基于人工智能的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型研究

李立

（鄭州商學(xué)院，河南 鄭州451200）

伴隨著物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全呈現(xiàn)出覆蓋面廣、復(fù)雜性高的新特點(diǎn)，網(wǎng)絡(luò)帶給人們資源共享的便利，但也面臨著各種計(jì)算機(jī)病毒、黑客攻擊、信息泄露等不安全因素，如何進(jìn)一步提高我國網(wǎng)絡(luò)的安全性已成為亟待解決的問題。研究網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型是目前重要的問題，利用人工智能技術(shù)對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，可以有效地解決信息安全問題，防止信息受到各種潛在威脅，從而保證商業(yè)風(fēng)險(xiǎn)最小化，避免核心技術(shù)的泄露。以網(wǎng)絡(luò)安全風(fēng)險(xiǎn)最小化為目標(biāo)，合理利用人工智能技術(shù)，設(shè)計(jì)基于人工智能的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型。

1 基于廣義貝葉斯攻擊圖的評(píng)估框架

建立攻擊圖的評(píng)估框架，該模型利用網(wǎng)絡(luò)或信息系統(tǒng)的脆弱性、攻擊行為的不確定性和環(huán)境因素對(duì)攻擊可能性的影響，表現(xiàn)出攻擊者的多級(jí)攻擊。為了更好的分析這種攻擊形式，采用廣義貝葉斯攻擊圖的方式進(jìn)行對(duì)攻擊方式評(píng)價(jià)。此方法基于廣義貝葉斯攻擊圖，通過構(gòu)造對(duì)應(yīng)于評(píng)估網(wǎng)絡(luò)或信息系統(tǒng)的廣義貝葉斯攻擊圖，計(jì)算節(jié)點(diǎn)攻擊概率、主機(jī)攻擊概率、網(wǎng)絡(luò)攻擊概率、節(jié)點(diǎn)風(fēng)險(xiǎn)值、主機(jī)風(fēng)險(xiǎn)值和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)。

1.1 攻擊收益計(jì)算

首先從攻擊者的角度進(jìn)行計(jì)算，主要計(jì)算攻擊者攻擊后的收益，即對(duì)其涉及到的網(wǎng)絡(luò)中的每一種資產(chǎn)計(jì)算，來確定攻擊者攻擊后獲得的效益，并量化利益[1]。表1 供相關(guān)人員評(píng)估資產(chǎn)偷竊攻擊的好處時(shí)參考。

不同類型的攻擊對(duì)相同資產(chǎn)的好處可以通過不同的攻擊條件得到，因此每一類資產(chǎn)的攻擊好處需要分別進(jìn)行評(píng)估。構(gòu)建了廣義貝葉斯攻擊圖[2]，建立攻擊收益節(jié)點(diǎn)。

1.2 威脅狀態(tài)變量計(jì)算

在上述攻擊者攻擊收益計(jì)算完成的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)的威脅狀態(tài)變量進(jìn)行計(jì)算，主要從整體環(huán)境威脅與局部環(huán)境威脅的角度計(jì)算，得到網(wǎng)絡(luò)和信息系統(tǒng)面臨威脅的分布情況。

在給定的時(shí)間內(nèi)，在網(wǎng)絡(luò)或信息系統(tǒng)中進(jìn)行歷史攻擊。在安全檢測(cè)設(shè)備的日志中，歷史攻擊信息通常包含歷史入侵和攻擊警報(bào)。根據(jù)統(tǒng)計(jì)方法，我們可以利用相關(guān)的安全警報(bào)來獲取各個(gè)漏洞的頻率，然后將其標(biāo)準(zhǔn)化，從而得到局部威脅狀態(tài)變量向量。就總體威脅狀態(tài)變量而言，我們可以根據(jù)公開的網(wǎng)絡(luò)攻擊統(tǒng)計(jì)數(shù)據(jù)，得到整體威脅狀態(tài)變量向量。

表1 竊取型攻擊收益分級(jí)

1.3 局部條件概率分布計(jì)算

局部條件概率分布是節(jié)點(diǎn)間相互作用的中介[3]。在廣義貝葉斯攻擊圖中，我們需要計(jì)算每一類節(jié)點(diǎn)的局部條件概率分布：攻擊條件節(jié)點(diǎn)、原子節(jié)點(diǎn)、攻擊受益節(jié)點(diǎn)和威脅狀態(tài)變量節(jié)點(diǎn)。

針對(duì)任何原子節(jié)點(diǎn)的攻擊e，其父節(jié)點(diǎn)主要由幾個(gè)攻擊條件節(jié)點(diǎn)組成，將攻擊條件節(jié)點(diǎn)的集合設(shè)為。原子攻擊只有在其所有的前提攻擊條件成立時(shí)才能發(fā)生，當(dāng)其所有的前提攻擊條件成立時(shí)，原子攻擊就不會(huì)發(fā)生。

任何初始攻擊條件節(jié)點(diǎn)的值c0，它的父節(jié)點(diǎn)集合是一個(gè)空集合，所以它的局部條件概率分布是它自己的概率分布。在評(píng)價(jià)網(wǎng)絡(luò)或信息系統(tǒng)實(shí)際情況的基礎(chǔ)上，通過初始攻擊條件節(jié)點(diǎn)本身的概率分布來確定主觀先驗(yàn)概率。對(duì)大型攻擊圖，采用模板法也可以確定初始條件下節(jié)點(diǎn)攻擊的概率分布。舉例來說，根據(jù)網(wǎng)絡(luò)或信息系統(tǒng)的實(shí)際情況，初始攻擊條件被指定為True的默認(rèn)初始概率設(shè)為p0，為Flash 的概率為1-p0，p0的取值根據(jù)網(wǎng)絡(luò)實(shí)際情況而定。對(duì)于一個(gè)特定的初始攻擊條件節(jié)點(diǎn)，將基于這個(gè)初始條件節(jié)點(diǎn)來設(shè)置[4]。

對(duì)任何非初始攻擊條件的節(jié)點(diǎn)，其父節(jié)點(diǎn)集包含多個(gè)原子攻擊節(jié)點(diǎn)，并將其父節(jié)點(diǎn)集設(shè)置為pa[c]，只要e 被攻擊者成功利用，則c 可能被攻擊者所獲得并利用。

在原子攻擊中，威脅狀態(tài)出現(xiàn)的次數(shù)越多，原子攻擊節(jié)點(diǎn)將來發(fā)生的可能性就越大，即威脅狀態(tài)變量出現(xiàn)的次數(shù)越多，原子攻擊后發(fā)生的概率就越大。設(shè)威脅狀態(tài)變量等級(jí)級(jí)數(shù)為m，對(duì)于任意一個(gè)威脅狀態(tài)變量節(jié)點(diǎn)t，將威脅狀態(tài)變量節(jié)點(diǎn)的局部條件概率分布函數(shù)表示為：

式中，d 代表設(shè)定的參數(shù)。

基于上述過程完成攻擊概率圖的構(gòu)建，為風(fēng)險(xiǎn)評(píng)估提供基礎(chǔ)。

1.4 攻擊概率計(jì)算

在對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊概率進(jìn)行量化，是計(jì)算網(wǎng)絡(luò)系統(tǒng)被攻擊的風(fēng)險(xiǎn)的重要評(píng)估依據(jù)?？赏ㄟ^網(wǎng)絡(luò)節(jié)點(diǎn)攻擊概率計(jì)算主機(jī)攻擊概率。在廣義貝葉斯攻擊圖中，節(jié)點(diǎn)攻擊概率是指被攻擊者獲得并利用的攻擊條件節(jié)點(diǎn)或原子攻擊節(jié)點(diǎn)的概率。在主機(jī)攻擊概率計(jì)算中，主機(jī)攻擊概率是由主機(jī)上所有攻擊條件節(jié)點(diǎn)的攻擊概率決定的，其值可以用主機(jī)上所有攻擊條件節(jié)點(diǎn)的攻擊概率來確定。

2 基于人工智能的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估流程

在此基礎(chǔ)上，運(yùn)用人工智能方法對(duì)網(wǎng)絡(luò)攻擊概率進(jìn)行了安全風(fēng)險(xiǎn)評(píng)估。在人工智能中，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)，需要對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行初始化處理。通過對(duì)初始條件節(jié)點(diǎn)的定義，攻擊者可以隨時(shí)獲取并利用相應(yīng)的初始條件，因此，我們將所有初始條件節(jié)點(diǎn)的預(yù)測(cè)支持因子設(shè)為1，而對(duì)其他所有節(jié)點(diǎn)則設(shè)為0。后驗(yàn)支持因子在攻擊圖中被初始化為零。

上述流程為初始階段，進(jìn)入實(shí)時(shí)更新階段后，在此基礎(chǔ)上，實(shí)時(shí)評(píng)估系統(tǒng)定期對(duì)網(wǎng)絡(luò)進(jìn)行評(píng)估。根據(jù)網(wǎng)絡(luò)或信息系統(tǒng)的實(shí)際情況設(shè)置每次更新計(jì)算的時(shí)間間隔，可根據(jù)下列不等式是否成立來決定下一次更新計(jì)算是否開始：

式中，wc代表設(shè)定的網(wǎng)絡(luò)安全狀態(tài)閾值，i 表示對(duì)網(wǎng)絡(luò)安全產(chǎn)生影響的攻擊數(shù)，wi表示節(jié)點(diǎn)受攻擊概率，ki表示主機(jī)受攻擊概率。依據(jù)上述過程實(shí)時(shí)對(duì)風(fēng)險(xiǎn)評(píng)估，以此完成基于人工智能的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。

3 結(jié)論

此次研究的方法能客觀、準(zhǔn)確地還原攻擊場(chǎng)景，預(yù)測(cè)攻擊行為，獲得符合客觀條件的網(wǎng)絡(luò)安全威脅實(shí)時(shí)態(tài)勢(shì)，具有高性能和高度可擴(kuò)展性。該方法可用于大規(guī)模網(wǎng)絡(luò)或信息系統(tǒng)的實(shí)時(shí)評(píng)估。在信息安全領(lǐng)域，風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理技術(shù)仍然是一個(gè)發(fā)展中的課題，還需要不斷完善。結(jié)合網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的研究成果，在未來研究中還需要進(jìn)一步探索如何根據(jù)量化評(píng)估的結(jié)果，制定優(yōu)化后的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制方案，將總體風(fēng)險(xiǎn)控制成本控制在可接受的范圍內(nèi)。