走向體系智能的網(wǎng)絡(luò)空間安全自動化研究

陳劍鋒， 陳天瑩

走向體系智能的網(wǎng)絡(luò)空間安全自動化研究

陳劍鋒1，2，3， 陳天瑩3

(1.保密通信重點實驗室，四川成都610041)
(2.中國電科網(wǎng)絡(luò)空間安全技術(shù)重點實驗室，四川成都610041)
(3.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川成都610041)

隨著網(wǎng)絡(luò)空間安全問題的不斷復(fù)雜深化，傳統(tǒng)信息安全機制手段無論是在應(yīng)對系統(tǒng)規(guī)模的非線性擴張或者人類的主觀化缺陷方面都缺乏有效的解決辦法，迫切需要革命性的機制手段來將人力從重復(fù)性、事務(wù)性、易出錯的信息安全工作中解放出來。在系統(tǒng)論、控制論和智能技術(shù)長足發(fā)展的促進下，安全防護管理由人工化向機器自動化、智能化的重心轉(zhuǎn)移是技術(shù)的趨勢也是歷史的必然。對網(wǎng)絡(luò)空間安全自動化的概念、原理、作用和局限性進行了介紹，對自動化與智能化的區(qū)別點和銜接關(guān)系給出了說明，提出了智能化用于安全的關(guān)鍵問題，前瞻了安全智能化融合帶來的廣闊應(yīng)用潛力。

網(wǎng)絡(luò)空間；信息安全；安全自動化；安全智能化

0　引言

近年來，隨著網(wǎng)絡(luò)空間規(guī)模的不斷拓展，以傳感器、控制器、存儲和計算單元為代表的節(jié)點同衍生的連接數(shù)呈現(xiàn)爆炸式增長，不斷深化的網(wǎng)絡(luò)復(fù)雜性削減了整體的可保障性。一個典型的企業(yè)網(wǎng)可能由成千上萬的服務(wù)器、終端和安全設(shè)備構(gòu)成，為了有效防御已知的威脅，即便是簡單的防火墻也有可能包含成百上千的規(guī)則、配置和參數(shù)，這些規(guī)則是“經(jīng)驗化”或“模式化”的，彼此之間互補而又可能存在沖突:對于富有經(jīng)驗的安全管理員而言，正確無誤的配置所有參數(shù)仍然是糾結(jié)而艱巨的任務(wù)。信息安全運維和管理成本呈指數(shù)級攀升。

與規(guī)?；瘞淼膯栴}并存的另一大信息安全挑戰(zhàn)是“人”的歸因。據(jù)IBM 2014年發(fā)布的賽博信息安全情報報告披露，上一年中95%的信息安全事件都與人為造成的疏忽或錯誤有關(guān)。通常用戶被認為是信息安全防護鏈上最薄弱的一環(huán)，因為在他們在知識受限、判斷失誤、漫不經(jīng)心或盲目樂觀的情況下極有可能錯誤使用了信息安全機制。報告稱，就算在安全領(lǐng)域投入再多資金，也難以防止工程師在配置防火墻時心不在焉，或者未給新安裝的服務(wù)器安裝所有必要的補丁[1]。經(jīng)驗證明，只要是人為的工作就會引入風(fēng)險，系統(tǒng)中的用戶是攻擊者的重要突破點。

傳統(tǒng)的信息安全機制手段無論是在應(yīng)對巨系統(tǒng)的復(fù)雜性或者人類的主觀化缺陷方面都缺乏有效的解決辦法，安全迫切需要通過技術(shù)革命帶來新的轉(zhuǎn)機。所幸，隨著信息化與工業(yè)化的持續(xù)融合，試圖模仿并超越人類智慧的智能產(chǎn)業(yè)蓬勃興起并很快成為現(xiàn)代科技創(chuàng)新的一個重要標志。21世紀以來，互聯(lián)網(wǎng)和大數(shù)據(jù)推動人工智能技術(shù)進入了新的春天，專用人工智能即面向特定領(lǐng)域的人工智能取得了突破性的進展。如何將智能化領(lǐng)域的前沿成果與網(wǎng)絡(luò)空間安全的構(gòu)建目標有機融合，著力提升其賦能和保障效果，是當(dāng)前安全產(chǎn)業(yè)潛力巨大但亟待解決的課題。

無論是自動化還是智能化，其設(shè)計目標都是通過利用自主感知、決策和控制的機制方法來代替人的體力、腦力勞動。以這種方式節(jié)省下來的精力投入、時間耗費可以通過注意力轉(zhuǎn)移的方式讓有限的人工資源聚焦到人腦更擅長的創(chuàng)造性、直觀性、靈感性工作中去。在網(wǎng)絡(luò)空間安全語境中，面向日趨復(fù)雜、不斷深化的入侵和威脅，防御者可以借助智能化方法，以安全知識為手段和工具，基于對資源分布、業(yè)務(wù)運行、攻擊狀態(tài)和防御力量的認知，依托大數(shù)據(jù)帶來的海量信息組織管理、深度分析和演化推理能力來高效調(diào)節(jié)網(wǎng)絡(luò)空間各類主體的狀態(tài)、配置和關(guān)系，填補網(wǎng)絡(luò)空間監(jiān)測、防御、治理與運維多類型問題的不斷深化復(fù)雜與解決方案實現(xiàn)水平的能力差距，達到網(wǎng)絡(luò)空間更有效開發(fā)、利用、掌控的戰(zhàn)略目標。

余下部分將首先介紹安全自動化的需求和現(xiàn)狀，如面臨的安全挑戰(zhàn)、自動化的觀點和局限性等；第三部分敘述了安全從自動化到智能化的轉(zhuǎn)變過程，涉及必然性、智能的體系特征和關(guān)鍵問題等；第四部分給出了安全智能化在推進過程中于標準化、應(yīng)用示范方面的一些進展；最后一部分總結(jié)全文。

1　安全自動化需求和現(xiàn)狀

1.1不斷增長的安全挑戰(zhàn)

云計算、大數(shù)據(jù)、量子通信及物聯(lián)網(wǎng)等新一代信息技術(shù)的高度集成和綜合運用重塑了網(wǎng)絡(luò)空間的面貌，傳統(tǒng)意義上相關(guān)性有限的傳感器、控制器、用戶和操作環(huán)境通過新的方式緊密連接在一起，使網(wǎng)絡(luò)空間走入萬物互聯(lián)時代。不斷增強的聯(lián)系帶來了系統(tǒng)的變化和重組，也帶來了信息化生產(chǎn)力的飛躍。

需要重視的是，這種泛在互聯(lián)也把攻擊者和利益目標聯(lián)結(jié)在了一起，攻擊者因而具備了“從傳感器到射手”的能力，能夠便捷地在任何時間、場所、針對任何目標發(fā)起猛烈攻擊。當(dāng)連接無處不在，數(shù)據(jù)無處不在時，攻擊無處不在也成為危險但無奈的現(xiàn)實[2]。

當(dāng)前，黑色產(chǎn)業(yè)鏈的合作和建設(shè)已經(jīng)形成了一定規(guī)模。網(wǎng)絡(luò)攻擊的組織形式越來越呈現(xiàn)出專業(yè)化和團隊化的趨勢，黑客們聯(lián)手出擊使攻擊手段更加多樣，高級持續(xù)性威脅(APT)的攻擊范圍已能涵蓋各種目標和領(lǐng)域。更為可怕的是，攻擊者看來比防御者更能靈活運用自動化技術(shù)，他們管理著數(shù)量龐大的漏洞和工具，類似目標對象掃描、攻擊載體生成、攻擊進程發(fā)起和攻擊效果評估等流程性工作都已經(jīng)能夠自動完成。在進行了自動化武裝后，攻擊者發(fā)起入侵的頻繁和破壞程度都得到了顯著提升，憑借高速傳輸、瞬發(fā)到達的信息網(wǎng)絡(luò)，惡意程序能夠?qū)ζ髽I(yè)、組織甚至國家進行“外科手術(shù)”式的猝發(fā)、精準打擊，網(wǎng)絡(luò)空間威脅從未如此嚴峻的展現(xiàn)在世人面前。

1.2安全自動化的原動力

安全自動化源于防御技術(shù)發(fā)展的迫切需求。首先，攻擊面增長得太快、太復(fù)雜。與現(xiàn)實世界中的軍事行動受物理、地理因素制約不同，網(wǎng)絡(luò)空間中自動化攻擊工具的出現(xiàn)能夠使得入侵幾乎不受限制地并行發(fā)起，這種網(wǎng)絡(luò)空間對抗以機器速度而非人工速度進行，如果防御方不大量采用自動化手段，就無法有效地及時遏制網(wǎng)絡(luò)威脅；其次是信息基礎(chǔ)設(shè)施的規(guī)?；?、虛擬化和軟件定義化為安全管理人員帶來了新的負荷，他們的精力被進一步分散，迫切需要通過構(gòu)建安全機制和流程，力圖在更少的時間、更少的人力參與下做更多的事情。

在自動化手段的幫助下，所有流程性的安全事務(wù)都將以最少人工干預(yù)的方式部署運行，安全人員僅參與計算機難以完成的任務(wù)。這種設(shè)計方法從整體上提升了防御的時效性，避免了人員的流程性錯誤，從而能夠改進安全防御組織和管理的效能。

1.3安全自動化的視角

安全自動化是一種活動，使用戶從繁瑣、易錯的信息安全配置與決策任務(wù)中解脫出來。安全自動化可以從層次、流程和組織三個角度等進行理解。

(1)層次角度的安全自動化(見圖1)

圖1　安全自動化的層次化視

如圖1所示，作為一種空間/尺度維的劃分，層次角度的安全自動化可以分為組件級、系統(tǒng)級和全局級三個規(guī)模遞進的層次。組件級的自動化是自動化的最小單元，著眼于在微觀/個體層面上確保安全功能的自我運行；系統(tǒng)級的自動化在中觀/局域?qū)用鎸崿F(xiàn)相較組件更高級別的自動機制；全局自動化在宏觀、整體層面上實現(xiàn)最高級安全任務(wù)的按需執(zhí)行，將網(wǎng)絡(luò)的所有資源和要素納入自動化范疇。例如在大型分布式企業(yè)信息系統(tǒng)中，部門網(wǎng)絡(luò)、地區(qū)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)自然地構(gòu)成了三個自動化層次。

(2)流程角度的安全自動化(見圖2)

圖2　安全自動化的流程化視圖

如圖2所示，流程角度的自動化作為一種時間/序列維的劃分，通過安全生命周期中監(jiān)測、防御、響應(yīng)和評估環(huán)節(jié)的分別自動化，實現(xiàn)功能間的自然銜接和閉環(huán)增效。例如，監(jiān)測為防御提供有關(guān)攻擊者和攻擊機制信息，防御為響應(yīng)提供防護狀態(tài)和受損程度信息，響應(yīng)為評估提供修復(fù)目標和任務(wù)進度信息，評估又反過來為監(jiān)測指定更精確的關(guān)注點范圍。

(3)組織角度的安全自動化(見圖3)

圖3　安全自動化的組織化視

如圖3所示，組織角度的自動化作為一種群體/系統(tǒng)維的劃分，在組織的各組成部分、以及組織之間按照層次和流程角度的自動化機制進行配置和演化。各組織可以擁有相同或不同的既定目標，于彼此的分工協(xié)作中在時間和空間約束下逐步完成調(diào)整，實現(xiàn)個體利益與全局利益的均衡與優(yōu)化改進。例如，安全防護強度與系統(tǒng)可用性的動態(tài)平衡，多智能體式松散安全自治系統(tǒng)的選舉、角色分派、協(xié)作和競爭等行為等。

1.4安全自動化的局限性

安全自動化并不是嶄新的概念，入侵檢測與防火墻的協(xié)同就是安全協(xié)作的典型示例[3]。盡管經(jīng)過精心設(shè)計的自動化能夠在一定程度上提升安全設(shè)備功能互補、快速部署和節(jié)能管理水平，但在更廣泛的場合中，安全防御的多樣性、異構(gòu)性和不可預(yù)知性等因素使自動化過于復(fù)雜從而難以實施。其局限性來自:

●自動化的核心是位于操作和執(zhí)行層面的自動控制理論，其功能類似于根據(jù)外界輸入改變系統(tǒng)狀態(tài)并選擇輸出的自動機。但由于其狀態(tài)空間難以完全描述和檢驗，在某些情況下可能會失控。

●單純的自動化是盲目和被動的。對于知悉內(nèi)部機制的攻擊者而言，自動化反而提供了一條通向入侵的捷徑。自動化既定模式策略與不斷推陳出新的攻擊手法間的鴻溝不斷加深。

●自動化的應(yīng)用場景受限。自動化基于明確的規(guī)則，針對已知、可預(yù)料的情形做出程序化的既定響應(yīng)，多用于重復(fù)性、流程性或事務(wù)性的工作中。而事實上，不確定性和隨機性才是網(wǎng)絡(luò)空間安全防御的常態(tài)，對不可知事件的判斷和決策無法以規(guī)則清晰表述，也就無法通過自動化的方式處理。

從當(dāng)前自動化的實踐中可以看出，其固定、靜態(tài)的模式策略難以適應(yīng)網(wǎng)絡(luò)空間時代涌現(xiàn)的多元安全需求，自動化無法識別未知威脅，無法對多變的情景做出判斷，也無法給出有用的決策建議，甚至有時會錯誤解讀數(shù)據(jù)，給用戶帶來安全假象。如果只是盲目跟風(fēng)，自動化手段的誤用和濫用可能導(dǎo)致安全風(fēng)險更快擴散。安全運維人員急切需要能夠一種超越自動化的技術(shù)，能夠通過系統(tǒng)內(nèi)外信息的感知、提煉、匯集和分析來認知自我及復(fù)雜環(huán)境，針對威脅迅速、準確地反應(yīng)，將人們從重復(fù)和容易誤導(dǎo)的任務(wù)中解放出來，將有限的注意力和主觀能動性聚焦在更能發(fā)揮人類價值的領(lǐng)域[4]。

2　安全智能化的轉(zhuǎn)變

2.1從自動化到智能化

安全智能化是將人工智能技術(shù)與網(wǎng)絡(luò)信息工程、信息安全、心理學(xué)、行為學(xué)等理論交織融合的產(chǎn)物。其主要位于判斷、選擇層面，核心是人工智能理論，作用機制是知識加機器思維，使得通常認為需要人工參與發(fā)揮主觀能動性的思考、反應(yīng)或決策能力的信息安全關(guān)鍵操作、決策等行為能夠由計算機代理。例如從數(shù)據(jù)或經(jīng)驗中推理出新知識、得出邏輯思維推論，對觀察到的現(xiàn)象提供解釋等。

安全智能化反映了安全實施方式、手段和機制的變化，它是現(xiàn)代信息技術(shù)和智能技術(shù)進步的產(chǎn)物，預(yù)期能夠顯著提升安全防護、組織和管理的效能。智能化體現(xiàn)了靈活運用知識分析并解決問題的能力，多用于環(huán)境變化性強、不確定性突出、決策能力要求高的場景中，使得一般情況下難以歸納、利用的隱性安全知識能夠轉(zhuǎn)換為相關(guān)系統(tǒng)可識別和理解的顯性安全知識，這種安全知識能夠被使用者更方便地理解、交互和使用。

綠盟科技將安全由自動化到智能化的過渡分為基本智能、通用智能和超級智能三個階段，在基本智能階段中運維人員通過腳本和工具等，逐步將手工操作自動化，安全決策活動仍由“專家”進行，因而是一種“人工化”的智能；在通用智能階段中“專家”建立并訓(xùn)練模型、設(shè)置和校正參數(shù)來實現(xiàn)安全系統(tǒng)決策、反饋、行動等的部分智能化；在超級智能階段，安全系統(tǒng)能夠自主觀察系統(tǒng)行為和估計環(huán)境影響，根據(jù)管理者設(shè)定的安全價值取向?qū)崿F(xiàn)自我調(diào)整。

安全系統(tǒng)智能化水平在提升過程中，原始數(shù)據(jù)轉(zhuǎn)化為信息再升華為知識，并在各安全組件間溝通、理解和最優(yōu)化利用。信息服務(wù)走向知識服務(wù)，信息處理走向知識挖掘，安全防護管理機制由人工化向機器化的重心轉(zhuǎn)移是歷史的必然和時代的期待。

2.2智能化安全的體系特征

安全智能化在運作方式、屬性、理論原型等諸多方面都與自動化存在著顯著差異，即通過對環(huán)境的準確感知和辨析，通過統(tǒng)一協(xié)調(diào)和決策機制實現(xiàn)反作用于現(xiàn)實空間的導(dǎo)向性控制，其本質(zhì)是安全知識的匯聚、洞察與應(yīng)用，在運作方式、主要屬性、理論原型、計算模型等方面都具有嶄新的特點，如表1所示。

表1　安全自動化與智能化體系特征對比

可以看出，安全智能化系統(tǒng)的核心是知識。在傳統(tǒng)的DIKW即數(shù)據(jù)、信息、知識和智慧模型中，數(shù)據(jù)直接來源于傳感器，是變量的測量值的記錄；信息是經(jīng)過組織或結(jié)構(gòu)化的數(shù)據(jù)，在一定的環(huán)境中有特定的涵義，代表了系統(tǒng)的歷史和現(xiàn)狀；而知識則深刻地反映了事物的本質(zhì)，是信息、價值、經(jīng)驗和規(guī)律的有機綜合，是指導(dǎo)實踐、形成智慧的必要前提，具有更加深遠的價值意義。信息安全論域的知識涵蓋了信息安全科學(xué)原理、判斷準則和歷史經(jīng)驗，它與應(yīng)用場景強相關(guān)，通過在實踐中不斷累積和拓展，能夠適應(yīng)使用者、使用目標和使用環(huán)境的變化，是防御者進行決策、響應(yīng)和控制的依據(jù)。

安全智能化來自知識并走向知識的意義主要體現(xiàn)在知識的聯(lián)系、反饋和生成之中:

(1)網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施高度互聯(lián)，全域到達。這種互聯(lián)不僅是網(wǎng)絡(luò)意義上的連通，更多的是系統(tǒng)在功能、語義層面的無縫配合，智能化系統(tǒng)因此實現(xiàn)知識的聯(lián)系和承載；

(2)智能化系統(tǒng)基于實時決策和控制來積極作用于現(xiàn)實世界，這一過程是通過對系統(tǒng)行為及其效果的持續(xù)精確感知和調(diào)整實現(xiàn)的，實現(xiàn)知識的反饋作用。

(3)智能化系統(tǒng)具有學(xué)習(xí)和交互能力。安全不是靜態(tài)不變的，而是在繼承和演化中不斷進化完善。安全系統(tǒng)不斷積累經(jīng)驗，使功能迭代提升、適應(yīng)性持續(xù)增強，實現(xiàn)知識的生成作用。

2.3智能化安全的關(guān)鍵問題

在信息安全領(lǐng)域，一個著名的瓶頸性問題即是，正確的設(shè)計未必能正確的實現(xiàn)，正確的實現(xiàn)未必能正確地運用。通過安全智能在人與機、機與機、以及機內(nèi)部的補償作用，能夠回填安全期望與安全實現(xiàn)、安全實現(xiàn)與安全能力之間存在的，制約安全體系效能發(fā)揮的的二元鴻溝。智能化安全的關(guān)鍵問題即是處理好人、機、數(shù)據(jù)與環(huán)境之間的關(guān)系。

人:基于哥德爾不完備定理，任何完整的系統(tǒng)，總存在其自身無法解決的問題。智能化的現(xiàn)代設(shè)計原則也不是完全的、無差別的、盲目的智能化，而是適當(dāng)考慮“人”的因素的地位的，“恰當(dāng)”的智能化。這種智能化提倡將人的能力和獨特性作用在最合適的環(huán)節(jié)發(fā)揮出來，以人機結(jié)合的方式，克服人或機器各自具備的功能缺陷。

機:機器是安全智能的載體，可以以個體或群落形式存在，并和其作用對象發(fā)生密切的依存-寄生關(guān)系，體現(xiàn)直接性與間接性的統(tǒng)一。依附機器、環(huán)境的安全智能直接作用于網(wǎng)絡(luò)與安全邏輯，間接作用和影響網(wǎng)絡(luò)空間、物理空間的運行和表現(xiàn)。

數(shù)據(jù):信息流是攻防對抗的本原，是威脅也是安全價值的載體。信息流的駕馭一方面需借助傳統(tǒng)感知技術(shù)，實現(xiàn)數(shù)據(jù)的有效搜集和整理；另一方面需借助智能，自海量信息中提煉知識、正確運作。占有足量的數(shù)據(jù)是安全智能系統(tǒng)認知、決策和進化的前提。

環(huán)境:安全智能無法孤立存在，其在運行中既受環(huán)境深刻影響，也顯著地影響著環(huán)境:智能計算依賴的信息來自于環(huán)境、計算結(jié)果反饋于環(huán)境、是否有效也必須借助于對環(huán)境觀測來完成。只有將智能與環(huán)境融合考慮、合理設(shè)計，才能促進智能水平的不斷提升。

在人、機、數(shù)據(jù)與環(huán)境合理分工、協(xié)調(diào)運行的理想環(huán)境中，智能系統(tǒng)預(yù)期將進入結(jié)構(gòu)自主組織、信息按需流動、策略動態(tài)變化、能力迭代提升的良性循環(huán)，體現(xiàn)智能時代安全機制自主優(yōu)化配置、部署、運行的全新景觀組態(tài)。

3　安全智能化的應(yīng)用推進

安全與智能化的融合交匯代表了更先進的防護理念和應(yīng)用潛力。從當(dāng)前基礎(chǔ)較好的領(lǐng)域來看，安全智能化的全面推進有賴于理論體系的成熟、標準規(guī)范的制訂和典型應(yīng)用的示范效應(yīng)。理論體系方面數(shù)據(jù)挖掘、深度學(xué)習(xí)、智能體理論、知識工程等領(lǐng)域經(jīng)過多年的研究在各個細分方向均已經(jīng)取得長足發(fā)展，成果豐富，可以認為安全智能化前置技術(shù)的研究已較為充分，下面主要從標準化和典型應(yīng)用方面進行探討。

3.1標準化嘗試

目前，與安全智能發(fā)展關(guān)聯(lián)的標準主要是安全自動化標準和威脅情報標準。

(1)安全自動化標準

安全自動化當(dāng)前的主要標準是SCAP(Security Content Automation Protocol:安全內(nèi)容自動化協(xié)議)，它是由美國國家標準與技術(shù)研究院(NIST)提出的，用于提升安全自動化能力的標準協(xié)議群[5]。SCAP提出的初衷首先是實現(xiàn)高層政策法規(guī)(如FISMA，ISO27000系列)等到底層實施的落地；其次是將信息安全所涉及的各個要素標準化(如統(tǒng)一漏洞的命名及嚴重性度量)；最后是將復(fù)雜的系統(tǒng)配置核查工作自動化。SCAP提供了一種自動、標準化的方法來維護企業(yè)系統(tǒng)的安全，如實現(xiàn)安全配置基線，驗證當(dāng)前的補丁程序，進行系統(tǒng)安全配置設(shè)置的持續(xù)性監(jiān)測，檢查系統(tǒng)的攻陷指標(Sign of compromise)等，試圖在任意設(shè)定時刻給出系統(tǒng)的安全狀態(tài)。其標準化、自動化的思想對信息安全行業(yè)產(chǎn)生了深遠的影響。

(2)威脅情報標準

威脅情報(Threat Intelligence)是一類有效的網(wǎng)絡(luò)空間安全風(fēng)險應(yīng)對機制。情報的本質(zhì)是減少信息沖突的不確定性，Gartner定義網(wǎng)絡(luò)空間威脅情報為一種基于證據(jù)的知識，它包括了情境、機制、指標、暗示和可供操作的建議，通過描述正在發(fā)生或者即將出現(xiàn)的針對網(wǎng)絡(luò)空間資產(chǎn)的威脅或危險，能夠被用于通知相關(guān)主體對這些威脅或危險做出響應(yīng)決策。

威脅情報具有信息和知識的雙重屬性，因而是安全智能的重要組成部分。威脅情報以集體智慧應(yīng)對復(fù)雜威脅，以先知先覺構(gòu)建穩(wěn)固防線。在此過程中，標準化是安全威脅情報在多個發(fā)布者、使用者間交互和共享的必要前提。使用標準化的方式定義情報格式能夠在最大程度上減少信息語義損失和歧義，同樣也可以避免日后因為接口和規(guī)范不同而造成較大的改動和不必要的資源浪費。目前在威脅情報交換方面較有影響力的框架、協(xié)議和語言包括IODEF、CIF、STIX、OpenIOC和Veris等，其中STIX(Structured Threat Information Expression，結(jié)構(gòu)化威脅信息描述語言)更為流行，它是為威脅情報采集、分析和交流而設(shè)計的一種語言，以結(jié)構(gòu)化的方式來支持更有效的網(wǎng)絡(luò)威脅管理流程化和應(yīng)用自動化，許多企業(yè)已經(jīng)支持通過STIX進行威脅情報和安全知識的共享。

3.2典型應(yīng)用樣例

智能化與安全在體系層面是橫向支撐、縱向貫穿的關(guān)系，通過嵌入或融合方式覆蓋安全防護體系的多個層次。智能化的典型應(yīng)用場景包括云安全快速自主部署、威脅情報綜合管理、自動化漏洞挖掘、用戶實體行為分析、實時應(yīng)用程序自我保護等。

云安全快速自主部署:在數(shù)據(jù)中心，為了達到釋放云計算潛力、降低準備時間、增強敏捷性的目的，需要一種能夠快速部署云環(huán)境中的相關(guān)網(wǎng)絡(luò)安全服務(wù)的方法，使得安全能力與業(yè)務(wù)能力的輸出相同步，在計算平臺、網(wǎng)絡(luò)和安全機制方面實現(xiàn)完全的協(xié)同和可編程能力。多家安全公司2016年在云安全快速自主部署方面發(fā)力，使安全服務(wù)在業(yè)務(wù)流程的自動嵌入、自動配置和智能監(jiān)測成為可能。

威脅情報綜合管理:威脅情報綜合管理是與威脅情報與安全防護系統(tǒng)結(jié)合的切入點，可以扮演情報生產(chǎn)、情報傳遞或情報消費三類要素中的一個或多個角色，服務(wù)于威脅情報的形成、封裝、傳輸、中轉(zhuǎn)、解讀或呈現(xiàn)等各環(huán)節(jié)[6]。威脅情報綜合管理除用攻擊檢測和安全響應(yīng)方面外的巨大價值外，還可用于安全設(shè)備功能提升、自適應(yīng)風(fēng)險管理和決策輔助等目的。系統(tǒng)的自動化、智能化水平越高，威脅情報也就能得到更充分的利用，使安全防御能力能夠在外界源源不斷有益信息的支持下穩(wěn)步提升。

自動化漏洞挖掘:系統(tǒng)的漏洞挖掘是攻擊者和防御者都關(guān)心的問題，目前并行模糊測試、污點分析或符號執(zhí)行等方法已經(jīng)能夠高效地發(fā)現(xiàn)大量的程序錯誤，但存在效率不高、需要熟悉目標系統(tǒng)、對經(jīng)驗依賴度較高、技術(shù)復(fù)雜等缺點[7-8]，使得快速分析、評價這些潛在的漏洞仍然需要大量的人工參與和判斷。美國國防部先進技術(shù)研究局(DARPA)2016年發(fā)起的CGC網(wǎng)絡(luò)超級挑戰(zhàn)賽的主題為自動化漏洞挖掘及防護，在無人干預(yù)的情況下從給定的目標地址獲取應(yīng)用程序、分析代碼、給出攻擊向量并生成補丁，從目前主辦方預(yù)留的590個漏洞均已被參賽隊伍發(fā)現(xiàn)并修補，可以預(yù)期這一領(lǐng)域即將在智能化的助力下取得更加豐碩的成果。

用戶實體行為分析:即UEBA(User Entity Behavior Analysis)，是Gartner認為2016年十大信息安全技術(shù)之一，它通過收集網(wǎng)絡(luò)中設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫和用戶等多個節(jié)點產(chǎn)生的信息創(chuàng)建基準狀態(tài)，并在后續(xù)的運行過程中不斷尋找“異?！钡哪Ｊ剑u估新發(fā)生的事件在環(huán)境上下文中是否異常，以及異常的程度有多深，進而排序事件的重要性及可能產(chǎn)生的業(yè)務(wù)影響，適時發(fā)出告警。為了更精確地識別威脅，UEBA產(chǎn)品中通常采用改進的機器學(xué)習(xí)機制，允許在不依賴于預(yù)先制訂規(guī)則的前提下就能良好的運作，充分體現(xiàn)出了智能化的零配置、冷啟動特點。

實時應(yīng)用程序自我保護:即RASP(Realtime Application Self Protection)，它是一種新型應(yīng)用安全保護技術(shù)，其基本思想是以智能化的方式將安全無縫嵌入應(yīng)用之中，使用類似疫苗的方式將保護能力與被保護對象融為一體。RASP在程序運行的整個階段實現(xiàn)有效的自我監(jiān)控和有害輸入、行為的識別，使得當(dāng)應(yīng)用程序面臨漏洞攻擊時，不需要人工干預(yù)就能夠自動重新配置和運作以阻斷入侵者。RASP顯著的優(yōu)點在于無需對應(yīng)用本身做出任何改動，而且防護能力會隨著智能化水平的提升而不斷增強。

3.3安全智能展望

世界正處于新科技革命和產(chǎn)業(yè)革命的交匯點上，科學(xué)技術(shù)在廣泛交叉和深度融合中不斷創(chuàng)新，智能產(chǎn)業(yè)蓬勃興起，成為安全領(lǐng)域取得顛覆性突破的契機。

(1)智能是一場安全的革命。智能帶給用戶的意義、價值在于能夠顯著減少為達到同等安全水平需要投入的人力、物力和注意力，并且這種安全防護能力是自組織、自生長的。泛在網(wǎng)、云服務(wù)和大數(shù)據(jù)為安全智能的傳播和流行提供了堅實的平臺，安全智能模式將快速復(fù)制并傳播。

(2)人的關(guān)鍵性參與難以動搖。人和智能都無法單獨在網(wǎng)絡(luò)安全任務(wù)中取得壓倒性優(yōu)勢，智能與人類協(xié)同工作必然取得更好效果。通過人腦的知識、經(jīng)驗與機器的模型庫、方法庫、規(guī)則庫等在分析、推理方面優(yōu)勢互補，完成復(fù)雜決策過程，形成人機融合的決策力，指導(dǎo)系統(tǒng)未來運作。例如用機器從海量數(shù)據(jù)中識別概率最高的攻擊事件，再交給人類專家進一步處理以提高精確率等。

(3)智能終將成為安全的內(nèi)在屬性。當(dāng)前智能與安全的協(xié)同機制以外圍嵌入、流程聚合的方式為主導(dǎo)，存在感知不全面、認知不深入、控制不到位的缺點?？梢灶A(yù)期智能將進一步和安全深度交織，使智能成為安全的一個必選項并與之無縫融合，減少溝通的損耗，實現(xiàn)更佳的匹配能力。

4　結(jié)語

安全智能是人工智能與安全的深度融合，著眼于獲取網(wǎng)絡(luò)空間安全的決策、行動和成本優(yōu)勢，其預(yù)期能力將覆蓋網(wǎng)絡(luò)空間信息安全感知、認知、處置、防御、決策、交互的各個所需層次和環(huán)節(jié)。當(dāng)前安全智能化已經(jīng)成為安全技術(shù)創(chuàng)新的重要方向，傳統(tǒng)的依賴于邊界防御的靜態(tài)安全控制措施將逐漸被基于知識共享和大數(shù)據(jù)分析的高級、智能安全手段所取代，系統(tǒng)將具備多樣化風(fēng)險感知、精準響應(yīng)處置和未知威脅抵御的全鏈條能力，實現(xiàn)安全價值的非線性涌現(xiàn)爆發(fā)。

[1] Montesino，Raydel，and Stefan Fenz.Information Security Automation:How Far can we go[C]//Availability，Reliability and Security(ARES)，2011 Sixth International Conference，IEEE，2011:280-285.

[2] Edwards W K，Poole E S，and Stoll J.Security Automation Considered Harmful[C]//Proceedings of the 2007 Workshop on New Security Paradigms.ACM.2007:33-42.

[3] 黃子中，韓偉紅，賈焰.基于攻擊流量的網(wǎng)絡(luò)安全規(guī)則自動生成系統(tǒng)NSRAG[J].電腦知識與技術(shù)，2015，11(35): 14-16.

[4] Montesino R，F(xiàn)enz S，and Baluja W.SIEM-based Framework for Security Controls Automation[J].Information Management＆Computer Security，2012，20(4):248-263.

[5] Radack S，and Kuhn，R.Managing Security:The Security Content Automation Protocol[J].IT Professional，2011，13 (1):9-11.

[6] Kampanakis P.Security Automation and Threat Information-sharing Options[J].IEEE Security＆Privacy，2014，12(5):42-51.

[7] BlackburnMark，Robert Busser，Aaron Nauman，and Ramaswamy Chandramouli.Model-based approach to security test automation [C]//Proceeding of Quality Week，2001:46-54.

[8] 邵林，張小松，蘇恩標.一種基于fuzzing技術(shù)的漏洞發(fā)掘新思路[J].計算機應(yīng)用研究，2009，26(03):1086-1088.

Evolutionary Approaches of Cyberspace Security Automation Technologies to Systematic Self-Intelligence

CHEN Jian-feng1，2，3，CHEN Tian-ying3
(1Science and Technology on Communication Security Laboratory，Chengdu Sichuan 610041，China)
(2Cyberspace Security Technology Laboratory of CETC，Chengdu Sichuan 610041，China)
(3China Electronic Technology Cyber Security Co.，Ltd，Chengdu Sichuan 610041，China)

As cyberspace security issues gradually fall into severe and complex situations，traditional information security mechanisms inevitably become outdated while lack efficient solutions to tackle problems brought by the nonlinear expanding scale of information systems，or by the inherent defect of humans for being subjective and arbitrary.A revolutionary innovation is urgently needed to disengage people of information security operation from practicing repetitive，routine and error-prone work daily.Thanks to the great progress of system theory，controlling theory and artificial intelligence，human burden of security management could be substituted by automated or intelligent machine workforces，which is also definitely the trend of technology evolvement.The concept，principle，usage and constrain of cyberspace automation are introduced in the paper，together with main difference and concatenating relations between automation and intelligence are given，key problems for incorporating appropriate intelligence，and present forward-looking visions of application potential of security and intelligence fusion.

cyberspace；information security；security automation；security intelligence

TN915

A

1009-8054(2016)08-0111-06

?2016-03-09

陳劍鋒(1983—)，男，博士，高級工程師，主要研究方向為信息安全、人工智能；

陳天瑩(1982—)，女，博士，高級工程師，主要研究方向為信息安全、大數(shù)據(jù)。■