王逸鶴 黃亦芃

1(中核戰(zhàn)略規(guī)劃研究總院有限公司計(jì)算機(jī)所網(wǎng)絡(luò)安全研究室 北京 100048) 2(清華大學(xué)軟件學(xué)院 北京 100084)

(tinayihe@163.com)

在信息化發(fā)展和普及的大趨勢(shì)下，日益頻繁的網(wǎng)絡(luò)使用和信息交互帶來的網(wǎng)絡(luò)流量爆炸以及網(wǎng)絡(luò)設(shè)備、終端設(shè)備和安全產(chǎn)品之間的多樣異構(gòu)性，為不法分子提供了更多的突破口，使網(wǎng)絡(luò)安全面臨更加嚴(yán)峻的挑戰(zhàn).因此，在高復(fù)雜度以及高關(guān)聯(lián)性的網(wǎng)絡(luò)環(huán)境下，適應(yīng)并提升網(wǎng)絡(luò)安全防御防護(hù)能力至關(guān)重要.面對(duì)網(wǎng)絡(luò)攻擊，提高網(wǎng)絡(luò)威脅態(tài)勢(shì)感知的前瞻性和準(zhǔn)確性以及網(wǎng)絡(luò)安全事件應(yīng)急處置的實(shí)時(shí)性和有效性成為了網(wǎng)絡(luò)攻擊防御的重點(diǎn)和難點(diǎn).同時(shí)，網(wǎng)絡(luò)安全工程師在判斷如何設(shè)計(jì)網(wǎng)絡(luò)安全技術(shù)架構(gòu)和何時(shí)進(jìn)行技術(shù)架構(gòu)調(diào)整或加固時(shí)，往往需要依據(jù)個(gè)人經(jīng)驗(yàn)或借鑒業(yè)界實(shí)踐.這種方法難以滿足網(wǎng)絡(luò)安全技術(shù)架構(gòu)設(shè)計(jì)全面性和前沿性以及及時(shí)發(fā)現(xiàn)整體架構(gòu)和各節(jié)點(diǎn)的漏洞和弱點(diǎn)的需要.

大數(shù)據(jù)技術(shù)的應(yīng)用給許多行業(yè)帶來了突破性的發(fā)展.網(wǎng)絡(luò)活動(dòng)所產(chǎn)生的數(shù)據(jù)與大數(shù)據(jù)的特征高度吻合，因此大數(shù)據(jù)技術(shù)可以有效地應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域.大數(shù)據(jù)的5V特征包括大量(volume)、高速(velocity)、多樣(variety)、價(jià)值密度低(value)和真實(shí)性(veracity)[1].在網(wǎng)絡(luò)中，各類終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)和軟件以及審計(jì)系統(tǒng)所產(chǎn)生的網(wǎng)絡(luò)流量和日志等數(shù)據(jù)量巨大且復(fù)雜異構(gòu)，吻合大數(shù)據(jù)大量和多樣的特征.另外，網(wǎng)絡(luò)數(shù)據(jù)的強(qiáng)時(shí)效性以及網(wǎng)絡(luò)安全防御對(duì)實(shí)時(shí)性的高要求反映了網(wǎng)絡(luò)數(shù)據(jù)在產(chǎn)生和處理中高速的特點(diǎn).最后，網(wǎng)絡(luò)痕跡與現(xiàn)實(shí)世界息息相關(guān)，日志文件等記錄覆蓋了網(wǎng)絡(luò)域中各時(shí)段的行為，可信度高但有效信息提煉難度大.利用大數(shù)據(jù)技術(shù)可以從龐大的網(wǎng)絡(luò)數(shù)據(jù)中提取出有效數(shù)據(jù)用以分析和預(yù)測(cè)網(wǎng)絡(luò)安全事件的過程和趨勢(shì)，符合大數(shù)據(jù)真實(shí)性以及價(jià)值密度低的特征.

本文研究討論了面向網(wǎng)絡(luò)安全綜合防御防護(hù)的大數(shù)據(jù)平臺(tái)的功能需求和整體技術(shù)架構(gòu)，以適應(yīng)當(dāng)下的網(wǎng)絡(luò)安全形勢(shì)，提升信息系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)應(yīng)具備的各項(xiàng)能力.這一大數(shù)據(jù)系統(tǒng)將主要滿足3點(diǎn)要求：1)提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知的前瞻性和準(zhǔn)確性；2)綜合網(wǎng)絡(luò)狀態(tài)、基于網(wǎng)絡(luò)安全知識(shí)庫，建立輔助網(wǎng)絡(luò)攻擊應(yīng)急處置的決策支持系統(tǒng)；3)有能力推薦網(wǎng)絡(luò)安全技術(shù)架構(gòu)的優(yōu)化方案，提高信息系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的全面性和前沿性.

1 大數(shù)據(jù)平臺(tái)功能需求

基于上述能力要求，我們對(duì)大數(shù)據(jù)平臺(tái)提出了以下3項(xiàng)功能需求：態(tài)勢(shì)感知、應(yīng)急處置決策支持和網(wǎng)絡(luò)安全系統(tǒng)智能優(yōu)化.這3項(xiàng)功能應(yīng)分別迎合以下幾點(diǎn)需求：1)迅速感知網(wǎng)絡(luò)攻擊威脅，分析其成因并預(yù)警，提供網(wǎng)絡(luò)安全態(tài)勢(shì)的可視化描述；2)在緊急情況下快速提供應(yīng)急處置方案，輔助決策者制定處置措施并派發(fā)相應(yīng)工單；3)結(jié)合大量的網(wǎng)絡(luò)安全情報(bào)，智能化分析信息系統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的健壯程度并查找弱點(diǎn)，進(jìn)而為整體安全架構(gòu)以及各設(shè)備安全防護(hù)提供優(yōu)化策略和方案.

下面我們將圍繞這3項(xiàng)功能闡述對(duì)應(yīng)的技術(shù)特點(diǎn).

1.1 態(tài)勢(shì)感知

態(tài)勢(shì)感知需要對(duì)信息系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)進(jìn)行監(jiān)測(cè)，對(duì)可能的威脅進(jìn)行預(yù)警，以提高系統(tǒng)對(duì)于網(wǎng)絡(luò)攻擊的前瞻性.從在線檢測(cè)預(yù)警的角度，態(tài)勢(shì)感知所依賴的數(shù)據(jù)多表現(xiàn)為高密度、不間斷的實(shí)時(shí)流式數(shù)據(jù)，如網(wǎng)絡(luò)流量數(shù)據(jù)和日志數(shù)據(jù).這些數(shù)據(jù)在經(jīng)過簡潔快速的預(yù)處理后直接進(jìn)入在線數(shù)據(jù)處理過程，結(jié)合歷史數(shù)據(jù)進(jìn)行實(shí)時(shí)的異常診斷和溯源，輸出異常的相關(guān)指標(biāo)并預(yù)警.同時(shí)，在不影響應(yīng)用性能表現(xiàn)的前提下，流式數(shù)據(jù)處理的輸出結(jié)果還應(yīng)分發(fā)到數(shù)據(jù)存儲(chǔ)系統(tǒng)，一方面作為歷史數(shù)據(jù)，供未來的實(shí)時(shí)流處理使用，另一方面作為離線分析計(jì)算的可用數(shù)據(jù)，為其他應(yīng)用模塊提供支持.

除此之外，態(tài)勢(shì)感知還需要離線計(jì)算技術(shù)的支持，通過集中處理和分析一定周期內(nèi)(如每天、每周等等)的可用數(shù)據(jù)，經(jīng)過清洗、集成、批量處理等過程，輸入如深度學(xué)習(xí)、異常檢測(cè)等機(jī)器學(xué)習(xí)模型來達(dá)到更為精細(xì)、全面的入侵檢測(cè).另外，檢測(cè)結(jié)果經(jīng)驗(yàn)證后可以反饋給相應(yīng)的模型進(jìn)行再學(xué)習(xí)，以提高態(tài)勢(shì)感知的準(zhǔn)確性.

1.2 應(yīng)急處置決策支持

在面臨較嚴(yán)重的網(wǎng)絡(luò)安全攻擊等緊急情況下，大數(shù)據(jù)平臺(tái)應(yīng)根據(jù)威脅的具體信息，結(jié)合離線搭建的網(wǎng)絡(luò)安全知識(shí)庫，快速構(gòu)建多套處置方案并提供相應(yīng)的技術(shù)指標(biāo)，輔助決策者進(jìn)行判斷并制定應(yīng)急處置的行動(dòng)方案.

相較于態(tài)勢(shì)感知，應(yīng)急處置決策支持的實(shí)時(shí)性更加注重應(yīng)對(duì)網(wǎng)絡(luò)安全威脅作出快速反應(yīng)，并且更依賴于匯集了各類網(wǎng)絡(luò)安全情報(bào)和資料的知識(shí)圖譜來進(jìn)行網(wǎng)絡(luò)安全威脅的關(guān)聯(lián)和發(fā)散以及相關(guān)解決方案的提取和組合，實(shí)現(xiàn)多樣的決策支持并保證其有效性.因此，以離線方式在海量的信息和情報(bào)中對(duì)網(wǎng)絡(luò)安全相關(guān)知識(shí)進(jìn)行抽取、關(guān)聯(lián)和融合至關(guān)重要.此外，平臺(tái)的數(shù)據(jù)存儲(chǔ)層面還應(yīng)輔以適當(dāng)?shù)臄?shù)據(jù)庫技術(shù)(如圖數(shù)據(jù)庫)保證知識(shí)實(shí)體和關(guān)系的讀寫性能.

1.3 網(wǎng)絡(luò)安全系統(tǒng)智能優(yōu)化

大數(shù)據(jù)平臺(tái)還需要對(duì)信息系統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)進(jìn)行評(píng)估并提供優(yōu)化方案，例如及時(shí)推送病毒庫升級(jí)、漏洞補(bǔ)丁，以及根據(jù)網(wǎng)絡(luò)攻擊趨勢(shì)對(duì)現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)提出調(diào)整建議和加固方案.相較于單純的人工架構(gòu)設(shè)計(jì)，基于大數(shù)據(jù)的智能優(yōu)化方式具有以下優(yōu)勢(shì)：

1) 更為及時(shí)地評(píng)估、發(fā)現(xiàn)資產(chǎn)漏洞及架構(gòu)設(shè)計(jì)弱點(diǎn)；

2) 用于設(shè)計(jì)優(yōu)化網(wǎng)絡(luò)安全架構(gòu)的知識(shí)儲(chǔ)備量更大且覆蓋面更廣；

3) 對(duì)新興技術(shù)和趨勢(shì)反應(yīng)更為及時(shí)，可提高網(wǎng)絡(luò)安全體系的前沿性.

類似于上述應(yīng)急處置決策支持的技術(shù)特點(diǎn)，該功能的實(shí)現(xiàn)建立在對(duì)網(wǎng)絡(luò)安全動(dòng)態(tài)、漏洞信息、行業(yè)最佳實(shí)踐等資料的提取、關(guān)聯(lián)、融合之上，通過構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)優(yōu)化層面上的知識(shí)庫，達(dá)到智能化定制優(yōu)化策略的目的.因此，數(shù)據(jù)應(yīng)用層以下的部分技術(shù)，如數(shù)據(jù)分析方面的知識(shí)圖譜、離線數(shù)據(jù)處理、數(shù)據(jù)庫管理系統(tǒng)等，可以同時(shí)為這2個(gè)功能提供服務(wù)，實(shí)現(xiàn)資源的共享和復(fù)用.

2 大數(shù)據(jù)平臺(tái)架構(gòu)

通過分析3項(xiàng)主要功能的業(yè)務(wù)需求和相應(yīng)的技術(shù)需求，我們可以總結(jié)并提出一整套網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)的技術(shù)架構(gòu)設(shè)計(jì)，如圖1所示：

圖1 網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)架構(gòu)

2.1 架構(gòu)設(shè)計(jì)

2.1.1 數(shù)據(jù)收集和預(yù)處理

平臺(tái)的數(shù)據(jù)源包括網(wǎng)絡(luò)內(nèi)部的相關(guān)數(shù)據(jù)，如網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備數(shù)據(jù)、審計(jì)信息、操作系統(tǒng)和應(yīng)用程序日志、資產(chǎn)信息數(shù)據(jù)等.另外，平臺(tái)也需要收集外部的各類網(wǎng)絡(luò)安全資料，如漏洞信息和網(wǎng)絡(luò)安全相關(guān)的社會(huì)新聞等情報(bào)類信息、網(wǎng)絡(luò)安全規(guī)范和最佳實(shí)踐等知識(shí)類信息.原始數(shù)據(jù)首先需要經(jīng)過一系列較輕量級(jí)的集成、清洗等預(yù)處理，再根據(jù)不同的業(yè)務(wù)需求輸入到數(shù)據(jù)處理和存儲(chǔ)過程.

2.1.2 數(shù)據(jù)存儲(chǔ)

為了應(yīng)對(duì)這些多源異構(gòu)的復(fù)雜數(shù)據(jù)，平臺(tái)的數(shù)據(jù)存儲(chǔ)應(yīng)覆蓋不同種類的數(shù)據(jù)庫和存儲(chǔ)系統(tǒng)，以更有效地存儲(chǔ)和訪問各種形式的數(shù)據(jù).例如，使用關(guān)系型數(shù)據(jù)庫存儲(chǔ)有明確結(jié)構(gòu)和關(guān)系的結(jié)構(gòu)化數(shù)據(jù)，使用時(shí)序數(shù)據(jù)庫存儲(chǔ)依賴時(shí)間序列的密集數(shù)據(jù)，使用圖數(shù)據(jù)庫存儲(chǔ)更注重圖形關(guān)系讀寫的數(shù)據(jù).

2.1.3 數(shù)據(jù)處理

在數(shù)據(jù)處理層面上，平臺(tái)同時(shí)提供在線和離線2種模式，以滿足不同的數(shù)據(jù)處理場(chǎng)景和需求.在線數(shù)據(jù)處理使用數(shù)據(jù)流處理的相關(guān)技術(shù)，對(duì)網(wǎng)絡(luò)安全異常情況的快速響應(yīng)提供保障，支撐網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)感知.在此過程中，應(yīng)當(dāng)避免非必要的數(shù)據(jù)存儲(chǔ)過程以減少性能消耗，還應(yīng)當(dāng)按照實(shí)際需要對(duì)數(shù)據(jù)作更為深入的數(shù)據(jù)清洗和轉(zhuǎn)換以保證數(shù)據(jù)質(zhì)量[2].離線數(shù)據(jù)處理采用大數(shù)據(jù)批量處理的基本框架，在對(duì)性能要求較寬松的情況下對(duì)數(shù)據(jù)進(jìn)行更精細(xì)的處理.相較于在線模式，離線模式可以選擇在犧牲一部分性能的前提下進(jìn)行更大范圍的數(shù)據(jù)集成和融合，為上層數(shù)據(jù)分析和計(jì)算提供更廣泛的可用數(shù)據(jù).

2.1.4 數(shù)據(jù)分析

對(duì)數(shù)據(jù)價(jià)值的深層挖掘更多地體現(xiàn)在數(shù)據(jù)分析層面上.深度學(xué)習(xí)、異常檢測(cè)等人工智能技術(shù)可以在網(wǎng)絡(luò)安全領(lǐng)域中起到關(guān)鍵性的作用，在網(wǎng)絡(luò)攻擊、惡意軟件、高級(jí)可持續(xù)威脅攻擊(advanced persistent threat, APT)等網(wǎng)絡(luò)安全威脅的防護(hù)方面有著廣泛的應(yīng)用[3-5].另外，各類網(wǎng)絡(luò)安全資料在經(jīng)過數(shù)據(jù)集成、關(guān)聯(lián)、融合等過程后，可以有效地抽取知識(shí)并構(gòu)建網(wǎng)絡(luò)安全相關(guān)的知識(shí)圖譜，以支持平臺(tái)上層應(yīng)用中處置方案和優(yōu)化方案的智能化設(shè)計(jì).運(yùn)籌學(xué)中的優(yōu)化思想和算法也可以有效地應(yīng)用在數(shù)據(jù)分析中，支撐決策支持和系統(tǒng)優(yōu)化等功能.

2.1.5 數(shù)據(jù)應(yīng)用

基于數(shù)據(jù)收集、預(yù)處理、存儲(chǔ)、處理和分析層的技術(shù)支撐，平臺(tái)可以在數(shù)據(jù)應(yīng)用層上實(shí)現(xiàn)前文論述的三大功能，并且可以根據(jù)實(shí)際應(yīng)用需求增加其他應(yīng)用模塊.

2.1.6 監(jiān)控管理和數(shù)據(jù)安全

在大數(shù)據(jù)生命周期[6]之外，平臺(tái)的設(shè)計(jì)還包括監(jiān)控和安全相關(guān)的模塊，便于管理從數(shù)據(jù)收集到應(yīng)用的全部系統(tǒng)流程和保證平臺(tái)中數(shù)據(jù)的安全性.

2.2 架構(gòu)特點(diǎn)

結(jié)合前文所述的3項(xiàng)主要功能，本文提出的網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)設(shè)計(jì)具有以下特點(diǎn)：

1) 數(shù)據(jù)處理過程采取在線和離線處理相結(jié)合的方式，滿足不同應(yīng)用模塊的業(yè)務(wù)需求；

2) 引入外部資料，從中抽取知識(shí)并關(guān)聯(lián)、融合，構(gòu)建網(wǎng)絡(luò)安全知識(shí)圖譜，以有效地對(duì)信息進(jìn)行檢索、擴(kuò)展和發(fā)散，支撐決策支持和系統(tǒng)優(yōu)化等功能的實(shí)現(xiàn)；

3) 采用分層化模塊化設(shè)計(jì)，使平臺(tái)具有很強(qiáng)的可拓展性；

4) 利用分布式大數(shù)據(jù)處理框架的計(jì)算能力，結(jié)合面向不同數(shù)據(jù)類型的各類數(shù)據(jù)庫技術(shù)，實(shí)現(xiàn)海量異構(gòu)信息的高性能讀寫和處理.

3 相關(guān)工作

近年來，越來越多的研究者加入到大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的研究.相關(guān)工作主要包括面向網(wǎng)絡(luò)安全的大數(shù)據(jù)平臺(tái)整體架構(gòu)以及技術(shù)路線的研究.另外，大數(shù)據(jù)平臺(tái)中的數(shù)據(jù)分析和應(yīng)用部分往往需要借助人工智能技術(shù).因此，不少研究者也對(duì)深度學(xué)習(xí)等人工智能技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用展開了研究.

目前，在網(wǎng)絡(luò)安全領(lǐng)域，大數(shù)據(jù)平臺(tái)主要被應(yīng)用于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知.管磊等人[7]曾通過討論大數(shù)據(jù)技術(shù)在網(wǎng)絡(luò)安全分析上的優(yōu)勢(shì)，提出了基于大數(shù)據(jù)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅檢測(cè)、研判和報(bào)警的安全態(tài)勢(shì)感知平臺(tái).該研究通過網(wǎng)絡(luò)安全威脅數(shù)據(jù)匯聚與存儲(chǔ)、面向威脅情報(bào)的大數(shù)據(jù)分析和態(tài)勢(shì)感知與預(yù)警這3個(gè)層面對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的技術(shù)、實(shí)現(xiàn)方法、部署、試運(yùn)行和應(yīng)用情況進(jìn)行了闡述.琚安康等人[8]曾通過對(duì)開源大數(shù)據(jù)工具集與前沿的大數(shù)據(jù)技術(shù)的集成，提出了具備威脅預(yù)警和態(tài)勢(shì)感知功能的系統(tǒng)框架，并描述了其數(shù)據(jù)收集整理子系統(tǒng)、數(shù)據(jù)存儲(chǔ)子系統(tǒng)、規(guī)則挖掘提取子系統(tǒng)、實(shí)時(shí)關(guān)聯(lián)分析子系統(tǒng)和安全態(tài)勢(shì)呈現(xiàn)子系統(tǒng)的功能及相關(guān)開源大數(shù)據(jù)工具.

隨著計(jì)算性能的提升和深度學(xué)習(xí)的發(fā)展，人工智能領(lǐng)域的研究工作取得了重大進(jìn)步.早期，傳統(tǒng)機(jī)器學(xué)習(xí)技術(shù)在解決網(wǎng)絡(luò)安全威脅中起到了至關(guān)重要的作用.然而，傳統(tǒng)機(jī)器學(xué)習(xí)算法對(duì)于特征提取的依賴對(duì)其在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用產(chǎn)生了一定程度上的制約，事先定義的特征識(shí)別和提取方法也會(huì)影響算法的準(zhǔn)確性和靈活性[9].深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的一種，它與傳統(tǒng)機(jī)器學(xué)習(xí)最大的區(qū)別在于深度學(xué)習(xí)無需前置計(jì)算提取特征.因此，深度學(xué)習(xí)為網(wǎng)絡(luò)安全攻防帶來了新的突破.目前，機(jī)器學(xué)習(xí)技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的相關(guān)研究主要包括高級(jí)可持續(xù)威脅攻擊、惡意軟件、網(wǎng)絡(luò)入侵、軟件定義網(wǎng)絡(luò)中拒絕服務(wù)攻擊的檢測(cè)等.此類研究可以支撐網(wǎng)絡(luò)安全防御防護(hù)大數(shù)據(jù)平臺(tái)中數(shù)據(jù)的分析和處理階段.

在傳統(tǒng)機(jī)器學(xué)習(xí)方面，最近鄰(knearest neighbor,k-NN)節(jié)點(diǎn)算法、支持向量機(jī)(support vector machines, SVM)、決策樹等技術(shù)都在網(wǎng)絡(luò)安全領(lǐng)域有著不同程度的應(yīng)用.Dada[10]提出了綜合最近鄰節(jié)點(diǎn)算法、支持向量機(jī)和基于異步式的原始對(duì)偶粒子群優(yōu)化算法(pdAPSO)的網(wǎng)絡(luò)入侵檢測(cè)方案.通過使用KDD99數(shù)據(jù)集驗(yàn)證，該分類機(jī)的準(zhǔn)確率可達(dá)98.55%.然而，此方法只關(guān)注了分類的準(zhǔn)確率，并沒有考慮到算法的效率和復(fù)雜度.當(dāng)今網(wǎng)絡(luò)中每時(shí)每刻都會(huì)產(chǎn)生海量的流量和數(shù)據(jù)，如果想通過傳統(tǒng)機(jī)器學(xué)習(xí)方法解決實(shí)際網(wǎng)絡(luò)安全問題，算法的性能至關(guān)重要.Hong等人[11]針對(duì)網(wǎng)絡(luò)流量檢測(cè)的準(zhǔn)確性和實(shí)時(shí)性提出了一種有助于縮短SVM訓(xùn)練過程的迭代調(diào)試方案.同時(shí)，通過迭代調(diào)試SVM的理論分析，作者提出了一套SVM調(diào)參的方法.該研究通過與另外8種基于SVM技術(shù)的分類機(jī)對(duì)比，證明此方法可在保持可接受的準(zhǔn)確率的同時(shí)提高訓(xùn)練速度2～10倍.

如前文所述，自動(dòng)的特征學(xué)習(xí)過程使深度學(xué)習(xí)技術(shù)可以對(duì)數(shù)據(jù)進(jìn)行更深層的挖掘，為其在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用帶來了優(yōu)勢(shì).深度信念網(wǎng)絡(luò)(deep belief network, DBN)是一種概率生成模型，包含多層隨機(jī)隱變量.深度信念網(wǎng)絡(luò)可以被視為受限玻爾茲曼機(jī)(restricted Boltzmann machine, RBM)的堆棧.深度信念網(wǎng)絡(luò)通過逐層訓(xùn)練的方式為整個(gè)網(wǎng)絡(luò)進(jìn)行初始權(quán)值選擇和微調(diào)優(yōu)化.Alrawashdeh等人[12]實(shí)現(xiàn)了基于深度信念網(wǎng)絡(luò)的異常檢測(cè)方法.該方法經(jīng)過DARPA KDDCUP’99樣本集驗(yàn)證，檢測(cè)率和誤報(bào)率分別為97.9%和2.47%.循環(huán)神經(jīng)網(wǎng)絡(luò)(recurrent neural network, RNN)用于處理序列數(shù)據(jù)，其特點(diǎn)在于引入了定向循環(huán)，通過將隱藏層之間的輸入輸出節(jié)點(diǎn)相連接，使神經(jīng)網(wǎng)絡(luò)可以記憶前一時(shí)刻的信息并應(yīng)用于后面的計(jì)算.Staudemeyer[13]實(shí)現(xiàn)了面向入侵檢測(cè)的長短期記憶循環(huán)神經(jīng)網(wǎng)絡(luò)(long short-term memory recurrent neural network, LSTM RNN)分類機(jī).該成果在檢測(cè)DoS攻擊和探針(probe)攻擊等時(shí)間關(guān)聯(lián)性高的網(wǎng)絡(luò)攻擊中優(yōu)勢(shì)突出.卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural networks, CNN)是一種常用的受人類視覺認(rèn)知機(jī)制啟發(fā)的前反饋神經(jīng)網(wǎng)絡(luò).CNN的一大特點(diǎn)在于將大量復(fù)雜、無標(biāo)記的數(shù)據(jù)進(jìn)行最小化預(yù)處理的同時(shí)有效保留數(shù)據(jù)特征，這使其在網(wǎng)絡(luò)安全態(tài)勢(shì)感知和網(wǎng)絡(luò)入侵檢測(cè)的應(yīng)用上很有前景.Yu等人[14]提出了面向網(wǎng)絡(luò)攻擊的增大型卷積自編碼(dilated convolutional autoencoders, DCAEs).該深度學(xué)習(xí)方法結(jié)合了自編碼堆疊和卷積神經(jīng)網(wǎng)絡(luò)的優(yōu)勢(shì)，可以從大量異構(gòu)且未加工的網(wǎng)絡(luò)流量數(shù)據(jù)中自動(dòng)學(xué)習(xí)識(shí)別高級(jí)可持續(xù)威脅攻擊、掃描、僵尸網(wǎng)絡(luò)、惡意軟件等特征.然而，深度學(xué)習(xí)對(duì)比傳統(tǒng)機(jī)器學(xué)習(xí)算法更易受到惡意攻擊的影響.利用帶有輕微偏差的對(duì)抗性樣本可導(dǎo)致深度神經(jīng)網(wǎng)絡(luò)的分類機(jī)制發(fā)生錯(cuò)亂.這種現(xiàn)象同樣吸引了很多研究者投入到深度學(xué)習(xí)安全的研究中.

對(duì)于本文提出的相關(guān)設(shè)計(jì)，目前，威脅檢測(cè)、態(tài)勢(shì)感知方面的研究及應(yīng)用如前文所述已較為成熟.然而，面向網(wǎng)絡(luò)安全事件應(yīng)急處置智能決策支持以及網(wǎng)絡(luò)安全架構(gòu)的智能優(yōu)化方面的研究和討論相對(duì)較少.

4 結(jié) 語

本文闡述了以大數(shù)據(jù)為依托的網(wǎng)絡(luò)安全綜合防御防護(hù)應(yīng)用體系，并引申出整套網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)的技術(shù)架構(gòu).從需求分析出發(fā)，本文提出態(tài)勢(shì)感知、應(yīng)急處置決策支持和網(wǎng)絡(luò)安全系統(tǒng)智能優(yōu)化3項(xiàng)功能要求，分析了網(wǎng)絡(luò)安全大數(shù)據(jù)平臺(tái)的業(yè)務(wù)需求和相應(yīng)的技術(shù)需求，并由此設(shè)計(jì)了平臺(tái)的技術(shù)架構(gòu).該平臺(tái)采取分層模塊化架構(gòu)，具有高可拓展性，結(jié)合例如工單派發(fā)、一鍵處理等操作模塊可有效協(xié)助監(jiān)管和運(yùn)維工作.

本文提出的大數(shù)據(jù)平臺(tái)設(shè)計(jì)應(yīng)用在規(guī)模較大的網(wǎng)絡(luò)中優(yōu)勢(shì)明顯，例如大型企業(yè)網(wǎng)絡(luò)、大型公共網(wǎng)絡(luò)等.此類網(wǎng)絡(luò)具有流量大、復(fù)雜度高、能力及資金支持度高等特點(diǎn)，使得大數(shù)據(jù)技術(shù)可以得到充分有效的發(fā)揮.平臺(tái)的應(yīng)用層可覆蓋網(wǎng)絡(luò)安全領(lǐng)域，從攻擊檢測(cè)、威脅感知、事件處理、知識(shí)庫構(gòu)建以及可持續(xù)反饋提高的全鏈條，實(shí)現(xiàn)更為全面、及時(shí)和智能化的網(wǎng)絡(luò)安全綜合防御防護(hù).