基于人工智能的網(wǎng)絡(luò)空間防御技術(shù)

趙賓華 楊國(guó)瑞 賈哲

摘要：網(wǎng)絡(luò)空間是信息化戰(zhàn)爭(zhēng)獨(dú)立的作戰(zhàn)域，該領(lǐng)域的網(wǎng)絡(luò)攻防行動(dòng)快速但會(huì)產(chǎn)生海量的網(wǎng)絡(luò)事件，對(duì)傳統(tǒng)的點(diǎn)對(duì)點(diǎn)防御理念和堡壘式安全防御體提出了巨大挑戰(zhàn)，人工智能和深度學(xué)習(xí)是未來(lái)網(wǎng)絡(luò)空間防御的一個(gè)重要研究方向。在闡述傳統(tǒng)網(wǎng)絡(luò)防御模式和人工智能在網(wǎng)絡(luò)防御的研究現(xiàn)狀基礎(chǔ)上，提出并設(shè)計(jì)了基于人工智能的網(wǎng)絡(luò)安全防御系統(tǒng)，重點(diǎn)闡述了對(duì)網(wǎng)絡(luò)協(xié)議攻擊、入侵檢測(cè)、網(wǎng)絡(luò)異常行為的檢測(cè)方案，分析了基于人工智能的網(wǎng)絡(luò)防御系統(tǒng)的優(yōu)勢(shì)以及未來(lái)前景。

關(guān)鍵詞：人工智能;網(wǎng)絡(luò)防御;入侵檢測(cè);深度學(xué)習(xí)

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2021）12-57-4

Cyberspace Defense Technology Based on Artificial Intelligence

ZHAO Binhua，YANG Guorui，JIA Zhe

（The 54th Research Institute ofCETC，Shijiazhuang 050081，China）

Abstract： The military cyberspace is an independent combat domain for information warfare. The cyber attack and defense actions in this filed is fast and can produce a large number of network events，that presents great challenges to the traditional point-to-point defenses concept and fortress security defense systems. The technology of artificial intelligence and deep learning is an important research direction of cyber defense. On the basis of expounding the traditional cyber defense and the research status of artificial intelligence in cyber defense，the network defense system based on artificial intelligence is proposed and designed，and the network protocol attacks， intrusion detection，and network anomaly detection scheme are expounded in detail. At last，the advantages of network defense system based on artificial intelligence and the future prospects are analyzed.

Keywords：artificial intelligence;network defense; intrusion detection;deep learning

0引言

網(wǎng)絡(luò)空間中的各種行為是物理作戰(zhàn)域中各種作戰(zhàn)實(shí)體行為的體現(xiàn)，且網(wǎng)絡(luò)空間中的行為往往先于物理空間的行為，是作戰(zhàn)實(shí)體的行為意圖，網(wǎng)絡(luò)空間行為感知是其他物理作戰(zhàn)空間態(tài)勢(shì)感知信息的重要來(lái)源，通過(guò)對(duì)網(wǎng)絡(luò)空間行為進(jìn)行準(zhǔn)確感知、認(rèn)知和理解，對(duì)準(zhǔn)確把握敵方作戰(zhàn)意圖、作戰(zhàn)行動(dòng)具有很大幫助。信息化戰(zhàn)爭(zhēng)中，敵我雙方會(huì)在網(wǎng)絡(luò)空間，通過(guò)冒充合法用戶(hù)、捕獲操縱對(duì)方節(jié)點(diǎn)等在敵軍信息系統(tǒng)實(shí)現(xiàn)病毒木馬注入、偽造虛假以及篡改轉(zhuǎn)發(fā)作戰(zhàn)指令等攻擊行為，需要在網(wǎng)絡(luò)空間對(duì)異常行為進(jìn)行感知、識(shí)別、定位和跟蹤。

傳統(tǒng)通信安全解決方案一般是通過(guò)捕獲協(xié)議或異常流量、狀態(tài)日志的特征來(lái)檢測(cè)網(wǎng)絡(luò)空間的異常行為，從而防御針對(duì)作戰(zhàn)網(wǎng)絡(luò)的安全威脅。在網(wǎng)絡(luò)空間防御作戰(zhàn)方面，目前網(wǎng)絡(luò)空間防御主要還是采用堵漏洞、筑高墻、防外攻的模式，利用病毒防護(hù)、入侵檢測(cè)、內(nèi)容檢測(cè)、防火墻、虛擬專(zhuān)用網(wǎng)等手段構(gòu)建防護(hù)體系，是以靜態(tài)構(gòu)建“安全籬笆”的手段應(yīng)對(duì)動(dòng)態(tài)的安全威脅。在網(wǎng)絡(luò)空間異常行為檢測(cè)方面，傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制依靠防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)等進(jìn)行被動(dòng)防御[1-5]，基于規(guī)則庫(kù)的攻擊檢測(cè)難以應(yīng)對(duì)未知安全威脅，邊界部署的方式無(wú)法實(shí)現(xiàn)對(duì)內(nèi)部異常行為的檢測(cè)、識(shí)別、定位，缺乏快速響應(yīng)機(jī)制和數(shù)據(jù)分析能力，未來(lái)網(wǎng)絡(luò)攻擊跨網(wǎng)化、攻擊方式多樣化，網(wǎng)絡(luò)入侵和滲透行為更為隱蔽，傳統(tǒng)的通信網(wǎng)絡(luò)防御機(jī)制只能實(shí)現(xiàn)被動(dòng)防御，基于規(guī)則庫(kù)的攻擊檢測(cè)難以應(yīng)對(duì)未知安全威脅，邊界部署的方式無(wú)法實(shí)現(xiàn)對(duì)內(nèi)部異常行為的檢測(cè)、識(shí)別和定位。

傳統(tǒng)的網(wǎng)絡(luò)防御機(jī)制，基于靜態(tài)事件解決方案沒(méi)有能力動(dòng)態(tài)跟蹤、記錄和分析行為，無(wú)法及時(shí)分析和跟蹤攻擊源，只能在發(fā)生期間或之后進(jìn)行異常檢測(cè)，缺乏合理有效的手段對(duì)異常節(jié)點(diǎn)進(jìn)行檢測(cè)、識(shí)別和定位。因此，有必要引入人工智能技術(shù)，構(gòu)建智能體異常行為樣本庫(kù)，進(jìn)行訓(xùn)練迭代，開(kāi)展對(duì)網(wǎng)絡(luò)空間實(shí)體異常行為的預(yù)測(cè)，對(duì)戰(zhàn)場(chǎng)上異常行為的實(shí)體進(jìn)行分類(lèi)、判定和鑒別，在通信網(wǎng)絡(luò)的合法節(jié)點(diǎn)中剔除假冒非法節(jié)點(diǎn)和被捕獲的異常節(jié)點(diǎn)，實(shí)現(xiàn)通信網(wǎng)絡(luò)的主動(dòng)安全防御。

1人工智能在網(wǎng)絡(luò)空間防御領(lǐng)域的應(yīng)用現(xiàn)狀

近十年來(lái)，人工智能技術(shù)飛速發(fā)展，在深度學(xué)習(xí)、遷移學(xué)習(xí)、語(yǔ)音識(shí)別、圖像識(shí)別及計(jì)算機(jī)視覺(jué)等方面取得突破，并逐步應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。

美國(guó)多個(gè)國(guó)家實(shí)驗(yàn)室及大學(xué)實(shí)驗(yàn)室在人工智能+網(wǎng)絡(luò)空間防御領(lǐng)域開(kāi)展了深入研究。AI2全新人工智能系統(tǒng)是麻省理工（MIT）計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL）開(kāi)發(fā)，可不斷學(xué)習(xí)來(lái)自安全分析員的反饋，AI2在檢測(cè)網(wǎng)絡(luò)攻擊方面實(shí)現(xiàn)了85%的準(zhǔn)確性;Deep Instinct基于深度學(xué)習(xí)的智能網(wǎng)絡(luò)防御技術(shù)，實(shí)現(xiàn)從反應(yīng)式防御到主動(dòng)式防御，識(shí)別準(zhǔn)確率達(dá)到98%以上;DARPA積極推動(dòng)人工智能+網(wǎng)絡(luò)安全的研究，研制AI攻防軟件，在2016年夏天舉辦的網(wǎng)絡(luò)大挑戰(zhàn)賽（CGC）上，DARPA讓AI系統(tǒng)捉對(duì)廝殺，比拼實(shí)時(shí)查找、利用、修復(fù)軟件安全漏洞的能力[6]。

國(guó)內(nèi)，計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室提出了一種基于大數(shù)據(jù)平臺(tái)的大規(guī)模網(wǎng)絡(luò)異常流量實(shí)時(shí)監(jiān)測(cè)系統(tǒng)架構(gòu)，通過(guò)對(duì)流量、日志等網(wǎng)絡(luò)安全大數(shù)據(jù)的分析，實(shí)現(xiàn)對(duì)DDoS、蠕蟲(chóng)、掃描、密碼探測(cè)等異常流量的實(shí)時(shí)監(jiān)測(cè)。奇虎公司提出了“云+終端+邊界”的安全模型，將360系列產(chǎn)品囊括在該模型中，其中的云系列產(chǎn)品都涉及安全大數(shù)據(jù)平臺(tái)和相關(guān)技術(shù)，如數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等[7]。

2基于人工智能的網(wǎng)絡(luò)空間防御系統(tǒng)設(shè)計(jì)

2.1系統(tǒng)總體架構(gòu)設(shè)計(jì)

針對(duì)網(wǎng)絡(luò)空間中攻擊行動(dòng)跨網(wǎng)化、攻擊方式多樣化，網(wǎng)絡(luò)入侵和滲透行為隱蔽，傳統(tǒng)防御機(jī)制無(wú)法快速檢測(cè)威脅做出反應(yīng)的問(wèn)題，將人工智能技術(shù)引入到網(wǎng)絡(luò)空間防御系統(tǒng)設(shè)計(jì)中，基于深度學(xué)習(xí)和威脅模型自演進(jìn)的威脅檢測(cè)技術(shù)，對(duì)采集的網(wǎng)絡(luò)空間主機(jī)狀態(tài)、網(wǎng)絡(luò)信息與服務(wù)行為進(jìn)行關(guān)聯(lián)同步，然后進(jìn)行深度融合分析發(fā)現(xiàn)其中的異常行為和威脅。基于人工智能的網(wǎng)絡(luò)空間防御系統(tǒng)架構(gòu)如圖1所示，主要包括數(shù)據(jù)收集、數(shù)據(jù)感知及數(shù)據(jù)決策等。

數(shù)據(jù)收集層收集主機(jī)、網(wǎng)絡(luò)、用戶(hù)等操作行為，形成一條條存儲(chǔ)信息事件的記錄，一方面將主機(jī)狀態(tài)、網(wǎng)絡(luò)信息與服務(wù)行為進(jìn)行關(guān)聯(lián)和梳理，形成分析日志;數(shù)據(jù)感知層一方面對(duì)數(shù)據(jù)進(jìn)行清洗整合，根據(jù)不同日志中的行為特征分別對(duì)主機(jī)端、網(wǎng)絡(luò)端、用戶(hù)端、服務(wù)器端行為進(jìn)行特征提取。另一方面對(duì)提取后的特征歸一化處理等，以符合深度學(xué)習(xí)算法的輸入要求;數(shù)據(jù)決策層中，根據(jù)正常行為的特征，利用深度學(xué)習(xí)算法進(jìn)行模型訓(xùn)練，訓(xùn)練好模型后根據(jù)輸入數(shù)據(jù)量及行為特征數(shù)，動(dòng)態(tài)調(diào)整神經(jīng)網(wǎng)絡(luò)參數(shù)，以達(dá)到最佳識(shí)別率，該模型方便決策層快速對(duì)主機(jī)、網(wǎng)絡(luò)、用戶(hù)行為和服務(wù)方出現(xiàn)未知的違規(guī)異常事件進(jìn)行檢測(cè)，然后對(duì)需要檢測(cè)的未知數(shù)據(jù)提取特征后輸入訓(xùn)練好的模型中進(jìn)行檢測(cè)，將檢測(cè)結(jié)果存儲(chǔ)到數(shù)據(jù)庫(kù)中并向風(fēng)險(xiǎn)評(píng)估模塊進(jìn)行反饋，風(fēng)險(xiǎn)評(píng)估模塊根據(jù)該結(jié)果進(jìn)行相應(yīng)的計(jì)算及評(píng)估。

針對(duì)通信環(huán)境復(fù)雜、網(wǎng)絡(luò)資源受限、容易遭受惡意攻擊等特點(diǎn)，通過(guò)引入人工智能、大數(shù)據(jù)技術(shù)，開(kāi)展無(wú)監(jiān)督學(xué)習(xí)與有監(jiān)督學(xué)習(xí)相結(jié)合的多算法關(guān)聯(lián)的人工智能關(guān)系圖譜分析理論研究，通過(guò)無(wú)監(jiān)督學(xué)習(xí)從已知網(wǎng)絡(luò)行為數(shù)據(jù)集中理解并分析網(wǎng)絡(luò)關(guān)系、定位用戶(hù)節(jié)點(diǎn);通過(guò)有監(jiān)督學(xué)習(xí)注入已知網(wǎng)絡(luò)信息、歷史經(jīng)驗(yàn)信息和環(huán)境感知信息，識(shí)別特定環(huán)境下賽博空間中網(wǎng)絡(luò)流量的正常和異常行為，建立網(wǎng)絡(luò)流量正常行為模型與異常行為模型，為網(wǎng)絡(luò)空間異常行為檢測(cè)提供支持。

多算法關(guān)聯(lián)的人工智能關(guān)系圖譜分析技術(shù)途徑主要包括如下2個(gè)方面，基于自編碼器的協(xié)議和行為分類(lèi)提供了一種對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)包進(jìn)行高速分類(lèi)的方法，基于半監(jiān)督和特征選擇的入侵檢測(cè)技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)入侵等異常攻擊流量的檢測(cè)識(shí)別。

2.2基于自編碼器的協(xié)議和行為分類(lèi)

通過(guò)自動(dòng)編碼器實(shí)現(xiàn)數(shù)據(jù)的特征提取和降維，使用K-means聚類(lèi)算法進(jìn)行協(xié)議的無(wú)監(jiān)督分類(lèi)，最后使用基于自動(dòng)編碼器的無(wú)監(jiān)督聚類(lèi)方法對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行分類(lèi)識(shí)別，如圖2所示。

在分類(lèi)模型訓(xùn)練階段，模型由編碼器層和分類(lèi)器層組成。

第1步，對(duì)預(yù)處理后的數(shù)據(jù)進(jìn)行特征提取，經(jīng)過(guò)預(yù)處理后的流量數(shù)據(jù)為I′=（m1′，m2′，m3′，…，mn′），其中選擇每個(gè)數(shù)據(jù)對(duì)象mi′=（mi1′，mi2′，mi3′，…，mil′）是長(zhǎng)度為l且經(jīng)過(guò)歸一化的向量，將數(shù)據(jù)集I′輸入編碼器f（x）中得到壓縮后的數(shù)據(jù)H=（h1，h2，h3，…，hn）。

第2步，按照規(guī)則分類(lèi)壓縮后的數(shù)據(jù)，使用改進(jìn)的具有相對(duì)熵的K均值聚類(lèi)算法作為量度分類(lèi)器，根據(jù)指定的分類(lèi)數(shù)K對(duì)第一步中獲得的壓縮數(shù)據(jù)進(jìn)行分類(lèi)。

最終得到改進(jìn)K-means的目標(biāo)函數(shù)為P（x）和Q（x）的相對(duì)熵：

。

每次迭代都為數(shù)據(jù)點(diǎn)A重新分配簇v，如下所示：

。

重新計(jì)算每個(gè)簇的中心，計(jì)算簇vj的中心μj，如下所示：

。

分類(lèi)器通過(guò)不停迭代使目標(biāo)函數(shù)L的值越來(lái)越小，分類(lèi)越來(lái)越具有準(zhǔn)確性。

2.3基于半監(jiān)督和特征選擇的入侵檢測(cè)

為應(yīng)對(duì)未知攻擊檢測(cè)和訓(xùn)練數(shù)據(jù)少的挑戰(zhàn)，使用未標(biāo)記的數(shù)據(jù)和特征選擇后的已標(biāo)記數(shù)據(jù)來(lái)提取行為特征以形成網(wǎng)絡(luò)行為特征數(shù)據(jù)庫(kù)，根據(jù)網(wǎng)絡(luò)行為特征數(shù)據(jù)庫(kù)的信息，使用CPLE半監(jiān)督學(xué)習(xí)方法來(lái)訓(xùn)練和學(xué)習(xí)經(jīng)過(guò)特征選擇的數(shù)據(jù)，并進(jìn)行迭代訓(xùn)練，通過(guò)學(xué)習(xí)模型不斷優(yōu)化行為特征數(shù)據(jù)庫(kù)。最后，通過(guò)半監(jiān)督學(xué)習(xí)分類(lèi)器對(duì)上述數(shù)據(jù)集進(jìn)行分類(lèi)，實(shí)現(xiàn)檢測(cè)數(shù)據(jù)流量以及特征的目的。CPLE半監(jiān)督算法訓(xùn)練流程如圖3所示。

3結(jié)束語(yǔ)

針對(duì)通信網(wǎng)絡(luò)行為復(fù)雜多變、隱藏行為混雜難辨、人工分析低效的特點(diǎn)，將人工智能引入網(wǎng)絡(luò)安全防御中，從多個(gè)角度提取深層行為數(shù)據(jù)特征，利用機(jī)器學(xué)習(xí)模型學(xué)習(xí)正常有效的行為規(guī)律，構(gòu)建智能體異常行為樣本庫(kù)進(jìn)行訓(xùn)練迭代，開(kāi)展對(duì)網(wǎng)絡(luò)空間實(shí)體異常行為的預(yù)測(cè)，感知已知和未知網(wǎng)絡(luò)威脅，最終用來(lái)識(shí)別特定環(huán)境下異常行為，為通信網(wǎng)絡(luò)由被動(dòng)安全防護(hù)向主動(dòng)安全防御轉(zhuǎn)型提供支撐。

參考文獻(xiàn)

[1]李建華.網(wǎng)絡(luò)空間威脅情報(bào)感知、共享與分析技術(shù)綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016，2（2）：16-29.

[2]SHAKSHUKI E M，KANG N，SHELTAMI T R. EAACK-a Secure Intrusion-detection System for MANETs[J].IEEE Transactions on Industrial Electronics，2013，60（3）： 1089-1098.

[3]陳華山，皮蘭，劉峰，等.網(wǎng)絡(luò)空間安全科學(xué)基礎(chǔ)的研究前沿及發(fā)展趨勢(shì)[J].信息網(wǎng)絡(luò)安全，2015（3）：1-5.

[4] CHEN H S，PI L，LIU F，et al. Research on Frontier and Trends of Science of Cybersecurity[J].Netinfo Security，2015（3）： 1-5.

[5]沈昌祥，張煥國(guó)，馮登國(guó)，等.信息安全綜述[J].中國(guó)科學(xué)（E輯：信息科學(xué)），2007（2）：129-150.

[6]范亮，陳倩.人工智能在網(wǎng)絡(luò)安全領(lǐng)域的最新發(fā)展[J].中國(guó)信息安全，2017（4）：104-107.

[7]伍榮，褚龍，余興華.大數(shù)據(jù)技術(shù)在信息安全領(lǐng)域中的應(yīng)用[J].通信技術(shù)，2017，50（6）：1295-1298.