对基于人工智能的信息网络安全态势感知技术分析
2020-12-30胡庆伟
◆胡庆伟
对基于人工智能的信息网络安全态势感知技术分析
◆胡庆伟
(中国人民解放军66295部队 河北 072750)
为保障信息时代背景下的信息网络安全,各企业需要通过多种防护手段提升网络安全防护能力,保护信息隐私不受侵犯。本文将以人工智能为重点,从核心技术以及其他具体技术等方面对信息网络安全态势感知技术进行详细阐述,希望能够为从事相关工作的人员提供一些工作思路。
人工智能;安全态势;数据采集;数据预处理
面临愈加频繁的网络攻击,将人工智能应用至信息网络安全体系中势在必行,利用人工智能高效的信息收集与处理能力以及高精度的判断能力,能够实现将网络攻击成功阻截的目的,因此应当梳理并明晰其中所蕴含的态势感知技术,进一步增强信息网络的安全性。
1 基于人工智能的信息网络安全态势感知核心技术
(1)预测态势算法
预测态势主要是指利用感知系统对当前信息现状的调查,对于所预测内容的主要有关因素进行分析,并结合一定的历史资料、预测经验以及科学的方法理论对未来一定时期内可能出现的安全态势变化进行预测。目前,基于人工智能展开的安全态势预测方法主要分为以下两种:第一是专家系统预测方法,是指一种利用人工智能模仿特定领域内的人类专家的思维来对安全态势进行预测,此种预测方法需要一个具备丰富专业知识与人类预测经验的智能专家系统,能够求解较为复杂的问题,此预测方法具有易于理解、避免过于繁复的计算、逐渐丰富自身预测经验使预测精准度不断提升等优势;第二是人工神经网络的预测方法,目前所应用的人工神经网络模型包括BP网络、RBF网络、Hopfield网络等,人工神经网络虽然在近年来与小波分析、粗糙/模糊集、灰色理论以及遗传、进化、免疫等算法工具相结合取得了比较好的应用效果,但是仍旧存在局部最优解的问题,即在面对优化问题时,由于问题过于复杂,所需考虑因素较多,难以在短时间内完成全局最优解,导致优化结果倾向于局部最优解的现象[1]。
(2)表征态势指标体系
在对信息网络安全态势进行预测时,需要制定出一套完整的指标体系,以此指标体系为基础为人工智能进行态势预判时提供参考标准,并得出合理预测结果,所以此指标体系其实是人工智能工作的依托。目前所应用的指标体系中主要包括以下三类指标:第一是基础运行指标,是表征当前网络性能、传输设备负载、物流环境的一系列指标,代表着当前企业所具备的基础设施的基本情况。第二是网络威胁指标,该指标能够直接反映出网络中所潜在或已经出现的威胁,如病毒、垃圾邮件、钓鱼网站等,同时还能反映出网络被恶意攻击的程度和次数,如攻击强度、挂马密度等指数,人工智能可依据此指标。第三是网络脆弱性指标,表征的是网络整体上漏洞和脆弱性的情况,通过检测DNS服务器、核心路由器等关键设备的健康指数为安全态势预测提供基础数据。人工智能系统可依据此三项指标的检测结果为安全态势感知提供大量数据参考,既能够使系统识别危险难度减小,又能够使企业的信息网络问题反映更加直接,提醒技术人员及时对企业信息网络短板进行完善,使问题处理更加高效,令人工智能在安全态势感知方面的作用更加突出。
2 基于人工智能的信息网络安全态势感知具体技术
(1)数据采集阶段
对防火墙日志、Web服务日志等信息进行采集能够为态势分析提供基础数据,要求是所收集数据能够被系统所识别并借助云服务器实现数据更新。由于网络信息较多使流量镜像数据的收集难度较大,所以可以依靠一些技术手段降低收集难度,主要技术包括以下四种:第一是端口匹配技术,当前时代网络发展时间已长达几十年,在网络协议不断发展的过程中形成了一系列标准协议规范,在此类规范中不同的协议类型所使用的端口相对固定,所以根据此现象以及相关标准能够实现端口快速识别,检测效率较高[2]。第二是流量特征检测技术,此技术共有两种检测方式,分别针对标准协议流量与未公开协议流量,前者所包含的命令、状态迁移机制等信息都有明确的专有字段和状态,系统能够直接且准确的进行识别,而后者则需要通过逆向工程对协议机制进行系统分析,对特征字段进行解密后方能识别该流量。第三是自动连接关联技术,为避免单个链接完成所有任务的模式弊端,当前很多协议开始采取应用动态协商端口的方式进行数据传输,即通过控制链接上的报文信息自动关联至数据传输链接以进行数据还原。第四是行为特征分析技术,此技术主要针对部分难以还原的数据流量,对于此类流量将利用链接的连接数、上下行流量等统计特征对数据流进行简要区分。
(2)数据预处理阶段
由于此感知技术基于人工智能所发展,所以能够运用大数据对所采集信息进行预处理,降低数据的后续处理难度。此技术主要运用了大数据技术中的Stream框架,此框架具备数据处理速度较快、扩展性与并发处理能力较强的优势。在具体的预处理活动中,将涉及以下几点内容:第一是数据归一,在Stream流中,系统将所收集的包括日志信息、数据流量等内容在内的数据进行统一处理,通过将其进行转化的方式使其适应系统应用方式,并作为系统进行后续分析的数据元。第二是情报知识库的关联,通过将情报库与知识库相关联的方式使企业获取到自身进行安全态势分析所需的支持信息,目的同样是为系统后续分析提供数据基础;第三是数据归并,系统通过计算分析引擎按照预置的事件流程框架将数据进行归并,在此活动中将所有事件处理完成后归纳进引擎入口并结合历史数据中的内容分析出此数据流中是否存在异常,从而触发警报。
(3)数据存储与检索阶段
由于信息网络中所存储的信息量异常庞大,所以系统在对大量数据进行检索时一般可以借助搜索引擎来完成,比如Elastic Search引擎,此搜索引擎能够实现分布式全文搜索,与企业内的云计算环境非常契合。具体搜索模式为在系统平台对信息进行处理与计算等操作后,将数据保存至分布式搜索引擎的索引文件中,再将各类型数据以时间、名称、内容等为标准进行分类存储,并提供出索引字段,以提供数据快速检索功能。另外,将索引以多个分片和多个副本的形式存储于分布式文件系统中,既能够有效实现对近期录入数据的近似值查询,通过相类似信息佐证所查询信息的真实性,保障数据可靠性,又能够使系统中的TB级数据索引时间缩短至秒级,大幅度提升索引性能[3]。
(4)检测分析与处理阶段
在经过上述阶段处理后,仍旧需要通过多种技术对数据进行深入分析与挖掘,发现其中的潜在风险。主要应用技术有以下四种:第一是恶意代码智能检测技术,通过对大量的正常软件与恶意软件样本进行分析比对,挖掘出两类软件的本质特征,并以此为基础建立机器学习模型,得到恶意软件识别模型,从而发现更多恶意程序。第二是广谱反病毒查杀技术,此技术是原有反病毒查杀技术的一次升级,其可靠性得到了极大提高;第三是机器学习技术,即利用机器强大的学习能力对海量信息数据进行筛选得到关键数据,并将其输送至人工团队进行分析;第四是自动化数据处理技术,虽然态势感知技术以人工智能为依托,但仍旧需要以人为中心进行数据分析,利用使用自动化数据处理技术分析潜在威胁与人工干预相结合的方式能够在最大程度上强化分析结果准确度。
3 总结
总而言之,当前此技术手段仍旧处于初步发展阶段,存在较多技术难题有待攻克,通过以上几部分对其中存在的具体技术内容进行梳理,有助于降低我国更多企业引进此感知系统的难度,并利用此技术对企业所面临的威胁进行风险评估,检测企业风险状态,使企业始终处于安全保护之下。
[1]王小鸿.基于大数据和人工智能技术的信息安全态势感知系统研究[J].大众标准化,2019(14):18+20.
[2]孟繁玉.网络安全态势感知与人工智能[J].中国信息界,2019(04):89-91.
[3]郑艳芳.人工智能应用与分析技术在信息安全态势感知体系的研究和实践[J].数字通信世界,2018(04):221.