人工輔助的網(wǎng)絡空間安全技術(shù)

廣州賽度檢測服務有限公司 曾幸欽 葉 婷 劉惠玲 曾熾強 曾灶煙 李樹湖 舒雨鋒 熊長煒 劉志偉

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡應用不斷豐富，網(wǎng)絡在給人們帶來便利的同時，也產(chǎn)生了網(wǎng)絡空間安全問題。本文給出了一種基于人工輔助的網(wǎng)絡空間安全策略，對網(wǎng)絡架構(gòu)進行了描述，對潛在的網(wǎng)絡安全風險進行了梳理，對融合人工輔助的安全防御措施進行了闡述。

隨著大規(guī)模集成電路及通信技術(shù)的不斷發(fā)展，計算機網(wǎng)絡技術(shù)不斷革新。人們能夠足不出戶就可以通過互聯(lián)網(wǎng)購買個性化商品，可以通過瀏覽網(wǎng)頁獲取最新的資訊，可以通過網(wǎng)絡平臺進行資金往來與商業(yè)活動。與此同時，網(wǎng)絡空間安全問題凸顯，人們在得到網(wǎng)絡帶來的便利的同時，也常常被網(wǎng)絡空間安全所困擾。如黑客通過網(wǎng)絡漏洞潛入目標數(shù)據(jù)庫竊取信息；如詐騙分子通過偽裝套取資金。當前，面向網(wǎng)絡空間安全的研究成果較為豐富，如基于云服務的網(wǎng)絡空間安全技術(shù)、基于大數(shù)據(jù)的安全技術(shù)等。本文給出了一種基于人工輔助的網(wǎng)絡空間安全策略，對網(wǎng)絡架構(gòu)進行了建模，對潛在的網(wǎng)絡安全風險進行了梳理，對融入人工輔助的安全防御措施進行了闡述，本文具有一定的理論價值和實踐意義。

1 網(wǎng)絡空間模型

本文將網(wǎng)絡空間定義為六層架構(gòu)，一是網(wǎng)絡節(jié)點層，主要包括各類能夠連接網(wǎng)絡、可進行網(wǎng)絡數(shù)據(jù)接收或傳遞的獨立設備單元，如計算機、服務器、嵌入式終端、交換機等；二是用戶層，主要包括應用網(wǎng)絡節(jié)點進行網(wǎng)絡數(shù)據(jù)接收或發(fā)送的個體，即網(wǎng)絡應用使用者；三是網(wǎng)絡服務提供層，主要包括各類網(wǎng)絡應用的開發(fā)商、網(wǎng)絡資源管理者，網(wǎng)絡協(xié)議定義者等；四是網(wǎng)絡攻擊者，主要包括針對網(wǎng)絡或利用網(wǎng)絡進行破壞、盜竊、傷害等違法、不道德事件的實施者；五是網(wǎng)絡安全維護層，主要包括各類維護網(wǎng)絡安全的軟件、策略和硬件實體，如防火墻、殺毒軟件、密碼、動態(tài)口令、安全證書、密鑰等；六是網(wǎng)絡鏈路層，主要包括承載數(shù)據(jù)通信的各類有線鏈路和無線鏈路等，如WIFI、RJ45、光纜等。下面將基于上述六層網(wǎng)絡空間模型對網(wǎng)絡安全風險進行梳理。

2 安全風險分析

在網(wǎng)絡節(jié)點層存在三類網(wǎng)絡安全風險，一是節(jié)點數(shù)據(jù)的安全風險，數(shù)據(jù)可能被盜取、篡改、刪除；二是節(jié)點硬件設施失靈風險，如通過網(wǎng)絡入侵等方式對節(jié)點硬件運行模式、工作流程進行修改、停機等，進而造成不確定性危害；三是節(jié)點成為病毒宿主，進而利用網(wǎng)絡鏈路進行二次病毒傳播。在用戶層存在三類網(wǎng)絡安全風險，一是用戶身份偽裝，如不法分子通過竊取用戶密碼、用戶名實施網(wǎng)絡入侵；二是用戶直接進行網(wǎng)絡入侵，如用戶制造網(wǎng)絡入侵程序、或利用病毒軟件進行網(wǎng)絡安全侵害；三是用戶主觀行為導致網(wǎng)絡安全風險，如網(wǎng)絡安全意識不強導致對網(wǎng)絡安全入侵行為判斷能力有限，造成了網(wǎng)絡安全事件的發(fā)生。在網(wǎng)絡服務提供層存在兩類網(wǎng)絡安全風險，一是通信協(xié)議定義有漏洞，如網(wǎng)絡攻擊可以利用APR協(xié)議造成網(wǎng)絡通信擁堵，進而造成網(wǎng)絡通信癱瘓；二是服務開發(fā)欠缺網(wǎng)絡安全風險管控機制，如沒有進行數(shù)據(jù)通信的加密算法處理、沒有進行安全證書制定等。對于網(wǎng)絡攻擊者，具有搜尋網(wǎng)絡漏洞、進行網(wǎng)絡入侵、造成網(wǎng)絡損害的主動性，而網(wǎng)絡安全維護層，具有防御網(wǎng)絡入侵、修補漏洞、屏蔽網(wǎng)絡侵害的被動性，網(wǎng)絡攻擊者和網(wǎng)絡安全維護層具有動態(tài)博弈性。下面將基于上述安全風險對融合人工輔助的網(wǎng)絡安全對策進行闡述。

3 網(wǎng)絡安全策略

3.1 基本思想概述

從第2節(jié)給出的網(wǎng)絡空間安全風險分析中可知，網(wǎng)絡空間安全可以分為兩大類，一是基于人工行為的主動網(wǎng)絡空間安全攻擊，如人為數(shù)據(jù)盜取、用戶偽裝、等；二是基于人工制造的病毒自主網(wǎng)絡空間攻擊，如病毒傳播、硬件失靈等。則網(wǎng)絡空間風險可歸結(jié)為人工直接和人工間接行為導致，基于此，本文將人工輔助引入網(wǎng)絡空間安全防御，基本思想包括三個層面：一是去中心化思想。即網(wǎng)絡行為透明可見，網(wǎng)絡用戶實名制，網(wǎng)絡應用者既是使用者也是管理員，形成互相監(jiān)督機制；二是網(wǎng)絡安全防御的群體化思想。當前，網(wǎng)絡架構(gòu)日益復雜，網(wǎng)絡應用不斷豐富，網(wǎng)絡節(jié)點不斷增多，網(wǎng)絡用戶群體逐步龐大；并且網(wǎng)絡入侵行為大部分是被普通用戶所感知，鑒于此，發(fā)揮用戶個體的網(wǎng)絡安全防御主動性將對網(wǎng)絡空間安全防御帶來積極作用；三是，對于網(wǎng)絡入侵行為產(chǎn)生的影響可在人工輔助下進行消除，有利于提高問題消除的效率和質(zhì)量，如機器失靈，可人工更換或進行系統(tǒng)重裝、參數(shù)重置等。

3.2 去中心化策略

為了達到網(wǎng)絡應用的去中心化效果，要構(gòu)建基于網(wǎng)絡數(shù)據(jù)的共享機制和行為管理機制，基本流程為：第一步，用戶加入網(wǎng)絡數(shù)據(jù)共享機制，用戶通過協(xié)議等方式同意將個人信息、網(wǎng)絡通信數(shù)據(jù)、操作軌跡等公開透明。第二步，構(gòu)建數(shù)據(jù)共享云服務器，用戶通過客戶端登錄云服務器進行網(wǎng)絡服務應用，如軟硬件資源定制、數(shù)據(jù)資料管理、異常行為申訴、通知信息確定等。云服務器中保存了網(wǎng)絡用戶的網(wǎng)絡應用個性化信息及操作軌跡，且對所有用戶透明可見，用戶端采取邊緣計算模式可進行小規(guī)模數(shù)據(jù)信息的存儲、處理，具備云服務器登錄和本地化數(shù)值計算等功能。第三步，用戶網(wǎng)絡行為的許可性實施，在本文所述的去中心化的網(wǎng)絡應用架構(gòu)中，用戶實施的網(wǎng)絡行為需要先提交給云服務器，云服務器在進行完既定許可流程后，若通過則進行網(wǎng)絡行為實施，若被否定則不進行此網(wǎng)絡行為的實施，算法1對網(wǎng)絡行為的許可進行介紹。第四步，用戶網(wǎng)絡行為的撤銷。若在一定時間內(nèi)經(jīng)過裁決的用戶網(wǎng)絡行為是可撤銷的，則由此被撤銷網(wǎng)絡行為所產(chǎn)生的相關(guān)行為均將被撤銷。算法2對網(wǎng)絡行為的撤銷進行介紹。

算法1：網(wǎng)絡行為許可算法。輸入：網(wǎng)絡行為，云服務器，網(wǎng)絡用戶；輸出：網(wǎng)絡行為許可判定。第一步，用戶在邊緣計算終端登錄云服務器，應用云服務器中的硬件資源進行基于云服務器應用軟件的網(wǎng)絡行為實施，如登錄某網(wǎng)絡應用服務、利用某服務進行資金轉(zhuǎn)接等。第二步，云服務器在接收到用戶提交的實施網(wǎng)絡行為申請后，可根據(jù)需求實施多種類型的許可模式。一是，基于關(guān)聯(lián)用戶的行為認可，遍歷網(wǎng)絡用戶數(shù)據(jù)表格，若當前用戶與網(wǎng)絡行為實施用戶存在關(guān)聯(lián)，如家庭關(guān)聯(lián)、業(yè)務關(guān)聯(lián)等，則系統(tǒng)將此網(wǎng)絡行為發(fā)送給若干關(guān)聯(lián)用戶進行行為確認，若行為允許報文數(shù)量達到規(guī)定閾值，則允許此網(wǎng)絡行為的發(fā)生。二是，基于智能識別的網(wǎng)絡行為許可，如在對用戶身份進行確認時，可通過用戶端實時采集用戶的個人特征信息，如動態(tài)的人臉信息、指紋信息、聲音信息、口令問答信息等。三是，基于行為推演的網(wǎng)絡行為許可，系統(tǒng)通過模擬實施用戶申請的網(wǎng)絡行為，進而對此網(wǎng)絡行為產(chǎn)生的影響進行推演，若經(jīng)過推演評估到此網(wǎng)絡行為安全可靠，則批準此網(wǎng)絡行為的發(fā)生；反之，則否定此網(wǎng)絡行為實施提案。第三步，輸出網(wǎng)絡行為許可判定。

網(wǎng)絡行為推演的基本思想為：第一步，在云服務數(shù)據(jù)庫中構(gòu)建網(wǎng)絡行為關(guān)聯(lián)表格，采取專家判斷的方式，將網(wǎng)絡行為及其關(guān)聯(lián)行為進行枚舉，并對關(guān)聯(lián)行為的風險指數(shù)進行評估賦值。第二步，遍歷云服務數(shù)據(jù)庫中的網(wǎng)絡行為關(guān)聯(lián)表格，若當前行為與擬實施的網(wǎng)絡行為相同，則遍歷其關(guān)聯(lián)行為，若各行為風險指數(shù)之和的平均值小于既定閾值，則批準擬實施的網(wǎng)絡行為發(fā)生，反之，則否定網(wǎng)絡行為的發(fā)生。

算法2：網(wǎng)絡行為撤銷算法。輸入：網(wǎng)絡行為，云服務器，網(wǎng)絡用戶；輸出：網(wǎng)絡行為還原。第一步，云服務器接收到網(wǎng)絡行為x的撤銷請求，撤銷請求的發(fā)起者可以是網(wǎng)絡用戶，也可以是系統(tǒng)本身。第二步，云服務器對網(wǎng)絡行為撤銷請求進行審核，一是對撤銷原因進行審核，判斷是否實施撤銷。網(wǎng)絡行為允許撤銷的一般性原則為：如若發(fā)生了網(wǎng)絡入侵行為、對網(wǎng)絡安全造成了損害或產(chǎn)生了其他等不良影響則允許對網(wǎng)絡行為進行撤銷。二是判斷網(wǎng)絡行為能否實施撤銷，即判定網(wǎng)絡行為是否具有可逆性，若行為可逆則實施網(wǎng)絡行為撤銷，若行為不可逆，不進行行為撤銷。

3.3 群體化防御策略

本文所述的群體化防御流程為：第一步，在云服務器中構(gòu)建群體化防御表格，屬性包括用戶ID、用戶名稱、類別、聯(lián)系方式、網(wǎng)絡安全表現(xiàn)、提交時間、防御建議。第二步，信息上報。用戶在網(wǎng)絡應用過程中，若發(fā)現(xiàn)網(wǎng)絡安全風險，可登陸云服務器對群體化防御表格相關(guān)屬性進行賦值。例如，某用戶發(fā)現(xiàn)點擊了某郵件應用后，本地網(wǎng)絡通信系統(tǒng)崩潰；還如，某用戶在進行網(wǎng)絡支付時，被虛假網(wǎng)站套取了資金；則用戶可以通過人工方式將網(wǎng)絡風險信息錄入到云服務器表格中，系統(tǒng)可實施激勵機制優(yōu)化人工輔助網(wǎng)絡安全防御。

結(jié)語：鑒于網(wǎng)絡空間安全問題凸顯的實際情況，本文提出了一種基于人工輔助的網(wǎng)絡空間安全策略。對網(wǎng)絡空間架構(gòu)進行了描述，對網(wǎng)絡安全風險進行了梳理，給出了人工輔助與計算機智能化網(wǎng)絡安全防御技術(shù)的融合理念。本文工作豐富了網(wǎng)絡空間安全技術(shù)理論，優(yōu)化了網(wǎng)絡安全防御架構(gòu)。下一步，將對網(wǎng)絡安全入侵檢測進行研究，利用形式化技術(shù)增強網(wǎng)絡入侵行為的計算機識別效果。