基于人工智能的網絡安全風險評估模型研究

李立

（鄭州商學院，河南 鄭州451200）

伴隨著物聯網、云計算、移動互聯網等新技術的迅速發展，網絡安全呈現出覆蓋面廣、復雜性高的新特點，網絡帶給人們資源共享的便利，但也面臨著各種計算機病毒、黑客攻擊、信息泄露等不安全因素，如何進一步提高我國網絡的安全性已成為亟待解決的問題。研究網絡安全風險評估模型是目前重要的問題，利用人工智能技術對信息安全風險進行評估，可以有效地解決信息安全問題，防止信息受到各種潛在威脅，從而保證商業風險最小化，避免核心技術的泄露。以網絡安全風險最小化為目標，合理利用人工智能技術，設計基于人工智能的網絡安全風險評估模型。

1 基于廣義貝葉斯攻擊圖的評估框架

建立攻擊圖的評估框架，該模型利用網絡或信息系統的脆弱性、攻擊行為的不確定性和環境因素對攻擊可能性的影響，表現出攻擊者的多級攻擊。為了更好的分析這種攻擊形式，采用廣義貝葉斯攻擊圖的方式進行對攻擊方式評價。此方法基于廣義貝葉斯攻擊圖，通過構造對應于評估網絡或信息系統的廣義貝葉斯攻擊圖，計算節點攻擊概率、主機攻擊概率、網絡攻擊概率、節點風險值、主機風險值和網絡安全風險狀態。

1.1 攻擊收益計算

首先從攻擊者的角度進行計算，主要計算攻擊者攻擊后的收益，即對其涉及到的網絡中的每一種資產計算，來確定攻擊者攻擊后獲得的效益，并量化利益[1]。表1 供相關人員評估資產偷竊攻擊的好處時參考。

不同類型的攻擊對相同資產的好處可以通過不同的攻擊條件得到，因此每一類資產的攻擊好處需要分別進行評估。構建了廣義貝葉斯攻擊圖[2]，建立攻擊收益節點。

1.2 威脅狀態變量計算

在上述攻擊者攻擊收益計算完成的基礎上，對網絡的威脅狀態變量進行計算，主要從整體環境威脅與局部環境威脅的角度計算，得到網絡和信息系統面臨威脅的分布情況。

在給定的時間內，在網絡或信息系統中進行歷史攻擊。在安全檢測設備的日志中，歷史攻擊信息通常包含歷史入侵和攻擊警報。根據統計方法，我們可以利用相關的安全警報來獲取各個漏洞的頻率，然后將其標準化，從而得到局部威脅狀態變量向量。就總體威脅狀態變量而言，我們可以根據公開的網絡攻擊統計數據，得到整體威脅狀態變量向量。

表1 竊取型攻擊收益分級

1.3 局部條件概率分布計算

局部條件概率分布是節點間相互作用的中介[3]。在廣義貝葉斯攻擊圖中，我們需要計算每一類節點的局部條件概率分布：攻擊條件節點、原子節點、攻擊受益節點和威脅狀態變量節點。

針對任何原子節點的攻擊e，其父節點主要由幾個攻擊條件節點組成，將攻擊條件節點的集合設為。原子攻擊只有在其所有的前提攻擊條件成立時才能發生，當其所有的前提攻擊條件成立時，原子攻擊就不會發生。

任何初始攻擊條件節點的值c0，它的父節點集合是一個空集合，所以它的局部條件概率分布是它自己的概率分布。在評價網絡或信息系統實際情況的基礎上，通過初始攻擊條件節點本身的概率分布來確定主觀先驗概率。對大型攻擊圖，采用模板法也可以確定初始條件下節點攻擊的概率分布。舉例來說，根據網絡或信息系統的實際情況，初始攻擊條件被指定為True的默認初始概率設為p0，為Flash 的概率為1-p0，p0的取值根據網絡實際情況而定。對于一個特定的初始攻擊條件節點，將基于這個初始條件節點來設置[4]。

對任何非初始攻擊條件的節點，其父節點集包含多個原子攻擊節點，并將其父節點集設置為pa[c]，只要e 被攻擊者成功利用，則c 可能被攻擊者所獲得并利用。

在原子攻擊中，威脅狀態出現的次數越多，原子攻擊節點將來發生的可能性就越大，即威脅狀態變量出現的次數越多，原子攻擊后發生的概率就越大。設威脅狀態變量等級級數為m，對于任意一個威脅狀態變量節點t，將威脅狀態變量節點的局部條件概率分布函數表示為：

式中，d 代表設定的參數。

基于上述過程完成攻擊概率圖的構建，為風險評估提供基礎。

1.4 攻擊概率計算

在對網絡系統的攻擊概率進行量化，是計算網絡系統被攻擊的風險的重要評估依據。可通過網絡節點攻擊概率計算主機攻擊概率。在廣義貝葉斯攻擊圖中，節點攻擊概率是指被攻擊者獲得并利用的攻擊條件節點或原子攻擊節點的概率。在主機攻擊概率計算中，主機攻擊概率是由主機上所有攻擊條件節點的攻擊概率決定的，其值可以用主機上所有攻擊條件節點的攻擊概率來確定。

2 基于人工智能的網絡安全風險評估流程

在此基礎上，運用人工智能方法對網絡攻擊概率進行了安全風險評估。在人工智能中，對網絡安全風險進行評估時，需要對網絡安全風險進行初始化處理。通過對初始條件節點的定義，攻擊者可以隨時獲取并利用相應的初始條件，因此，我們將所有初始條件節點的預測支持因子設為1，而對其他所有節點則設為0。后驗支持因子在攻擊圖中被初始化為零。

上述流程為初始階段，進入實時更新階段后，在此基礎上，實時評估系統定期對網絡進行評估。根據網絡或信息系統的實際情況設置每次更新計算的時間間隔，可根據下列不等式是否成立來決定下一次更新計算是否開始：

式中，wc代表設定的網絡安全狀態閾值，i 表示對網絡安全產生影響的攻擊數，wi表示節點受攻擊概率，ki表示主機受攻擊概率。依據上述過程實時對風險評估，以此完成基于人工智能的網絡安全風險評估。

3 結論

此次研究的方法能客觀、準確地還原攻擊場景，預測攻擊行為，獲得符合客觀條件的網絡安全威脅實時態勢，具有高性能和高度可擴展性。該方法可用于大規模網絡或信息系統的實時評估。在信息安全領域，風險評估和風險管理技術仍然是一個發展中的課題，還需要不斷完善。結合網絡安全風險評估領域的研究成果，在未來研究中還需要進一步探索如何根據量化評估的結果，制定優化后的網絡安全風險控制方案，將總體風險控制成本控制在可接受的范圍內。