龚涛

摘 要 隨着信息时代的不断发展，网络的开放性、互联性及共享程度也在不断提高，于是来自于外部的各类攻击致使网络安全和管理问题日益突显，面对这些重大的挑战，仅依靠人员的管理已无法满足需求。而人工智能技术的发展及应用领域正在逐步扩大，并在信息处理上拥有强大的分析能力，所以运用人工智能技术来解决网络安全问题就有了很大优势。为此，本文将针对人工智能在安全领域中的应用展开研究与讨论。

关键词 人工智能;分析;攻击;联动;处置

1计算机网络安全面临的主要威胁

随着网络技术的不断进步，网络安全面临的威胁也呈现出多种多样的形式。计算机网络安全主要面临的威胁可分为五种情况，分别为：人员疏忽、人为攻击、软件漏洞、非授权访问及信息泄露丢失。人为疏忽主要是由于操作员安全配置不当、安全意识薄弱等原因造成。人为攻击又分为主动攻击与被动攻击两种形式，主动攻击包括拒绝服务攻击、信息篡改、资源使用等方法，有选择的破坏信息完整性，而被动攻击主要目的是为了收集信息，比如截获、窃取、破译等。软件漏洞几乎是不可避免的，这也常常成为黑客攻击的首要目标。非授权访问主要是指没有经过同意的前提下擅自使用网络或计算机资源，主要包括假冒、身份攻击等。信息泄露丢失就是指一些敏感信息有意或无意的被泄露出去或是丢失掉，近年来，信息泄露情况十分严重，甚至出现大量用户个人信息被叫价出卖的情况。总而言之，计算机网络安全所面临的威胁也与我们的生活息息相关，网络安全生态圈也要进一步找到更高效的对应措施[1]。

2数据分析的前期准备

2.1 数据采集

通过分布式数据收集平台，支持Syslog、SNMP、JDBC/ODBC、FTP/SFTP、TCP/UDP、File、Web service等多种采集方法。应适配多种数据源，但着重采集安全类数据，应包括安全设备日志、安全合规日志、威胁情报信息以及安全运行数据。

2.2 数据标准化

事件采集后通过一定的解析方式将所有字段根据预先定义好的相关标准格式进行匹配，数据标准化都在采集过程实现，通过采集器接口汇总采集的各类数据信息会产生实时数据流，该数据流将经过ETL处理过程后进入分布式消息总线。ETL过程包括数据清理/数据过滤、数据标准化、数据标签、数据关联。在整个治理过程中应具备强大的处理能力，保证数据的时效性。

2.3 分布式消息订阅

分布式消息流平台可支持多种应用场景，比如：活动跟踪、传递消息、度量指标、日志记录、流式处理。具有五个特点：高吞吐、低延迟;高伸缩性;持久性、可靠性;容错性;高并发。分布式消息总线需支撑后续的集中数据入库和数据的分发订阅，人工智能即可结合分布式消息系统，快速地从数据中读取数据进行分析[2]。

3人工智能在网络安全中的应用

3.1 人工智能分析

目前AI前期的很大一部分工作都需要人工完成，必须人工建模、人工贴标签，人工引导自主学习，等人工将模型训练到一定程度，才可能实现自我训练和深度学习。

人工智能中机器学习的算法分为三类：有监督学习、无监督学习、增强学习。有监督学习需要标识数据（用于训练，既有正例又有负例），无监督学习不需要标识数据，增强学习介于两者之间（有部分标识数据）。因此，算法的分类主要还是有监督和无监督。有监督学习类中朴素贝叶斯分类可以更好地运用到此应用场景中。朴素贝叶斯分类是一族基于贝叶斯定理和特征之间的强独立性（朴素）的简单分类器。显著特点是方程式—— P（A|B） 是后验概率，P（B|A） 是似然概率，P（A） 是类的先验概率，P（B） 是预测的先验概率。

目前，该算法主要用于解决如下问题：标记一个电子邮件为垃圾邮件或非垃圾邮件;将新闻文章分为技术类、政治类或体育类;检查一段文字表达积极的情绪，或消极的情绪;用于人脸识别软件。

朴素贝叶斯分类算法在网络安全方面也有着很好的应用前景，它能够根据攻击者IP地址、攻击行为或者攻击方式能够准确进行分类，将相关的特征、关键信息存储起来做学习样本，后续由程序自学习并建立未知攻击手段检测分析模型，并记录本地专家系统数据库，除此之外选择合理的处置方法。

3.2 人工智能处置

处置也是整个应用场景不可获取的一部分，对于防护手段来说，网络层面的阻断连接是最有效的方式。

基于人工智能的特点，将各网络出口进口的防火墙授予一定的权限给分析模型，分析模型可按照原生防火墙的命令集发起指令，类似于SMP的防火墙策略下发，将攻击源IP、目的IP、目的端口等基本参数仿照ACL的语法传输指令至防火墙实现攻击源的封堵，利用朴素贝叶斯分类算法可分为以下4个处置场景：

（1）获取全球威胁情报库，对于高威胁的IP地址优先进行防火墙联动封堵攻击源地址，并记录攻击相关特征。

（2）通过朴素贝叶斯分类可将攻击等级进行分类，攻击源地址进行分时长的灵活封堵，攻击等级越低封堵时长越低，相反攻击等级越高则封堵时间越长。第一次攻击后予以2小时的封堵时长，阻断攻击者IP对所有防护范围服务的访问，并记录攻击相关特征。

（3）第二次攻击时检测到相关特征直接进行阻断，由此通过上一个学习样本进行自动处置，并记录攻击相关特征。

（4）第三次攻击时，攻击者换了一种入侵方式，但由于源IP地址无变化，人工智能将识别到源IP地址为“高威胁IP地址”，再次进行处置，同时上报攻击者的IP地址和攻击手段至云端威胁情报库供全球分享[3]。

4结束语

网络的迅速发展方便了人们的生活，但也为我们造成了许多困扰，各种入侵手段层出不穷，如果单单只依靠传统的防护方法，肯定已经远远不能满足现实需求，所以找到一些新型处理方法是我们的首要目标，这样才能更加高效地解决网络安全问题。由于人工智能的分析、学习等能力显著，网络安全与人工智能相结合必定成为一个重要的研究方向，其智能化、自动化等特征为建立IDS系统提供了有效的途径。

参考文献

[1] 谢铭.基于人工智能的电网信息安全工作分析[J].中国科技投资，2019（2）：63-64.

[2] 马秀荣，王化宇.简述人工智能技术在网络安全管理中的应用[J].呼伦贝尔学院学报，2005，13（2）：65-66，83.

[3] 袁媛.人工智能与网络安全[J].内江科技，2009（12）：103.