龔濤

摘 要 隨著信息時(shí)代的不斷發(fā)展，網(wǎng)絡(luò)的開(kāi)放性、互聯(lián)性及共享程度也在不斷提高，于是來(lái)自于外部的各類(lèi)攻擊致使網(wǎng)絡(luò)安全和管理問(wèn)題日益突顯，面對(duì)這些重大的挑戰(zhàn)，僅依靠人員的管理已無(wú)法滿(mǎn)足需求。而人工智能技術(shù)的發(fā)展及應(yīng)用領(lǐng)域正在逐步擴(kuò)大，并在信息處理上擁有強(qiáng)大的分析能力，所以運(yùn)用人工智能技術(shù)來(lái)解決網(wǎng)絡(luò)安全問(wèn)題就有了很大優(yōu)勢(shì)。為此，本文將針對(duì)人工智能在安全領(lǐng)域中的應(yīng)用展開(kāi)研究與討論。

關(guān)鍵詞 人工智能;分析;攻擊;聯(lián)動(dòng);處置

1計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的主要威脅

隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)安全面臨的威脅也呈現(xiàn)出多種多樣的形式。計(jì)算機(jī)網(wǎng)絡(luò)安全主要面臨的威脅可分為五種情況，分別為：人員疏忽、人為攻擊、軟件漏洞、非授權(quán)訪問(wèn)及信息泄露丟失。人為疏忽主要是由于操作員安全配置不當(dāng)、安全意識(shí)薄弱等原因造成。人為攻擊又分為主動(dòng)攻擊與被動(dòng)攻擊兩種形式，主動(dòng)攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用等方法，有選擇的破壞信息完整性，而被動(dòng)攻擊主要目的是為了收集信息，比如截獲、竊取、破譯等。軟件漏洞幾乎是不可避免的，這也常常成為黑客攻擊的首要目標(biāo)。非授權(quán)訪問(wèn)主要是指沒(méi)有經(jīng)過(guò)同意的前提下擅自使用網(wǎng)絡(luò)或計(jì)算機(jī)資源，主要包括假冒、身份攻擊等。信息泄露丟失就是指一些敏感信息有意或無(wú)意的被泄露出去或是丟失掉，近年來(lái)，信息泄露情況十分嚴(yán)重，甚至出現(xiàn)大量用戶(hù)個(gè)人信息被叫價(jià)出賣(mài)的情況。總而言之，計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅也與我們的生活息息相關(guān)，網(wǎng)絡(luò)安全生態(tài)圈也要進(jìn)一步找到更高效的對(duì)應(yīng)措施[1]。

2數(shù)據(jù)分析的前期準(zhǔn)備

2.1 數(shù)據(jù)采集

通過(guò)分布式數(shù)據(jù)收集平臺(tái)，支持Syslog、SNMP、JDBC/ODBC、FTP/SFTP、TCP/UDP、File、Web service等多種采集方法。應(yīng)適配多種數(shù)據(jù)源，但著重采集安全類(lèi)數(shù)據(jù)，應(yīng)包括安全設(shè)備日志、安全合規(guī)日志、威脅情報(bào)信息以及安全運(yùn)行數(shù)據(jù)。

2.2 數(shù)據(jù)標(biāo)準(zhǔn)化

事件采集后通過(guò)一定的解析方式將所有字段根據(jù)預(yù)先定義好的相關(guān)標(biāo)準(zhǔn)格式進(jìn)行匹配，數(shù)據(jù)標(biāo)準(zhǔn)化都在采集過(guò)程實(shí)現(xiàn)，通過(guò)采集器接口匯總采集的各類(lèi)數(shù)據(jù)信息會(huì)產(chǎn)生實(shí)時(shí)數(shù)據(jù)流，該數(shù)據(jù)流將經(jīng)過(guò)ETL處理過(guò)程后進(jìn)入分布式消息總線(xiàn)。ETL過(guò)程包括數(shù)據(jù)清理/數(shù)據(jù)過(guò)濾、數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)關(guān)聯(lián)。在整個(gè)治理過(guò)程中應(yīng)具備強(qiáng)大的處理能力，保證數(shù)據(jù)的時(shí)效性。

2.3 分布式消息訂閱

分布式消息流平臺(tái)可支持多種應(yīng)用場(chǎng)景，比如：活動(dòng)跟蹤、傳遞消息、度量指標(biāo)、日志記錄、流式處理。具有五個(gè)特點(diǎn)：高吞吐、低延遲;高伸縮性;持久性、可靠性;容錯(cuò)性;高并發(fā)。分布式消息總線(xiàn)需支撐后續(xù)的集中數(shù)據(jù)入庫(kù)和數(shù)據(jù)的分發(fā)訂閱，人工智能即可結(jié)合分布式消息系統(tǒng)，快速地從數(shù)據(jù)中讀取數(shù)據(jù)進(jìn)行分析[2]。

3人工智能在網(wǎng)絡(luò)安全中的應(yīng)用

3.1 人工智能分析

目前AI前期的很大一部分工作都需要人工完成，必須人工建模、人工貼標(biāo)簽，人工引導(dǎo)自主學(xué)習(xí)，等人工將模型訓(xùn)練到一定程度，才可能實(shí)現(xiàn)自我訓(xùn)練和深度學(xué)習(xí)。

人工智能中機(jī)器學(xué)習(xí)的算法分為三類(lèi)：有監(jiān)督學(xué)習(xí)、無(wú)監(jiān)督學(xué)習(xí)、增強(qiáng)學(xué)習(xí)。有監(jiān)督學(xué)習(xí)需要標(biāo)識(shí)數(shù)據(jù)（用于訓(xùn)練，既有正例又有負(fù)例），無(wú)監(jiān)督學(xué)習(xí)不需要標(biāo)識(shí)數(shù)據(jù)，增強(qiáng)學(xué)習(xí)介于兩者之間（有部分標(biāo)識(shí)數(shù)據(jù)）。因此，算法的分類(lèi)主要還是有監(jiān)督和無(wú)監(jiān)督。有監(jiān)督學(xué)習(xí)類(lèi)中樸素貝葉斯分類(lèi)可以更好地運(yùn)用到此應(yīng)用場(chǎng)景中。樸素貝葉斯分類(lèi)是一族基于貝葉斯定理和特征之間的強(qiáng)獨(dú)立性（樸素）的簡(jiǎn)單分類(lèi)器。顯著特點(diǎn)是方程式—— P（A|B） 是后驗(yàn)概率，P（B|A） 是似然概率，P（A） 是類(lèi)的先驗(yàn)概率，P（B） 是預(yù)測(cè)的先驗(yàn)概率。

目前，該算法主要用于解決如下問(wèn)題：標(biāo)記一個(gè)電子郵件為垃圾郵件或非垃圾郵件;將新聞文章分為技術(shù)類(lèi)、政治類(lèi)或體育類(lèi);檢查一段文字表達(dá)積極的情緒，或消極的情緒;用于人臉識(shí)別軟件。

樸素貝葉斯分類(lèi)算法在網(wǎng)絡(luò)安全方面也有著很好的應(yīng)用前景，它能夠根據(jù)攻擊者IP地址、攻擊行為或者攻擊方式能夠準(zhǔn)確進(jìn)行分類(lèi)，將相關(guān)的特征、關(guān)鍵信息存儲(chǔ)起來(lái)做學(xué)習(xí)樣本，后續(xù)由程序自學(xué)習(xí)并建立未知攻擊手段檢測(cè)分析模型，并記錄本地專(zhuān)家系統(tǒng)數(shù)據(jù)庫(kù)，除此之外選擇合理的處置方法。

3.2 人工智能處置

處置也是整個(gè)應(yīng)用場(chǎng)景不可獲取的一部分，對(duì)于防護(hù)手段來(lái)說(shuō)，網(wǎng)絡(luò)層面的阻斷連接是最有效的方式。

基于人工智能的特點(diǎn)，將各網(wǎng)絡(luò)出口進(jìn)口的防火墻授予一定的權(quán)限給分析模型，分析模型可按照原生防火墻的命令集發(fā)起指令，類(lèi)似于SMP的防火墻策略下發(fā)，將攻擊源IP、目的IP、目的端口等基本參數(shù)仿照ACL的語(yǔ)法傳輸指令至防火墻實(shí)現(xiàn)攻擊源的封堵，利用樸素貝葉斯分類(lèi)算法可分為以下4個(gè)處置場(chǎng)景：

（1）獲取全球威脅情報(bào)庫(kù)，對(duì)于高威脅的IP地址優(yōu)先進(jìn)行防火墻聯(lián)動(dòng)封堵攻擊源地址，并記錄攻擊相關(guān)特征。

（2）通過(guò)樸素貝葉斯分類(lèi)可將攻擊等級(jí)進(jìn)行分類(lèi)，攻擊源地址進(jìn)行分時(shí)長(zhǎng)的靈活封堵，攻擊等級(jí)越低封堵時(shí)長(zhǎng)越低，相反攻擊等級(jí)越高則封堵時(shí)間越長(zhǎng)。第一次攻擊后予以2小時(shí)的封堵時(shí)長(zhǎng)，阻斷攻擊者IP對(duì)所有防護(hù)范圍服務(wù)的訪問(wèn)，并記錄攻擊相關(guān)特征。

（3）第二次攻擊時(shí)檢測(cè)到相關(guān)特征直接進(jìn)行阻斷，由此通過(guò)上一個(gè)學(xué)習(xí)樣本進(jìn)行自動(dòng)處置，并記錄攻擊相關(guān)特征。

（4）第三次攻擊時(shí)，攻擊者換了一種入侵方式，但由于源IP地址無(wú)變化，人工智能將識(shí)別到源IP地址為“高威脅IP地址”，再次進(jìn)行處置，同時(shí)上報(bào)攻擊者的IP地址和攻擊手段至云端威脅情報(bào)庫(kù)供全球分享[3]。

4結(jié)束語(yǔ)

網(wǎng)絡(luò)的迅速發(fā)展方便了人們的生活，但也為我們?cè)斐闪嗽S多困擾，各種入侵手段層出不窮，如果單單只依靠傳統(tǒng)的防護(hù)方法，肯定已經(jīng)遠(yuǎn)遠(yuǎn)不能滿(mǎn)足現(xiàn)實(shí)需求，所以找到一些新型處理方法是我們的首要目標(biāo)，這樣才能更加高效地解決網(wǎng)絡(luò)安全問(wèn)題。由于人工智能的分析、學(xué)習(xí)等能力顯著，網(wǎng)絡(luò)安全與人工智能相結(jié)合必定成為一個(gè)重要的研究方向，其智能化、自動(dòng)化等特征為建立IDS系統(tǒng)提供了有效的途徑。

參考文獻(xiàn)

[1] 謝銘.基于人工智能的電網(wǎng)信息安全工作分析[J].中國(guó)科技投資，2019（2）：63-64.

[2] 馬秀榮，王化宇.簡(jiǎn)述人工智能技術(shù)在網(wǎng)絡(luò)安全管理中的應(yīng)用[J].呼倫貝爾學(xué)院學(xué)報(bào)，2005，13（2）：65-66，83.

[3] 袁媛.人工智能與網(wǎng)絡(luò)安全[J].內(nèi)江科技，2009（12）：103.