基于人工智能的网络空间防御技术

赵宾华 杨国瑞 贾哲

摘要：网络空间是信息化战争独立的作战域，该领域的网络攻防行动快速但会产生海量的网络事件，对传统的点对点防御理念和堡垒式安全防御体提出了巨大挑战，人工智能和深度学习是未来网络空间防御的一个重要研究方向。在阐述传统网络防御模式和人工智能在网络防御的研究现状基础上，提出并设计了基于人工智能的网络安全防御系统，重点阐述了对网络协议攻击、入侵检测、网络异常行为的检测方案，分析了基于人工智能的网络防御系统的优势以及未来前景。

关键词：人工智能;网络防御;入侵检测;深度学习

中图分类号：TP393文献标志码：A文章编号：1008-1739（2021）12-57-4

Cyberspace Defense Technology Based on Artificial Intelligence

ZHAO Binhua，YANG Guorui，JIA Zhe

（The 54th Research Institute ofCETC，Shijiazhuang 050081，China）

Abstract： The military cyberspace is an independent combat domain for information warfare. The cyber attack and defense actions in this filed is fast and can produce a large number of network events，that presents great challenges to the traditional point-to-point defenses concept and fortress security defense systems. The technology of artificial intelligence and deep learning is an important research direction of cyber defense. On the basis of expounding the traditional cyber defense and the research status of artificial intelligence in cyber defense，the network defense system based on artificial intelligence is proposed and designed，and the network protocol attacks， intrusion detection，and network anomaly detection scheme are expounded in detail. At last，the advantages of network defense system based on artificial intelligence and the future prospects are analyzed.

Keywords：artificial intelligence;network defense; intrusion detection;deep learning

0引言

网络空间中的各种行为是物理作战域中各种作战实体行为的体现，且网络空间中的行为往往先于物理空间的行为，是作战实体的行为意图，网络空间行为感知是其他物理作战空间态势感知信息的重要来源，通过对网络空间行为进行准确感知、认知和理解，对准确把握敌方作战意图、作战行动具有很大帮助。信息化战争中，敌我双方会在网络空间，通过冒充合法用户、捕获操纵对方节点等在敌军信息系统实现病毒木马注入、伪造虚假以及篡改转发作战指令等攻击行为，需要在网络空间对异常行为进行感知、识别、定位和跟踪。

传统通信安全解决方案一般是通过捕获协议或异常流量、状态日志的特征来检测网络空间的异常行为，从而防御针对作战网络的安全威胁。在网络空间防御作战方面，目前网络空间防御主要还是采用堵漏洞、筑高墙、防外攻的模式，利用病毒防护、入侵检测、内容检测、防火墙、虚拟专用网等手段构建防护体系，是以静态构建“安全篱笆”的手段应对动态的安全威胁。在网络空间异常行为检测方面，传统的网络安全机制依靠防火墙、入侵检测系统、入侵防御系统等进行被动防御[1-5]，基于规则库的攻击检测难以应对未知安全威胁，边界部署的方式无法实现对内部异常行为的检测、识别、定位，缺乏快速响应机制和数据分析能力，未来网络攻击跨网化、攻击方式多样化，网络入侵和渗透行为更为隐蔽，传统的通信网络防御机制只能实现被动防御，基于规则库的攻击检测难以应对未知安全威胁，边界部署的方式无法实现对内部异常行为的检测、识别和定位。

传统的网络防御机制，基于静态事件解决方案没有能力动态跟踪、记录和分析行为，无法及时分析和跟踪攻击源，只能在发生期间或之后进行异常检测，缺乏合理有效的手段对异常节点进行检测、识别和定位。因此，有必要引入人工智能技术，构建智能体异常行为样本库，进行训练迭代，开展對网络空间实体异常行为的预测，对战场上异常行为的实体进行分类、判定和鉴别，在通信网络的合法节点中剔除假冒非法节点和被捕获的异常节点，实现通信网络的主动安全防御。

1人工智能在网络空间防御领域的应用现状

近十年来，人工智能技术飞速发展，在深度学习、迁移学习、语音识别、图像识别及计算机视觉等方面取得突破，并逐步应用于网络安全领域。

美国多个国家实验室及大学实验室在人工智能+网络空间防御领域开展了深入研究。AI2全新人工智能系统是麻省理工（MIT）计算机科学和人工智能实验室（CSAIL）开发，可不断学习来自安全分析员的反馈，AI2在检测网络攻击方面实现了85%的准确性;Deep Instinct基于深度学习的智能网络防御技术，实现从反应式防御到主动式防御，识别准确率达到98%以上;DARPA积极推动人工智能+网络安全的研究，研制AI攻防软件，在2016年夏天举办的网络大挑战赛（CGC）上，DARPA让AI系统捉对厮杀，比拼实时查找、利用、修复软件安全漏洞的能力[6]。

国内，计算机病毒防治技术国家工程实验室提出了一种基于大数据平台的大规模网络异常流量实时监测系统架构，通过对流量、日志等网络安全大数据的分析，实现对DDoS、蠕虫、扫描、密码探测等异常流量的实时监测。奇虎公司提出了“云+终端+边界”的安全模型，将360系列产品囊括在该模型中，其中的云系列产品都涉及安全大数据平台和相关技术，如数据挖掘、机器学习等[7]。

2基于人工智能的网络空间防御系统设计

2.1系统总体架构设计

针对网络空间中攻击行动跨网化、攻击方式多样化，网络入侵和渗透行为隐蔽，传统防御机制无法快速检测威胁做出反应的问题，将人工智能技术引入到网络空间防御系统设计中，基于深度学习和威胁模型自演进的威胁检测技术，对采集的网络空间主机状态、网络信息与服务行为进行关联同步，然后进行深度融合分析发现其中的异常行为和威胁。基于人工智能的网络空间防御系统架构如图1所示，主要包括数据收集、数据感知及数据决策等。

数据收集层收集主机、网络、用户等操作行为，形成一条条存储信息事件的记录，一方面将主机状态、网络信息与服务行为进行关联和梳理，形成分析日志;数据感知层一方面对数据进行清洗整合，根据不同日志中的行为特征分别对主机端、网络端、用户端、服务器端行为进行特征提取。另一方面对提取后的特征归一化处理等，以符合深度学习算法的输入要求;数据决策层中，根据正常行为的特征，利用深度学习算法进行模型训练，训练好模型后根据输入数据量及行为特征数，动态调整神经网络参数，以达到最佳识别率，该模型方便决策层快速对主机、网络、用户行为和服务方出现未知的违规异常事件进行检测，然后对需要检测的未知数据提取特征后输入训练好的模型中进行检测，将检测结果存储到数据库中并向风险评估模块进行反馈，风险评估模块根据该结果进行相应的计算及评估。

针对通信环境复杂、网络资源受限、容易遭受恶意攻击等特点，通过引入人工智能、大数据技术，开展无监督学习与有监督学习相结合的多算法关联的人工智能关系图谱分析理论研究，通过无监督学习从已知网络行为数据集中理解并分析网络关系、定位用户节点;通过有监督学习注入已知网络信息、历史经验信息和环境感知信息，识别特定环境下赛博空间中网络流量的正常和异常行为，建立网络流量正常行为模型与异常行为模型，为网络空间异常行为检测提供支持。

多算法关联的人工智能关系图谱分析技术途径主要包括如下2个方面，基于自编码器的协议和行为分类提供了一种对网络流量数据包进行高速分类的方法，基于半监督和特征选择的入侵检测技术实现对网络入侵等异常攻击流量的检测识别。

2.2基于自编码器的协议和行为分类

通过自动编码器实现数据的特征提取和降维，使用K-means聚类算法进行协议的无监督分类，最后使用基于自动编码器的无监督聚类方法对网络协议进行分类识别，如图2所示。

在分类模型训练阶段，模型由编码器层和分类器层组成。

第1步，对预处理后的数据进行特征提取，经过预处理后的流量数据为I′=（m1′，m2′，m3′，…，mn′），其中选择每个数据对象mi′=（mi1′，mi2′，mi3′，…，mil′）是长度为l且经过归一化的向量，将数据集I′输入编码器f（x）中得到压缩后的数据H=（h1，h2，h3，…，hn）。

第2步，按照规则分类压缩后的数据，使用改进的具有相对熵的K均值聚类算法作为量度分类器，根据指定的分类数K对第一步中获得的压缩数据进行分类。

最终得到改进K-means的目标函数为P（x）和Q（x）的相对熵：

。

每次迭代都为数据点A重新分配簇v，如下所示：

。

重新计算每个簇的中心，计算簇vj的中心μj，如下所示：

。

分类器通过不停迭代使目标函数L的值越来越小，分类越来越具有准确性。

2.3基于半监督和特征选择的入侵检测

为应对未知攻击检测和训练数据少的挑战，使用未标记的数据和特征选择后的已标记数据来提取行为特征以形成网络行为特征数据库，根据网络行为特征数据库的信息，使用CPLE半监督学习方法来训练和学习经过特征选择的数据，并进行迭代训练，通过学习模型不断优化行为特征数据库。最后，通过半监督学习分类器对上述数据集进行分类，实现检测数据流量以及特征的目的。CPLE半监督算法训练流程如图3所示。

3结束语

针对通信网络行为复杂多变、隐藏行为混杂难辨、人工分析低效的特点，将人工智能引入网络安全防御中，从多个角度提取深层行为数据特征，利用机器学习模型学习正常有效的行为规律，构建智能体异常行为样本库进行训练迭代，开展对网络空间实体异常行为的预测，感知已知和未知网络威胁，最终用来识别特定环境下异常行为，为通信网络由被动安全防护向主动安全防御转型提供支撑。

参考文献

[1]李建华.网络空间威胁情报感知、共享与分析技术综述[J].网络与信息安全学报，2016，2（2）：16-29.

[2]SHAKSHUKI E M，KANG N，SHELTAMI T R. EAACK-a Secure Intrusion-detection System for MANETs[J].IEEE Transactions on Industrial Electronics，2013，60（3）： 1089-1098.

[3]陳华山，皮兰，刘峰，等.网络空间安全科学基础的研究前沿及发展趋势[J].信息网络安全，2015（3）：1-5.

[4] CHEN H S，PI L，LIU F，et al. Research on Frontier and Trends of Science of Cybersecurity[J].Netinfo Security，2015（3）： 1-5.

[5]沈昌祥，张焕国，冯登国，等.信息安全综述[J].中国科学（E辑：信息科学），2007（2）：129-150.

[6]范亮，陈倩.人工智能在网络安全领域的最新发展[J].中国信息安全，2017（4）：104-107.

[7]伍荣，褚龙，余兴华.大数据技术在信息安全领域中的应用[J].通信技术，2017，50（6）：1295-1298.