基于大数据和人工智能的网络安全态势分析方法研究

周金全　朱世伟　张建平

摘要：针对网络空间安全预警和安全防御的迫切需求，以大数据和人工智能为技术背景和方法基础，针对安全态势要素定义和综合态势计算等关键环节，分析其中的主要技术方法，为网络安全态势感知系統提供设计参考。

关键词：网络安全;态势感知;大数据;人工智能

一、引言

近年来，我国网络空间安全问题日益严峻。一方面，有目的性的高级网络攻击事件频发，大量窃取我国政治、军事、经济等领域的机密信息和敏感信息;另一方面，通过网络攻击获取数据进而实施诈骗的事件也日益增长，大量的网络攻击事件已经严重威胁到社会秩序。这些网络攻击事件的愈演愈烈暴露出我国网络空间一系列安全问题，包括系统安全防护能力不足、网络安全监测预警不到位以及主动防御措施缺乏持续更新等。当前，解决网络空间安全问题已经上升到国家战略高度，提高网络安全的态势感知和主动防御能力至关重要[1]。

二、网络安全态势感知技术发展趋势分析

随着计算机和通信技术的不断发展，网络攻击行为更加偏向于分散化，也更加有组织规模。面对有组织、成体系、分布式的等更为复杂的网络攻击手段，仅仅依靠入侵检测、防火墙、访问控制等单一的网络安全防护技术，已经满足不了网络安全的基本要求[2]。传统的安全防护理念和防护产品网络安全态势感知主要以孤立、静态的方式来实现对已有威胁的响应，但随着网络中不断新产生的威胁，特别是一些新型的影响较小、危害不大的网络威胁难以通过已有的感知策略发现，随着不断积累最后形成“雪球”效应，出现影响深远的重大网络安全事故，这成为当前静态感知无法解决的主要原因，其安全态势感知框架或产品中大多存在以下四个方面的问题：

（一）根据预制规则的数据库检测，数据库不完备或未及时更新将导致无法有效检测新型威胁;

（二）缺乏对数据的智能分析评估，无法提前预测即将发生的安全威胁;

（三）系统多设备协作联动困难，无法对网络进行动态多维度协作防御;

（四）网络安全防御基础数据获取单一，无法溯源分析已知网络安全攻击。

基于此，网络安全态势感知技术需对影响网络安全的各类威胁进行动态的监控，通过大数据深度分析，对未来可能存在威胁网络安全的各种要素进行预测和评估，以实现态势感知的精准，其发展主要包括以下几点：

（一）挖掘网络安全态势中潜在的威胁，动态获取网络安全态势;

（二）融合多源异构传感器获取的数据并可视化展示;

（三）成体系分析网络安全防御态势并进行评估，对网络安威胁进行预警;

（四）通过智能学习与预测，发现潜在的、未知的网络威胁能够及时管控快速响应。

三、态势感知分析框架

基于大数据和人工智能的网络安全态势感知分析平台框架[3]，其典型结构如图1所示。

具体从以下三个层面来构建网络安全态势感知平台：

（一）网络安全多元感知。从网络安全防御采集各类网络安全威胁情报信息，包括完了运行流量、系统安全审计、安全防护监测、安全工作日志等数据，进行统一汇总存储，形成安全态势数据库。

（二）制定评估体系。针对网络制定安全规则和安全模型，通过特定的分析算法，深度挖掘并分析数据库中的安全数据，并基于大数据进行不断地学习深化，动态扩展评估体系。

（三）网络安全态势评估。基于感知的海量数据和评估体系，通过大数据分析其中潜在的威胁并预测可能存在的安全事件，对发现潜在威胁报警、对重要网络动态监测、对重大网络事件实时感知、对网络安全态势可视化展示，进行预先防范。

四、安全态势及其要素定义

网络安全态势感知的对象是包括各种网络设备的运行状况、用户的网络活动以及潜在的网络攻击行为等。Tim Bass在网络态势感知的概念中提出，应对影响网络态势的要素（重点是安全要素）进行理解、显示并预测其短期的发展趋势[4]。因此，网络安全态势要素可认为是一种多维度的量化，详细如下：

（一）网络安全态势是一种可量化指标，通过评估，可综合呈现网络当前的安全态势，通过分析计算，能够预测网络后续的发展趋势。如：通过构建网络安全态势整体可评估的量化指标体系，其态势就是对各量化指标值的计算评估过程。

（二）网络安全态势可分不同的维度，可以从不同层次、不同角度反映网络的不同状态和后续发展趋势。如：从网络攻击的角度，可通过定义网络态势安全要素反映当前网络受到入侵攻击的严重程度和后续安全事件的发展趋势。

以安全态势为例，其主要安全态势要素如图2所示[5]。包括网络安全要素、可靠要素和可用要素。

（一）安全要素，用于反应网络当前受到攻击严重程度、对网络后续造成的影响，包括通过木马分发攻击、安全漏洞攻击、物理探测攻击进行篡改、截取、中断、伪造等。

（二）可靠要素，用于反映当前网络受到攻击后的物理损伤程度。

（三）可用要素，用于反应受到损伤后网络运行功能和性能的实际状态，包括网络的可用状态以及资源的富余程度等。

五、态势分析中的人工智能基础算法

在大数据基础平台中，共性基础算法和分析技术是后续计算、分析的基础[6]。典型共性算法介绍如下：

（一）特征选择算法

特征选择是通过对大量特征的筛选，得到其中最有效的特征，舍弃不直观的特征以降低空间维数，特征选择的这个过程可以用图进行表示分析。特征选择算法通过设计特征评估函数，从特征中选取部分特征形成一个特征子集进行评估，并与网络安全预期标准进行比较，如果评估结果优于预期标准则停止，等待下一次筛选;如果评估结果劣于预期标准，则重新选择筛选下一个子集直到最后出现最优子集。筛选评估完成后，对选出来的特征子集进行有效性验证。

（二）分类算法

分类算法是对数据集进行分类识别的重要基础算法。包括支持向量机（support vector machines， SVM）、朴素贝叶斯方法（Na?ve Bayes）、基于質心的分类器算法Centroid-Based classifier（CBC）、KNN算法（K Nearest Neighbor）和随机森林算法等。

（三）网络空间实体抽取算法

态势感知过程需要在网络空间态势数据中抽取网络空间中的实体。实体包括设备、链路、资源、终端、应用、服务、态势特征等。典型方法包括以下两种。

基于统计机器学习的方法：如KNN算法+CRF模型，字典辅助下的最大熵算法等。该方法从异构日志中采用统计机器学习抽取各类网络空间实体，并采用聚类算法对实体进行聚类。

基于实体分类和聚类的方法：基于层次结构的命名实体分类体系;基于特征建模的命名实体列表方法;使用无监督学习算法识别出大量信息中的命名实体、然后对识别出的实体对象进行聚类算法分析的方法。

（四）态势预测算法

态势预测就是依据网络安全在发展中变化的实际数据和历史资料，运用科学的理论和方法、各种经验和知识去分析、推测、估计网络安全在未来一定时期内可能的变化趋势。网络态势预测是信息安全管理的最高表现形式，准确有效地预测网络安全态势，能够对网络安全问题主动采取措施，将信息安全的管理从被动的一方变为主动的一方。态势预测可使网络管理人员了解网络当前的状态并预知网络未来的发展趋势，因此当网络受到大规模攻击时，能够提前采取措施，不至于造成更为严重的损失。同时通过提升网络设备和安全设备的安全策略，达到网络安全主动防御的目的。

目前网络安全态势预测相关的方法和模型很多，例如时间序列预测、灰色理论预测、LSTM神经网络、支持向量机、基于深度学习的预测、基于RBF神经网络的预测方法等。图3是一种基于多层次深度学习框架的网络安全态势预测方法，通过构建多层次的深度学习模型，实时对当前网络安全状态进行感知、抽取特征并融合，最终通过多层次学习模型进行安全态势预测。

六、结束语

基于大数据和人工智能的网络空间安全态势感知和评估目前缺少成熟的应用产品，具有十分广阔的研究前景和应用价值。应当看到，当前在人工智能算法应用、海量态势数据实时处理、态势核心要素的提取和展示在网络安全态势方面仍需进一步探索，在可以预见的未来，随着人工智能技术的进一步突破和海量大数据知识化挖掘能力的快速进展，新一代网络安全态势感知也将获得质的飞跃。

作者单位：周金全    朱世伟    张建平    中国电子科技集团公司第三十研究所

参  考  文  献

[1]王以伍，张牧.基于大数据的网络安全态势感知关键技术研究[J].电脑知识与技术， 2020，16（15）：43-46.

[2]石乐义，刘佳，刘祎豪，朱红强，段鹏飞.网络安全态势感知研究综述[J].计算机工程与应用， 2019，55（24）：1-9.

[3] S. Zhang， A. Zhang， J. Wu， L. Guo， J. Li and B. Pei， “A Layered and Componentized Security Architecture for Linux Based Mobile Network Elements，” 2015 Ninth International Conference on Frontier of Computer Science and Technology， Dalian， 2015， pp. 330-334， doi： 10.1109/FCST.2015.46.

[4] G. Goth， “Functionality Meets Terminology to Address Network Security Vulnerabilities，” in IEEE Distributed Systems Online， vol. 7， no. 6， pp. 4-4， June 2006， doi： 10.1109/MDSO.2006.40.

[5] C. Si， H. Zhang， Y. Wang and J. Liu， “Network Security Situation Elements Fusion Method Based on Ontology，” 2014 Seventh International Symposium on Computational Intelligence and Design， Hangzhou， 2014， pp. 272-275， doi： 10.1109/ISCID.2014.132.

[6]肖喜生，龙春，彭凯飞，魏金侠，赵静，冯伟华，陈瑞.基于人工智能的安全态势预测技术研究综述[J].信息安全研究，2020，6（06）：506-513.