身份证号码:45010319900714XXXX
摘要:信息网络安全态势感知是近年来国内外在网络安全领域的研究热点之一,另外人工智能技术领域的快速发展,也为信息网粤安全态势感知注入了生机。本文系统地研究了基于人工智能的信息网络安全态势感知技术的系统结构以及需要解决的关键技术。
关键词:人工智能;网络安全;感知技术
0引言
随着互联网黑客技术的不断演化,信息网络的安全性不断受到挑战,所面临的潜在威胁也越来越大,传统的被动防御体系(如入侵检测系统、防火墙、防病毒软件等)已经满足不了人们对网络安全的需求。网络安全态势感知技术的出现,为确保信息网络的安全开辟了一个新的途径。
态势感知的定义最早是由Endsley在1988年提出的,它是指一定时间和空间内环境因素的获取,理解和对未来短期的预测。1999年Tim Bass将这一概念应用在信息网络中:在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。
随着对网络安全态势感知研究的深入,它也从一个理论概念逐渐丰富为一套理论,其中包括态势感知的数据分析方法,表征态势的指标体系、态势指标的呈现方式、安全态势感知算法等。不失一般性,网络安全态势感知可分为三个阶段:态势识别、态势理解和态势预测。从上面的分析可知态势感知需要从网络海量数据中提取信息,并对这些信息进行预处理和融合,然后利用这些信息进行感知、理解和预测。因此信息网络安全态势感知与人工智能领域的模式识别与预测问题很类似,因此可以借助人工智能领域的方法解决此问题。
1基于人工智能的信息网络安全态势感知系统结构
基于人工智能的信息网络安全态势感知系统结构如图1所示:
.png)
1.1 信息提取。
信息提取是进行安全态势感知的信息基础。安全态势的数据主要来源于网络中的安全设备(如防火墙、IDS/IPS等)、网络设备(如路由器、交换机)、服务和应用(数据库、应用程序)。信息提取模块主要完成信息的获取、信息采集后的事件标准化、修订,以及事件基本特征的扩展等功能。
1.2 信息预处理。
态势感知的数据多是基于多传感器采集的环境下的数据,因此采集的数据多含有噪声,或者有数据缺失的问题,冈此需要对这些数据进行预处理,去掉噪声等得影响。信息预处理主要完成对于部分不够规整的数据进行预处理,例如用户分布式处理、杂质过滤等等。
1.3 信息融合。
安全态势的数据来源于网络中的安全设备(如防火墙、IDS/IPS等)、网络设备(如路由器、交换机)、服务和应用(数据库、应用程序)等。因此需要将这些不同来源的信息进行融合,提高态势感知的效率。
1.4 态势感知。
态势感知模块完成利用人工智能的算法进行态势识别、态势理解和态势预测的功能。
1.5 态势评估。
完成态势的影响评估功能,包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图,为网络管理员提供辅助决策信息。
2基于人工智能的信息网络安全态势感知关键技术
通过对图l的结构进行分析可知,基于人工锣能的信息网络安伞态势感知技术要解决2个关键技术问题:表征态势的指标体系的建立、基于人工智能的态势预测算法。
2.1表征态势的指标体系
表征态势的指标体系是进行态势感知的依据,就如人们去医院看病需要确定要检查哪此项一样。建立一个完备、简洁的指标体系是至关重要的。目前的指标提些主要包括基础运行指标、网络脆弱性指标、网络威胁指标三类指标。
2.1.1基础运行指标
硅础运行指标是表征当前网络性能、传输设备负载、物流环境的一系列指标。尽管这些指标不直接反应安伞问题,但是作为基础运行态势,会对安令态势起到问接的影响。例如,如果网络的基础流量很大,一旦有大流量的攻击发生时,网络就很容易拥塞现象。基础流量直接影响着网络的抗冲击能力。
2.1.2网络脆弱性指标
网络脆弱性指标表征的是网络整体上漏洞和脆弱性的情况。网络脆弱性指标一般包括:关键设备健康指数、DNS服务器健康指数、核心路由器健康指数、核心交换机负载等。
2.1.3网络威胁指标
网络威胁指标表征的是网络上各种威胁因素的情况。威胁的情况主要包括各种网络攻击的发生的频率和规模、各种潜在的威胁手段。僵尸网络、垃圾邮件、钓鱼和挂马网站、病毒等都是潜在的威胁。网络威胁指标一般包括:攻击烈度指数(表示网络上攻击事件的严重程度,攻击事件越多,造成断网的可能性就越大)、入侵事件指数、挂马密度指数、仿冒网站密度指数等。
2.2基于人工智能的态势预测算法
预测是对事物或现象将要发生的或目前不明确的情况进行预先的估计和推测。预测要有一定的科学依据,其建立在对事物历史与现状的调查上,建立在对有关主要因素分析的基础上。态势预测就是根据网络安全威胁发展变化的实际数据和历史资料,运用科学的理论、方法和各种经验、判断、知识去推测、估计、分析其在未来一定时期内可能的变化情况。
目前,基于人工智能的态势预测的主要方法大体分为基于专家系统的预测方法、基于人工神经网络的预测方法、基于支持向量机的预测方法。
2.2.1基于专家系统的预测方法
专家系统是一个包含专门知识和经验的智能计算机程序系统,其智能性主要表现在能够模仿特定领域内的专家思维来求解复杂问题。采用专家系统进行态势预测具有:适合人的思维,容易理解;知识用规则或案例表示,能避丌复杂的数值计算;知识库可在不修改主程序的前提下,不断修改扩充:能够解释自身推理过程等优点。然而,专家系统针性较强,预测准确度依赖于知识的丰富程度与水平高低,这些都限制了其在犬规模复杂网络系统中的应用。
2.2.2基于人工神经网络的预测方法
目前预测中用到的人工神经网络模型有BP网络、RBF网络、Hopfield网络、等。近年来,人工神经网络与小波分析、粗糙/模糊集、灰色理论以及遗传、进化、免疫等算法工具相结合取得了比较好的应用效果。但是神经网络存在容易陷入局部最优解的问题。
2.2.3基于支持向量机的预测方法
支持向量机(Support Vector Machine,SVM)是20世纪90年代由Vapnik等人研究并迅速发展起来的一种基于统计学习理论的机器学习算法。SVM最小化了结构风险,在样本量较少的情况下,亦能获得较好的学习效果。关于SVM的理沦探讨主要集中在:开发具有更强分类能力的核映射,研制新算法以提高学习速度,解决针对大规模数据集的模型构建问题等。将其应用于预测分析,是近几年国内外学术界关注的焦点,然而因算法复杂度大而导致的建模速度慢的问题,直制约着其推广应用。这些方法各有特点,如何正确地应用这螳预测算法进行态势预测是一个需要解决的关键问题。
3结语
到目前为止,安全态势感知大体上处于学术界研究领域,核心的技术还有待于突破,包括数据融合技术、数据挖掘技术、模式识别技术等,尤其是对态势预测的研究尚处于起步阶段,整体上距离产品化还有不少的距离。
参考文献:
[1] 袁宝,高强,冯庆云.基于人工智能的信息网络安全态势感知技术分析[J].信息记录材料,2019,20(4):113-114.
[2] 刘天健,刘芳辰,高遥.基于人工智能的信息网络安全态势感知技术分析[J].魅力中国,2019,(19):377.
[3] 胡庆伟.对基于人工智能的信息网络安全态势感知技术分析[J].网络安全技术与应用,2020,(5):149-150.