1542                                     Journal of Software  软件学报 Vol.32, No.5,  May 2021

                 可信、可靠以及隐私保护的数据处理技术体系,是保障机器学习模型安全的基石.可信数据作为可靠的数据来
                 源,可以使防御模型的预测更加精准;反之,利用可信数据与隐私保护也能够减弱智能攻击模型的数据来源的可
                 靠性,从而降低其攻击效率.因此,对社交网络、主机日志等隐私数据的保护也是应对智能攻击的根本途径之一.
                    目前,数据可信处理与隐私保护的第 1 个挑战是:如何有效增强机器学习模型训练数据的质量,以保证数据
                 的可靠性和安全性      [77] .在智能攻击中,主要体现在:对于 AI 模型的对抗攻击中,攻击者通常人为制造噪声,改变数
                 据分布,或是生成恶意的对抗样本,即“投毒攻击”,干扰模型的分类过程.未来研究中,需要建立一定的数据评估
                 体系,同时采用重复消除、缺失处理、逻辑错误检测等方式增强数据质量,提高数据可靠性.
                    另一个挑战是如何突破敏感数据隐私化处理技术,以保证训练数据隐私甚至是训练模型机密性.在智能攻
                 击中,主要体现在智能 APT 攻击、恶意软件逃逸等,攻击者通过对社交网络、主机日志等隐私数据的入侵,进而
                 利用这些数据训练攻击模型,根据用户习惯、系统漏洞发起针对性的攻击.因此,如何增强隐私数据传输安全性,
                 建立完善的数据隐私性保护体系,也将成为智能攻击预测研究发展的重要趋势.
                 4.3   基于AI技术的扩展和应用
                    智能攻击基于人工智能技术,而从人工智能技术本身入手,使用 AI 技术来防御 AI 攻击,也是最有效的方式
                 之一.从第 3 节的对比分析中可以看出,Tiresias         [33] ,BRNN-LSTM [57] ,ALEAP [58] 等基于神经网络的预测方法逐渐
                 成为主流的研究趋势.神经网络对非线性时间序列数据具有很强的逼近和拟合能力,并具有自学习能力、中短
                 期预测精度较高以及半监督或无监督等优点.但基于神经网络的预测算法仍存在一定的局限,如普遍的泛化能
                 力弱、易陷入局部极小值等问题.目前,应用广泛、表现较好的仍是对序列的非线性特征学习具有优势的循环
                 神经网络.
                    此外,数据深层的隐藏特征和内部模式更能代表攻击行为之间的逻辑关联以及攻击者复杂的攻击意图,通
                 过利用数据挖掘和机器学习算法对这些特征的挖掘和分析,分析智能攻击行为规律,能够更加精准和有效地判
                 断攻击者意图,进而预测未来攻击行为.如第 2.4 节所述的 Hernández 等人                [45] 的情感分析方法、Lim 等人      [47] 和
                 Vaishnavi 等人 [67] 的相似性序列比对、以及 Zamani 等人    [69] 构建推荐系统来预测智能攻击行为,均取得了显著的
                 成效.
                    因此,未来的研究中,除了基于应用较为广泛的 SVM,LSTM 等模型进行扩展的同时,可以采用更多的神经
                 网络进行尝试,以及利用多个分类器系统的方式增加规避难度,优化特征选择来制作特征平均分配等;同时,在
                 智能攻击行为的预测中进行数据挖掘和其他机器学习算法的进一步改进和在实践中的利用,也将成为提升预
                 测能力关键方法,例如对网络数据和警报从批处理到流数据处理的过渡、在协作环境(协作入侵检测系统或警
                 报共享平台)中对攻击预测的研究等.
                 4.4   对抗环境与攻防博弈
                    智能攻击一般为动态攻击,会随着数据训练不断演化和趋于自动化、智能化.然而,目前很多防御性方法均
                 是基于强假设的被动静态经验性防御,即使是基于 AI 技术的预测模型,也是由历史攻击数据训练而来,不能保
                 证完全覆盖未来发生的智能攻击特征;并且在实际应用场景中,这些假设条件很难满足,通常攻击者和防御者之
                 间的模型内部结构信息均是未知,多数情况下只能执行黑盒测试.
                    对抗防御与攻防博弈是一种多维度、持续性防御过程,是在网络安全的任务层和战略层的防御策略,从对
                 智能攻击行为的预测,已经体现出主动防御和对抗防御的特点,而依赖静态经验的被动防御已经完全不能适应
                 不断学习、动态演化的智能攻击.因此,在面向动态、对抗的攻防博弈环境下,如何能够预测复杂的攻击者意图,
                 建立动态自适应的防御体系,将成为未来研究的重要方向;基于博弈论或者概率模型推理攻击策略,也将成为未
                 来重点的研究对象.

                 5    总   结

                    基于 AI 技术的智能攻击对网络通信、智能设备、社交媒体等不同领域进行入侵,对网络安全、政府办公、