基于大數據和人工智能的網絡安全態勢分析方法研究

周金全　朱世偉　張建平

摘要：針對網絡空間安全預警和安全防御的迫切需求，以大數據和人工智能為技術背景和方法基礎，針對安全態勢要素定義和綜合態勢計算等關鍵環節，分析其中的主要技術方法，為網絡安全態勢感知系統提供設計參考。

關鍵詞：網絡安全;態勢感知;大數據;人工智能

一、引言

近年來，我國網絡空間安全問題日益嚴峻。一方面，有目的性的高級網絡攻擊事件頻發，大量竊取我國政治、軍事、經濟等領域的機密信息和敏感信息;另一方面，通過網絡攻擊獲取數據進而實施詐騙的事件也日益增長，大量的網絡攻擊事件已經嚴重威脅到社會秩序。這些網絡攻擊事件的愈演愈烈暴露出我國網絡空間一系列安全問題，包括系統安全防護能力不足、網絡安全監測預警不到位以及主動防御措施缺乏持續更新等。當前，解決網絡空間安全問題已經上升到國家戰略高度，提高網絡安全的態勢感知和主動防御能力至關重要[1]。

二、網絡安全態勢感知技術發展趨勢分析

隨著計算機和通信技術的不斷發展，網絡攻擊行為更加偏向于分散化，也更加有組織規模。面對有組織、成體系、分布式的等更為復雜的網絡攻擊手段，僅僅依靠入侵檢測、防火墻、訪問控制等單一的網絡安全防護技術，已經滿足不了網絡安全的基本要求[2]。傳統的安全防護理念和防護產品網絡安全態勢感知主要以孤立、靜態的方式來實現對已有威脅的響應，但隨著網絡中不斷新產生的威脅，特別是一些新型的影響較小、危害不大的網絡威脅難以通過已有的感知策略發現，隨著不斷積累最后形成“雪球”效應，出現影響深遠的重大網絡安全事故，這成為當前靜態感知無法解決的主要原因，其安全態勢感知框架或產品中大多存在以下四個方面的問題：

（一）根據預制規則的數據庫檢測，數據庫不完備或未及時更新將導致無法有效檢測新型威脅;

（二）缺乏對數據的智能分析評估，無法提前預測即將發生的安全威脅;

（三）系統多設備協作聯動困難，無法對網絡進行動態多維度協作防御;

（四）網絡安全防御基礎數據獲取單一，無法溯源分析已知網絡安全攻擊。

基于此，網絡安全態勢感知技術需對影響網絡安全的各類威脅進行動態的監控，通過大數據深度分析，對未來可能存在威脅網絡安全的各種要素進行預測和評估，以實現態勢感知的精準，其發展主要包括以下幾點：

（一）挖掘網絡安全態勢中潛在的威脅，動態獲取網絡安全態勢;

（二）融合多源異構傳感器獲取的數據并可視化展示;

（三）成體系分析網絡安全防御態勢并進行評估，對網絡安威脅進行預警;

（四）通過智能學習與預測，發現潛在的、未知的網絡威脅能夠及時管控快速響應。

三、態勢感知分析框架

基于大數據和人工智能的網絡安全態勢感知分析平臺框架[3]，其典型結構如圖1所示。

具體從以下三個層面來構建網絡安全態勢感知平臺：

（一）網絡安全多元感知。從網絡安全防御采集各類網絡安全威脅情報信息，包括完了運行流量、系統安全審計、安全防護監測、安全工作日志等數據，進行統一匯總存儲，形成安全態勢數據庫。

（二）制定評估體系。針對網絡制定安全規則和安全模型，通過特定的分析算法，深度挖掘并分析數據庫中的安全數據，并基于大數據進行不斷地學習深化，動態擴展評估體系。

（三）網絡安全態勢評估。基于感知的海量數據和評估體系，通過大數據分析其中潛在的威脅并預測可能存在的安全事件，對發現潛在威脅報警、對重要網絡動態監測、對重大網絡事件實時感知、對網絡安全態勢可視化展示，進行預先防范。

四、安全態勢及其要素定義

網絡安全態勢感知的對象是包括各種網絡設備的運行狀況、用戶的網絡活動以及潛在的網絡攻擊行為等。Tim Bass在網絡態勢感知的概念中提出，應對影響網絡態勢的要素（重點是安全要素）進行理解、顯示并預測其短期的發展趨勢[4]。因此，網絡安全態勢要素可認為是一種多維度的量化，詳細如下：

（一）網絡安全態勢是一種可量化指標，通過評估，可綜合呈現網絡當前的安全態勢，通過分析計算，能夠預測網絡后續的發展趨勢。如：通過構建網絡安全態勢整體可評估的量化指標體系，其態勢就是對各量化指標值的計算評估過程。

（二）網絡安全態勢可分不同的維度，可以從不同層次、不同角度反映網絡的不同狀態和后續發展趨勢。如：從網絡攻擊的角度，可通過定義網絡態勢安全要素反映當前網絡受到入侵攻擊的嚴重程度和后續安全事件的發展趨勢。

以安全態勢為例，其主要安全態勢要素如圖2所示[5]。包括網絡安全要素、可靠要素和可用要素。

（一）安全要素，用于反應網絡當前受到攻擊嚴重程度、對網絡后續造成的影響，包括通過木馬分發攻擊、安全漏洞攻擊、物理探測攻擊進行篡改、截取、中斷、偽造等。

（二）可靠要素，用于反映當前網絡受到攻擊后的物理損傷程度。

（三）可用要素，用于反應受到損傷后網絡運行功能和性能的實際狀態，包括網絡的可用狀態以及資源的富余程度等。

五、態勢分析中的人工智能基礎算法

在大數據基礎平臺中，共性基礎算法和分析技術是后續計算、分析的基礎[6]。典型共性算法介紹如下：

（一）特征選擇算法

特征選擇是通過對大量特征的篩選，得到其中最有效的特征，舍棄不直觀的特征以降低空間維數，特征選擇的這個過程可以用圖進行表示分析。特征選擇算法通過設計特征評估函數，從特征中選取部分特征形成一個特征子集進行評估，并與網絡安全預期標準進行比較，如果評估結果優于預期標準則停止，等待下一次篩選;如果評估結果劣于預期標準，則重新選擇篩選下一個子集直到最后出現最優子集。篩選評估完成后，對選出來的特征子集進行有效性驗證。

（二）分類算法

分類算法是對數據集進行分類識別的重要基礎算法。包括支持向量機（support vector machines， SVM）、樸素貝葉斯方法（Na?ve Bayes）、基于質心的分類器算法Centroid-Based classifier（CBC）、KNN算法（K Nearest Neighbor）和隨機森林算法等。

（三）網絡空間實體抽取算法

態勢感知過程需要在網絡空間態勢數據中抽取網絡空間中的實體。實體包括設備、鏈路、資源、終端、應用、服務、態勢特征等。典型方法包括以下兩種。

基于統計機器學習的方法：如KNN算法+CRF模型，字典輔助下的最大熵算法等。該方法從異構日志中采用統計機器學習抽取各類網絡空間實體，并采用聚類算法對實體進行聚類。

基于實體分類和聚類的方法：基于層次結構的命名實體分類體系;基于特征建模的命名實體列表方法;使用無監督學習算法識別出大量信息中的命名實體、然后對識別出的實體對象進行聚類算法分析的方法。

（四）態勢預測算法

態勢預測就是依據網絡安全在發展中變化的實際數據和歷史資料，運用科學的理論和方法、各種經驗和知識去分析、推測、估計網絡安全在未來一定時期內可能的變化趨勢。網絡態勢預測是信息安全管理的最高表現形式，準確有效地預測網絡安全態勢，能夠對網絡安全問題主動采取措施，將信息安全的管理從被動的一方變為主動的一方。態勢預測可使網絡管理人員了解網絡當前的狀態并預知網絡未來的發展趨勢，因此當網絡受到大規模攻擊時，能夠提前采取措施，不至于造成更為嚴重的損失。同時通過提升網絡設備和安全設備的安全策略，達到網絡安全主動防御的目的。

目前網絡安全態勢預測相關的方法和模型很多，例如時間序列預測、灰色理論預測、LSTM神經網絡、支持向量機、基于深度學習的預測、基于RBF神經網絡的預測方法等。圖3是一種基于多層次深度學習框架的網絡安全態勢預測方法，通過構建多層次的深度學習模型，實時對當前網絡安全狀態進行感知、抽取特征并融合，最終通過多層次學習模型進行安全態勢預測。

六、結束語

基于大數據和人工智能的網絡空間安全態勢感知和評估目前缺少成熟的應用產品，具有十分廣闊的研究前景和應用價值。應當看到，當前在人工智能算法應用、海量態勢數據實時處理、態勢核心要素的提取和展示在網絡安全態勢方面仍需進一步探索，在可以預見的未來，隨著人工智能技術的進一步突破和海量大數據知識化挖掘能力的快速進展，新一代網絡安全態勢感知也將獲得質的飛躍。

作者單位：周金全? ? 朱世偉? ? 張建平? ? 中國電子科技集團公司第三十研究所

參? 考? 文? 獻

[1]王以伍，張牧.基于大數據的網絡安全態勢感知關鍵技術研究[J].電腦知識與技術， 2020，16（15）：43-46.

[2]石樂義，劉佳，劉祎豪，朱紅強，段鵬飛.網絡安全態勢感知研究綜述[J].計算機工程與應用， 2019，55（24）：1-9.

[3] S. Zhang， A. Zhang， J. Wu， L. Guo， J. Li and B. Pei， “A Layered and Componentized Security Architecture for Linux Based Mobile Network Elements，” 2015 Ninth International Conference on Frontier of Computer Science and Technology， Dalian， 2015， pp. 330-334， doi： 10.1109/FCST.2015.46.

[4] G. Goth， “Functionality Meets Terminology to Address Network Security Vulnerabilities，” in IEEE Distributed Systems Online， vol. 7， no. 6， pp. 4-4， June 2006， doi： 10.1109/MDSO.2006.40.

[5] C. Si， H. Zhang， Y. Wang and J. Liu， “Network Security Situation Elements Fusion Method Based on Ontology，” 2014 Seventh International Symposium on Computational Intelligence and Design， Hangzhou， 2014， pp. 272-275， doi： 10.1109/ISCID.2014.132.

[6]肖喜生，龍春，彭凱飛，魏金俠，趙靜，馮偉華，陳瑞.基于人工智能的安全態勢預測技術研究綜述[J].信息安全研究，2020，6（06）：506-513.