人工智能及大数据的网络安全态势感知研究
2021-03-07王晓娜李晓宇李芙蓉
◆王晓娜 李晓宇 李芙蓉
(北京北信源软件股份有限公司 北京 100081)
在网络安全管理中,必须全面注重策略求精问题。大部分技术人员在开展网络安全管理时,开始引入VPN 防御策略,以此强化网络防御能力。然而在具体防御控制过程中,没有有效融合响应、保护和监测方式,在出现复杂协同的网络攻击行为后,所发挥出的防御效果不佳。通过分析网络防御策略可知,首先,策略求精方法缺失。开展网络管理时,策略求精属于基础需求。主要应用VPN 策略求精、访问控制策略,无法有效融合IDS 检测和漏洞检测等防御方式,对防御效果的影响较大。其次,不具备语义建模法。通过语义一致性,可以提升语义建模的效果。在应用策略求精方法时,需要通过手工方式实现语义分析。然而由于缺乏自动化方法,因此无法进行语义建模,还会对网络防御目标的实现产生影响。再者,缺失语义一致性分析方法。针对策略求精来说,主要属于推理过程。但是在推理时,未将语义作为载体,严重影响语义一致性。尤其是分析语义一致性时,没有立足于概念和结构角度,无法实现语义一致性目标。此外,在应用策略求精方法时,有效性验证的难度比较大,无法发挥出智能技术和大数据技术在网络防御中的作用。
1 信息安全态势感知系统概况
企业管理信息安全时,多通过防御机制实现。利用防御、修复方式,能够对网络安全进行渗透式测试,同时评估网络风险,尽早找寻出信息系统漏洞,通过科学有效措施修补漏洞。当发现攻击行为时,必须及时分析网络流量、设备日志,找寻网络攻击阻止方式。在应用防御措施时,必须投入大量时间和精力,相应增加心理波动。面对不同类别的信息安全,企业必须应用威胁情报技术、大数据技术、人工智能技术,建立信息安全态势感知系统。系统核心在于应用网络安全数据,准确分析企业内部信息安全风险,同时掌握企业现存危险,明确信息安全态势。网络安全数据,包括互联网漏洞数据,威胁情报数据等。信息安全态势感知系统,可以有效联合企业外网数据与内网数据,准确判断现存攻击,同时参照资产脆弱度方面,利用风险评估模型,对网络系统风险进行评估。注重传输风险因素,到达威胁态势模块,此时会暴露出风险。因为网络攻击较为高级,攻击事件长,必须准确检查企业内网历史数据,寻找潜在风险隐患,利用态势模块展现。系统运行时,涉及较多监测搜索数据,同时要做好分析判断,注重科学运算。因此,该系统需要建立分布式计算核心平台。
2 网络安全态势感知系统的关键技术
网络态势感知系统,涉及数据采集技术、数据预处理技术、数据存储与检索技术、数据分析技术。具体分析如下:
2.1 数据采集技术
对于数据收集来说,数据层埃及量非常多,例如Web 服务日志、防火墙日志、安全情报数据。其中,安全情报数据,可以通过系统识别与应用。安全情报数据,借助于云服务器,能够更新相关内容。基于现状发展可知,安全情报、数据支持无权威性数据。
针对部分大型企业,由于数据流量较高,因此需要收集较多新内容。网络流量镜像数据采集难度大,必须全面提升探针容错性,加强数据采集能力。利用测试,对系统予以优化。利用千万兆网络,实时采集网络数据,通过分光器镜像、网络端口镜像,将收集数据传输到分析平台,便于分析数据信息。该项技术牵扯到行为特征分析、自动关联,端口匹配。端口匹配,遵循标准对应关系,利用传输控制协议、无连接传输协议的端口识别,加快检测速度。但是在应用期间,极易被伪造和攻击。因此,在端口检测结束后,必须科学分析数据。对于流量特征检测,涉及未公开协议流量识别、标准协议流量识别。其中,标准协议流量识别,对信息、命令做出特殊要求。在分析检测中,准确核对特有字段、状态,确保流量识别的准确性。对于未公开协议流量识别,通过逆向分析协议法,实行解密处理,科学分析报文内特有字段,确保流量识别准确性。针对自动连接关联,因网络传输容量持续增加,利用单个连接传输所有数据,已经远远不能满足实际需求。此时需要通过行为特征方法做好分析,密切监测数量流量链接个数、上下行流量比例、数据发送频率,准确识别数据流量。
2.2 数据预处理技术
网络安全态势感知系统,主要应用大数据技术处理数据,按照预先设计流程,确保数据处理的可靠性与精确性。在大数据技术中,Stream 框架为分布式处理,扩展性较强。当集群节点比较多时,就会相应提升并发处理能力。在处理数据时,对于数据归一、情报知识库的依赖性强。数据归一,主要为流量数据、设备信息。系统利用正则表达式,能够进行归一化处理,同时将数据转化为常用数据,做好深层次分析和研究。针对情报知识库,利用情报库、知识库关联数据,同时提供数据参考。
2.3 数据库存和检索
安全态势感知系统,能够应用到海量数据检索中。利用搜索引擎搜索,可以实现分布式全文搜索。在搜索中,可以将分类、名称、内容作为搜索词。
2.4 数据分析
在分析数据时,挖掘数据中潜在风险,全面做好安全防范处理工作。在此期间,可能要应用到机器学习重沙箱技术、反病毒查杀技术、恶意代码智能检测技术、自动化数据处理技术。对于恶意代码,则以常规软件、恶意软件作为样本,建立人工智能引擎,深入分析不同软件的特征,同时建设可识别恶意软件的模型,确保恶意软件识别的准确性。对于反病毒查杀技术,在现有技术上优化,确保病毒信息、数据信息识别的准确性。针对机器学习、重沙箱技术,因系统数据采集、处理能力较强,需要高度依赖机器学习、关联分析技术,确保数据筛选的准确性,同时提取重要信息,传输至人工运营团队。对于自动化数据处理技术,态势感知系统为智能化平台,需要依赖人力操作,需要为专业人员提供综合化、可信度较高的数据。建设数据自动化处理平台,通过全貌特征,跟踪攻击者,及时发现潜在威胁,生成可用的威胁情报。
3 人工智能与大数据技术在网络安全态势感知中的应用
3.1 建立防御策略模型
在应用策略求精关键技术时,首先应当建立模型。此次研究采用三维模型建立方式。在建立模型时,必须应用系统思想、方式技术和网络知识,通过不同方式的相互配合,可以全面确保系统工程的安全性。联合安全机制,可以明显提升数据库性能、信息完整性、计算机设备性能。在应用策略求精技术时,必须确保网络信息满足精益化发展。为了实现以上发展目标,必须提升高层防御策略实效性。在应用期间,以服务资源要求作为基础前提,在节点端口位置,获取系统安全参数。如果改变参数,则无须特殊处理,能够直接优化配置。需要注意的是,在参数配置中,涉及海量数据包、接口数据,同时牵扯到语法变换。在建立模型时,必须充分考虑到上述内容。
此次研究过程中,基于CNDPR 模型开展研究,将策略求精概念应用到具象化处理中。生成防御策略后,可以将其用到设备节点中,并且以可执行策略规则形式存在。通过应用该模型可以表现出明显的主动特征,以此改变系统状态。从形式上,可以将模型构成主体划分为主体和节点,节点需要采用节点名称、IP、掩码方式生成用户名和口令,同时改变计算机信息流。针对主体形式,主要为相同特征主体。分析系统的实际应用可知,相同特征的主体集,能够体现出角色特征综合体。且不同角色权限,具备较强的关联性。针对该类综合体,需要应用不同表达式进行描述。
3.2 建立模型安全体系
重视网络安全运行状态分析,建设模型安全体系。在建设体系时,应当全面分析和掌握计算机特征、网络运行状态,增强技术应用合理性,全面提高人工智能技术、大数据技术的安全性能。模型安全体系建构时,高度重视防御策略模型。采用三维立体化概念,模型建立涉及X 轴、Y 轴、Z 轴,其中,X 轴主要是描述系统安全特性;Y 轴:主要描述网络层、应用层、物理层、传输层、数据链路层;Z 轴主要是描述物理环境,包括信息网络、信息处理、安全管理。确保模型合理的同时,全面提升安全防御效果。在建立模型期间,技术人员必须考虑到网络安全问题,增强模型和用户要求的吻合度。
4 结束语
综上所述,现代企业生产经营期间,必须全面保障企业内部信息安全,通过信息管理技术和管理措施,本文重点研究和分析大数据存储、人工智能技术,优化设计态势感知系统,同时介绍数据采集技术、信息安全保障技术、数据存储技术。因受到多种因素影响,研究内容限制比较大,能够促进信息安全发展,优化感知能力。