T-COSOCC 012-2024 信息技術應用創(chuàng)新 基于人工智能的入侵檢測產品技術要求

Informationtechnologyapplicationinnovation—TechnicalrequirementArtificialIntelligence-basedintrusiondetectionproI 2 2 2 4 4 4 5 56.4人工智能目標函數(shù) 6 66.6對抗性樣本 7 7 7 8 8 8 8 8 9 97.6可定制化適配 9 2 3 4本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定本文件起草單位：公安部第一研究所、云南省統(tǒng)計建模與數(shù)據(jù)分析重點實探索人工智能技術在網(wǎng)絡安全領域的應用，1信息技術應用創(chuàng)新基于人工智能的入侵檢測產品技術要求GA/T1539信息安全技術網(wǎng)絡病毒監(jiān)控系統(tǒng)安全技術要求和測試評價GB/T25069、GB/T37090、GA/T403.1、GA/T403.2、GA/3.1故意編制或設置的、對網(wǎng)絡或系統(tǒng)會產生威脅或潛在威脅的3.2對于給定的數(shù)據(jù)集，正確分類的樣本數(shù)占總樣本數(shù)的比3.3對抗性樣本adversarialexa在數(shù)據(jù)集中通過故意添加細微的干擾所形成輸入樣本，受干擾之后的輸入導致模型以高置信度給3.4用于監(jiān)測計算機網(wǎng)絡和系統(tǒng)中潛在安全威脅和異常活動的安全工具，檢測可能表明惡意攻擊或未經授權的訪問嘗試的跡象，并向安全管理員或系統(tǒng)管理員4縮略語25.1.1概述基于網(wǎng)絡流量檢測原理和端點檢測原理的人工智能入侵檢測產品的分類該網(wǎng)絡段上發(fā)生的網(wǎng)絡入侵，并可以對傳輸日志記錄的網(wǎng)絡通信相關信息進一步分在每個要保護的終端設備上運行一個代理程序以檢測入侵，通過監(jiān)測和分析終端設備上的操作系5.2.1概述基于人工智能的IDS可以利用機器學習、深度學習、大模型算法對網(wǎng)絡流量、系統(tǒng)日志和其他相關a)機器學習是讓機器模擬人類的學習、思維、分析、判斷的一種人工智能的深度學習算法；c)大模型是擁有大量參數(shù)和更大容量的機器學習或深度學習模型。3在IDS中，機器學習算法被用來訓練模型，自動提取和篩選有效的攻擊特征，以解決傳統(tǒng)方法中需研究的進步，基于監(jiān)督和無監(jiān)督機器學習的方法均在入侵檢測領域有廣泛的研究。人工智能應用于IDS5.2.3.1基于數(shù)據(jù)包檢測的人工智能應用45.2.3.2基于行為檢測的人工智能應用5.2.4基于端點檢測的人工智能應用5.2.4.1基于主機檢測的人工智能應用5.2.4.2基于終端檢測的人工智能應用5.3評測環(huán)境人工智能入侵檢測產品的評測環(huán)境見圖3，是用于測試和評估該系統(tǒng)在檢測和防御網(wǎng)絡入侵方面的洞和暴露（CVE）、中國國家信息安全漏洞庫（國產化主機環(huán)境國產化終端IDS評測方被測對象56.2入侵檢測能力6.3人工智能方法的正確性人工智能入侵檢測應保證方法的正確性，確保其在實際應用中能夠有效地識別和防御各類入侵行6a)實驗驗證：通過在實際環(huán)境下的測試和驗證，評估對已知入侵行c)獨立評估：通過獨立的第三方機構或專家對方法進行評估，驗證其有效性和可靠性。6,4人工智能目標函數(shù)人工智能入侵檢測的目標函數(shù)旨在衡量模型對于檢測網(wǎng)絡中的入侵行為的性能和準確度。目標函為正常流量。目標函數(shù)應盡可能降低假陽性和假陰性的數(shù)量，以提高模型的準確性和目標函數(shù)可以要求模型輸出針對每個樣本的置信度或概率值，以表示模型對于該樣本為惡意入侵要求產品可以通過調整目標函數(shù)的置信度閾值來調整決入侵檢測模型應具備一定程度的對抗性樣本魯棒性，即對于經過修改或攻擊的輸入樣本仍能保持訓練數(shù)據(jù)的多樣性和充分性對于模型的泛化能力和魯棒性至關重要。目標函數(shù)要求模型在訓練過程中能夠充分利用不同類型、不同來源的訓練數(shù)據(jù)，以覆蓋不同的入侵行為和網(wǎng)絡環(huán)境。7由于入侵行為不斷演變和新型攻擊的出現(xiàn)，入侵檢測領域的訓練數(shù)據(jù)集應具備一定的實時性和在線學習能力，及時反映最新的入侵行為和攻擊模式，能夠6.6對抗性樣本a)白盒方式生成的樣本：指目標模型已知的情況下，利用梯度下降等方式生成對抗性樣本。c)指定目標生成的樣本：指利用已有數(shù)據(jù)集中的樣本，通過指6.7環(huán)境數(shù)據(jù)a)干擾數(shù)據(jù)：指由于環(huán)境的復雜性所產生的非預期的真實數(shù)據(jù)，用中，數(shù)據(jù)集分布可能發(fā)生遷移，即真實數(shù)據(jù)集分布與訓練數(shù)據(jù)集分布之間存在差等。通過分析異常行為數(shù)據(jù)，可以識別和檢測惡意活動和g)主機日志數(shù)據(jù)：包括操作系統(tǒng)日志、應用h)安全事件數(shù)據(jù)：包括已知的安全事件記錄、惡意代碼6.8功能要求應能實時監(jiān)測網(wǎng)絡流量和主機行為，及時發(fā)現(xiàn)潛在的入侵8應能分析和評估威脅情報，及時更新入侵檢測規(guī)則和應能根據(jù)相應威脅告警采取相應的防御措施，包6.9性能指標系統(tǒng)誤報入侵行為的比率應盡