一種基于人工智能的網絡安全智能化運維技術解決方案

宋焱宏

摘要：隨著網絡技術的飛速發展，尤其是移動網絡各類新通信網絡技術的快速迭代，網絡安全運維的重要性日益凸顯。人工智能作為一種新興的信息技術，在網絡安全運維應用方面具有獨特的優勢，可大大提高安全運維的效率和準確性，降低安全風險和損失，實現更好的網絡安全防護效果。文章提出了一種基于人工智能的網絡安全智能化運維技術解決方案，以實現自動化檢測和防御、身份識別與認證、安全事件響應、智能監控和日志分析等。

關鍵詞：網絡安全；運維；人工智能；機器學習

中圖分類號：TP3 文獻標識碼：A

文章編號：1009-3044（2024）05-0074-03

1 簡介

當前，網絡應用范圍不斷擴大，網絡安全問題也日益突出。傳統的網絡安全運維技術開始面臨較大局限性，惡意軟件越來越能夠適應線性的傳統安全解決方案，網絡安全需要一種更為智能的威脅檢測、應對及解決方法。網絡安全專家也一直致力于研究人工智能技術在網絡安全智能化運維中的應用。隨著云計算、大數據和人工智能技術的應用，以機器學習為代表的人工智能，可以極大地幫助檢測越來越難以識別和隔離的惡意軟件。機器學習不僅能夠了解惡意軟件的外部特征和攻擊行為，還能夠了解其演變方式。此外，人工智能系統不僅可以協助檢測惡意軟件及行為，還可以采取主動措施進行漏洞補救，并對事件和威脅進行分類，從而使網絡安全運維人員從大量重復性勞動中解放出來[1]。本文提出了一種基于人工智能的網絡安全智能化運維技術解決方案，以實現自動化檢測和防御、身份識別與認證、安全事件響應、智能監控和日志分析等。

2 機器學習

機器學習是利用計算機從數據中自動地學習出一些規律或者模式，并利用這些規律或模式進行預測、分類或聚類等任務。機器學習的目標是使計算機能夠從經驗中不斷改善其性能，而不需要進行明確的編程。機器學習可以分為多種類型，其中最常見的是監督學習、無監督學習。在監督學習中，提供帶有標簽的訓練數據給模型，模型通過學習這些數據中的規律或模式來做出預測或分類。在無監督學習中，提供沒有標簽的訓練數據給模型，讓模型自己從數據中發現有用的結構和模式。機器學習的過程通常包括數據收集、特征提取、模型訓練和評估等步驟。在模型訓練過程中，通常使用優化算法來找到能夠最好地擬合訓練數據的模型參數。機器學習在網絡安全運維的應用如圖1所示[2]。

2.1 監督學習

監督學習是一種機器學習的方法，其特點是使用帶有標簽的訓練數據來訓練模型。在監督學習中，輸入數據（特征）和對應的標簽一起用于訓練模型，以便模型能夠學習如何將輸入映射到相應的輸出或結果。一旦模型訓練完成，就可以對新數據進行預測或分類，根據其特征預測出相應的標簽或類別。在監督學習中，輸入特征和輸出結果之間的關系是通過學習算法來學習的。這些學習算法試圖找到最佳的映射函數，以最小化預測結果與實際結果之間的差異或損失。常見的監督學習算法包括線性回歸、邏輯回歸、支持向量機（SVM）、決策樹、隨機森林、神經網絡等。

在監督學習中，計算機學習一個函數，該函數可以根據樣本數據將某些輸入映射到輸出，這些樣本數據提供了來自現實場景的映射示例。一般來說，算法可以從樣本數據中推斷出一個函數，創建一個將輸入（x）映射到輸出（Y）的函數，形式為Y=f（x）。當函數足夠精確時，便能夠從新的輸入中準確地計算出新的輸出。監督學習所涉及的對象可以分為兩大類：分類問題和回歸問題。分類問題是指函數的輸出是一個類別，例如主機的在線、離線狀態等。而回歸問題的函數輸出是一個數值，如主機CPU使用率等。在監督學習中，選擇合適的算法和數據集非常重要。算法的選擇應該基于問題的性質和數據的特點，例如，對于分類問題，常見的算法包括決策樹、支持向量機（SVM）、樸素貝葉斯和邏輯回歸等。而對于回歸問題，常用的算法有線性回歸、多項式回歸和決策樹回歸等。除了選擇合適的算法外，數據的準備和預處理也是非常重要的步驟，包括數據的清洗、特征選擇、特征提取和數據的標準化等。數據的清洗可以去除噪聲和異常值，提高模型的準確性。特征選擇和特征提取可以幫助找到與輸出變量最相關的輸入變量，從而提高模型的性能。數據的標準化可以消除不同特征之間的量綱差異，使算法更容易學習和優化[3]。

2.2 無監督學習

無監督學習，即沒有為機器學習算法提供標記樣本數據。在這種情況下，計算機從數據中學習底層結構，并最終推斷出適當的輸出。無監督學習更加主觀，在沒有專業知識來理解它們并了解哪些模式真正有用的情況下，獲得的模式通常沒有意義。一些應用于網絡安全的技術包括：聚類、關聯規則學習和降維。聚類技術試圖將相似的對象分組，可用于發現在某個主機中是否存在異常網絡流量，是否有大量或錯誤登錄事件，用戶是否訪問了通常不會訪問的數據、是否在正常工作時間外工作、是否連接了異常位置等。關聯規則學習技術可以發現大型數據庫中元素之間的關系及其規則。降維技術對于網絡安全而言用處較大，其背后的整體思路是找到一種方法來減少可能適用于解決某個問題的數據集中的特征數量。一般來說，特征是一組數據中不同元素的特定屬性。以網絡流量捕獲為例，在特定情形下，可能有多個特征：源IP、目的IP、協議、端口、有效載荷、MAC地址、TTL、路由等。如果僅對捕獲數據的所有特征進行實時處理分析，則可能對解決特定安全問題在計算上無效。而機器算法能夠學習如何將相關特征的數量減少到幾個（特征選擇技術），或者將它們分組到更易于管理的集合（特征提?。┲?，這樣問題將迎刃而解[4]。

3 基于人工智能技術的網絡安全運維

3.1 網絡安全管理與運維

網絡安全管理與運維是指，為保護網絡系統免受各種網絡威脅和攻擊的影響，通過制定和執行一系列的安全策略、規范和措施，對計算機網絡進行安全管理和運維工作，主要包括以下幾個方面。

1）網絡安全運維的核心工作：對計算機網絡進行日常的安全運維，包括安全掃描、滲透測試、安全工具和系統研發以及安全事件應急處理等，以及常見的Web服務器（如Apache、Nginx、Tomcat、Weblogic等）的安裝、配置、基線檢查和系統加固等。

2）建立完善的安全策略和規范，明確網絡安全的目標和要求。

3）進行網絡安全風險評估和漏洞掃描，及時發現和修復網絡系統中的安全漏洞。

4）建立網絡安全事件響應機制，及時應對和處理網絡安全事件，減少損失[5]。

3.2 人工智能在網絡安全運維中的應用

人工智能在網絡安全運維中的應用可以大大提高安全運維的效率和準確性，降低安全風險和損失，實現更好的網絡安全防護效果。人工智能在網絡安全運維中的應用主要包括以下四個方面：自動化檢測和防御、身份識別與認證、安全事件響應和智能監控和日志分析。

3.2.1自動化檢測和防御

人工智能可以通過機器學習和深度學習技術，從大量數據中學習和識別模式，發現隱藏的關聯性和異常行為，快速適應新的威脅，并提供實時的響應和防御。這有助于提高網絡安全運維的效率和準確性，減少人工操作的錯誤和疏漏。

以定期檢測IP地址沖突為例，運用人工智能技術可以提高網絡的安全性和穩定性。首先，可以基于機器學習進行IP地址沖突檢測，利用機器學習算法對網絡流量和日志進行分析，建立模型，通過學習正常行為模式和識別異常模式來檢測IP地址沖突。其次，可以更進一步基于深度學習進行IP地址沖突檢測，利用深度學習技術對網絡流量進行建模和分析，以識別出異常的IP地址沖突。深度學習技術可以處理復雜的模式和噪聲，并提供更準確的檢測結果。當然，深度學習方法需要大量的數據和計算資源進行訓練和推理[5]。

無論采用何種方法，定期檢測IP地址沖突都需要一定的資源和時間來進行開發和實施。在選擇適合的方法時，需要考慮網絡規模、安全性要求、數據可用性和成本等因素。同時，為了提高準確性和可靠性，可以將多種方法結合使用，以獲得更好的檢測效果。

3.2.2身份識別與認證

人工智能技術可以用于身份認證和訪問控制，通過人臉識別、聲紋識別、行為分析等技術，驗證用戶的身份信息，并限制其訪問權限，確保只有經過授權的用戶能夠訪問特定的系統、網絡或數據。智能化網絡身份識別與認證是網絡安全運維的重要部分，其主要目的是確保網絡中用戶的身份真實、可靠，并能夠驗證用戶對資源的訪問權限。人工智能在網絡身份識別與認證中的應用主要包括以下幾個方面。

1）人臉識別：通過人臉識別技術，可以將個人的臉部特征與數據庫中的信息進行比對，從而確定其身份。這項技術可以減少人工干預，提高安全性和效率。

2）聲紋識別：每個人的聲音都有獨特的特征，聲紋識別技術通過分析用戶的語音特征來進行身份驗證。這一技術不僅難以偽造，而且能夠在用戶日常的語音交流中實現驗證，從而提升用戶的體驗和認證的安全性。

3）行為分析：基于人工智能的智能分析能力，可以對用戶的行為數據進行分析和建模，識別異常行為或潛在的安全威脅。例如，如果系統檢測到某個賬戶在短時間內進行了大量的登錄嘗試或異常交易，可能會觸發警報。

4）多因子認證：結合了多種身份認證方式，如密碼、動態口令、生物特征等，以提高認證的安全性。通過人工智能技術，可以綜合多種方式的優點，彌補不同身份認證方式的短板[6]。

3.2.3安全事件響應

網絡安全面臨的主要挑戰之一在于攻擊的形式和傳播途徑經常發生變化。當出現新型攻擊或惡意軟件時，傳統系統無法檢測和識別這些行為，因為沒有既定的規則或先前模式可供匹配。一個典型的例子便是零日攻擊，即攻擊者利用某些尚未被發覺或修補的漏洞來實施攻擊。傳統應對方法是在惡意軟件執行之前予以阻止，將代碼模式與已知簽名進行匹配。然而，一旦未能及時阻止，惡意軟件執行后便很難停止，通常無法補救。

而人工智能可以在網絡安全事件發生時，自動感知、預警和響應，降低安全事件的影響范圍和損失。機器學習算法可實時識別惡意軟件攻擊，并結合人工智能輔助決策、機器和網絡隔離技術，在毫秒內隔離受感染的計算機或整個網絡段，從而阻止惡意代碼傳播。通過智能響應功能，一旦發現某個病毒或木馬侵入網絡，系統可以根據實際影響范圍進行智能度量，啟動相應的殺毒或隔離措施，降低網絡的負載和損失。由于無監督機器學習學習不基于已知的數據集、規則或模型，允許計算機自學正常和異常行為模式，通過實時檢測來捕捉網絡攻擊乃至未知威脅。例如，在面對例如勒索軟件時，因其運作方式、使用的載體甚至加密技術不斷變化，大多數傳統反病毒解決方案往往無能為力，而無監督學習技術應用方案會明顯優于傳統殺毒軟件。

在安全事件響應中，盡管無監督學習與監督學習相比有其特殊優勢，但無監督學習仍然高度依賴于專業知識來理解數據。因此，人工智能的未來方向將是繼續探索無監督學習的發展，并盡力消除對人類互動的需要。一方面，探索能夠理解其操作環境的算法非常重要，即理解DNS服務器產生的流量是因為它是DNS服務器，而不是盲目構建一個“正常配置文件”，該文件會像與另一個DNS服務器聯合委派區域一樣，將正常流量標記為惡意流量。換句話說，算法需要進化，以理解為什么特定行為背后有特定模式，而不是盲目地學習和假設。另一方面，構建能夠提供專業知識的算法也不失為一條途徑，該算法可擺脫人為識別，例如SOM或聚類技術發現的模式。也可以利用貝葉斯信念網絡（BN）來創建專家系統，BN也稱為因果概率網絡，是一種根據概率表示不同事件之間關系的方法。

在部分領域，例如基于網絡流量的攻擊檢測，直接應用于入侵檢測系統（IDS）和入侵防御系統（IPS），缺乏樣本數據會直接影響檢測效果。因此，應使用含惡意軟件文件的龐大數據庫使深度訓練算法，提高準確檢測并減少假陽性或假陰性的數量。例如，可使用遞歸神經網絡（RNN）將用戶生成的DNS記錄與由惡意軟件自動生成的記錄進行分離。由于惡意名稱的數量不斷增長、變化和演變，傳統基于簽名的黑名單技術往往用處不大，而通過RNN進行語言分析則更精準地識別[6]。

3.2.4智能監控和日志分析

人工智能可以對網絡流量、系統日志等數據進行實時監控和分析，發現異常行為和潛在的安全威脅，提供及時預警和處置建議。以數據抓包和數據分析為例，在網絡安全運維中，進行數據抓包和分析數據包來源和去向也是一項非常重要的工作，通過實時監測網絡流量，可以及時發現異常行為和潛在的安全風險，從而采取相應的措施來保護系統的安全。使用人工智能進行數據抓包和數據包分析，具體方法如下：

1）數據收集：首先，需要收集網絡流量數據。這可以通過使用網絡協議分析器或嗅探器等工具來實現。這些工具可以捕獲網絡中傳輸的數據包，并將其傳輸到后續的處理流程中。

2）數據處理：在收集到原始數據后，需要進行必要的處理和轉換，以便進行后續的分析和檢測。例如，可以將數據包的源IP地址、目標IP地址、端口號等轉換為易于理解的標簽或標識符，以便于理解和分析。

3）模型訓練：使用人工智能技術對處理后的數據進行分析和挖掘。通過對歷史數據的學習和分析，訓練出一個能夠識別異常行為的模型。這個模型可以根據不同的場景和需求進行定制和優化，以提高檢測的準確性和可靠性。

4）異常檢測：通過實時監測網絡流量數據，并與模型進行比較，可以及時發現異常行為和潛在的安全風險。如果發現異常行為，可以立即發出警報并采取相應的措施，以防止進一步的風險和損失。

5）反饋和調整：在檢測到異常行為后，需要將相關信息反饋給安全運維人員，以便他們進行進一步的分析和處理。同時，需要根據實際情況對模型進行調整和優化，以提高檢測的準確性和可靠性[7]。

4 結束語

目前，人工智能技術在網絡安全運維領域的應用依然處于初始階段。機器學習作為人工智能技術的一個分支，其應用范圍依然不廣、深度也不夠。其中，監督學習比無監督學習的應用更為成熟。鑒于無監督學習應用的最終目標是盡可能減少在檢測威脅時的人機交互，為使其在網絡安全運維中得到更為有效的應用，研究者應繼續探索能夠提供背景、專業知識和增強數據可視化的新技術，以實現與數據科學、大數據技術以及增強數據分析的緊密結合。最后，大數據技術的發展需要以易于系統內多個層面理解的形式來呈現數據，而數據可視化則具備這一優勢，可以更小的時間和人力成本來提高安全維護及威脅防范能力。未來，人工智能與數據可視化的結合，將極大促進網絡安全運維技術的發展。

參考文獻：

[1] 張宓.網絡安全運維過程中網絡安全技術的應用研究[J].信息與電腦（理論版），2023，35（7）：222-224.

[2] 馬毅葳.基于人工智能的網絡安全研究[J].網絡安全技術與應用，2023（11）：156-157.

[3] 劉文星.淺析計算機網絡運維管理要點及發展趨勢[J].中國新通信，2022，24（7）：93-95.

[4] 張新淼.基于網絡運維的大數據分析安全感知策略研究[J]. 網絡安全技術與應用，2018，（9）：67+35.

[5] 金景峰.人工智能在網絡安全運維服務中的運用研究[J].河南科技，2020，39（25）：21-23.

[6] 詹鴻輝，程仲漢.基于卷積神經網絡的異常流量鑒別方法[J]. 成都信息工程大學學報，2023，38（6）：668-672.

[7] 周利均.人工智能在網絡安全運維服務中的應用[J].通信技術，2020，53（2）：521-524.

【通聯編輯：朱寶貴】