Page 306 - 《软件学报》2021年第5期
P. 306
1530 Journal of Software 软件学报 Vol.32, No.5, May 2021
1.2 行为预测
行为预测是指对目标对象行为的未来状态或未知状况的预计和推测,具体的讲,根据已发生或出现的历史
信息、主观经验和教训作为先验知识,经过特定理论、公式等的推导和分析,对不确定或未知的事件做出定量
或定性的表述,同时寻求出行为的事件发生规律,为之后的决策和规划提供支持 [29] .
预测的目标、对象、期限和内容通常是差异性的,因此形成了多种分类和方法,例如定性、定量以及定性
和定量相结合的分类,时间序列、贝叶斯网络(Bayesian network)、灰色理论等方法.目前,主流、应用广泛的预
测方法是对目标研究对象产生的相关数据进行收集和整理,利用机器学习、数据挖掘等方法进行分析和学习,
构建对应的预测模型,进而基于模型对行为的未来事件进行预测和推理,做出对应的决策措施.
1.2.1 问题域
网络安全具有复杂的体系,内部可以分为执行层、感知层以及任务层和战略层.目前,AI 技术已经在执行层
和感知层有广泛的应用,例如在执行层上面实用化,显著提升规则化安全工作的效率,弥补专业人员人手的不
足;在感知层面,把原本依赖于人(不可靠)的安全体系标准化,实现大规模的推广,包括人脸识别和图像识别等,但
在任务层和战略层开始摸索,仍处于初期的阶段.
然而,智能攻击以自动化方式提升复杂攻击的速度与效率,同时尽可能地将攻击目标的环境融入到攻击中,
利用 AI 技术使恶意软件获取对上下文环境的理解,然后通过学习被感染系统的环境信息,调整其攻击行为以融
入到目标环境中.例如,智能恶意软件不会去猜测环境中主要使用的是 Windows 系统还是 Linux 系统,也不会去
猜测使用 Twitter 或 Instagram 作为 C2 通信信道,而是直接学习和理解目标网络中的通信,并融入到攻击活动或
攻击模型中.
因此,事实上,人工智能和机器学习已经被防御者用来寻找非基于签名而是基于行为的恶意软件,即在任务
层和战略层利用行为分析和行为预测等基于“行为”的方法进行反制.例如,通过查找异常的用户活动来识别被
劫持的账户,并自动发现系统和应用程序的异常流量;通过监控系统和人类行为,以检测潜在的恶意偏离,或基
于现有的模式预测新的威胁和恶意软件,提前做出针对性的防御措施等.
通常,对智能攻击行为的检测是反应性的,并只对特定模式或观察到的异常有响应;而预测则主动、先行推
断即将发生的恶意事件,在该事件造成任何损害之前对其做出反应,使系统可以做出针对性的防御措施,从而有
效提高系统安全性.攻击行为预测方面的研究工作和进展并不像攻击检测那样突出,但是正受到越来越多的关
注,该领域的突破将使整个安全领域受益 [30] .
1.2.2 可行性分析
本节根据智能攻击行为的特性和现有方法的类型,从攻击行为的相关性、时间序列的自相似性和攻击意图
目的性这 3 个方面对智能攻击行为预测的可行性进行分析.
(1) 攻击行为的相关性
基于第 1.1 节的表述可以看出:大部分智能攻击均包含多个攻击行为或攻击事件,在目前阶段的网络和系
统安全防护机制下,独立单一的攻击行为往往难以成功实施;同时,智能攻击的多个攻击行为和事件之间存在一
定的逻辑、时间、顺序等关联性,例如,攻击者一个攻击行为成功实施与否,决定了该攻击下一步行为是否正常
进行,甚至未来所有的攻击步骤的发生.因此,作为防御者(预测人员),根据历史报警日志记录的攻击信息进行学
习和分析,建立算法模型,可以探索智能攻击的行为相关性以及发生规律,从而了解攻击的未来事件.
(2) 时间序列的自相似性
时间序列是指将同一统计指标的数值按其发生的时间排列而成的数列集合,而对时间序列分析的主要目
的是根据已有的历史数据对未来进行预测.由于安全系统或网络得预警日志通常也按时间顺序收集,进而可以
生成具有时序的报警序列,利用模型或理论归纳出报警的触发规律及趋势走向,并以此进行类推,可以预测未来
攻击的行为事件.
时间序列的可预测性可以通过自相似理论证明,自相似性是指在不同时间尺度上均具有一致统计特性的
随机过程,而衡量和验证自相似性的通用技术则是计算 Hurst 指数.孟锦等人 [31] 采用自相似理论表明了网络安