基于人工智能的网络安全态势分析研究

摘 要：伴随着网络技术的进步与发展，带来的是日益严峻的网络空间安全问题，为了更好地维护国内在政治、军事和经济等相关领域的利益，也为了提升一般行业在网络安全方面的技术进步，因此本文以人工智能为技术背景，对现阶段的网络安全态势进行分析研究，从而让国内的网络安全态势感知系统的设计能够结合人工智能技术的发展进步，更好地保障各行业的网络安全。

关键词：人工智能；网络安全态势；分析

一、概述

随着时代的进步和发展，网络技术给人们的生活和经济发展带来了极大程度的便利，也在推动人类科技发展和历史进程中发挥了巨大的作用，但任何科学技术在带来便利的同时，也存在一定的风险，网络技术也不例外，从近些年来我国的网络安全领域发展情况来看，一方面有目的的网络攻击事件已经不仅仅局限于军事、政治和经济等保密领域，大量的国内信息因为网络安全攻击而泄露出去，给我国的经济发展带来一定的损失。因此自党的十八大以来，我国政府对于网络安全工作逐渐重视起来，在网络强国的重要思想指导下，不断加强网络安全的顶层设计和全面布局，出台了包括《中华人民共和国网络安全法》《网络安全审查办法》和《汽车数据安全管理若干规定（试行）》在内的相关政策文件，建立起了关于网络安全政策法规标准体系，让国家网络工作体系能够在法律范畴内不断健全，同时包括《国家网络安全事件应急预案》在内的国家网络安全事件应急工作机制的出台，也填补了我国网络安全工作方面的空白，特别是2021年9月1日颁布的《中华人民共和国数据安全法》更是将解决网络空间安全问题上升到了国家战略的高度，为此本文从人工智能的技术背景出发，对网络安全态势进行分析研究，从而实现提高网络安全态势感知和主动防御能力的目的，为我国的网络安全工作和相关产业发展做出一定的贡献。

二、核心概念

（一）网络安全态势

网络安全态势指的是从宏观的角度对网络整体的安全状态进行分析，从而得到更为科学综合的安全评估，达到辅助相关决策的目的。网络安全态势的感知对象包括潜在攻击行为、用户和网络设备的运行活动等。

（二）网络安全态势相关要素

网络安全态势相关要素分为三部分，分别是安全要素、可用要素和可靠要素。安全要素能够反映网络受到的安全漏洞等攻击造成的损失程度以及后续影响；可用要素指的是网络在受到攻击并损伤后，网络运行的可用状态等；可靠要素能够反映攻击对网络造成的物理损伤程度。

三、现阶段网络安全态势感知技术发展趋势分析

（一）网络安全态势评估标准

网络安全态势评估标准主要分为国内和国外两种评估标准，其中国外网络安全态势评估標准包括TCSEC和ITSEC两种，TCSEC指的是可信计算机系统评估准则，这一评估标准是美国国防部于1985年制定的军用标准，也是计算机系统安全评估这一概念提出以来的首个正式标准。TCSEC又被称之为橙皮书，在这一准则中，美国国防部按照信息的登记和应用所采用的相应措施，将计算机安全等级按照从高到低的顺序分为了A、B、C、D四类八个等级，TCSEC作为世界上首个网络安全态势评估标准，也为后来的评估标准提供了一定的参考价值。例如ITSEC作为法国、英国、荷兰、德国四个欧洲国家于20世纪90年代初联合发布的信息技术安全评估标准，就在内容上参考了美国军方的TCSEC。

但相对于TCSEC，欧洲各国的ITSEC在功能的灵活性和评估技术方面有了一定的进步，ITSEC将安全概念分为功能和评估两个部分，与美国的TCSEC不同的是，ITSEC的保密措施并没有直接和计算机功能相联系，而是将保密作为安全增强的功能，突出技术安全的重要性，并将完整性、可用性和保密性放在网络安全要素的同一等级上，更适用于包括军事在内的政府和商业等多个领域的网络安全需求。

在TCSEC和ITSEC两种标准基础之上，美国、加拿大以及当时的欧洲共同体起草了信息技术安全评价通用准则即CC标准，这一标准将网络安全评估分为安全功能需求和安全保证需求两个方面［1］。CC标准已经成为国际通行的信息技术产品安全性评价规范，具有灵活性、合理性和科学性的优势，还考虑了完整性和可用性、保密性等多方面的安全要求，因此广为国际上的各国所接受，并且我国推出的几项通用网络安全评估标准也在内容等方面参考了CC标准。

国内的安全评估标准较多，但具有代表性的是GB178591999计算机信息系统安全保护等级划分准则、GBIT183362001信息技术安全评估准则和GBT209842007信息安全风险评估规范等，这些安全评估准则在不同的时期发挥了不同的作用，在一定程度上都推进了我国网络安全相关工作的进展［2］。其中GB178591999计算机信息系统安全保护等级划分准则发布于1999年9月，主要是对计算机信息系统相关定义进行了规范，并规定了计算机系统安全保护能力的五个不同等级，这些等级由高到低分别是：访问验证保护级、结构化保护级、安全标记保护级、系统审计保护级和用户自主保护级。

GBIT183362001信息技术安全评估准则发布于2001年3月，主要是由国家信息安全测评认证中心主持，联合其他相关部门共同起草，这一准则定义了评估系统安全性和信息技术产品的基础准则，能够为网络安全态势评估模型和相关因素的制定提供一定的指导作用。

从上述网络安全态势评估标准的发展历程可以看出，国外在这一方面起步较早，因此在网络安全态势评估准则和标准方面也更为规范化和科学化。而我国起步较晚，但能够参考国外成熟的网络安全态势评估标准，因此能够制定出适合国内技术发展的网络安全态势评估标准，同样能给国内的网络安全工作带来一定的指导和参考。

（二）存在问题

结合现阶段的网络行业发展情况来看，涉及网络攻击相关的行为更偏向于有体系、有组织地攻击和入侵。因此传统的网络安全防护技术如防火墙、访问控制等，已经不能满足网络安全工作现阶段的复杂需求，同样地在网络安全态势感知方面，传统的安全防护的理念和产品也不足以应对新型的网络威胁，尤其是这种孤立的偏向于静态的网络安全态势感知系统，在对付规模和危害较小的网络威胁方面，缺乏足够的效用，以至于这种影响较小的网络威胁逐渐累积，最终造成重大的网络安全事故。因此我们必须认识到在传统的静态网络安全态势感知框架中，存在着相当大的问题，具体整理如下。

第一，缺乏对网络安全相关的数据的智能分析评估，且现有评估方法的效率较为低下，不能对潜在的安全危险做出及时的提前预测。

第二，现有的数据库检测过于依赖预制规则，不能对新型的网络安全危险进行充分的检测。

第三，系统多设备在协作联动方面较为困难，不能高效地对网络进行动态多维度协作防御，使得最终的成效较低。

第四，在网络安全防御技术数据的获取方面较为单一，没有办法对已知的网络安全攻击进行溯源分析，更无法对潜在的可能威胁网络安全的要素进行预测评估。

（三）发展趋势

基于上述对我国网络安全态势感知框架存在的问题，近年来我国在网络安全态势感知技术方面发展趋势，集中在以下几个方面。

第一，挖掘出网络安全态势中所有可能潜在的威胁，并从动态的角度去获取当前网络安全的具体态势，强调面向数据安全的网络态势感知需要实现数据安全风险的可溯源、可处置和可感知等，为数据安全运营提供基础和保障，也为数据安全体系建设提供保障。

第二，从便于可视化的角度去融合多元异构传感器获取的数据，例如组装式的安全运营支撑平台建设中，就强调了需要一些具备可视化和模块化的封装好的软件组件，这些能够提供数据可视化服务的PBC由于具备集成化和模块化的特点，能够为更多的网络安全态势感知的业务场景服务，更能够将一些网络安全预测的建模能力赋能在报告报表或者自服务分析上，从而形成更为丰富的高级数据分析应用［3］。

第三，网络安全防御态势需要成体系建设，这样才能更好地完成预警和评估工作，因此在這一方向推动下，我国国内的网络安全态势感知主要围绕“元数据驱动”开展相关安全体系的建设，其核心是围绕系统科学理念，驱动网络安全态势模型化、资源化和注册制的策略建设，从而达到网络安全领域“熵减”的目的，并为自动化、智能化的网络安全运营打下一定的基础［4］。

第四，基于人工智能的角度，通过智能学习与预测，积累相关数据，并对未知的潜在威胁进行管控，并进行快速响应。例如，将机器人自动化理念即RPA应用于网络安全领域就是一种发展方向，能够面向中小型用户提供更为廉价的、可靠的网络安全事故解决方案，对于高重复性、低复杂程度的安全事件解决有着较好的成效。

四、基于人工智能为技术背景的态势感知分析框架

以人工智能和大数据技术为背景的网络安全态势感知分析框架构建起三个层面的平台，包括网络安全多元感知、制定评估体系和网络安全态势评估，其框架结构如下图所示：

网络安全态势感知结构图

（一）网络安全多元感知

从网络安全防御采集各类网络安全威胁情报信息，包括网络流量、系统安全审计、安全防护监测、安全工作日志等数据，进行统一汇总存储，形成安全态势数据库，从而便于开展数据分析。并在数据分析的过程中，借助Flink等流式计算引擎，运用动态基线、机器学习和深度学习的方法进行异常行为分析。

（二）制定网络安全评估体系

针对网络制定安全规则和安全模型，通过特定的分析算法，深度挖掘并分析数据库中的安全数据，并基于大数据进行不断的学习深化，学习不同的成熟分析模型的优势，如Endsley模型、OODA循环对抗模型和JDL数据融合模型等，结合数据分析思维，以全局意识去动态扩展评估体系，这样才能保证后续网络安全态势评估结果的科学性和准确度，才能对不同的评估结果进行后续的发展趋势的预测与支持。

（三）网络安全态势评估

利用大数据分析大量的网络安全相关数据，对于可能存在的网络安全风险进行分析评估，最终对于大概率可能出现的网络攻击进行预先防范。

五、态势分析中的人工智能基础算法

（一）分类算法

分类算法是对数据集进行分类识别的重要基础算法，也是网络安全态势数据分析的基础算法。包括朴素贝叶斯方法、基于质心的分类器算法和KNN算法等。

（二）态势预测算法

态势预测的定义是结合网络安全的动态数据和相关历史资料，结合人工智能的算法以及相关经验去对未来的网络安全变化趋势进行科学的推测。网络态势预测作为网络信息安全管理的最高表现形式，主要采用了包括灰色理论预测、深度学习预测和时间序列预测等方法，能够对于网络安全态势进行准确的预测，让网络安全管理从过去的被动管理可以转变为主动管理，能够更为积极主动地对潜在的网络安全问题主动开展防御措施，尤其是在面对一些大型网络安全攻击的时候，更能避免被动管理造成的损失，让网络安全防御能够更为积极主动地介入网络设备和安全设备的安全策略中。

（三）特征选择算法

特征选择主要指的是对大量的特征进行筛选，最终得到有效特征的方法，特征选择算法广泛应用于文本数据处理等领域，也是近年来机器学习等领域研究的热点［5］。

结语

人工智能是未来人类科技的重要发展方向，也是网络安全态势感知的发展方向之一，因此随着人工智能的发展，网络安全态势感知技术也将迎来变革，相信在不久的将来，网络安全态势感知一定能随着人工智能算法应用的突破，迎来划时代的进步。

参考文献：

［1］周金全，朱世伟，张建平.基于大数据和人工智能的网络安全态势分析方法研究［J］.中国新通信，2022，24（11）：111113.

［2］张坤元.电信网络安全态势分析评估系统的研究与设计［D］.南昌大学，2020.

［3］欧战祥，邓路华，陈金源.浅析网络安全态势感知与防范技术［J］.湘南学院学报，2023，44（05）：2731.

［4］谢志奇.基于大数据分析的网络安全态势感知系统设计与应用［J］.网络安全和信息化，2023（10）：115118.

［5］胡庆伟.对基于人工智能的信息网络安全态势感知技术分析［J］.网络安全技术与应用，2020（05）：149150.

作者简介：瞿斌（1981— ），男，汉族，安徽合肥人，硕士研究生，工程师，研究方向：电子信息工程、人工智能、光学工程。