基于Chatbot的网络管理及安全事件处置方法研究

2017-07-24 17:48王保利
网络安全技术与应用 2017年7期
关键词:安全事件网络管理运维

◆王 璐 李 鹤 王保利

(1.中国人民解放军91655部队 北京 100036;2.中国人民解放军91917部队 北京 100084; 3.中科院计算技术研究所 北京 100190)

基于Chatbot的网络管理及安全事件处置方法研究

◆王 璐1李 鹤2王保利3

(1.中国人民解放军91655部队 北京 100036;2.中国人民解放军91917部队 北京 100084; 3.中科院计算技术研究所 北京 100190)

随着网络设备与网络架构的发展越来越多元化和复杂化,政府、企业、军队等机构的网络管理及安全事件处置方法也亟待优化改进。针对这些问题,本文提出了一种基于Chatbot的网络管理及安全事件处置方法,通过借助Chatbot的智能化交互特性,可有效地辅助网络管理、优化安全事件处置流程、减小经济成本及提高工作效率。

Chatbot;网络管理;安全事件

0 引言

随着企事业单位、军队信息化程度的不断提高,数据中心、云计算、虚拟化技术的广泛应用,各部门、人员的日常工作深度依赖于组织内部、组织对外的网络。但现有网络有线/无线接入设备种类繁杂,设备软件系统漏洞频发,病毒、黑客攻击和内部人员管理问题,使得网络管理和安全问题面临严峻挑战。[1]当网络故障和安全事件发生时,首要工作是确保受损业务的快速恢复和控制安全事件的影响范围。现有人工智能技术应用于各行各业,在日常网络检查、故障修复和安全事件处置方面,可以辅助运维人员快速进行处理,及时、有效保障网络安全、有序、高效运行。

1 网络管理及安全事件处置面临的问题

1.1 网络结构混杂

在效率、成本双重考量下,计算、存储、网络资源依托各种公有云、私有云、混合云和传统 IT基础设施,物理、逻辑、虚拟的网络结构交织。复杂混合的网络路由拓扑结构,一方面存在大量隐形的、未知的安全隐患,另一方面增加了网络故障及安全问题查找的难度。

此外,各种有线、无线网络传输技术保证人员网络便捷接入。但无线网络暴露在公共环境中,安全隐患多。有线无线互联节点也很容易成为进入内网环境的通道,安全面临极大挑战。

1.2 接入网元繁多

在云计算、大数据等新技术的影响下,网络运维工作遇到新的挑战,进入传统和云化IT基础设施双态模式。在这种模式下,接入网络的实体包含路由器、交换机、服务器、安全设备等传统网元,包含PAD、手机、智能传感器等移动网元,还包含虚拟计算、存储、网络节点等虚拟网元。种类繁多,网络运行及安全特质各异。

1.3 软件漏洞频出

接入网元操作系统涵盖Windows、linux、Unix、Android、IOS等,还有VMware、KVM、OpenStack等虚拟化系统,各种版本漏洞不同,升级程度不同。基于开源组件,采用C++、JAVA、PHP、Python等语言开发的软件接力着业务的各个流程、环节。数据库方面,除依托Mysql、Oracle外,HBase、Redis、Mongdb、InfluxDB等NoSQL、NewSQL技术的引入在提高业务计算效率的同时,也存在网络故障点和安全问题。

1.4 内部管理隐患

内部泄密和网络攻击成为威胁网络安全应用的最大隐患。在众多内部网络安全威胁中,最主要和最应关注的有:内部设备/人员主被动泄密、内部人员主被动制造和传播病毒、非授权使用或授权滥用、安全管理不善引发的 IT资源不可用等。管理制度上的不完善,防范技术上的不完整,内网安全管理没有形成有机整体,存在诸多隐患。

2 Chatbot技术简介

Chatbot(聊天机器人)是人工智能在人机交互领域的革命,是一个多技术融合的平台,必备组件包含NLU(Natural Language Understanding,自然语言理解)和 NLG(Natural Language Generation,自然语言生成),其中结合机器学习、深度学习等技术。[2]以计算机程序为基础,通过人工智能+对话式交互为手段,汇聚应用所需的优质数据与服务,节约用户交互时间和经济成本。Chatbot在智能客服、智能教育等领域发展迅猛,各类软件产品在不同程度上融合Chatbot技术。

从功能场景看,Chatbot可以分为虚拟助手和消息应用程序两种类型:

虚拟助手,帮助用户检索信息、记录信息,实现私人电子助理的角色。例如苹果Siri、亚马逊Alexa、微软Cortana以及谷歌助手。能通过机器学习或深度学习等方式,理解人类口语表达的命令,并执行一系列操作,省去不必要的繁琐操作流程。

消息应用程序,允许企业24小时在线全天候提供客户支持(例如即时响应,快速答案,投诉解决)。很多互联网企业为了保证服务质量,需要建立庞大的客服团队,处理退货、投诉、咨询等一系列事情,这些事情的特点就是重复性强,虽然每天接到的电话数以万计,但统计一下就会发现无非是几种主要的情况,客服人员的工作就是按照类似“操作手册”的东西找到对应事件的处理方法,这些恰恰是机器人可以毫不费力解决的事情。阿里、京东等在线客服,便是这类聊天机器人通过遵循预编程规则与用户进行交互的典型实例。

从表现形式看,Chatbot 可以分为单轮对话和多轮对话两种类型:

单轮对话其实可以看做是问答系统(Question Answering System)的变形,一般是一问一答的形式,用户提问,机器生成相应答案的文本或者是综合与答案相关的各种信息返回给用户;多轮对话则更接近我们通常理解的人与人之间的对话模式,通常是有问有答,除了用户提问,机器也会主动向用户询问,并且会根据上下文来判断该给出什么样的答案或提出什么样的问题。从应用的角度来看,单轮对话更适合使用在信息查询、客户服务、产品介绍等等目标明确、会话行程短的浅服务类项目,用户对通过使用这类产品获得的服务有明确的预期,更多的是把它看做快速获取信息、提升效率的入口。

多轮对话服务,往往会应用在信息搜集、商品和服务导购推荐、专业方案咨询等等一系列结构复杂、会话行程长的深度服务项目里,用户通过使用这类产品会在某一领域获得相对完整的服务,解决一个复杂问题,或者获得某种方向性的引导。一般来说,企业使用多轮对话服务的目标不仅仅是提升效率降低成本,还往往可以改进产品质量带来更多的收入。

3 基于Chatbot的网络管理及安全事件处置方法

网络接入硬软件种类繁多,运维人员很难全面掌握安全事件处置方法,而且安全漏洞处置经验及时更新。网络安全事件处置Chatbot的虚拟助手和消息应用服务两项功能可以解决这些问题。

3.1 网络安全事件处置Chatbot实现模型

网络安全事件处置Chatbot实现算法模型主要有两种:基于检索模型和基于生成模型。

基于检索的模型在算法流程、结构上,与搜索引擎的技术实现类似,其核心代码可以用开源搜索引擎来实现的。首先定义好网络管理及安全事件处置问题库和答案知识库或回答的模板,然后通过 NLP 技术对用户提出的问题进行分析,通过关键词提取、倒排索引、文档排序等等方法与定义好的知识库进行匹配,并返回给用户。 在规则匹配和文档排序上,可以加入针对网络安全事件特征信息的启发式规则或者机器学习算法,从而提高匹配精度。并且,在运维知识库上还可以嵌入知识发现和推理机制,提升对话质量。

基于生成的模型通常不依赖于特定的事件处置答案库,而是依据从大量语料中学习的“语言能力”来进行对话,看起来这个过程更加接近人类思考和产生语言的过程。在网络管理及安全事件处置领域形成的“语言能力”,涉及到本领域基本语言元素的知识表示、以某种结构(比如深度神经网络)来模拟的语言模型,以及对生成的语言对象的评价和选择标准。

两种模型适用场景不同。基于检索模型对于领域范围清晰、指向明确的问题,对话质量相对高,并且不易出现语法错误。但回答的内容很难跳出预定的答案库,需要花费很大的精力来维护更新知识库和匹配规则。基于生成模型直接从语料来训练知识表示和语言模型,可以有效降低维护问答库和规则的工作量;同时,基于生成模型可以应对各种不在预设知识库的问题,表现形式灵活。但好的生成模型往往需要巨大规模的网络运维及安全领域训练语料,并且,对话中的上下文关系、信息一致性以及关键意图识别等一系列问题都是生成模型需要克服的难关。

在深度学习技术取得突破性进展之后,研究者把目光更多转向生成模型,因为深度学习的序列化(Sequence-to-Sequence)学习方式可以较好的实现生成模型的框架。而且深度学习强大的计算和抽象能力,自动从海量的数据源中归纳、抽取对解决问题有价值的知识和特征,使知识生成过程对于问题的解决者来说透明化,从而规避人为特征工程所带来的不确定性和繁重的工作量。因此随着时间推移,积累足够多的网络管理和安全领域对话语料,应用 RNN(Recurrent Neural Network)的端到端技术框架就可以利用端到端框架直接进行领域训练,而不必考虑复杂的语法规则、微妙的对话情景等等一系列人为特征工程需要关注的焦点。[3]

3.2 网络安全事件处置Chatbot工作

用户通过固定或移动终端的 Web浏览器访问安全事件处置Chatbot。网络安全事件表征的获取,一方面可以通过人工语音或文本输入,另一方面直接对接网络管理系统、安全防护体系的告警模块,如图1所示。

图1 网络安全事件处置Chatbot工作流程图

Chatbot在获取到安全事件告警描述后,识别理解并转化为意图指令,并执行一系列检索、记录信息操作。通过领域模型匹配,与网络运维知识库和安全事件处置知识库的数据对接,将处置方案以语音或文本的形式反馈给用户。用户对处置方案的有效性进行效果判定,或者新增处置方案,为以后事件的处置提供参考。

3.3 Chatbot网络安全事件处置系统架构

Chatbot网络安全事件处置系统架构如图2所示。

图2 Chatbot网络安全事件处置系统架构图

(1)即时消息服务组件,主要负责实现的语音与文本消息的相互转换及转发操作;

(2)Message通过消息传入组件模块从即使消息服务组件传递到Bot引擎模块,通过消息传出组件模块从Bot引擎模块传递到即时消息服务组件模块;

(3)Chatbot引擎,处理网络安全运维知识图谱、处置对话过程、对话内容、对话规则和主题。对话主题是基于人工经验制作的。除了包括引导用户做安全事件特征描述的“理解对话”,还要包括实现事件解决的“服务对话”。Bot引擎不能做到回复所有问题,因为基于规则的原因,能覆盖的对话内容范围小,当在Bot引擎中,得不到好的答案或者没有命中一个规则时,就请求背后的Bot模型;

(4)Chatbot模型是通过深度神经网络训练而来,随着时间推移回答的网络管理和安全事件处置问题逐步增多,还可以对接互联网公开的最新安全事件漏洞和处置情报中心,丰富其训练数据;

(5)在对话服务过程中,会产生新的数据,使用强化学习,给Chatbot模型正向的激励。使用知识图谱记录Bot,User, World三层知识。

4 总结

网络管理及安全事件处置,需要依托智能化手段,辅助快速解决不可预知的安全问题。Chatbot为运维人员提供得力的工具,摆脱现在面临知识过载、更新迭代慢的困境。在全息管理视图之上,针对不同安全事件,构建管理边界,聚焦管理范围,选取、推送所需的辅助处置信息。Chatbot的领域匹配模型和深度学习模型形成针对问题场景的运维及安全处置方法,不断沉淀专家经验,形成知识库,使运维逐步摆脱对人的依赖,从容应对各项常规和突发任务,确保网络及网联设备和系统的畅通和安全。

[1]薛新慈,任艳斐.计算机网络管理与安全技术探析[J]. 通信技术,2010.

[2]Shawar B A, Atwell E S. Using corpora in machine-learning chatbot systems[J].International Journal of Corpus Linguistics,2005.

[3]何明翰. ChatBotEx - 基於Web探勘技術實現之智慧型答詢系統[J].暨南大學資訊工程學系學位論文,2010.

[4]Developing AI chatbots.https://www.code project.com/Articles/12454/Developing-AI-chatbots.

猜你喜欢
安全事件网络管理运维
淮安市加强安全事件管理提升风险管控能力
数控机床DNC网络管理平台在智能制造中的应用
2020年度区块链领域安全事件达555起
运维技术研发决策中ITSS运维成熟度模型应用初探
基于OpenStack虚拟化网络管理平台的设计与实现
风电运维困局
电动汽车充电服务网络管理初探
杂乱无章的光伏运维 百亿市场如何成长
基于EOC通道的SHDSL网络管理技术
基于ITIL的运维管理创新实践浅析