基于生成式人工智能的网络安全主动防御技术（下）

前言

随着计算机网络技术发展越来越快，在应用过程中网络安全问题也逐渐突出[1]。网络间攻击、防御斗争也不断被重视，发展计算机网络安全防护技术变得尤为重要[2]。为有效抵御外部攻击，确保网络安全，研究者们致力于研究各种网络安全模型，以期解决网络安全问题[3-5]。当前，于动态网络安全而言，单一的网络安全技术以及传统静态网络安全模型已不能满足管理需要[6]。

虽然网络入侵检测技术具有实时入侵检测和提供相应防护手段的重要作用，对传统网络安全防御技术的不足之处能够予以相应的弥补，但是从其功能来看仍有一定局限性，不能有效控制攻击，甚至自身遭受攻击的可能性较高。对于日渐复杂的攻击方式和手段，急需一种主动的网络安全动态防御模型[7]。因此，本文基于生成式策略-保护-检测-响应（Policy-Protection-Detection-Response，PPDR）安全模型，对人工智能的网络安全主动防御技术进行了研究。

3 模型的控制流程

3.1 网络漏洞扫描流程

网络漏洞扫描技术呈现出良好的发展态势，目前已经形成资源和主机探测、远程操作系统探测、服务探测等多项较为成熟的技术，在本次研究所涉及的模型中，对于系统各个端口所进行的扫描是利用TCP connect技术实现的，关于TCP连接过程如图5所示。

扫描操作完成之后，在此基础上，提出了一种新的面向网络的网络攻击方法。端口扫描流程如图6所示。

3.2 防护监控流程

图7为防护监控流程，结合数据包类型进行特征数据库的构建，在对攻击进行检测的过程中，该模型将状态转换推理方法应用其中，在对攻击检测状态图进行分析时，将其与不同的攻击模式有机结合后得出相应结论，即以当前系统特征信息为依据对于攻击行为的发生情况作出判断。如果能够通过检测获取攻击行为则将相关信息纳入攻击事件库，根据包的不同类型进行不同攻击事件库的构建。规则生成器在所构建的攻击事件库中对数据进行相应操作，使其以一般规则的形式出现，进而获取规则库。该方法综合了数据包源IP、目的IP、协议类型等流向信息，并通过规则产生器来实现相关的规则设定。根据相应的防火墙，将规则库中的数据作为源，通过规则转换器生成相应规则，并在防火墙中添加，实现检测、防护安全闭环，有效防御攻击。

3.3 诱骗流程

以攻击习性和行为资料库为基础，对攻击者的利用端口进行了深度探索，并建立了积极的欺骗服务器，即“蜜罐”设置，此类端口状态均属于开放模式，对攻击者具有较大的吸引力，使其对服务器发起攻击活动，而真正的服务器处于严密保护状态。在对常见的端口扫描方法进行深入研究的基础上，实现对真实的服务器检测数据包的有效拦截。图8为诱骗流程。

4 未知攻击主动发现算法

本文采用开集分类网络（Open-set Classification Network，OCN）实现未知攻击检测、入侵检测。OCN使用最近邻类均值（Nearenst Class Mean，NCM）分类器代替Softmax分类器，设计最大均值差异（Maximum Mean Discrepancy，MMD）损失、Fisher损失联合优化网络，提高未知攻击检测性能。在检测未知攻击方面，OCN优于基于机器学习的基线方法[10]。OCN模型检测到未知类样本可能包含多种未知网络攻击类型，因此提出基于嵌入聚类的未知攻击主动发现算法，该方法将OCN模型检测到的未知实例嵌入聚类，主动发现隐藏的未知攻击OCN，并将学习到的输入特征给其对应类映射，对应类为正常类型或攻击类型，学习到的特征表示可进行嵌入空间的构建。在嵌入空间中有聚类结构存在，已知类实例类间特征、类内特征可迁移到未知类实例类间特征、类内特征，实现主动发现未知攻击。

基于密度的抗噪聚类方法（Density-Based Spatial Clustering of Applications with Noise，DBSCAN）是一种以浓度为基础的分簇方法，其初始值和最小参数的设定会对分簇有很大影响，因此需要对Eps和最小Pts进行合理的设定。在此基础上，提出了一种新的基于距离的K均值（K-Means）方法，通过对已有的数据集进行聚类和分割，从而实现了对网络攻击的有效检测。通过K-Means聚类方法获得参数Eps和Minpts。在具体的实施过程中，首先要对数据进行归一化，DBSCAN算法也是如此。对于某一对象x测度，其特征值规格化的过程包括以下几点。首先，执行均值绝对错误Sf的运算，如式（1）所示：

其次进行标准化的度量值xfi的计算，具体如下所示：

xfi=yfi-mf/Sf，i=1，2，…，n（2）

其中，对于第i个物体，其第f个属性的数值是xfi，这样就可以把原始的资料转化为一个规范的空间。

利用均值偏差之和作为评判标准函数，并将其定义为：

其中，每个目标在数据库中均方误差之和是E；簇ci中的资料物体的平均重量是mi，x和mi都是多维的；簇ci的数量由要划分的类别数量K决定。

各物体与集群的中央之间的距离是欧几里得距离，详细描述为：

K-Means方法在N个样本库中，根据样本的数量K和样本的均值，生成K个聚类，使得K个样本集的均方错误函数最小。因此，K-Means方法是一个连续的迭代过程，其聚类结果受到初始簇中心位置的影响，选取合适的初始簇中心可以得到更好的聚类效果。

基于嵌入聚类的未知攻击主动发现算法，将OCN检测到的未知攻击样本嵌入表示Z=｛f（xi）|y^i=m+1｝输入，将未知攻击类型数量N，未知攻击聚类质心c"=｛c"p|∀p=1，2，…，N｝输出；在嵌入表示Z上，采用DBSCAN算法将最优聚类数量K返回；在嵌入表示Z上，通过K-Means算法对对应聚类结果进行确定，包括聚类质心集合μ=μ1，μ2，…，μK；然后将未知攻击类型数量N=K及攻击聚类质心c"=μ返回。在聚类未知实例嵌入前及进行隐藏聚类识别前，进行最优簇数的确定。采用基于密度聚类方法进行最优簇数的寻找。在发现任意形状簇时，DBSCAN性能良好，只需将两个参数Eps、MinPts输入，可将估计的簇数返回。先测试已知数据嵌入作为验证数据，对Eps、MinPts最优值确定。然后应用DBSCAN检测OCN的未知实例嵌入，将簇数K输出，并作为未知攻击类别数量。使用簇数K、K-Means聚类在未知数据嵌入上进行未知攻击隐藏簇的识别。

5 模型的实现

该模型是在多项网络安全技术共同作用下实现的，为了使网络安全性能达到最优状态，采取了构建动态、联动多层防御体系的操作方法。以正在发生的和已经发生的网络攻击以及本地网安全性作为依据，该安全体系在经过分析后制定出相应的安全系统图，对于多种防御措施予以综合运用，提高防护的有效性，在不同系统之间形成既独立又互动的特殊关系。图9为动态网络安全解决方案。

防火墙因其具备较大的功能性而承担着第一道防线的重任，可有效阻止来自网络外部入侵与攻击。网络安全域间和网络信息的唯一出入口是防火墙，以网络安全策略为依据进一步对网络信息的流动予以把控，使其表现出强大的抗攻击能力。防火墙对网络陷阱、入侵检测等系统反馈信息进行反应。

入侵诱骗和入侵检测两大系统作为动态安全防护技术而成为第二道防线。入侵检测的功能主要是对主机和网络系统进行主动查找，进而获取入侵信息并发出警报，避免受到来自外部和内部的攻击以及操作失误，对于入侵实施有效抵御，使系统免受危害。在检测到网络入侵行为后，会及时通知其他防护系统。

对于受到可疑攻击的服务器，由陷阱机对其进行状态模拟，与此同时对攻击行为实施有效监控，由入侵检测系统发出通知响应，并对系统相关数据进行恢复以及备份，对外发出报警。漏洞扫描系统作为第三道防线，其主要任务是定期扫描检测系统，同时对于所发现的系统漏洞进行及时填补，在漏洞扫描技术的作用下可以及时发现在各个环节中出现的安全漏洞。响应与恢复系统作为第四道防线，在发现网络攻击时如果能够迅速作出响应，则可以使损失降到最低，响应在综合利用各项技术后可以有效阻止网络攻击并对攻击者信息进行确定，并以此作为第五道网络反攻击防线的重要依据。

6 应用实例

网络安全动态防御模型的运行建立于安全需求、网络情况的条件上。内外部网络的本地网络主动防御应用实例如图10所示。由图10可知，网络安全主动防御系统并非是对所有技术的应用，而是在这些手段的作用下实现纵深防御，其重点是对于不同的网络攻击者采取针对性的防御措施。

总结

本文基于生成式PPDR安全模型，对人工智能的网络安全主动防御技术进行了研究。网络安全动态防御模型体系结构包括预警、保护、监测、响应、恢复、反击，并在硬件、软件、网络设备的共同作用下构建出不同的功能模块。该体系结构较为复杂，涵盖了入侵检测、管理控制、入侵诱骗、重定向等不同的模块以及防火墙等内容。整个防护体系在依托诱骗系统、入侵检测系统、防火墙所进行的联动协同作用而发生较大的改变，实现了由静态向动态的转化，大幅度提升了防火墙的动机性，网络整体防护能力也达到较高水平。

此外，在发现有可疑攻击出现的情况下迅速作出反应，将其引入到受控“蜜网”之中并对其进行全方位的监测，以此作为构建新规则的依据。而对其他安全设备进行控制并使其分别完成对自身策略调整的权限是由控制中心掌握，在其作用下可以使工作网络防护处于主动地位。在网络安全动态防御体系结构中，技术手段贯彻纵深防御，针对网络攻击者给出相应防御措施是关键。