网络安全态势感知与人工智能

网络安全态势感知与人工智能

林彩杏

身份证号：445323199105280925

摘要: 面临愈加频繁的网络攻击，将人工智能应用至信息网络安全体系中势在必行，利用人工智能高效的信息收集与处理能力以及高精度的判断能力，能够实现将网络攻击成功阻截的目的，因此应当梳理并明晰其中所蕴含的态势感知技术，进一步增强信息网络的安全性。

关键词：网络安全；态势感知；人工智能

1网络安全态势感知现状

采集和分析各种异构的传感器安全事件，进行汇总、分析、处理，以直观的方式呈现，方便管理者把握复杂、多变的安全态势是态势感知的核心工作。但是，目前实现网络安全态势感知还存在一些困难，主要体现在以下几个方面：（1）精简复杂事件，提炼出有效信息，降低误报率是网络安全态势建模的主要问题。（2）不同传感器对攻击活动定义的呈现方式存在差异，在琐碎的告警信息中将同类信息进行相互的关联是个重要问题。（3）传感器产生的告警数据繁多，但是针对告警的处理知识却很少，主要通过专家库规则来进行，通常无法满足需求。

2 基于人工智能的信息网络安全态势感知具体技术

2.1态势感知技术架构

采集网络安全态势感知平台数据包含了网络防御链当中的各项安全数据信息。首先,威胁信息收集,将这些信息要集中储存起来,并且创建出安全数据库。其次,根据安全规划和分析算法以及安全模型等全方位分析所创建的数据库中的安全问题。然后,借助于大数据来分析已经知道的网络威胁情报数据。最后根据威胁情报数据分析出应该怎样预警与感知网络安全风险问题,以及应该怎样应用可视化态势的系统。从上述防御链当中能够分析出,网络态势感知技术总体架构分为三个层面,并且这三个层面之间相得益彰,互成体系。

2.2数据采集阶段

对防火墙日志、Web 服务日志等信息进行采集能够为态势分析提供基础数据，要求是所收集数据能够被系统所识别并借助云服务器实现数据更新。由于网络信息较多使流量镜像数据的收集难度较大，所以可以依靠一些技术手段降低收集难度，主要技术包括以下四种：第一是端口匹配技术，当前时代网络发展时间已长达几十年，在网络协议不断发展的过程中形成了一系列标准协议规范，在此类规范中不同的协议类型所使用的端口相对固定，所以根据此现象以及相关标准能够实现端口快速识别，检测效率较高。第二是流量特征检测技术，此技术共有两种检测方式，分别针对标准协议流量与未公开协议流量，前者所包含的命令、状态迁移机制等信息都有明确的专有字段和状态，系统能够直接且准确的进行识别，而后者则需要通过逆向工程对协议机制进行系统分析，对特征字段进行解密后方能识别该流量。第三是自动连接关联技术，为避免单个链接完成所有任务的模式弊端，当前很多协议开始采取应用动态协商端口的方式进行数据传输，即通过控制链接上的报文信息自动关联至数据传输链接以进行数据还原。第四是行为特征分析技术，此技术主要针对部分难以还原的数据流量，对于此类流量将利用链接的连接数、上下行流量等统计特征对数据流进行简要区分。

2.3数据预处理阶段

由于此感知技术基于人工智能所发展，所以能够运用大数据对所采集信息进行预处理，降低数据的后续处理难度。此技术主要运用了大数据技术中的Stream 框架，此框架具备数据处理速度较快、扩展性与并发处理能力较强的优势。在具体的预处理活动中，将涉及以下几点内容：第一是数据归一，在Stream 流中，系统将所收集的包括日志信息、数据流量等内容在内的数据进行统一处理，通过将其进行转化的方式使其适应系统应用方式，并作为系统进行后续分析的数据元。第二是情报知识库的关联，通过将情报库与知识库相关联的方式使企业获取到自身进行安全态势分析所需的支持信息，目的同样是为系统后续分析提供数据基础；第三是数据归并，系统通过计算分析引擎按照预置的事件流程框架将数据进行归并，在此活动中将所有事件处理完成后归纳进引擎入口并结合历史数据中的内容分析出此数据流中是否存在异常，从而触发警报。

2.4模型设计

模型设计指的是数据分析模型创建的过程。在模型设计期间,可视化信息也就是通过安全分析日志以及预警数据转换而来的信息,可以构成安全威胁发现以及态势感知机制等等。数据分析模型主要涵盖了三种模型:其一,数值统计模型,在这种模型当中,所表现出来的用户实际行为、IP以及网络流量等统计特点能够展现出一个具有规律性的网络动作,并且这些动作难以在短时间内被发现;其二,算法挖掘模型,这种模型可以深度挖掘已有的数据信息,从数据信息中找到安全风险问题,创建这钟模型的方法有很多种,比如社区发现分析算法以及度分析算法等;其三,攻击树推理模型,这种模型是对安全威胁信息创建的模型,其能够将安全威胁信息通过树形结构表达出来,并且树的根节点位置对应表示的是网络攻击的具体目标,叶节点位置表示的则是可采取的手段,两者之间的路径指的是攻击的过程。通过创建攻击树模型,在节点位置的推理期间,就能够预判出主要攻击动作以及分析出隐藏的威胁。

2.5数据存储与检索阶段

由于信息网络中所存储的信息量异常庞大，所以系统在对大量数据进行检索时一般可以借助搜索引擎来完成，比如ElasticSearch 引擎，此搜索引擎能够实现分布式全文搜索，与企业内的云计算环境非常契合。具体搜索模式为在系统平台对信息进行处理与计算等操作后，将数据保存至分布式搜索引擎的索引文件中，再将各类型数据以时间、名称、内容等为标准进行分类存储，并提供出索引字段，以提供数据快速检索功能。另外，将索引以多个分片和多个副本的形式存储于分布式文件系统中，既能够有效实现对近期录入数据的近似值查询，通过相类似信息佐证所查询信息的真实性，保障数据可靠性，又能够使系统中的TB 级数据索引时间缩短至秒级，大幅度提升索引性能。

2.6检测分析与处理阶段

在经过上述阶段处理后，仍旧需要通过多种技术对数据进行深入分析与挖掘，发现其中的潜在风险。主要应用技术有以下四种：第一是恶意代码智能检测技术，通过对大量的正常软件与恶意软件样本进行分析比对，挖掘出两类软件的本质特征，并以此为基础建立机器学习模型，得到恶意软件识别模型，从而发现更多恶意程序。第二是广谱反病毒查杀技术，此技术是原有反病毒查杀技术的一次升级，其可靠性得到了极大提高；第三是机器学习技术，即利用机器强大的学习能力对海量信息数据进行筛选得到关键数据，并将其输送至人工团队进行分析；第四是自动化数据处理技术，虽然态势感知技术以人工智能为依托，但仍旧需要以人为中心进行数据分析，利用使用自动化数据处理技术分析潜在威胁与人工干预相结合的方式能够在最大程度上强化分析结果准确度。

2.7态势感知以及预警应用

对网络安全威胁自动报警以及核心安全系统实行实时监测以及网络安全风险防备预警等都是态势感知与防备预警的具体应用。利用大数据技术,将安全态势感知以及防备预警业务都能够应用在网络安全态势平台上面,同时还可以实现试运行,在这个平台上面创建出了大数据储存、收集与分析、计算、扩展容量等全部服务业务。

结束语

总而言之，当前此技术手段仍旧处于初步发展阶段，存在较多技术难题有待攻克，通过以上几部分对其中存在的具体技术内容进行梳理，有助于降低我国更多企业引进此感知系统的难度，并利用此技术对企业所面临的威胁进行风险评估，检测企业风险状态，使企业始终处于安全保护之下。

参考文献：

[1]柯宗贵,杨育斌,麦思文.基于大数据的网络安全态势感知解决方案[J].信息技术与标准化,2019(09):21-22+45.

[2]孟繁玉.网络安全态势感知与人工智能[J].中国信息界,2019(04):89-91.

[3]李宗伟.基于人工智能的网络安全态势感知技术研究[J].计算机与网络,2019,45(13):49.