冯政鑫 ，唐 寅 ，韩 磊 ，吴 锡

(1.成都信息工程大学 计算机学院，四川 成都610225；2.北京计算机技术及应用研究所，北京100854)

0 引言

当前，大数据、云计算、物联网等前沿技术飞速发展，海量数据从不计其数的网络接入点、联网设备以及网络应用中产生，这使得网络空间安全面临着巨大挑战[1]。每天，大量的告警信息从安全设备中产生，而目前安全事件响应主要还是依靠安全分析人员完成，事件处置严重依赖个人经验[2]。目前凭借人力已经难以从海量的安全数据、告警信息中迅速分析以及追踪溯源各种安全事件，并对其及时处置。其次，在日益复杂的网络环境下，安全管理人员的决策结果往往也存在一定的局限性[3]。面对新的网络环境和安全形势，需要研究和配备更加智能的防护手段。由此本文开展了网络安全智能决策系统的相关研究，旨在根据网络当前面临的安全态势情况，智能化地进行决策，自动化地实现事件的响应。本文将时间、空间等多维准则引入决策过程，提出了网络安全智能决策系统(Intelligent Decision-making System for Cyber Security，IDSCS)的整体架构和层次化模型，设计了系统中的网络安全智能决策引擎(Intelligent Decision-making Engine for Cyber Security，IDECS)，对网络安全智能决策系统的实现和部署具有重要意义，为进一步提升动态安全防御能力提供了新的解决思路和技术方法。

1 智能决策支持技术概况

解决在安全决策和安全事件响应中人力的局限性和低时效性，同时驱动从感知到决策再到响应的闭环安全防护系统的建设，关键在于如何基于当前安全状态信息进行准确、高效的安全策略或方案的选择，即如何智能化地进行安全决策。

传统决策支持系统主要依据运筹学理论方法，采用定量分析模型，在解决定性问题和模糊推理等方面有一定的缺陷[4]。智能决策支持系统(Intelligent Decision Support System，IDSS)中通过引入智能数据处理理论与方法，使定量分析模型中的一些问题得到了解决，使决策支持系统具有更好的学习、发现和使用知识的能力以及更高的智能性。IDSS 可用于实现情报处理和方案确定等的辅助决策支持[5]，其一般组成结构如图1 所示。随着社会节奏的加快，企业或组织所面临的内外部环境更加复杂，业务问题呈现非线性、不确定性、多维化和实时性等特点。此时继续使用传统IDSS 方法，利用局部数据进行决策分析已经难以获取高质量的决策效果[6]。

以神经网络、深度学习为基础的智能决策技术采用并行推理，可以实现更加高效的决策方法。从知识处理的角度来看，传统智能决策支持系统侧重于逻辑思维，神经网络更侧重于经验思维，这导致它们在很多方面具有不同的特性。表1 将传统智能决策支持系统与基于神经网络、深度学习的智能决策技术的特性进行了对比，可以发现后者在并行推理、模糊数据处理、自适应能力、容错能力等方面显示出了明显的优越性。

神经网络对于输入输出变量数目没有特定的要求，具有处理速度快、预测精度高、非线性映射能力强等主要特点，目前已经被广泛应用到行为决策研究中[7-9]。

图1 IDSS 组成结构

表1 传统专家系统决策技术与最新智能决策技术特性对比

基于神经网络、深度学习的智能决策技术和方法的不断发展，为优化网络安全场景下的智能决策问题提供了技术支持。虽然它们支持非线性、模糊推理，具备自适应和学习能力，但目前也只适合解决一些规模较小的问题，对于网络安全应用的复杂环境中的感知状态信息和动作空间很容易产生状态爆炸，决策方法的性能在很大程度上受到限制，所以研究切实可行的网络安全智能决策方案迫在眉睫。

2 网络安全智能决策的提出

“网络安全智能决策”这一概念首先由绿盟科技天枢实验室提出[3]。他们指出网络安全智能决策的目标是根据当前的网络环境以及历史经验，在一定时间内实现对安全事件的响应。

自动驾驶是目前具有完备的决策流程、丰富的技术经验及成熟的实际产品的研究领域之一。在一个典型的无人驾驶系统中，整个技术架构常被划分成三部分，即环境感知、决策规划以及运动控制[10]。通过这三个环节能够使车辆结合周围环境信息，实现自动驾驶行为。绿盟科技以自动驾驶领域的技术路线为引导，以自动驾驶决策类比安全决策，提出了网络安全智能决策的大体功能结构，如图2 所示。

通过将网络安全智能决策过程解耦为“战略-战术-过程”三个层次，形成了“攻击理解-行动决策-动作执行” 的技术方案，为网络安全智能决策系统(IDSCS)的研究提供了一定的参考。

3 网络安全智能决策系统

自动驾驶领域的技术路线对网络安全智能决策具有一定的参考价值，但由于两者在数据采集、环境感知、决策规划以及任务分解等方面仍存在着大量的差别，故仍需做出定制化的处理，网络安全智能决策的最终实现也必须落实到系统的研究和设计层面上来。

结合相关研究与以上分析，本节提出了网络安全智能决策系统的整体架构，并对架构中的核心部件智能决策引擎(IDECS)进行了详细描述，最后考虑到分布式大规模的网络环境，设计了层次化的系统部署架构。

3.1 IDSCS 整体架构及工作原理

网络安全智能决策系统需要对所面临的不确定性威胁攻击进行智能分析并开展主动防护，决策的安全机制和服务需要动态自适应实际网络环境的复杂多变。本文设计的网络安全智能决策系统的整体架构如图3 所示。

图2 绿盟科技网络安全智能决策功能结构图

IDSCS 基于人工智能的决策支持以及安全策略分解，能够基于当前网络安全态势信息，以安全防护目标为基本依据，进行安全智能决策和自动安全策略分解与下发。

态势感知系统能够识别出网络中存在的各类异常活动，为IDSCS 提供输入支持。通过将来自于保护对象和安全资源中的安全数据进行融合处理，实现对系统的背景状态及活动语义的提取，从而形成态势数据[11]。中间智能决策引擎(IDECS)是智能决策系统的“大脑”，其基本组成结构和工作原理将在3.2 节中进行详细描述。它依赖于态势感知系统收集感知信息作为输入，以逻辑安全目标为基本依据进行决策，在决策过程中借助已有知识库去学习各种不同环境下对应的处置操作，最后输出分解策略和与之相关安全设备执行节点信息给联动响应系统。联动响应系统主要进行策略的响应执行[12]，执行后的结果可以为系统提供信息反馈，对信息的再输出起到控制和影响的作用。在下一次决策之前，智能决策系统会评估当前所感知安全态势信息的状态下，所分解执行的策略在执行后对系统环境的影响，然后根据该评估的结果确定响应执行的价值。通过对该策略响应执行价值和智能决策对其的期望值两者之间的比较来调整策略的选择，从而实现整个决策过程的自动化，包括方案选择的自动化以及效果跟踪、评估与反馈的自动化。

IDSCS 整体架构集态势感知系统、联动响应系统于一体，构成了“感知-决策-响应”的安全防护闭环。

3.2 智能决策引擎IDECS 及其工作原理

智能决策基于转换的机器能识别的数据，依赖多智能体决策信息支持技术[13]提供智能和自适应能力。IDECS 是IDSCS 的核心部件，通过安全策略自主选择与安全策略自动分解两个步骤完成决策，基本结构如图4 所示，主要由以下三个部分组成：

图3 网络安全智能决策系统（IDSCS）整体架构

图4 网络安全智能决策引擎（IDECS）基本结构

(1)注意力网络

在一些问题当中，输入的某些部分可能会比其他部分对决策更有帮助[14]。从不同信息源得到的观测信息，往往也只有部分起到关键作用，另一部分则如同噪声，会干扰系统的正常决策。基于此，决策引擎首先需要对不同的信息进行区分，筛选出系统中潜在的威胁信号。注意力网络对于传感器的感知信息进行筛选(输出信源S 中事件级别特征)，动态关注不同时刻引起系统威胁的主要因素，进而辅助后续系统的决策。

(2)通信网络

该网络用来实现节点之间的协作，完成不同节点之间信息的传递。经过该网络，完成当前节点的信息和与之相关的其他节点信息的整合，这里的节点即为网络安全行为空间中的设备或服务。

(3)基于RNN 的复杂动作决策网络

系统在做出决策时，往往需要考虑前一时刻节点的状态和相关信息，并将其作为输入之一，辅助当前时刻的决策。循环神经网络(Recurrent Neural Network，RNN)能够高效处理序列数据，此处引入RNN 用于输出节点的动作信息。考虑到端到端的系统设计，网络输出包括系统当前节点的类型、命令以及该命令需要接收的参数，其对应安全行为空间中的分解动作与执行节点，即任意节点的动作。

通过设计注意力网络，系统可以动态地学习不同时刻对当前决策起到决定作用的状态信息。信息经过注意力网络的筛选传递到不同节点中，这个过程需要不同节点的相互配合，通信网络可以辅助完成设备的控制，实现不同节点之间的信息传递。决策网络接收前一时刻以及当前时刻的系统状态信息，进行综合决策，决策过程基于逻辑安全目标，输出针对当前安全感知状态的单个最优联动动作集，即多个执行动作的组合，为后续自动安全策略分解提供输入。自动安全策略分解基于决策引擎输出结果进行策略分解并选中可用的安全资源的可执行节点。节点动作输出是一个层级的结构，包括节点的类型、命令以及当下命令的相关参数，用作联动响应系统的输入。

图5 IDSCS 层次化部署架构

3.3 分布式大规模网络中IDSCS 层次化部署架构

前文提出了智能决策系统的整体架构，设计了智能决策引擎，为解决实际问题提供了技术思路。但在实际网络应用下，还需要将IDSCS 结构进一步拓展，形成层次化的框架，以满足分布式大规模网络结构的需求。

参考智能安全防护软件自主决策系统的相关研究[15]，在分布式大规模网络结构下，IDSCS 也应当具备分散配置和易拓展等特点。为了能够兼顾不同目标及不同粒度的决策需求，需要将决策过程嵌入到不同层次中，形成层次化的结构，达到兼顾目标节点和网络整体安全的目的。另外，在应用于大型网络时，IDSCS 还应可以进一步扩展。

由IDSCS 的基本结构和功能特点结合以上分析，本文设计了IDSCS 的层次化部署架构，将整个系统划分为底层、中间层和顶层的三层结构，如图5所示。

IDSCS 顶层负责网络的整体安全监测，部署在网络安全管理中心。顶层中主要包括态势感知系统，它基于底层传感器收集的感知信息，对网络安全态势进行分析及预测，识别出存在的各类网络活动以及其中异常活动，将信息整合处理后传递到中间层。

若干部署在不同安全域的IDECS 构成了中间层。它基于来自顶层的综合态势信息进行智能决策，输出安全分解策略及相关信息，将其下发到底层。安全策略能够高效执行是底层快速响应的前提。如将具有同等保护级别和相同安全需求的网络设备、安全设备以及其他系统等划分到同一个安全域[16]。这样便于安全策略的执行，有利于设备的协同联动。

底层部署在安全防护实体中，包括安全子域中的安全防护设备以及其他重要设备。底层主要由传感器、底层决策模块以及联动控制模块构成。传感器接收来自高层的信息订阅需求，采集所需信息上传至高层进行安全态势分析。当中间层下达决策策略后，安全防护实体中的联动控制模块会判断策略中的节点类型、命令以及其他参数是否满足自身条件，若满足则向设备发送控制命令以执行相应的响应动作。底层决策模块是针对节点严重异常情况的决策，主要由一系列事先指定的策略构成。严重异常如系统崩溃、攻击引起系统死机等，遇到此类情况底层决策模块可以自主调用对应的安全策略如重启防护模块、重启系统、提高防护等级等，进行反射式策略决策。

经过层次化的结构设计，使得IDSCS 能够兼顾不同粒度的决策需求。通过将整个系统分散配置到不同的位置，能够最大程度地发挥各个部件的作用，同时使得系统消耗大大降低。层次化的分散配置也使得系统的拓展变得更加容易，能够满足分布式大规模网络的部署需求。

4 结论

本文在网络安全智能决策最新研究的基础上提出了网络安全智能决策系统整体架构与智能决策引擎，采用了机器学习决策手段，相比传统决策技术具有更强大的自主学习、数据处理以及逻辑推理等能力；通过对态势感知、联动响应以及其他相关部件的引入与设计，使得机器学习决策手段能够深度融入网络安全决策，形成“感知-决策-响应”的安全防护闭环。这为解决人力在面临海量安全数据时决策的局限性、安全事件响应速度慢以及处置不及时等问题提供了新的解决思路，对进一步提升动态安全防御能力具有重要意义。