大數(shù)據(jù)網絡安全防御中人工智能技術的應用分析

關鍵詞：大數(shù)據(jù);網絡安全;人工智能技術

中圖法分類號：TP181 文獻標識碼：A

大數(shù)據(jù)技術提高了人們對網絡信息的利用效率，而計算機網絡作為數(shù)據(jù)傳播的載體，對大數(shù)據(jù)的應用起到了十分重要的作用。由于網絡技術在短時間內不能對海量信息進行處理，而且對數(shù)據(jù)信息的保存時間也有限，這就給網絡信息安全帶來了一系列的問題。如何有效地對網絡信息安全進行分析，成為大數(shù)據(jù)環(huán)境下人們面臨的主要問題之一。由于人工智能技術對網絡安全防御具有十分重要的作用，能結合網絡安全策略構建的情況，提高網絡安全管理的效率，對促進網絡安全發(fā)展具有十分重要的作用。

1人工智能技術在大數(shù)據(jù)網絡安全防御中的架構設計

大規(guī)模數(shù)據(jù)和復雜數(shù)據(jù)處理技術的網絡信息安全問題已經成為網絡安全面臨的主要問題之一，將人工智能技術融入大數(shù)據(jù)網絡安全中，可以實現(xiàn)對網絡模糊問題的精確化處理，對提高網絡的安全性具有十分重要的作用———能實現(xiàn)網絡安全的交互式分析。利用人工智能建模算法分析，可以實現(xiàn)大數(shù)據(jù)平臺的安全威脅的自動化分析，同時也可以對網絡安全的事件進行溯源以及一鍵聯(lián)動安全防護，從而構建快速的網絡響應機制。

1.1平臺技術架構

人工智能技術主要涉及專家系統(tǒng)、智能學習、深度學習、智能控制管理、數(shù)據(jù)追蹤等技術，能高效地處理大數(shù)據(jù)網絡中的一些不安全問題，并可對模糊的網絡安全問題進行精確化的處理。大數(shù)據(jù)智能安全平臺若要對網絡中的復雜事件進行處理，需具備網絡安全訪問日志、操作系統(tǒng)控制日志等，并結合網絡安全整體處理技術要求，實時完成網絡的整體防御控制。網絡的整體架構包括：數(shù)據(jù)采集層、數(shù)據(jù)預處理層、數(shù)據(jù)存儲層、分析計算層和展示層等，不同的層次之間相互協(xié)調，對網絡中的不安全因素進行隔離控制，對提高網絡的安全性、穩(wěn)定性與擴展性等具有十分重要的作用。具體的網絡安全架構如圖1所示。

通過將人工智能技術融入解析引擎分析、復雜事件處理、日志解析分析等過程中，能優(yōu)化網絡安全管理，可以自動對網絡流程中的全數(shù)據(jù)管理進行分析，及時發(fā)現(xiàn)大數(shù)據(jù)網絡中存在的安全問題并進行處理，對提高大數(shù)據(jù)網絡安全具有重要的意義。

（1）采集層。主要功能是完成大數(shù)據(jù)網絡數(shù)據(jù)的實時采集，可以提供實時數(shù)據(jù)、離線數(shù)據(jù)和自定義數(shù)據(jù)等采集方式，不需要改變網絡的現(xiàn)有架構，就可以對大數(shù)據(jù)網絡提供各種異類安全采集、全流量數(shù)據(jù)控制以及網絡中的相關業(yè)務數(shù)據(jù)采集功能。

（2）數(shù)據(jù)預處理層。主要功能是對平臺數(shù)據(jù)進行規(guī)劃處理，使之能為上層安全管理提供數(shù)據(jù)服務，并提供數(shù)據(jù)泛化和歸一化能力，提前對網絡的安全數(shù)據(jù)進行預處理分析，為后期網絡安全優(yōu)化的控制提供技術支持。

（3）數(shù)據(jù)存儲層。主要功能是對大數(shù)據(jù)網絡中的數(shù)據(jù)進行存儲，并提供多種數(shù)據(jù)存儲方式，便于平臺能夠對多種數(shù)據(jù)進行集中處理，并為網絡的上傳與外部提供數(shù)據(jù)應用服務，便于利用人工智能技術對模糊的網絡安全事件進行精確化處理與控制。

（4）分析計算層。該層要完成網絡數(shù)據(jù)的安全分析處理：第一，通過數(shù)據(jù)安全分析體系，為網絡提供數(shù)據(jù)的關聯(lián)分析與模型關聯(lián)預測分析，完成大數(shù)據(jù)網絡中的數(shù)據(jù)分析;第二，通過專家體系模型，不斷完善網絡安全規(guī)則，為大數(shù)據(jù)網絡安全提供分析體系模型、安全規(guī)則以及網絡知識體系構成等。

（5）展示層。通過人工智能技術分析，為用戶提供可視化的圖形圖像，便于用戶能及時發(fā)現(xiàn)網絡安全中的整體態(tài)勢攻擊分析，可實時對網絡安全進行預警，并快速地研判、響應與一鍵自動防御網絡安全等問題，從而真正實現(xiàn)大數(shù)據(jù)網絡安全的自動化控制與管理。

1.2智能安全平臺的部署

將人工智能技術應用于大數(shù)據(jù)網絡系統(tǒng)中，可以在不改變現(xiàn)有網絡與技術的基礎上，采用旁路部署的方式（對用戶的網絡安全不會產生任何影響），讓網絡的數(shù)據(jù)流量采集模塊在核心交換機（或路由器）上通過鏡像或分光的方式進行控制，實現(xiàn)大數(shù)據(jù)網絡中數(shù)據(jù)的流量復制采集，便于利用人工智能技術對網絡安全事件進行分析處理。其中，流量采集模塊具備沙箱功能，能快速地對網絡中的數(shù)據(jù)原始流量進行仿真分析與處理;網絡數(shù)據(jù)的信息主要采用syslog、API、FTP等多種方式進行采集，如果用戶的網絡能夠覆蓋到地方，就能滿足智能數(shù)據(jù)采集的要求，也方便利用人工智能技術與原有的網絡安全防護技術，自動對網絡中不安全的數(shù)據(jù)信息進行攔截與處理。

1.3網絡安全平臺的功能架構

將人工智能技術應用于大數(shù)據(jù)網絡中，需要具備完善的網絡平臺安全數(shù)據(jù)中心，以便對大數(shù)據(jù)網絡的網絡安全類信息、安全管理類信息、數(shù)據(jù)流量控制信息與用戶環(huán)境數(shù)據(jù)信息進行標準化、集中化存儲等，以解決網絡中異構設備的日志數(shù)據(jù)分散存儲的難題，也有利于解決企業(yè)內部的多個“數(shù)據(jù)孤島”產生的問題。此外，將人工智能技術應用到大數(shù)據(jù)網絡安全中，并充分地將深度感知分析技術、存儲查詢控制系統(tǒng)、實時分析系統(tǒng)、用戶行為分析等融合在一起，再優(yōu)化網絡的數(shù)據(jù)中心配置，可以為企業(yè)提供數(shù)據(jù)存儲資源，形成統(tǒng)一的運維管理措施，并能提高網絡安全運維工作的效率。

通過大數(shù)據(jù)管理中心與大數(shù)據(jù)智能分析中心可以實時調度網絡數(shù)據(jù)、實時分析用戶的行為，能真正實現(xiàn)網絡數(shù)據(jù)的獲取、分析、過濾、數(shù)據(jù)轉發(fā)與數(shù)據(jù)聚合等功能，也實現(xiàn)了網絡數(shù)據(jù)的同步。利用人工智能技術，便于對大數(shù)據(jù)網絡中的不安全因素進行可視化分析，實現(xiàn)數(shù)據(jù)的追蹤溯源、威脅告警、查詢分析等功能，同時還能實現(xiàn)一鍵阻斷的功能，對提高網絡安全具有十分重要的作用。在智能平臺中的關聯(lián)分析引擎與安全大數(shù)據(jù)中心之間，通過采用人工智能技術，可以實現(xiàn)內部數(shù)據(jù)交互接口的彼此數(shù)據(jù)交互，從而能夠對全網的安全要素、安全威脅事件進行聯(lián)動分析，便于快速地查詢到大數(shù)據(jù)網絡中存在的問題，進而提高整個大數(shù)據(jù)網絡的安全性能。

2大數(shù)據(jù)網絡安全中人工智能的關鍵應用分析

將人工智能技術應用于大數(shù)據(jù)網絡中，對提高網絡的安全性能具有十分重要的意義，它通過模擬人的思維過程，對網絡中不安全的因素進行檢測，自動制定安全防御措施，使得大數(shù)據(jù)網絡安全具有數(shù)字化、智能化的特征。

2.1關鍵應用分析

2.1.1大數(shù)據(jù)關聯(lián)分析引擎

大數(shù)據(jù)關聯(lián)分析引擎是對網絡數(shù)據(jù)進行收集的重要內容，它包含全流量沙箱分析模塊、大數(shù)據(jù)實時分析模塊、大數(shù)據(jù)離線智能分析模塊等相關模塊，能重點對大數(shù)據(jù)網絡中的安全事件進行溯源分析。其中，它的威脅情報關聯(lián)分析和機器學習建模分析功能可以快速對網絡中的不安全因素進行分析。

大數(shù)據(jù)實時分析模塊可以對網絡中的不安全因素進行分析，它采用基于流式計算模型建立分布式高性能實時計算框架，可以檢測網絡中的數(shù)據(jù)流量、網絡中的不安全因素等，可以用來構建高吞吐、低延時的流式分析應用，并實時對大數(shù)據(jù)網絡中的不安全因素進行監(jiān)測，主要用于網絡的實時分析日志、流量等數(shù)據(jù)進行控制與管理，能及時發(fā)現(xiàn)和監(jiān)測安全攻擊行為，并具有自動隔離的功能。

大數(shù)據(jù)離線智能分析模塊可以對網絡數(shù)據(jù)進行深度分析，它主要采用前沿的大數(shù)據(jù)和機器學習技術（如多維度關聯(lián)分析技術、GBM機器學習模型技術、深度學習模型聚合分析技術等），對大數(shù)據(jù)網絡中的不安全因素進行深度分析與處理，并利用專家系統(tǒng)模型進行對比分析，自動構建網絡安全防護系統(tǒng)。并且，它也能夠對大數(shù)據(jù)網絡中的數(shù)據(jù)信息進行多維度整合處理，形成多元化的信息處理中心，實時地對網絡數(shù)據(jù)進行整合、關聯(lián)、智能分析和預測，提高大數(shù)據(jù)網絡安全的預警效率，顯著降低安全事件誤報率。此外，它也能夠通過可視化的方式將網絡中的威脅信息展示給用戶，便于用戶精準地對網絡不安全行為進行定位與溯源。

2.1.2數(shù)據(jù)溯源處理

在大數(shù)據(jù)網絡安全數(shù)據(jù)管理中，數(shù)據(jù)的溯源處理十分重要，它主要實現(xiàn)網絡安全事件的關聯(lián)分析和安全事件攻擊鏈溯源處理，以此提高網絡的安全性能。而人工智能技術提供了基于規(guī)則、基于統(tǒng)計、基于網絡資產的關聯(lián)分析功能，能實時對網絡數(shù)據(jù)進行安全處理，可以實現(xiàn)對于大數(shù)據(jù)網絡、云平臺數(shù)據(jù)安全事件的誤報排除、事件源推論、安全事件級別重新定義等效能。為了便于對網絡安全數(shù)據(jù)進行溯源處理，人工智能技術還支持安全事件的橫向關聯(lián)和縱向關聯(lián)分析，并結合網絡安全事件威脅程度，對事件進行溯源處理，同時還可以對威脅情報關聯(lián)分析，并快速地對攻擊者身份進行溯源分析。采用人工智能技術，可以快速對大數(shù)據(jù)網絡中的不安全因素進行處理，有效地革除了傳統(tǒng)安全設備基于單點工作的弊端，從而提高大數(shù)據(jù)網絡安全的信息溯源能力。另外，采用人工智能技術還能對網絡業(yè)務支持系統(tǒng)中的應用系統(tǒng)提供深度關聯(lián)分析，及時發(fā)現(xiàn)網絡安全中存在的問題，對網絡的弱點與風險點進行處理，整體提高網絡系統(tǒng)的安全性能。

2.2交互式建模分析

人工智能技術在大數(shù)據(jù)網絡平臺中的應用，可以為用戶提供交互式的建模分析能力，提高用戶對網絡安全的管理能力，同時也為用戶提供建模分析功能，便于用戶選擇合適的技術對網絡安全進行管理。其允許用戶結合自身網絡安全場景建立AI分析模型，自動地對網絡安全性能進行分析，并為用戶提供具備自學習能力的安全威脅分析、異常行為發(fā)現(xiàn)等，達到對大數(shù)據(jù)網絡安全事件的追蹤溯源，及時對網絡安全事件進行處理，也能夠幫助用戶看懂風險、輔助安全決策，提高企業(yè)的安全防護效率。

2.3立體防護功能

人工智能技術在大數(shù)據(jù)網絡安全中的應用，可以針對不同的網絡環(huán)境構建多元化的網絡安全防護體系，采用對應的數(shù)據(jù)采集探針和相應的安全分析技術，提高網絡的安全性。例如，針對互聯(lián)外網防護采用互聯(lián)網安全分析檢測模塊，對網絡安全事件進行實時分析，并運用Web攻擊防護設備實時攻擊網絡;而對于內網防護技術，可以采用APT未知威脅防護技術、內網安全分析檢測模塊等，實現(xiàn)網絡的實時安全控制管理;對于工控網防護技術，結合物聯(lián)網技術，可以采用基于工控資產的探測和識別技術、工控網安全分析檢測模塊，實現(xiàn)網絡安全控制與管理;而對于物聯(lián)網安全防護的問題，可以將多種網絡安全設備聯(lián)合在一起，采用聯(lián)網設備的基礎數(shù)據(jù)識別技術對網絡安全進行控制與管理，再結合物聯(lián)網安全分析檢測模塊與大數(shù)據(jù)網絡，形成整體的安全威脅識別控制與管理措施，最后形成立體防護能力的解決方案，優(yōu)化網絡安全管理措施。

3結束語

采用人工智能技術對大數(shù)據(jù)網絡安全架構進行改造，有利于提升網絡的安全級別。大數(shù)據(jù)智能安全平臺具備全量異構數(shù)據(jù)的處理能力，可以對大數(shù)據(jù)網絡中的復雜安全事件進行綜合性的分析與處理，為用戶提供大規(guī)模的數(shù)據(jù)存儲與查詢功能，便于對網絡中的復雜數(shù)據(jù)進行處理。事實上，將人工智能技術內置在關聯(lián)分析引擎中，可以對網絡中的一些越權行為、賬戶的異常控制行為等進行綜合控制，幫助用戶快速地解決網絡中的安全威脅問題，如通過一鍵阻斷功能可以快速地阻斷外界的攻擊，有利于保證用戶的業(yè)務持續(xù)、穩(wěn)定運行。

作者簡介：

白康康（1991—），本科，助理實驗師，研究方向：計算機科學與技術。