基于人工智能的網(wǎng)絡(luò)安全威脅檢測技術(shù)研究

摘要：隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題變得愈發(fā)突出，網(wǎng)絡(luò)安全威脅層出不窮。旨在研究基于人工智能的網(wǎng)絡(luò)安全威脅檢測技術(shù)。首先，對人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用進行了深入研究和探討，從而確定人工智能技術(shù)在網(wǎng)絡(luò)安全威脅檢測中的潛在作用。其次，提出了基于算術(shù)優(yōu)化算法（arithmetic optimization algorithm，AOA）的網(wǎng)絡(luò)入侵檢測方法，旨在提高檢測準(zhǔn)確率和效率。最后，構(gòu)建了大量的網(wǎng)絡(luò)安全數(shù)據(jù)集，并利用該數(shù)據(jù)集對所提出的檢測技術(shù)進行了充分驗證和評估。實驗結(jié)果表明，基于人工智能的網(wǎng)絡(luò)安全威脅檢測技術(shù)相比于傳統(tǒng)方法具有更高的準(zhǔn)確率和實用性，可以有效地識別和應(yīng)對各類網(wǎng)絡(luò)攻擊。

關(guān)鍵詞：人工智能；網(wǎng)絡(luò)安全威脅；檢測技術(shù)；并行tent映射

中圖分類號：TP309；TP393.08 文獻標(biāo)識碼：A

0 引言

在信息技術(shù)迅猛發(fā)展的背景下，網(wǎng)絡(luò)安全威脅日益嚴(yán)峻。隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，各類網(wǎng)絡(luò)攻擊手段層出不窮，給個人、企業(yè)甚至國家安全帶來了巨大的挑戰(zhàn)。黑客攻擊、惡意軟件、網(wǎng)絡(luò)詐騙等不法行為不僅會導(dǎo)致數(shù)據(jù)泄露和經(jīng)濟損失，還可能影響社會的正常運行。傳統(tǒng)的網(wǎng)絡(luò)安全檢測方法大多基于規(guī)則和特征分析，這些方法雖然在一定程度上能夠防范已知的威脅，但在面對新型攻擊和復(fù)雜的網(wǎng)絡(luò)環(huán)境時卻表現(xiàn)出明顯的局限性。這些局限性主要體現(xiàn)在對未知威脅的檢測能力不足和誤報率較高等方面。隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷演進，傳統(tǒng)方法很難滿足實際應(yīng)用需求，因此迫切需要探索新的技術(shù)手段來提升網(wǎng)絡(luò)安全檢測的效果。因此，本文旨在探討如何有效融合人工智能技術(shù)與網(wǎng)絡(luò)安全檢測，為應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全威脅提供新的解決方案。本文旨在通過深入研究相關(guān)技術(shù)與方法，提升網(wǎng)絡(luò)威脅檢測的效果。

1 網(wǎng)絡(luò)安全威脅與網(wǎng)絡(luò)入侵檢測技術(shù)

1.1 網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)安全威脅是當(dāng)前網(wǎng)絡(luò)安全環(huán)境的重要組成部分[1]。隨著人工智能技術(shù)的迅猛發(fā)展，機器學(xué)習(xí)和深度學(xué)習(xí)技術(shù)在數(shù)據(jù)處理和模式識別方面展現(xiàn)出強大的潛力。將人工智能與網(wǎng)絡(luò)安全結(jié)合，能夠利用其自我學(xué)習(xí)和適應(yīng)能力對復(fù)雜的網(wǎng)絡(luò)流量進行深度分析和挖掘，從而發(fā)現(xiàn)潛在的安全威脅。基于人工智能的檢測技術(shù)不僅能夠提高檢測的準(zhǔn)確率、降低誤報率，還能快速響應(yīng)不斷變化的網(wǎng)絡(luò)攻擊形式。在眾多人工智能技術(shù)中，深度學(xué)習(xí)技術(shù)因其在特征自動提取和表示學(xué)習(xí)上的優(yōu)越性受到廣泛關(guān)

注[2]。通過構(gòu)建復(fù)雜的神經(jīng)網(wǎng)絡(luò)模型，深度學(xué)習(xí)技術(shù)能夠在大量數(shù)據(jù)中捕捉微妙的模式變化，這使其在網(wǎng)絡(luò)安全威脅檢測中展現(xiàn)出一定的潛力。然而，盡管基于人工智能的檢測技術(shù)引人注目，但目前在實際應(yīng)用中仍面臨一些挑戰(zhàn)。

1.2 網(wǎng)絡(luò)入侵檢測技術(shù)

網(wǎng)絡(luò)入侵檢測系統(tǒng)（network intrusion detection system，NIDS）的任務(wù)是分辨流量的性質(zhì)，這可以是二分類問題，僅區(qū)分流量是正常流量還是異常流量；也可以是多分類問題，不僅需要區(qū)分正常流量和異常流量，還要在異常流量中區(qū)分攻擊類型，如端口掃描（port scan）、滲透攻擊（infiltration）、暴力破解（brute force）等。隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)的不斷進步，攻擊方法也不斷更新升級。為了能夠更加清晰準(zhǔn)確地描述攻擊方法，安全研究人員提出了以網(wǎng)絡(luò)入侵目的為原則的分類方法，目前主流且較為常見的分類方法從形式上大致分為4類：

①本地用戶提權(quán)（user to root，U2R）；②拒絕服務(wù)攻擊（denial of service，DoS）；③遠(yuǎn)程用戶非法使用（remote to local，R2L）；④探測（probe）[3]。

2 人工智能在入侵檢測中的應(yīng)用

基于主機入侵檢測系統(tǒng)（host-based intrusion detection system，HIDS）審計信息來源于主機運行過程中的操作日志、程序行為等，而基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)審計信息則是來源于網(wǎng)絡(luò)流量。NIDS通過實時監(jiān)控網(wǎng)絡(luò)中的流量數(shù)據(jù)識別其中可能存在的入侵行為；HIDS則以系統(tǒng)、應(yīng)用程序的日志和主機審計數(shù)據(jù)作為數(shù)據(jù)來源，根據(jù)自身相關(guān)規(guī)則來發(fā)現(xiàn)入侵行為。本文研究內(nèi)容屬于基于網(wǎng)絡(luò)的入侵檢測。

基于異常的入侵檢測方法是對用戶的正常行為進行建模，在這種情況下系統(tǒng)對用戶正常行為建立行為輪廓，而將與正常行為存在較大差異的行為視為異常行為，這種方法會將異常行為和未曾出現(xiàn)過的正常行為都視作異常行為。因此基于異常的入侵檢測方法存在誤報率過高的問題[4]。

基于誤用的入侵檢測方法通過對已有入侵行為建模，提取能夠?qū)⑵渥R別的特征，并將這些特征保存在數(shù)據(jù)庫中，以實時檢測這些特征在系統(tǒng)中是否出現(xiàn)。這種方法對于已經(jīng)出現(xiàn)過的攻擊方法具有較高的檢測效率，并且可以準(zhǔn)確地判定其攻擊類型，但是對于未曾出現(xiàn)的新型攻擊則會出現(xiàn)檢測效率不高、漏報等情況[5]。

這些方法可以按照使用的分類方法分為基于傳統(tǒng)機器學(xué)習(xí)的入侵檢測方法和基于深度學(xué)習(xí)的入侵檢測方法。早期研究人員使用機器學(xué)習(xí)方法構(gòu)建入侵檢測模型，隨著計算機計算能力的不斷發(fā)展，深度學(xué)習(xí)也逐漸應(yīng)用于入侵檢測領(lǐng)域。

（1）基于機器學(xué)習(xí)的入侵檢測方法。研究人員通常只基于一種機器學(xué)習(xí)算法構(gòu)建基于網(wǎng)絡(luò)的入侵檢測方法，但是隨著網(wǎng)絡(luò)規(guī)模不斷增大，流量規(guī)模大幅增加，流量特征更加復(fù)雜多變，這些方法已經(jīng)不能在當(dāng)前的網(wǎng)絡(luò)環(huán)境中繼續(xù)有效檢測入侵行為。機器學(xué)習(xí)中簡單分類器不能有效利用數(shù)據(jù)中的有價值特征，這導(dǎo)致檢測通常難以達到較高的準(zhǔn)確率。研究人員為了能夠提升入侵檢測模型的檢測效率，將集成學(xué)習(xí)方法應(yīng)用到入侵檢測領(lǐng)域。集成學(xué)習(xí)方法能夠靈活地與多種機器學(xué)習(xí)算法結(jié)合，通過訓(xùn)練多個使用不同參數(shù)的弱分類器達到較好的分類效果[6]。

（2）基于深度學(xué)習(xí)的入侵檢測方法。目前，深度學(xué)習(xí)在圖像識別、語音識別、自然語言處理（natural language processing，NLP）等領(lǐng)域的廣泛應(yīng)用，為網(wǎng)絡(luò)入侵檢測技術(shù)提供了新的解決方案。用于入侵檢測的深度學(xué)習(xí)方法分為無監(jiān)督深度學(xué)習(xí)方法和有監(jiān)督深度學(xué)習(xí)方法，無監(jiān)督深度學(xué)習(xí)方法包括受限玻爾茲曼機、深度置信網(wǎng)絡(luò)等；有監(jiān)督深度學(xué)習(xí)方法包括卷積神經(jīng)網(wǎng)絡(luò)、堆疊自動編碼器和循環(huán)神經(jīng)網(wǎng)絡(luò)等。

3 基于算術(shù)優(yōu)化算法的網(wǎng)絡(luò)入侵檢測方法研究

本文提出一種并行tent映射算術(shù)優(yōu)化算法（arithmetic optimization algorithm，AOA），其采用tent混沌映射生成均勻分布的初始化種群，豐富種群個體的多樣性，增強算法全局探索能力；采用并行通信策略對當(dāng)前群體中最優(yōu)個體進行多樣性變異，幫助算法更好地跳出局部最優(yōu)解，并減少獲得全局最優(yōu)解的迭代次數(shù)；重構(gòu)數(shù)學(xué)優(yōu)化加速（math optimizer accelerated，MOA）函數(shù)，以平衡算法全局探索階段和局部開發(fā)階段的搜索能力。在探索階段，使用除法（D）運算符或乘法（M）運算符的數(shù)學(xué)計算可有助于得到高分布的值或決策；在開發(fā)階段，建立數(shù)學(xué)優(yōu)化概率（math optimizer probability，MOP）系數(shù)。最后，通過對基準(zhǔn)測試函數(shù)進行實驗仿真，驗證所提出算法的可行性和有效性。

并行tent映射AOA流程如圖1所示。在算法初期引入tent混沌映射產(chǎn)生均勻分布的初始種群，利用重構(gòu)的平衡全局探索和局部開發(fā)的比重，采用并行策略加強種群間的交流，并對最優(yōu)解進行序列變化。綜合以上改進策略，對基于AOA的網(wǎng)絡(luò)入侵檢測方法進行設(shè)計。

AOA在全局探索階段和局部開發(fā)階段存在以下問題：①搜索個體僅向當(dāng)前最優(yōu)位置移動，忽略了其他方向的可能性；②搜索個體之間沒有信息共享，只關(guān)注當(dāng)前最優(yōu)位置，導(dǎo)致搜索效率低。并行策略可以加快計算速度和解決大型復(fù)雜問題，如在數(shù)據(jù)挖掘和深度學(xué)習(xí)領(lǐng)域的應(yīng)用。遺傳算法是最早使用并行策略的智能算法之一，它可以實現(xiàn)空間多點搜索和種群間交流，提高算法性能。本文在AOA的基礎(chǔ)上引入了并行化機制，使得群體之間可以充分交流。即使有些子群陷入局部最優(yōu)，也有可能通過并行算法找到全局最優(yōu)。此外，一個合適的通信策略可以加快算法的收斂速度，并且不會增加算法的復(fù)雜性。具體步驟如下。

步驟1：隨機在區(qū)間（0，1）內(nèi)產(chǎn)生初值，令k =0作為初始迭代次數(shù)。

步驟2：根據(jù)MOA函數(shù)和MOP系數(shù)進行迭代計算，并且生成一個序列，同時k每次自增1。

步驟3：當(dāng)?shù)螖?shù)k達到最大值時，停止迭代并保存生成的Z序列。

4 實驗結(jié)果分析

實驗采用了國際進化計算會議（ICEC）提出的CEC系列基準(zhǔn)測試函數(shù)，并從中選取11個具有不同特征的測試函數(shù)，包括單峰測試函數(shù)F1～F7和多峰測試函數(shù)F8～F11。為確保算法對比的公平性，所有算法都使用相同的種群規(guī)模：N設(shè)置為30，最大迭代次數(shù)設(shè)置為500。

將改進的灰狼優(yōu)化（improved grey wolf optimizer，IGWO）算法、AOA與并行tent映射AOA進行對比。算法均獨立運行30次，記錄其平均值和標(biāo)準(zhǔn)差，函數(shù)測試結(jié)果如表1所示。表1中并行tent映射AOA在3個維度下均具有較好的測試效果，表明該算法在高維優(yōu)化問題方面仍具有較強的魯棒性。

5 結(jié)語

本文通過探討基于人工智能的網(wǎng)絡(luò)安全威脅檢測技術(shù)，深入分析其原理和優(yōu)勢，為網(wǎng)絡(luò)安全領(lǐng)域的研究和實踐提供了新的思路和方法。未來可以進一步優(yōu)化相關(guān)檢測算法性能，提高檢測精度和響應(yīng)速度，推動人工智能技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用和發(fā)展。

參考文獻

[1] 梅澤川.人工智能與機器學(xué)習(xí)在網(wǎng)絡(luò)安全中的應(yīng)用性研究[J].泰山學(xué)院學(xué)報，2023，45（6）：130-134.

[2] 丁梓軒，陳國.基于XGBoost算法的內(nèi)部網(wǎng)絡(luò)安全威脅檢測方法[J].吉林大學(xué)學(xué)報（信息科學(xué)版），2024，42（2）：366-371.

[3] 韓凱，張浩.電子信息工程中網(wǎng)絡(luò)安全等級保護加固方案的設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024（9）：13-14.

[4] 盧恒光.風(fēng)電場網(wǎng)絡(luò)安全威脅檢測與響應(yīng)機制研究[J].中國信息化，2024（8）：88-89.

[5] 李翔.人工智能在網(wǎng)絡(luò)安全威脅檢測中的應(yīng)用[J].信息記錄材料，2024，25（8）：171-173.

[6] 戎億.人工智能技術(shù)在大數(shù)據(jù)網(wǎng)絡(luò)安全防御中的應(yīng)用[J].中國寬帶，2023，19（5）：147-149.