行為實施，如登錄某網絡應用服務、利用某服務進行資金轉接等。第二步，云服務器在接收到用戶提交的實施網絡行為申請后，可根據需求實施多種類型的許可模式。一是，基于關聯用戶的行為認可，遍歷網絡用戶數據表格，若當前用戶與網絡行為實施用戶存在關聯，如家庭關聯、業務關聯等，則系統將此網絡行為發送給若干關聯用戶進行行為確認，若行為允許報文數量達到規定閾值，則允許此網絡行為的發生。二是，基于智能識別的網絡行為許可，如在對用戶身份進行確認時，可通過用戶端實時采集用戶的個人特征信息，如動態的人臉信息、指紋信息、聲音信息、口令問答信息等。三是，基于行為推演的網絡行為許可，系統通過模擬實施用戶申請的網絡行為，進而對此網絡行為產生的影響進行推演，若經過推演評估到此網絡行為安全可靠，則批準此網絡行為的發生；反之，則否定此網絡行為實施提案。第三步，輸出網絡行為許可判定。

網絡行為推演的基本思想為：第一步，在云服務數據庫中構建網絡行為關聯表格，采取專家判斷的方式，將網絡行為及其關聯行為進行枚舉，并對關聯行為的風險指數進行評估賦值。第二步，遍歷云服務數據庫中的網絡行為關聯表格，若當前行為與擬實施的網絡行為相同，則遍歷其關聯行為，若各行為風險指數之和的平均值小于既定閾值，則批準擬實施的網絡行為發生，反之，則否定網絡行為的發生。

算法2：網絡行為撤銷算法。輸入：網絡行為，云服務器，網絡用戶；輸出：網絡行為還原。第一步，云服務器接收到網絡行為x的撤銷請求，撤銷請求的發起者可以是網絡用戶，也可以是系統本身。第二步，云服務器對網絡行為撤銷請求進行審核，一是對撤銷原因進行審核，判斷是否實施撤銷。網絡行為允許撤銷的一般性原則為：如若發生了網絡入侵行為、對網絡安全造成了損害或產生了其他等不良影響則允許對網絡行為進行撤銷。二是判斷網絡行為能否實施撤銷，即判定網絡行為是否具有可逆性，若行為可逆則實施網絡行為撤銷，若行為不可逆，不進行行為撤銷。

3.3 群體化防御策略

本文所述的群體化防御流程為：第一步，在云服務器中構建群體化防御表格，屬性包括用戶ID、用戶名稱、類別、聯系方式、網絡安全表現、提交時間、防御建議。第二步，信息上報。用戶在網絡應用過程中，若發現網絡安全風險，可登陸云服務器對群體化防御表格相關屬性進行賦值。例如，某用戶發現點擊了某郵件應用后，本地網絡通信系統崩潰；還如，某用戶在進行網絡支付時，被虛假網站套取了資金；則用戶可以通過人工方式將網絡風險信息錄入到云服務器表格中，系統可實施激勵機制優化人工輔助網絡安全防御。

結語：鑒于網絡空間安全問題凸顯的實際情況，本文提出了一種基于人工輔助的網絡空間安全策略。對網絡空間架構進行了描述，對網絡安全風險進行了梳理，給出了人工輔助與計算機智能化網絡安全防御技術的融合理念。本文工作豐富了網絡空間安全技術理論，優化了網絡安全防御架構。下一步，將對網絡安全入侵檢測進行研究，利用形式化技術增強網絡入侵行為的計算機識別效果。