基于人工智能的網絡安全態勢分析研究

摘?要：伴隨著網絡技術的進步與發展，帶來的是日益嚴峻的網絡空間安全問題，為了更好地維護國內在政治、軍事和經濟等相關領域的利益，也為了提升一般行業在網絡安全方面的技術進步，因此本文以人工智能為技術背景，對現階段的網絡安全態勢進行分析研究，從而讓國內的網絡安全態勢感知系統的設計能夠結合人工智能技術的發展進步，更好地保障各行業的網絡安全。

關鍵詞：人工智能；網絡安全態勢；分析

一、概述

隨著時代的進步和發展，網絡技術給人們的生活和經濟發展帶來了極大程度的便利，也在推動人類科技發展和歷史進程中發揮了巨大的作用，但任何科學技術在帶來便利的同時，也存在一定的風險，網絡技術也不例外，從近些年來我國的網絡安全領域發展情況來看，一方面有目的的網絡攻擊事件已經不僅僅局限于軍事、政治和經濟等保密領域，大量的國內信息因為網絡安全攻擊而泄露出去，給我國的經濟發展帶來一定的損失。因此自黨的十八大以來，我國政府對于網絡安全工作逐漸重視起來，在網絡強國的重要思想指導下，不斷加強網絡安全的頂層設計和全面布局，出臺了包括《中華人民共和國網絡安全法》《網絡安全審查辦法》和《汽車數據安全管理若干規定（試行）》在內的相關政策文件，建立起了關于網絡安全政策法規標準體系，讓國家網絡工作體系能夠在法律范疇內不斷健全，同時包括《國家網絡安全事件應急預案》在內的國家網絡安全事件應急工作機制的出臺，也填補了我國網絡安全工作方面的空白，特別是2021年9月1日頒布的《中華人民共和國數據安全法》更是將解決網絡空間安全問題上升到了國家戰略的高度，為此本文從人工智能的技術背景出發，對網絡安全態勢進行分析研究，從而實現提高網絡安全態勢感知和主動防御能力的目的，為我國的網絡安全工作和相關產業發展做出一定的貢獻。

二、核心概念

（一）網絡安全態勢

網絡安全態勢指的是從宏觀的角度對網絡整體的安全狀態進行分析，從而得到更為科學綜合的安全評估，達到輔助相關決策的目的。網絡安全態勢的感知對象包括潛在攻擊行為、用戶和網絡設備的運行活動等。

（二）網絡安全態勢相關要素

網絡安全態勢相關要素分為三部分，分別是安全要素、可用要素和可靠要素。安全要素能夠反映網絡受到的安全漏洞等攻擊造成的損失程度以及后續影響；可用要素指的是網絡在受到攻擊并損傷后，網絡運行的可用狀態等；可靠要素能夠反映攻擊對網絡造成的物理損傷程度。

三、現階段網絡安全態勢感知技術發展趨勢分析

（一）網絡安全態勢評估標準

網絡安全態勢評估標準主要分為國內和國外兩種評估標準，其中國外網絡安全態勢評估標準包括TCSEC和ITSEC兩種，TCSEC指的是可信計算機系統評估準則，這一評估標準是美國國防部于1985年制定的軍用標準，也是計算機系統安全評估這一概念提出以來的首個正式標準。TCSEC又被稱之為橙皮書，在這一準則中，美國國防部按照信息的登記和應用所采用的相應措施，將計算機安全等級按照從高到低的順序分為了A、B、C、D四類八個等級，TCSEC作為世界上首個網絡安全態勢評估標準，也為后來的評估標準提供了一定的參考價值。例如ITSEC作為法國、英國、荷蘭、德國四個歐洲國家于20世紀90年代初聯合發布的信息技術安全評估標準，就在內容上參考了美國軍方的TCSEC。

但相對于TCSEC，歐洲各國的ITSEC在功能的靈活性和評估技術方面有了一定的進步，ITSEC將安全概念分為功能和評估兩個部分，與美國的TCSEC不同的是，ITSEC的保密措施并沒有直接和計算機功能相聯系，而是將保密作為安全增強的功能，突出技術安全的重要性，并將完整性、可用性和保密性放在網絡安全要素的同一等級上，更適用于包括軍事在內的政府和商業等多個領域的網絡安全需求。

在TCSEC和ITSEC兩種標準基礎之上，美國、加拿大以及當時的歐洲共同體起草了信息技術安全評價通用準則即CC標準，這一標準將網絡安全評估分為安全功能需求和安全保證需求兩個方面［1］。CC標準已經成為國際通行的信息技術產品安全性評價規范，具有靈活性、合理性和科學性的優勢，還考慮了完整性和可用性、保密性等多方面的安全要求，因此廣為國際上的各國所接受，并且我國推出的幾項通用網絡安全評估標準也在內容等方面參考了CC標準。

國內的安全評估標準較多，但具有代表性的是GB178591999計算機信息系統安全保護等級劃分準則、GBIT183362001信息技術安全評估準則和GBT209842007信息安全風險評估規范等，這些安全評估準則在不同的時期發揮了不同的作用，在一定程度上都推進了我國網絡安全相關工作的進展［2］。其中GB178591999計算機信息系統安全保護等級劃分準則發布于1999年9月，主要是對計算機信息系統相關定義進行了規范，并規定了計算機系統安全保護能力的五個不同等級，這些等級由高到低分別是：訪問驗證保護級、結構化保護級、安全標記保護級、系統審計保護級和用戶自主保護級。

GBIT183362001信息技術安全評估準則發布于2001年3月，主要是由國家信息安全測評認證中心主持，聯合其他相關部門共同起草，這一準則定義了評估系統安全性和信息技術產品的基礎準則，能夠為網絡安全態勢評估模型和相關因素的制定提供一定的指導作用。

從上述網絡安全態勢評估標準的發展歷程可以看出，國外在這一方面起步較早，因此在網絡安全態勢評估準則和標準方面也更為規范化和科學化。而我國起步較晚，但能夠參考國外成熟的網絡安全態勢評估標準，因此能夠制定出適合國內技術發展的網絡安全態勢評估標準，同樣能給國內的網絡安全工作帶來一定的指導和參考。

（二）存在問題

結合現階段的網絡行業發展情況來看，涉及網絡攻擊相關的行為更偏向于有體系、有組織地攻擊和入侵。因此傳統的網絡安全防護技術如防火墻、訪問控制等，已經不能滿足網絡安全工作現階段的復雜需求，同樣地在網絡安全態勢感知方面，傳統的安全防護的理念和產品也不足以應對新型的網絡威脅，尤其是這種孤立的偏向于靜態的網絡安全態勢感知系統，在對付規模和危害較小的網絡威脅方面，缺乏足夠的效用，以至于這種影響較小的網絡威脅逐漸累積，最終造成重大的網絡安全事故。因此我們必須認識到在傳統的靜態網絡安全態勢感知框架中，存在著相當大的問題，具體整理如下。

第一，缺乏對網絡安全相關的數據的智能分析評估，且現有評估方法的效率較為低下，不能對潛在的安全危險做出及時的提前預測。

第二，現有的數據庫檢測過于依賴預制規則，不能對新型的網絡安全危險進行充分的檢測。

第三，系統多設備在協作聯動方面較為困難，不能高效地對網絡進行動態多維度協作防御，使得最終的成效較低。

第四，在網絡安全防御技術數據的獲取方面較為單一，沒有辦法對已知的網絡安全攻擊進行溯源分析，更無法對潛在的可能威脅網絡安全的要素進行預測評估。

（三）發展趨勢

基于上述對我國網絡安全態勢感知框架存在的問題，近年來我國在網絡安全態勢感知技術方面發展趨勢，集中在以下幾個方面。

第一，挖掘出網絡安全態勢中所有可能潛在的威脅，并從動態的角度去獲取當前網絡安全的具體態勢，強調面向數據安全的網絡態勢感知需要實現數據安全風險的可溯源、可處置和可感知等，為數據安全運營提供基礎和保障，也為數據安全體系建設提供保障。

第二，從便于可視化的角度去融合多元異構傳感器獲取的數據，例如組裝式的安全運營支撐平臺建設中，就強調了需要一些具備可視化和模塊化的封裝好的軟件組件，這些能夠提供數據可視化服務的PBC由于具備集成化和模塊化的特點，能夠為更多的網絡安全態勢感知的業務場景服務，更能夠將一些網絡安全預測的建模能力賦能在報告報表或者自服務分析上，從而形成更為豐富的高級數據分析應用［3］。

第三，網絡安全防御態勢需要成體系建設，這樣才能更好地完成預警和評估工作，因此在這一方向推動下，我國國內的網絡安全態勢感知主要圍繞“元數據驅動”開展相關安全體系的建設，其核心是圍繞系統科學理念，驅動網絡安全態勢模型化、資源化和注冊制的策略建設，從而達到網絡安全領域“熵減”的目的，并為自動化、智能化的網絡安全運營打下一定的基礎［4］。

第四，基于人工智能的角度，通過智能學習與預測，積累相關數據，并對未知的潛在威脅進行管控，并進行快速響應。例如，將機器人自動化理念即RPA應用于網絡安全領域就是一種發展方向，能夠面向中小型用戶提供更為廉價的、可靠的網絡安全事故解決方案，對于高重復性、低復雜程度的安全事件解決有著較好的成效。

四、基于人工智能為技術背景的態勢感知分析框架

以人工智能和大數據技術為背景的網絡安全態勢感知分析框架構建起三個層面的平臺，包括網絡安全多元感知、制定評估體系和網絡安全態勢評估，其框架結構如下圖所示：

網絡安全態勢感知結構圖

（一）網絡安全多元感知

從網絡安全防御采集各類網絡安全威脅情報信息，包括網絡流量、系統安全審計、安全防護監測、安全工作日志等數據，進行統一匯總存儲，形成安全態勢數據庫，從而便于開展數據分析。并在數據分析的過程中，借助Flink等流式計算引擎，運用動態基線、機器學習和深度學習的方法進行異常行為分析。

（二）制定網絡安全評估體系

針對網絡制定安全規則和安全模型，通過特定的分析算法，深度挖掘并分析數據庫中的安全數據，并基于大數據進行不斷的學習深化，學習不同的成熟分析模型的優勢，如Endsley模型、OODA循環對抗模型和JDL數據融合模型等，結合數據分析思維，以全局意識去動態擴展評估體系，這樣才能保證后續網絡安全態勢評估結果的科學性和準確度，才能對不同的評估結果進行后續的發展趨勢的預測與支持。

（三）網絡安全態勢評估

利用大數據分析大量的網絡安全相關數據，對于可能存在的網絡安全風險進行分析評估，最終對于大概率可能出現的網絡攻擊進行預先防范。

五、態勢分析中的人工智能基礎算法

（一）分類算法

分類算法是對數據集進行分類識別的重要基礎算法，也是網絡安全態勢數據分析的基礎算法。包括樸素貝葉斯方法、基于質心的分類器算法和KNN算法等。

（二）態勢預測算法

態勢預測的定義是結合網絡安全的動態數據和相關歷史資料，結合人工智能的算法以及相關經驗去對未來的網絡安全變化趨勢進行科學的推測。網絡態勢預測作為網絡信息安全管理的最高表現形式，主要采用了包括灰色理論預測、深度學習預測和時間序列預測等方法，能夠對于網絡安全態勢進行準確的預測，讓網絡安全管理從過去的被動管理可以轉變為主動管理，能夠更為積極主動地對潛在的網絡安全問題主動開展防御措施，尤其是在面對一些大型網絡安全攻擊的時候，更能避免被動管理造成的損失，讓網絡安全防御能夠更為積極主動地介入網絡設備和安全設備的安全策略中。

（三）特征選擇算法

特征選擇主要指的是對大量的特征進行篩選，最終得到有效特征的方法，特征選擇算法廣泛應用于文本數據處理等領域，也是近年來機器學習等領域研究的熱點［5］。

結語

人工智能是未來人類科技的重要發展方向，也是網絡安全態勢感知的發展方向之一，因此隨著人工智能的發展，網絡安全態勢感知技術也將迎來變革，相信在不久的將來，網絡安全態勢感知一定能隨著人工智能算法應用的突破，迎來劃時代的進步。

參考文獻：

［1］周金全，朱世偉，張建平.基于大數據和人工智能的網絡安全態勢分析方法研究［J］.中國新通信，2022，24（11）：111113.

［2］張坤元.電信網絡安全態勢分析評估系統的研究與設計［D］.南昌大學，2020.

［3］歐戰祥，鄧路華，陳金源.淺析網絡安全態勢感知與防范技術［J］.湘南學院學報，2023，44（05）：2731.

［4］謝志奇.基于大數據分析的網絡安全態勢感知系統設計與應用［J］.網絡安全和信息化，2023（10）：115118.

［5］胡慶偉.對基于人工智能的信息網絡安全態勢感知技術分析［J］.網絡安全技術與應用，2020（05）：149150.

作者簡介：瞿斌（1981—?），男，漢族，安徽合肥人，碩士研究生，工程師，研究方向：電子信息工程、人工智能、光學工程。