基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)分析

劉天健1 劉芳辰1 高遙2

（1國(guó)網(wǎng)天津市東麗供電分公司，天津 300000；2天津市普迅電力信息技術(shù)有限公司，天津 ,300000）

近年來(lái)，具備國(guó)家和組織背景的網(wǎng)絡(luò)攻擊日益增多，政府、軍隊(duì)、金融、大型企業(yè)等所處的特殊角色，經(jīng)常會(huì)面臨更多的來(lái)自外部的攻擊威脅。例如：攻擊伊朗布什爾核電站的“震網(wǎng)病毒”，針對(duì)Google郵件服務(wù)器的“極光攻擊”，針對(duì)烏克蘭電網(wǎng)的“BlackEnergy”攻擊等。雖然企業(yè)的信息安全人員已經(jīng)在網(wǎng)絡(luò)中部署了大量的安全設(shè)備，但仍然會(huì)有部分攻擊繞過(guò)所有的防護(hù)措施直達(dá)企業(yè)內(nèi)部，導(dǎo)致重要數(shù)據(jù)資產(chǎn)的泄露、損壞或篡改。因此，需要通過(guò)技術(shù)手段及時(shí)發(fā)現(xiàn)潛藏在網(wǎng)絡(luò)中的威脅，盡早的快速發(fā)現(xiàn)威脅中的惡意行為，并對(duì)受害目標(biāo)以及攻擊源頭進(jìn)行精準(zhǔn)定位，對(duì)入侵途徑以及攻擊者背景進(jìn)行研判與溯源，從而從源頭上解決企業(yè)網(wǎng)絡(luò)中的安全威脅，盡可能地減少安全威脅給企業(yè)帶來(lái)的損失。

一、基于人工智能信息安全網(wǎng)絡(luò)感知系統(tǒng)結(jié)構(gòu)

（1）態(tài)勢(shì)感知：該模塊是利用人工智能算法預(yù)測(cè)、理解、識(shí)別態(tài)勢(shì)等來(lái)完成態(tài)勢(shì)感知。（2）信息融合：收集的安全態(tài)勢(shì)數(shù)據(jù)一般了來(lái)自交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，以及IDS/IPS、防火墻等安全設(shè)備，還有應(yīng)用程序、服務(wù)、數(shù)據(jù)庫(kù)方面等，所以系統(tǒng)需要對(duì)這些來(lái)源不同的數(shù)據(jù)進(jìn)行整合，從而提高態(tài)勢(shì)感知的準(zhǔn)確率。（3）信息提?。涸撃K屬于安全感知態(tài)勢(shì)的基礎(chǔ)。安全態(tài)勢(shì)數(shù)據(jù)基本都是從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用和服務(wù)系統(tǒng)獲取的，信息提取主要是從這些模塊來(lái)獲取信息，對(duì)信息進(jìn)行修訂和標(biāo)準(zhǔn)化，同時(shí)擴(kuò)展時(shí)間的基本特征等。（4）態(tài)勢(shì)評(píng)估：該模塊主要是分析態(tài)勢(shì)情況和關(guān)聯(lián)性。在根據(jù)態(tài)勢(shì)進(jìn)行結(jié)果評(píng)估，并建立綜合網(wǎng)絡(luò)態(tài)勢(shì)圖，以及分析態(tài)勢(shì)報(bào)告，從而為管理人員提供決策依據(jù)。（5）信息預(yù)處理：態(tài)勢(shì)感知主要是利用多個(gè)傳感器進(jìn)行數(shù)據(jù)收集，所以采集過(guò)程中會(huì)有很多噪聲，也可能出現(xiàn)數(shù)據(jù)缺失情況，這種情況都需要對(duì)數(shù)據(jù)進(jìn)行去噪聲處理。同時(shí)也能實(shí)現(xiàn)對(duì)不完整數(shù)據(jù)的預(yù)處理，比如：過(guò)濾雜質(zhì)、處理用戶分布等。

二、基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)分析

（一）預(yù)測(cè)態(tài)勢(shì)算法

目前，態(tài)勢(shì)感知過(guò)程中所運(yùn)用的算法主要為人工智能預(yù)測(cè)態(tài)勢(shì)算法，這種算法是依照事物發(fā)展現(xiàn)狀、歷史情況的調(diào)查結(jié)果來(lái)進(jìn)行確認(rèn)的。目前，在態(tài)勢(shì)感知過(guò)程中所使用的預(yù)測(cè)態(tài)勢(shì)算法主要是人工神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)法和專家系統(tǒng)預(yù)測(cè)方法兩種方法。前者所建立起來(lái)的預(yù)測(cè)模型通常是包括RBF網(wǎng)絡(luò)、BP網(wǎng)絡(luò)、Hopfield網(wǎng)絡(luò)，可以起到較好的預(yù)測(cè)作用，然而這種神經(jīng)網(wǎng)絡(luò)算法在實(shí)際應(yīng)用的過(guò)程中卻極其容易出現(xiàn)局部最優(yōu)解的情況；而專家系統(tǒng)預(yù)測(cè)方法則是基于知識(shí)、經(jīng)驗(yàn)構(gòu)建成的智能程序系統(tǒng)，在實(shí)際運(yùn)行的過(guò)程中會(huì)模仿專家人類的思維，并結(jié)合實(shí)際情況對(duì)復(fù)雜問(wèn)題進(jìn)行分析，不僅可以有效減少計(jì)算的復(fù)雜程度，同時(shí)也可以做出更符合人類思維的各項(xiàng)決定，具有較多優(yōu)勢(shì)。這種算法具有較強(qiáng)的針對(duì)性，且需要依靠豐富的知識(shí)與高水平數(shù)據(jù)來(lái)實(shí)現(xiàn)，然而網(wǎng)絡(luò)卻是一個(gè)較為龐大、復(fù)雜的開(kāi)放性空間，無(wú)法充分滿足上述條件，進(jìn)而限制了預(yù)測(cè)的高效性。因此，在應(yīng)用這一技術(shù)的過(guò)程中，必須要結(jié)合電力系統(tǒng)運(yùn)行的實(shí)際情況，經(jīng)過(guò)全面細(xì)致的分析以后，才能夠選出適應(yīng)電力系統(tǒng)的算法，保證預(yù)測(cè)的準(zhǔn)確性。

（二）基于專家系統(tǒng)的預(yù)測(cè)方法

專家系統(tǒng)是一個(gè)包含專門知識(shí)和經(jīng)驗(yàn)的智能計(jì)算機(jī)程序系統(tǒng)，其智能性主要表現(xiàn)在能夠模仿特定領(lǐng)域內(nèi)的人類專家思維來(lái)求解復(fù)雜問(wèn)題。采用專家系統(tǒng)進(jìn)行態(tài)勢(shì)預(yù)測(cè)具有：適合人的思維，容易理解；知識(shí)用規(guī)則或案例表示，能避開(kāi)復(fù)雜的數(shù)值計(jì)算；知識(shí)庫(kù)可在不修改主程序的前提下，不斷修改擴(kuò)充；能夠解釋自身推理過(guò)程等優(yōu)點(diǎn)。然而，專家系統(tǒng)針對(duì)性較強(qiáng)，預(yù)測(cè)準(zhǔn)確度依賴于知識(shí)的豐富程度與水平高低，這些都限制了其在大規(guī)模復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用。

（三）數(shù)據(jù)預(yù)處理

由于我們的核心平臺(tái)采用了基于大數(shù)據(jù)技術(shù)的Stream框架，因此可以對(duì)各類數(shù)據(jù)按照預(yù)定的流程進(jìn)行流式處理，以保證各種數(shù)據(jù)處理的準(zhǔn)確性。Stream框架是一個(gè)分布式的結(jié)構(gòu)，支持水平擴(kuò)展，通過(guò)增加集群節(jié)點(diǎn)便可提高集群的并發(fā)處理能力。Stream框架還具有自動(dòng)容錯(cuò)機(jī)制，可自動(dòng)處理進(jìn)程、機(jī)器以及網(wǎng)絡(luò)異常，保證事件處理流程的穩(wěn)定運(yùn)行。在處理數(shù)據(jù)時(shí)，數(shù)據(jù)不寫入磁盤，緩存在各個(gè)節(jié)點(diǎn)的內(nèi)存中。我們的核心能力平臺(tái)具有延遲低，實(shí)時(shí)性強(qiáng)的特點(diǎn)，通過(guò)預(yù)先設(shè)定事件處理拓?fù)?，可以快速的?duì)事件處理流程進(jìn)行搭建，可根據(jù)不同的處理要求構(gòu)建相應(yīng)的事件處理拓?fù)淠Ｐ?，滿足業(yè)務(wù)要求。

結(jié)語(yǔ)

綜上所述，現(xiàn)階段基于人工智能建立起來(lái)的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的結(jié)構(gòu)主要是包括信息提取、信息預(yù)處理、信息融合、態(tài)勢(shì)感知、態(tài)勢(shì)評(píng)估這幾個(gè)部分，在系統(tǒng)運(yùn)行的過(guò)程中，基礎(chǔ)運(yùn)行指標(biāo)、網(wǎng)絡(luò)脆弱性指標(biāo)、網(wǎng)絡(luò)威脅指標(biāo)是關(guān)鍵性指標(biāo)，為態(tài)勢(shì)感知系統(tǒng)的運(yùn)行提供了數(shù)據(jù)支撐。這一技術(shù)的出現(xiàn)，有助于提高信息網(wǎng)絡(luò)的安全性，同時(shí)也融合了數(shù)據(jù)挖掘、數(shù)據(jù)融合、識(shí)別模式等多項(xiàng)技術(shù)，使得一些信息網(wǎng)絡(luò)安全問(wèn)題在初期便可以得到有效解決，對(duì)于保證電力系統(tǒng)安全、可靠運(yùn)行具有重要的促進(jìn)作用，為社會(huì)生產(chǎn)以及人們?nèi)粘Ｉ钐峁┏渥汶娏Α?/p>