一种基于人工智能的网络安全智能化运维技术解决方案

摘要：随着网络技术的飞速发展，尤其是移动网络各类新通信网络技术的快速迭代，网络安全运维的重要性日益凸显。人工智能作为一种新兴的信息技术，在网络安全运维应用方面具有独特的优势，可大大提高安全运维的效率和准确性，降低安全风险和损失，实现更好的网络安全防护效果。文章提出了一种基于人工智能的网络安全智能化运维技术解决方案，以实现自动化检测和防御、身份识别与认证、安全事件响应、智能监控和日志分析等。

关键词：网络安全；运维；人工智能；机器学习

中图分类号：TP3 文献标识码：A

文章编号：1009-3044（2024）05-0074-03

1 简介

当前，网络应用范围不断扩大，网络安全问题也日益突出。传统的网络安全运维技术开始面临较大局限性，恶意软件越来越能够适应线性的传统安全解决方案，网络安全需要一种更为智能的威胁检测、应对及解决方法。网络安全专家也一直致力于研究人工智能技术在网络安全智能化运维中的应用。随着云计算、大数据和人工智能技术的应用，以机器学习为代表的人工智能，可以极大地帮助检测越来越难以识别和隔离的恶意软件。机器学习不仅能够了解恶意软件的外部特征和攻击行为，还能够了解其演变方式。此外，人工智能系统不仅可以协助检测恶意软件及行为，还可以采取主动措施进行漏洞补救，并对事件和威胁进行分类，从而使网络安全运维人员从大量重复性劳动中解放出来[1]。本文提出了一种基于人工智能的网络安全智能化运维技术解决方案，以实现自动化检测和防御、身份识别与认证、安全事件响应、智能监控和日志分析等。

2 机器学习

机器学习是利用计算机从数据中自动地学习出一些规律或者模式，并利用这些规律或模式进行预测、分类或聚类等任务。机器学习的目标是使计算机能够从经验中不断改善其性能，而不需要进行明确的编程。机器学习可以分为多种类型，其中最常见的是监督学习、无监督学习。在监督学习中，提供带有标签的训练数据给模型，模型通过学习这些数据中的规律或模式来做出预测或分类。在无监督学习中，提供没有标签的训练数据给模型，让模型自己从数据中发现有用的结构和模式。机器学习的过程通常包括数据收集、特征提取、模型训练和评估等步骤。在模型训练过程中，通常使用优化算法来找到能够最好地拟合训练数据的模型参数。机器学习在网络安全运维的应用如图1所示[2]。

2.1 监督学习

监督学习是一种机器学习的方法，其特点是使用带有标签的训练数据来训练模型。在监督学习中，输入数据（特征）和对应的标签一起用于训练模型，以便模型能够学习如何将输入映射到相应的输出或结果。一旦模型训练完成，就可以对新数据进行预测或分类，根据其特征预测出相应的标签或类别。在监督学习中，输入特征和输出结果之间的关系是通过学习算法来学习的。这些学习算法试图找到最佳的映射函数，以最小化预测结果与实际结果之间的差异或损失。常见的监督学习算法包括线性回归、逻辑回归、支持向量机（SVM）、决策树、随机森林、神经网络等。

在监督学习中，计算机学习一个函数，该函数可以根据样本数据将某些输入映射到输出，这些样本数据提供了来自现实场景的映射示例。一般来说，算法可以从样本数据中推断出一个函数，创建一个将输入（x）映射到输出（Y）的函数，形式为Y=f（x）。当函数足够精确时，便能够从新的输入中准确地计算出新的输出。监督学习所涉及的对象可以分为两大类：分类问题和回归问题。分类问题是指函数的输出是一个类别，例如主机的在线、离线状态等。而回归问题的函数输出是一个数值，如主机CPU使用率等。在监督学习中，选择合适的算法和数据集非常重要。算法的选择应该基于问题的性质和数据的特点，例如，对于分类问题，常见的算法包括决策树、支持向量机（SVM）、朴素贝叶斯和逻辑回归等。而对于回归问题，常用的算法有线性回归、多项式回归和决策树回归等。除了选择合适的算法外，数据的准备和预处理也是非常重要的步骤，包括数据的清洗、特征选择、特征提取和数据的标准化等。数据的清洗可以去除噪声和异常值，提高模型的准确性。特征选择和特征提取可以帮助找到与输出变量最相关的输入变量，从而提高模型的性能。数据的标准化可以消除不同特征之间的量纲差异，使算法更容易学习和优化[3]。

2.2 无监督学习

无监督学习，即没有为机器学习算法提供标记样本数据。在这种情况下，计算机从数据中学习底层结构，并最终推断出适当的输出。无监督学习更加主观，在没有专业知识来理解它们并了解哪些模式真正有用的情况下，获得的模式通常没有意义。一些应用于网络安全的技术包括：聚类、关联规则学习和降维。聚类技术试图将相似的对象分组，可用于发现在某个主机中是否存在异常网络流量，是否有大量或错误登录事件，用户是否访问了通常不会访问的数据、是否在正常工作时间外工作、是否连接了异常位置等。关联规则学习技术可以发现大型数据库中元素之间的关系及其规则。降维技术对于网络安全而言用处较大，其背后的整体思路是找到一种方法来减少可能适用于解决某个问题的数据集中的特征数量。一般来说，特征是一组数据中不同元素的特定属性。以网络流量捕获为例，在特定情形下，可能有多个特征：源IP、目的IP、协议、端口、有效载荷、MAC地址、TTL、路由等。如果仅对捕获数据的所有特征进行实时处理分析，则可能对解决特定安全问题在计算上无效。而机器算法能够学习如何将相关特征的数量减少到几个（特征选择技术），或者将它们分组到更易于管理的集合（特征提取）中，这样问题将迎刃而解[4]。

3 基于人工智能技术的网络安全运维

3.1 网络安全管理与运维

网络安全管理与运维是指，为保护网络系统免受各种网络威胁和攻击的影响，通过制定和执行一系列的安全策略、规范和措施，对计算机网络进行安全管理和运维工作，主要包括以下几个方面。

1）网络安全运维的核心工作：对计算机网络进行日常的安全运维，包括安全扫描、渗透测试、安全工具和系统研发以及安全事件应急处理等，以及常见的Web服务器（如Apache、Nginx、Tomcat、Weblogic等）的安装、配置、基线检查和系统加固等。

2）建立完善的安全策略和规范，明确网络安全的目标和要求。

3）进行网络安全风险评估和漏洞扫描，及时发现和修复网络系统中的安全漏洞。

4）建立网络安全事件响应机制，及时应对和处理网络安全事件，减少损失[5]。

3.2 人工智能在网络安全运维中的应用

人工智能在网络安全运维中的应用可以大大提高安全运维的效率和准确性，降低安全风险和损失，实现更好的网络安全防护效果。人工智能在网络安全运维中的应用主要包括以下四个方面：自动化检测和防御、身份识别与认证、安全事件响应和智能监控和日志分析。

3.2.1自动化检测和防御

人工智能可以通过机器学习和深度学习技术，从大量数据中学习和识别模式，发现隐藏的关联性和异常行为，快速适应新的威胁，并提供实时的响应和防御。这有助于提高网络安全运维的效率和准确性，减少人工操作的错误和疏漏。

以定期检测IP地址冲突为例，运用人工智能技术可以提高网络的安全性和稳定性。首先，可以基于机器学习进行IP地址冲突检测，利用机器学习算法对网络流量和日志进行分析，建立模型，通过学习正常行为模式和识别异常模式来检测IP地址冲突。其次，可以更进一步基于深度学习进行IP地址冲突检测，利用深度学习技术对网络流量进行建模和分析，以识别出异常的IP地址冲突。深度学习技术可以处理复杂的模式和噪声，并提供更准确的检测结果。当然，深度学习方法需要大量的数据和计算资源进行训练和推理[5]。

无论采用何种方法，定期检测IP地址冲突都需要一定的资源和时间来进行开发和实施。在选择适合的方法时，需要考虑网络规模、安全性要求、数据可用性和成本等因素。同时，为了提高准确性和可靠性，可以将多种方法结合使用，以获得更好的检测效果。

3.2.2身份识别与认证

人工智能技术可以用于身份认证和访问控制，通过人脸识别、声纹识别、行为分析等技术，验证用户的身份信息，并限制其访问权限，确保只有经过授权的用户能够访问特定的系统、网络或数据。智能化网络身份识别与认证是网络安全运维的重要部分，其主要目的是确保网络中用户的身份真实、可靠，并能够验证用户对资源的访问权限。人工智能在网络身份识别与认证中的应用主要包括以下几个方面。

1）人脸识别：通过人脸识别技术，可以将个人的脸部特征与数据库中的信息进行比对，从而确定其身份。这项技术可以减少人工干预，提高安全性和效率。

2）声纹识别：每个人的声音都有独特的特征，声纹识别技术通过分析用户的语音特征来进行身份验证。这一技术不仅难以伪造，而且能够在用户日常的语音交流中实现验证，从而提升用户的体验和认证的安全性。

3）行为分析：基于人工智能的智能分析能力，可以对用户的行为数据进行分析和建模，识别异常行为或潜在的安全威胁。例如，如果系统检测到某个账户在短时间内进行了大量的登录尝试或异常交易，可能会触发警报。

4）多因子认证：结合了多种身份认证方式，如密码、动态口令、生物特征等，以提高认证的安全性。通过人工智能技术，可以综合多种方式的优点，弥补不同身份认证方式的短板[6]。

3.2.3安全事件响应

网络安全面临的主要挑战之一在于攻击的形式和传播途径经常发生变化。当出现新型攻击或恶意软件时，传统系统无法检测和识别这些行为，因为没有既定的规则或先前模式可供匹配。一个典型的例子便是零日攻击，即攻击者利用某些尚未被发觉或修补的漏洞来实施攻击。传统应对方法是在恶意软件执行之前予以阻止，将代码模式与已知签名进行匹配。然而，一旦未能及时阻止，恶意软件执行后便很难停止，通常无法补救。

而人工智能可以在网络安全事件发生时，自动感知、预警和响应，降低安全事件的影响范围和损失。机器学习算法可实时识别恶意软件攻击，并结合人工智能辅助决策、机器和网络隔离技术，在毫秒内隔离受感染的计算机或整个网络段，从而阻止恶意代码传播。通过智能响应功能，一旦发现某个病毒或木马侵入网络，系统可以根据实际影响范围进行智能度量，启动相应的杀毒或隔离措施，降低网络的负载和损失。由于无监督机器学习学习不基于已知的数据集、规则或模型，允许计算机自学正常和异常行为模式，通过实时检测来捕捉网络攻击乃至未知威胁。例如，在面对例如勒索软件时，因其运作方式、使用的载体甚至加密技术不断变化，大多数传统反病毒解决方案往往无能为力，而无监督学习技术应用方案会明显优于传统杀毒软件。

在安全事件响应中，尽管无监督学习与监督学习相比有其特殊优势，但无监督学习仍然高度依赖于专业知识来理解数据。因此，人工智能的未来方向将是继续探索无监督学习的发展，并尽力消除对人类互动的需要。一方面，探索能够理解其操作环境的算法非常重要，即理解DNS服务器产生的流量是因为它是DNS服务器，而不是盲目构建一个“正常配置文件”，该文件会像与另一个DNS服务器联合委派区域一样，将正常流量标记为恶意流量。换句话说，算法需要进化，以理解为什么特定行为背后有特定模式，而不是盲目地学习和假设。另一方面，构建能够提供专业知识的算法也不失为一条途径，该算法可摆脱人为识别，例如SOM或聚类技术发现的模式。也可以利用贝叶斯信念网络（BN）来创建专家系统，BN也称为因果概率网络，是一种根据概率表示不同事件之间关系的方法。

在部分领域，例如基于网络流量的攻击检测，直接应用于入侵检测系统（IDS）和入侵防御系统（IPS），缺乏样本数据会直接影响检测效果。因此，应使用含恶意软件文件的庞大数据库使深度训练算法，提高准确检测并减少假阳性或假阴性的数量。例如，可使用递归神经网络（RNN）将用户生成的DNS记录与由恶意软件自动生成的记录进行分离。由于恶意名称的数量不断增长、变化和演变，传统基于签名的黑名单技术往往用处不大，而通过RNN进行语言分析则更精准地识别[6]。