基于深度神經網絡的機房信息安全態勢感知研究

殷莉

關鍵詞：神經網絡；機房；信息安全；態勢感知

中圖分類號：TP309.7 文獻標識碼：A 文章編號：1006-8228（2023）11-112-04

0 引言

目前，機房內部安全態勢感知模型的研究大多集中在框架模型上，包括多傳感器信息集成架構模型和基于Netflix 的機房安全態勢框架模型，而準確的數學模型尚欠缺。密碼學是安全通信的科學，有科學家證明，安全通信不需要在發送方和接收方之間傳輸任何私鑰，這表明深度神經網絡密碼學已經進入了一個相對動蕩的時代[1]。

由于網絡攻擊越來越多，許多公司或組織將面臨大量的網絡攻擊，就像著名的“Aurora”對谷歌郵件服務器的攻擊。一些攻擊可以穿透保護系統，攻擊公司內網，使公司機密信息泄露、信息被篡改等，導致遭受重大損失。針對網絡攻擊行為，我們需要盡早發現其來源和潛在威脅，因而大數據和人工智能的應用非常重要[2]。本文探討了深度神經網絡在機房信息安全系統中的應用，以提高機房信息安全態勢感知的能力。

1 基于深度神經網絡的機房信息安全態勢感知研究設計

1.1 數據采集及預處理

在數據收集方面，防火墻日志、路由器日志以及信息安全方面的鏡像流量收集了大量數據，數據安全主要是指系統可以識別和使用的智能數據，可以使用服務器云更新安全信息。當前，沒有可靠的安全情報和數據支持標準。

經過了系統實驗與優化，在IPv4/IPv6 的環境中，可以通過一個萬兆網收集網絡流量信息。所采用的方法主要有網絡端口鏡像方法與拆分器鏡像方法，將所收集到的數據送到分析系統中進行數據分析，包括接口匹配、流量控制、自動呼叫關聯和行為分析等。接口匹配是通過標準TCP/UDP 接口，此識別方法雖然擁有極快的探測速度，但很容易導致信息非法偽造，所以，非常必要對其分析出的信息進行深入研究。

傳輸功能檢查一般有二種方式，一類是通過標準協議識別，另一類是通過未公開的協議識別。此外還包括對指令和數據的特別要求，通過指令和信息可以在計算和測試環境中對獨特字段的傳輸狀態作出有特征的檢驗。后者需要采用反向解析技術，通過這種方式對報文中的唯一字段進行解碼和識別，從而實現流量識別。自動連接關聯是隨著網絡數據傳輸日漸增大，單一接口實現所有數據傳輸的技術已經不能跟上現實需要。在物聯網工程中，需要將有關連接中的信息組合起來，并自動將其與數據傳輸鏈路相關聯。某些數據流量的恢復可能受到限制，在此情況下，可以使用行為特征分析方法，該方法監測業務中的呼叫數量、先前和較低業務的比率以及數據傳輸的頻率，以便獲得數據業務的識別[3]。

1.2 搭建信息安全態勢感知架構

基于數據采集及預處理之后，需要開始搭建信息安全態勢感知架構。在深度神經網絡時代，為了解決大型企業在運營過程中面對信息安全問題，對現有的安全感知體系進行更深入的研究和分析非常重要。經過對海量數據的研究、組織、分析和總結等一系列過程，最終總結出信息安全態勢感知系統的總體設計框架。其設計理念是將機房范圍的內部安全與外部互聯網安全數據更有效地結合起來，對收集到的數據內容進行全面的威脅分析和風險整合，最終提高機房運營過程中對信息安全威脅的感知。同時為了更好地實現整體項目框架的各項功能，有必要對框架中涉及系統的設計組成進行更深入的探索和分析，以更好地促進機房的信息安全感知優化。機房安全態勢基于報警事件提供統一的安全視圖狀態下信息，能夠使網絡安全管理員快速并且準確地捕捉到網絡安全當前狀態，并在此基礎上及時采取適當的措施[4]。

系統架構分為四個層次：數據收集層、計算存儲層、業務能力層和系統服務層。

⑴ 數據收集層。主要收集防火墻日志、入侵檢測日志、關鍵主機日志、主機訪問漏洞信息和威脅信息。由于數據源不同，它們通常以不同的格式來定義機房中的信息安全事件，因此有必要通過正常的表格處理將數據統一格式，剔除不必要的和有噪聲的數據。

⑵ 計算存儲層。在計算存儲層需要使用Hadoop MapReduce 以及Spark 來構建計算平臺和大規模數據存儲規劃。存儲大量數據使得能夠大規模存儲和處理日志以進行態勢感知，對大量數據的快速處理，為深入分析高速網絡流量的安全性和高智能模型算法的計算資源提供了技術支持。

⑶ 業務能力層。通過協同工作引擎、網絡安全引擎、安全分析引擎、運行和維護云引擎、智能學習引擎，集成多個安全事件探測器提供的底層信息，動態地反映機房的信息安全狀態，具有機房信息安全發展趨勢預期和警告能力。

⑷ 系統服務層。通過感知安全狀態和網絡狀態、掌握攻擊情況和來源，了解機房信息安全狀態和發展趨勢，制定預測性應急計劃并采取適當的預防措施，通過安全云服務中心構建關鍵信息基礎設施安全體系，增強信息安全保護能力。

系統采用大數據技術，根據預先設計的流程處理數據，提高準確性和可靠性，在大數據流框架下，技術具有分布式、高可擴展性特性，如果集群節點的數量增加，處理攻擊發生的能力就會提高。在數據處理過程中，涉及數據標準化和情報數據庫的連接。數據規范化是系統使用正則表達式對各種硬件信息、傳輸數據等進行規范化，將數據轉換為系統平臺上的常用數據，以便更好地進行分析。知識庫訪談是數據通過情報庫連接到知識庫和本公司自己的支持情報數據，為后續的檢測和分析提供數據。系統必須完成對大量數據的搜索，因此它依賴搜索引擎來獲取這些數據。利用搜索引擎可以實現內容、名稱、分類等全文分布式搜索，搜索過程中，時間可以用作數據分析的索引字段。分析數據是研究潛在的數據威脅并采取預防措施，包括使用智能軟件檢測技術、殺毒技術、機器學習技術、自動化數據處理技術等[5]。

構建信息安全態勢感知架構中，需要采用智能惡意軟件檢測技術來實現，通過大量的傳統軟件和惡意軟件樣本，創建人工智能引擎來檢查兩種類型軟件的特征，構建模型來識別惡意軟件安全風險，采用技術來改進現有的防病毒探測規則，提高其可靠性，更好地識別病毒和相關的機器學習數據。利用沙盒技術收集和處理數據也必須基于機器學習和相關性分析等手段來過濾大數據并提取關鍵數據，發送給運營團隊進行大數據分析，采用自動化數據處理技術來進行數據處理及其感知。盡管態勢感知技術已經是一種智能工具，但它仍然是基于機器人的，為了向專業人士提供更可靠的綜合數據，基于人工智能的自動數據處理平臺正在不斷研發中，跟蹤攻擊者以持續檢測未知威脅，生成本地可用信息威脅分析規則，可供本地分析平臺使用，基于以上步驟完成對信息安全態勢感知架構的構建。

1.3 構建機房信息安全態勢感知模型

基于深度神經網絡構建的信息安全態勢感知模型，在分析國內外機房信息安全態勢感知有關研究現狀基礎上，結合JDL 功能模型及態勢感知心理模型等其他領域的經典態勢感知模型分析，給出了機房信息安全的概念模型，包含機房信息安全狀態感知層、態勢評估層及狀況預測層等三個層次，如圖1 所示。

級別1 狀態感知是態勢感知的基礎。該級別是采用已有的技術手段從千千萬萬的數據中挖掘出有效的機房安全信息，并用諸如XML 格式進行標注，作為評價的輸入數據信息。

級別2 態勢評估是態勢感知的核心，也是當前安全形勢的動態理解過程。它通過判別抽取出安全事件，并保證關聯性，在此基礎上構建相應的安全情況圖來表征整個機房信息安全情況。

級別3 狀況預測是根據過去的機房信息安全狀況和當前的機房信息安全狀況來判斷未來的安全趨勢，這將有助于決策者更深入地了解機房信息安全狀況，并為合理而精確的決策提供證據。

根據灰色模型GM（1，1）：

x （t） + az （t） =b

其中，a 為系數，b 為灰度輸出。當a<2 時，則GM（1，1）起作用，因而預測結果隨a 變化而變化。

假定t 時間內，情境數據庫中抽取出來的異常值安全序列可以用x 表示，即為：

X = X （1） ，X （2） ，…，X （n）

和

X （t） ≥ 0，t = 1，2，…，n

來進行標識?；谝陨喜襟E能夠完成機房信息安全態勢感知模型的建立[6]。

2 對比實驗

2.1 實驗說明

為驗證上文所設計的基于深度神經網絡的機房信息安全態勢感知研究的有效性，特建立對比實驗。將基于深度神經的機房信息安全態勢感知研究（方法1）與依賴RSA 公鑰加密算法的機房信息安全態勢感知系統（方法2）以及基于大數據的機房信息安全態勢感知系統研究進行對比。

2.2 實驗準備

該機房模型實驗在RED 160G 平臺下進行了測試，該平臺配置了華為5000 多層路由交換機、防火墻和10 臺PC。每一臺PC 的配置都是RED 160G，并且帶有1G Ethemet。將下午兩點至下午七點分為五個時間段，分別為T1，T2，T3，T4 和T5。在每一個時間內，一些黑客工具用于測試。

2.3 實驗結果

三種方法對于機房中的信息安全態勢感知結果如表1 所示。

由表1 可知，方法1 感知到的網絡威脅數量與實際網絡威脅數量一致，且每個時間段都符合，而方法2和方法3 結果雖然與實際情況接近，但數值并不準確，個別時間段感知到的結果相差較大，由此，可以得出方法1 即基于深度神經網絡的機房信息安全態勢感知研究方法最為準確。

3 結束語

機房信息安全感知系統是現階段比較重要的研究領域，我們可以提高系統對意外事件的響應能力，減少網絡攻擊的損失，可以檢測異常違規行為，并增加系統反擊的力量。本文基于深度神經網絡，首先分步提出了機房安全狀況認知模型，經過仿真檢驗后，說明基于該方法的機房信息安全態勢感知準確性較高，可以在信息安全態勢感知領域得到進一步應用，機房信息安全態勢感知的應用前景非常廣闊。該方法可以通過實時監測、分析和識別網絡活動、系統漏洞、異常行為等，提供全面的安全態勢感知，幫助及早發現和應對潛在的安全威脅。

在機房信息安全態勢感知領域，還有一些需要進一步研究和待解決的問題，例如大規模數據處理、智能化分析與預測、多維度數據關聯、自動化響應與處置、隱私保護與合規性、跨機房安全協同等。未來可以針對這些問題進行深入研究，以提高機房信息安全態勢感知的能力和效果。