網(wǎng)絡(luò)安全智能決策系統(tǒng)設(shè)計(jì)*

馮政鑫 ，唐 寅 ，韓 磊 ，吳 錫

(1.成都信息工程大學(xué) 計(jì)算機(jī)學(xué)院，四川 成都610225；2.北京計(jì)算機(jī)技術(shù)及應(yīng)用研究所，北京100854)

0 引言

當(dāng)前，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等前沿技術(shù)飛速發(fā)展，海量數(shù)據(jù)從不計(jì)其數(shù)的網(wǎng)絡(luò)接入點(diǎn)、聯(lián)網(wǎng)設(shè)備以及網(wǎng)絡(luò)應(yīng)用中產(chǎn)生，這使得網(wǎng)絡(luò)空間安全面臨著巨大挑戰(zhàn)[1]。每天，大量的告警信息從安全設(shè)備中產(chǎn)生，而目前安全事件響應(yīng)主要還是依靠安全分析人員完成，事件處置嚴(yán)重依賴個(gè)人經(jīng)驗(yàn)[2]。目前憑借人力已經(jīng)難以從海量的安全數(shù)據(jù)、告警信息中迅速分析以及追蹤溯源各種安全事件，并對(duì)其及時(shí)處置。其次，在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境下，安全管理人員的決策結(jié)果往往也存在一定的局限性[3]。面對(duì)新的網(wǎng)絡(luò)環(huán)境和安全形勢(shì)，需要研究和配備更加智能的防護(hù)手段。由此本文開展了網(wǎng)絡(luò)安全智能決策系統(tǒng)的相關(guān)研究，旨在根據(jù)網(wǎng)絡(luò)當(dāng)前面臨的安全態(tài)勢(shì)情況，智能化地進(jìn)行決策，自動(dòng)化地實(shí)現(xiàn)事件的響應(yīng)。本文將時(shí)間、空間等多維準(zhǔn)則引入決策過程，提出了網(wǎng)絡(luò)安全智能決策系統(tǒng)(Intelligent Decision-making System for Cyber Security，IDSCS)的整體架構(gòu)和層次化模型，設(shè)計(jì)了系統(tǒng)中的網(wǎng)絡(luò)安全智能決策引擎(Intelligent Decision-making Engine for Cyber Security，IDECS)，對(duì)網(wǎng)絡(luò)安全智能決策系統(tǒng)的實(shí)現(xiàn)和部署具有重要意義，為進(jìn)一步提升動(dòng)態(tài)安全防御能力提供了新的解決思路和技術(shù)方法。

1 智能決策支持技術(shù)概況

解決在安全決策和安全事件響應(yīng)中人力的局限性和低時(shí)效性，同時(shí)驅(qū)動(dòng)從感知到?jīng)Q策再到響應(yīng)的閉環(huán)安全防護(hù)系統(tǒng)的建設(shè)，關(guān)鍵在于如何基于當(dāng)前安全狀態(tài)信息進(jìn)行準(zhǔn)確、高效的安全策略或方案的選擇，即如何智能化地進(jìn)行安全決策。

傳統(tǒng)決策支持系統(tǒng)主要依據(jù)運(yùn)籌學(xué)理論方法，采用定量分析模型，在解決定性問題和模糊推理等方面有一定的缺陷[4]。智能決策支持系統(tǒng)(Intelligent Decision Support System，IDSS)中通過引入智能數(shù)據(jù)處理理論與方法，使定量分析模型中的一些問題得到了解決，使決策支持系統(tǒng)具有更好的學(xué)習(xí)、發(fā)現(xiàn)和使用知識(shí)的能力以及更高的智能性。IDSS 可用于實(shí)現(xiàn)情報(bào)處理和方案確定等的輔助決策支持[5]，其一般組成結(jié)構(gòu)如圖1 所示。隨著社會(huì)節(jié)奏的加快，企業(yè)或組織所面臨的內(nèi)外部環(huán)境更加復(fù)雜，業(yè)務(wù)問題呈現(xiàn)非線性、不確定性、多維化和實(shí)時(shí)性等特點(diǎn)。此時(shí)繼續(xù)使用傳統(tǒng)IDSS 方法，利用局部數(shù)據(jù)進(jìn)行決策分析已經(jīng)難以獲取高質(zhì)量的決策效果[6]。

以神經(jīng)網(wǎng)絡(luò)、深度學(xué)習(xí)為基礎(chǔ)的智能決策技術(shù)采用并行推理，可以實(shí)現(xiàn)更加高效的決策方法。從知識(shí)處理的角度來看，傳統(tǒng)智能決策支持系統(tǒng)側(cè)重于邏輯思維，神經(jīng)網(wǎng)絡(luò)更側(cè)重于經(jīng)驗(yàn)思維，這導(dǎo)致它們?cè)诤芏喾矫婢哂胁煌奶匦浴１? 將傳統(tǒng)智能決策支持系統(tǒng)與基于神經(jīng)網(wǎng)絡(luò)、深度學(xué)習(xí)的智能決策技術(shù)的特性進(jìn)行了對(duì)比，可以發(fā)現(xiàn)后者在并行推理、模糊數(shù)據(jù)處理、自適應(yīng)能力、容錯(cuò)能力等方面顯示出了明顯的優(yōu)越性。

神經(jīng)網(wǎng)絡(luò)對(duì)于輸入輸出變量數(shù)目沒有特定的要求，具有處理速度快、預(yù)測(cè)精度高、非線性映射能力強(qiáng)等主要特點(diǎn)，目前已經(jīng)被廣泛應(yīng)用到行為決策研究中[7-9]。

圖1 IDSS 組成結(jié)構(gòu)

表1 傳統(tǒng)專家系統(tǒng)決策技術(shù)與最新智能決策技術(shù)特性對(duì)比

基于神經(jīng)網(wǎng)絡(luò)、深度學(xué)習(xí)的智能決策技術(shù)和方法的不斷發(fā)展，為優(yōu)化網(wǎng)絡(luò)安全場(chǎng)景下的智能決策問題提供了技術(shù)支持。雖然它們支持非線性、模糊推理，具備自適應(yīng)和學(xué)習(xí)能力，但目前也只適合解決一些規(guī)模較小的問題，對(duì)于網(wǎng)絡(luò)安全應(yīng)用的復(fù)雜環(huán)境中的感知狀態(tài)信息和動(dòng)作空間很容易產(chǎn)生狀態(tài)爆炸，決策方法的性能在很大程度上受到限制，所以研究切實(shí)可行的網(wǎng)絡(luò)安全智能決策方案迫在眉睫。

2 網(wǎng)絡(luò)安全智能決策的提出

“網(wǎng)絡(luò)安全智能決策”這一概念首先由綠盟科技天樞實(shí)驗(yàn)室提出[3]。他們指出網(wǎng)絡(luò)安全智能決策的目標(biāo)是根據(jù)當(dāng)前的網(wǎng)絡(luò)環(huán)境以及歷史經(jīng)驗(yàn)，在一定時(shí)間內(nèi)實(shí)現(xiàn)對(duì)安全事件的響應(yīng)。

自動(dòng)駕駛是目前具有完備的決策流程、豐富的技術(shù)經(jīng)驗(yàn)及成熟的實(shí)際產(chǎn)品的研究領(lǐng)域之一。在一個(gè)典型的無人駕駛系統(tǒng)中，整個(gè)技術(shù)架構(gòu)常被劃分成三部分，即環(huán)境感知、決策規(guī)劃以及運(yùn)動(dòng)控制[10]。通過這三個(gè)環(huán)節(jié)能夠使車輛結(jié)合周圍環(huán)境信息，實(shí)現(xiàn)自動(dòng)駕駛行為。綠盟科技以自動(dòng)駕駛領(lǐng)域的技術(shù)路線為引導(dǎo)，以自動(dòng)駕駛決策類比安全決策，提出了網(wǎng)絡(luò)安全智能決策的大體功能結(jié)構(gòu)，如圖2 所示。

通過將網(wǎng)絡(luò)安全智能決策過程解耦為“戰(zhàn)略-戰(zhàn)術(shù)-過程”三個(gè)層次，形成了“攻擊理解-行動(dòng)決策-動(dòng)作執(zhí)行” 的技術(shù)方案，為網(wǎng)絡(luò)安全智能決策系統(tǒng)(IDSCS)的研究提供了一定的參考。

3 網(wǎng)絡(luò)安全智能決策系統(tǒng)

自動(dòng)駕駛領(lǐng)域的技術(shù)路線對(duì)網(wǎng)絡(luò)安全智能決策具有一定的參考價(jià)值，但由于兩者在數(shù)據(jù)采集、環(huán)境感知、決策規(guī)劃以及任務(wù)分解等方面仍存在著大量的差別，故仍需做出定制化的處理，網(wǎng)絡(luò)安全智能決策的最終實(shí)現(xiàn)也必須落實(shí)到系統(tǒng)的研究和設(shè)計(jì)層面上來。

結(jié)合相關(guān)研究與以上分析，本節(jié)提出了網(wǎng)絡(luò)安全智能決策系統(tǒng)的整體架構(gòu)，并對(duì)架構(gòu)中的核心部件智能決策引擎(IDECS)進(jìn)行了詳細(xì)描述，最后考慮到分布式大規(guī)模的網(wǎng)絡(luò)環(huán)境，設(shè)計(jì)了層次化的系統(tǒng)部署架構(gòu)。

3.1 IDSCS 整體架構(gòu)及工作原理

網(wǎng)絡(luò)安全智能決策系統(tǒng)需要對(duì)所面臨的不確定性威脅攻擊進(jìn)行智能分析并開展主動(dòng)防護(hù)，決策的安全機(jī)制和服務(wù)需要?jiǎng)討B(tài)自適應(yīng)實(shí)際網(wǎng)絡(luò)環(huán)境的復(fù)雜多變。本文設(shè)計(jì)的網(wǎng)絡(luò)安全智能決策系統(tǒng)的整體架構(gòu)如圖3 所示。

圖2 綠盟科技網(wǎng)絡(luò)安全智能決策功能結(jié)構(gòu)圖

IDSCS 基于人工智能的決策支持以及安全策略分解，能夠基于當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)信息，以安全防護(hù)目標(biāo)為基本依據(jù)，進(jìn)行安全智能決策和自動(dòng)安全策略分解與下發(fā)。

態(tài)勢(shì)感知系統(tǒng)能夠識(shí)別出網(wǎng)絡(luò)中存在的各類異常活動(dòng)，為IDSCS 提供輸入支持。通過將來自于保護(hù)對(duì)象和安全資源中的安全數(shù)據(jù)進(jìn)行融合處理，實(shí)現(xiàn)對(duì)系統(tǒng)的背景狀態(tài)及活動(dòng)語義的提取，從而形成態(tài)勢(shì)數(shù)據(jù)[11]。中間智能決策引擎(IDECS)是智能決策系統(tǒng)的“大腦”，其基本組成結(jié)構(gòu)和工作原理將在3.2 節(jié)中進(jìn)行詳細(xì)描述。它依賴于態(tài)勢(shì)感知系統(tǒng)收集感知信息作為輸入，以邏輯安全目標(biāo)為基本依據(jù)進(jìn)行決策，在決策過程中借助已有知識(shí)庫去學(xué)習(xí)各種不同環(huán)境下對(duì)應(yīng)的處置操作，最后輸出分解策略和與之相關(guān)安全設(shè)備執(zhí)行節(jié)點(diǎn)信息給聯(lián)動(dòng)響應(yīng)系統(tǒng)。聯(lián)動(dòng)響應(yīng)系統(tǒng)主要進(jìn)行策略的響應(yīng)執(zhí)行[12]，執(zhí)行后的結(jié)果可以為系統(tǒng)提供信息反饋，對(duì)信息的再輸出起到控制和影響的作用。在下一次決策之前，智能決策系統(tǒng)會(huì)評(píng)估當(dāng)前所感知安全態(tài)勢(shì)信息的狀態(tài)下，所分解執(zhí)行的策略在執(zhí)行后對(duì)系統(tǒng)環(huán)境的影響，然后根據(jù)該評(píng)估的結(jié)果確定響應(yīng)執(zhí)行的價(jià)值。通過對(duì)該策略響應(yīng)執(zhí)行價(jià)值和智能決策對(duì)其的期望值兩者之間的比較來調(diào)整策略的選擇，從而實(shí)現(xiàn)整個(gè)決策過程的自動(dòng)化，包括方案選擇的自動(dòng)化以及效果跟蹤、評(píng)估與反饋的自動(dòng)化。

IDSCS 整體架構(gòu)集態(tài)勢(shì)感知系統(tǒng)、聯(lián)動(dòng)響應(yīng)系統(tǒng)于一體，構(gòu)成了“感知-決策-響應(yīng)”的安全防護(hù)閉環(huán)。

3.2 智能決策引擎IDECS 及其工作原理

智能決策基于轉(zhuǎn)換的機(jī)器能識(shí)別的數(shù)據(jù)，依賴多智能體決策信息支持技術(shù)[13]提供智能和自適應(yīng)能力。IDECS 是IDSCS 的核心部件，通過安全策略自主選擇與安全策略自動(dòng)分解兩個(gè)步驟完成決策，基本結(jié)構(gòu)如圖4 所示，主要由以下三個(gè)部分組成：

圖3 網(wǎng)絡(luò)安全智能決策系統(tǒng)（IDSCS）整體架構(gòu)

圖4 網(wǎng)絡(luò)安全智能決策引擎（IDECS）基本結(jié)構(gòu)

(1)注意力網(wǎng)絡(luò)

在一些問題當(dāng)中，輸入的某些部分可能會(huì)比其他部分對(duì)決策更有幫助[14]。從不同信息源得到的觀測(cè)信息，往往也只有部分起到關(guān)鍵作用，另一部分則如同噪聲，會(huì)干擾系統(tǒng)的正常決策。基于此，決策引擎首先需要對(duì)不同的信息進(jìn)行區(qū)分，篩選出系統(tǒng)中潛在的威脅信號(hào)。注意力網(wǎng)絡(luò)對(duì)于傳感器的感知信息進(jìn)行篩選(輸出信源S 中事件級(jí)別特征)，動(dòng)態(tài)關(guān)注不同時(shí)刻引起系統(tǒng)威脅的主要因素，進(jìn)而輔助后續(xù)系統(tǒng)的決策。

(2)通信網(wǎng)絡(luò)

該網(wǎng)絡(luò)用來實(shí)現(xiàn)節(jié)點(diǎn)之間的協(xié)作，完成不同節(jié)點(diǎn)之間信息的傳遞。經(jīng)過該網(wǎng)絡(luò)，完成當(dāng)前節(jié)點(diǎn)的信息和與之相關(guān)的其他節(jié)點(diǎn)信息的整合，這里的節(jié)點(diǎn)即為網(wǎng)絡(luò)安全行為空間中的設(shè)備或服務(wù)。

(3)基于RNN 的復(fù)雜動(dòng)作決策網(wǎng)絡(luò)

系統(tǒng)在做出決策時(shí)，往往需要考慮前一時(shí)刻節(jié)點(diǎn)的狀態(tài)和相關(guān)信息，并將其作為輸入之一，輔助當(dāng)前時(shí)刻的決策。循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network，RNN)能夠高效處理序列數(shù)據(jù)，此處引入RNN 用于輸出節(jié)點(diǎn)的動(dòng)作信息。考慮到端到端的系統(tǒng)設(shè)計(jì)，網(wǎng)絡(luò)輸出包括系統(tǒng)當(dāng)前節(jié)點(diǎn)的類型、命令以及該命令需要接收的參數(shù)，其對(duì)應(yīng)安全行為空間中的分解動(dòng)作與執(zhí)行節(jié)點(diǎn)，即任意節(jié)點(diǎn)的動(dòng)作。

通過設(shè)計(jì)注意力網(wǎng)絡(luò)，系統(tǒng)可以動(dòng)態(tài)地學(xué)習(xí)不同時(shí)刻對(duì)當(dāng)前決策起到?jīng)Q定作用的狀態(tài)信息。信息經(jīng)過注意力網(wǎng)絡(luò)的篩選傳遞到不同節(jié)點(diǎn)中，這個(gè)過程需要不同節(jié)點(diǎn)的相互配合，通信網(wǎng)絡(luò)可以輔助完成設(shè)備的控制，實(shí)現(xiàn)不同節(jié)點(diǎn)之間的信息傳遞。決策網(wǎng)絡(luò)接收前一時(shí)刻以及當(dāng)前時(shí)刻的系統(tǒng)狀態(tài)信息，進(jìn)行綜合決策，決策過程基于邏輯安全目標(biāo)，輸出針對(duì)當(dāng)前安全感知狀態(tài)的單個(gè)最優(yōu)聯(lián)動(dòng)動(dòng)作集，即多個(gè)執(zhí)行動(dòng)作的組合，為后續(xù)自動(dòng)安全策略分解提供輸入。自動(dòng)安全策略分解基于決策引擎輸出結(jié)果進(jìn)行策略分解并選中可用的安全資源的可執(zhí)行節(jié)點(diǎn)。節(jié)點(diǎn)動(dòng)作輸出是一個(gè)層級(jí)的結(jié)構(gòu)，包括節(jié)點(diǎn)的類型、命令以及當(dāng)下命令的相關(guān)參數(shù)，用作聯(lián)動(dòng)響應(yīng)系統(tǒng)的輸入。

圖5 IDSCS 層次化部署架構(gòu)

3.3 分布式大規(guī)模網(wǎng)絡(luò)中IDSCS 層次化部署架構(gòu)

前文提出了智能決策系統(tǒng)的整體架構(gòu)，設(shè)計(jì)了智能決策引擎，為解決實(shí)際問題提供了技術(shù)思路。但在實(shí)際網(wǎng)絡(luò)應(yīng)用下，還需要將IDSCS 結(jié)構(gòu)進(jìn)一步拓展，形成層次化的框架，以滿足分布式大規(guī)模網(wǎng)絡(luò)結(jié)構(gòu)的需求。

參考智能安全防護(hù)軟件自主決策系統(tǒng)的相關(guān)研究[15]，在分布式大規(guī)模網(wǎng)絡(luò)結(jié)構(gòu)下，IDSCS 也應(yīng)當(dāng)具備分散配置和易拓展等特點(diǎn)。為了能夠兼顧不同目標(biāo)及不同粒度的決策需求，需要將決策過程嵌入到不同層次中，形成層次化的結(jié)構(gòu)，達(dá)到兼顧目標(biāo)節(jié)點(diǎn)和網(wǎng)絡(luò)整體安全的目的。另外，在應(yīng)用于大型網(wǎng)絡(luò)時(shí)，IDSCS 還應(yīng)可以進(jìn)一步擴(kuò)展。

由IDSCS 的基本結(jié)構(gòu)和功能特點(diǎn)結(jié)合以上分析，本文設(shè)計(jì)了IDSCS 的層次化部署架構(gòu)，將整個(gè)系統(tǒng)劃分為底層、中間層和頂層的三層結(jié)構(gòu)，如圖5所示。

IDSCS 頂層負(fù)責(zé)網(wǎng)絡(luò)的整體安全監(jiān)測(cè)，部署在網(wǎng)絡(luò)安全管理中心。頂層中主要包括態(tài)勢(shì)感知系統(tǒng)，它基于底層傳感器收集的感知信息，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行分析及預(yù)測(cè)，識(shí)別出存在的各類網(wǎng)絡(luò)活動(dòng)以及其中異常活動(dòng)，將信息整合處理后傳遞到中間層。

若干部署在不同安全域的IDECS 構(gòu)成了中間層。它基于來自頂層的綜合態(tài)勢(shì)信息進(jìn)行智能決策，輸出安全分解策略及相關(guān)信息，將其下發(fā)到底層。安全策略能夠高效執(zhí)行是底層快速響應(yīng)的前提。如將具有同等保護(hù)級(jí)別和相同安全需求的網(wǎng)絡(luò)設(shè)備、安全設(shè)備以及其他系統(tǒng)等劃分到同一個(gè)安全域[16]。這樣便于安全策略的執(zhí)行，有利于設(shè)備的協(xié)同聯(lián)動(dòng)。

底層部署在安全防護(hù)實(shí)體中，包括安全子域中的安全防護(hù)設(shè)備以及其他重要設(shè)備。底層主要由傳感器、底層決策模塊以及聯(lián)動(dòng)控制模塊構(gòu)成。傳感器接收來自高層的信息訂閱需求，采集所需信息上傳至高層進(jìn)行安全態(tài)勢(shì)分析。當(dāng)中間層下達(dá)決策策略后，安全防護(hù)實(shí)體中的聯(lián)動(dòng)控制模塊會(huì)判斷策略中的節(jié)點(diǎn)類型、命令以及其他參數(shù)是否滿足自身?xiàng)l件，若滿足則向設(shè)備發(fā)送控制命令以執(zhí)行相應(yīng)的響應(yīng)動(dòng)作。底層決策模塊是針對(duì)節(jié)點(diǎn)嚴(yán)重異常情況的決策，主要由一系列事先指定的策略構(gòu)成。嚴(yán)重異常如系統(tǒng)崩潰、攻擊引起系統(tǒng)死機(jī)等，遇到此類情況底層決策模塊可以自主調(diào)用對(duì)應(yīng)的安全策略如重啟防護(hù)模塊、重啟系統(tǒng)、提高防護(hù)等級(jí)等，進(jìn)行反射式策略決策。

經(jīng)過層次化的結(jié)構(gòu)設(shè)計(jì)，使得IDSCS 能夠兼顧不同粒度的決策需求。通過將整個(gè)系統(tǒng)分散配置到不同的位置，能夠最大程度地發(fā)揮各個(gè)部件的作用，同時(shí)使得系統(tǒng)消耗大大降低。層次化的分散配置也使得系統(tǒng)的拓展變得更加容易，能夠滿足分布式大規(guī)模網(wǎng)絡(luò)的部署需求。

4 結(jié)論

本文在網(wǎng)絡(luò)安全智能決策最新研究的基礎(chǔ)上提出了網(wǎng)絡(luò)安全智能決策系統(tǒng)整體架構(gòu)與智能決策引擎，采用了機(jī)器學(xué)習(xí)決策手段，相比傳統(tǒng)決策技術(shù)具有更強(qiáng)大的自主學(xué)習(xí)、數(shù)據(jù)處理以及邏輯推理等能力；通過對(duì)態(tài)勢(shì)感知、聯(lián)動(dòng)響應(yīng)以及其他相關(guān)部件的引入與設(shè)計(jì)，使得機(jī)器學(xué)習(xí)決策手段能夠深度融入網(wǎng)絡(luò)安全決策，形成“感知-決策-響應(yīng)”的安全防護(hù)閉環(huán)。這為解決人力在面臨海量安全數(shù)據(jù)時(shí)決策的局限性、安全事件響應(yīng)速度慢以及處置不及時(shí)等問題提供了新的解決思路，對(duì)進(jìn)一步提升動(dòng)態(tài)安全防御能力具有重要意義。