人工智能助力網(wǎng)絡(luò)安全檢測(cè)和響應(yīng)

（微軟（中國(guó)）有限公司）

當(dāng)前，全球的網(wǎng)絡(luò)安全態(tài)勢(shì)并不樂(lè)觀，我國(guó)目前流行的排名前三的網(wǎng)絡(luò)威脅類型為：木馬、病毒和蠕蟲(chóng)。國(guó)內(nèi)互聯(lián)網(wǎng)傳播的惡意代碼中有近20%是在世界其他地區(qū)沒(méi)有遇到，是具有中國(guó)本土特色的網(wǎng)絡(luò)威脅。傳統(tǒng)防御或者手工干涉的機(jī)制，不能適應(yīng)惡意代碼的迭代和進(jìn)化速度。因此，必須使用人工智能等新手段，提升自動(dòng)化和響應(yīng)效率，以縮短從發(fā)現(xiàn)到響應(yīng)的間隔。

1 全球網(wǎng)絡(luò)攻擊特性的改變

傳統(tǒng)安全防護(hù)手段如殺毒軟件、防火墻、蠕蟲(chóng)檢測(cè)在應(yīng)對(duì)已知惡意代碼是有效的。但是目前網(wǎng)絡(luò)攻擊者的首要目標(biāo)是盜取用戶的身份。在新形勢(shì)下的攻擊者一旦成功盜取用戶身份，就可以采用合法工具收割用戶的數(shù)據(jù)財(cái)產(chǎn)，對(duì)用戶身份的保護(hù)是當(dāng)前和未來(lái)一段時(shí)期內(nèi)最大的安全挑戰(zhàn)。全球網(wǎng)絡(luò)攻擊特性具有以下特點(diǎn)：黑客可以使用合法的IT工具，不是純依賴惡意軟件，因而難以被探測(cè)。全球范圍內(nèi)安全事件調(diào)查分析顯示，攻擊者被發(fā)現(xiàn)前，可以在被入侵網(wǎng)絡(luò)中潛藏時(shí)間達(dá)八個(gè)月，在兩百天內(nèi)隱身于網(wǎng)絡(luò)中為所欲為。網(wǎng)絡(luò)攻擊可造成巨額財(cái)物損失，影響企業(yè)品牌聲譽(yù)，丟失保密數(shù)據(jù)。

2 AI加速：應(yīng)對(duì)網(wǎng)絡(luò)安全防御的挑戰(zhàn)

傳統(tǒng)的網(wǎng)絡(luò)安全防御方案主要有三大短板：①非常復(fù)雜，需要手工初始設(shè)置、定義規(guī)則等，花費(fèi)較長(zhǎng)時(shí)間；②容易誤報(bào)，太多的信號(hào)源數(shù)據(jù)和碎片化的報(bào)警規(guī)則，需要繁瑣手工分析或編程復(fù)雜模型，誤報(bào)或漏報(bào)的比例高；③設(shè)計(jì)用于邊界防御，當(dāng)用戶身份被竊取而攻擊者藏于內(nèi)網(wǎng)時(shí)，傳統(tǒng)網(wǎng)絡(luò)的防御提供的保護(hù)極其有限。

傳統(tǒng)防御或者手工干涉的機(jī)制，不能適應(yīng)惡意代碼的迭代和進(jìn)化速度，必須要用新的手段，包括使用人工智能來(lái)加速響應(yīng)的流程，提升自動(dòng)化和響應(yīng)效率，縮短從發(fā)現(xiàn)到響應(yīng)的間隔。

3 全面和系統(tǒng)的網(wǎng)絡(luò)安全策略與方法

微軟為應(yīng)對(duì)新網(wǎng)絡(luò)威脅態(tài)勢(shì)，設(shè)計(jì)了全面和系統(tǒng)的安全戰(zhàn)略：①打造安全產(chǎn)品平臺(tái)，保證平臺(tái)的安全。從源頭增強(qiáng)開(kāi)發(fā)安全，把代碼寫(xiě)安全；②構(gòu)建全球網(wǎng)絡(luò)安全威脅情報(bào)體系，知己知彼，百戰(zhàn)不殆；③ 與合作伙伴合作建設(shè)安全生態(tài)體系。

具體安全策略分為三步：保護(hù)、探測(cè)、響應(yīng)。安全保護(hù)跨越所有終端，從物聯(lián)網(wǎng)傳感器到云端和數(shù)據(jù)中心；利用設(shè)備端探測(cè)和捕捉到網(wǎng)絡(luò)威脅數(shù)據(jù)，作為數(shù)據(jù)輸入，行為檢測(cè)和機(jī)器學(xué)習(xí)發(fā)現(xiàn)安全異常，形成完整的閉環(huán)，探測(cè)只是整個(gè)響應(yīng)流程中的起點(diǎn)，不是終點(diǎn)；安全響應(yīng)的目標(biāo)是縮短發(fā)現(xiàn)和后續(xù)行動(dòng)之間的時(shí)間差距。

知識(shí)圖譜是人工智能非常有用的一個(gè)分支，可以處理和利用大數(shù)據(jù)，集成專家的經(jīng)驗(yàn)，取得較好的安全保護(hù)效果。微軟的網(wǎng)絡(luò)安全知識(shí)圖譜得益于平臺(tái)上積累大量的數(shù)據(jù)，包括每分每秒保護(hù)用戶和網(wǎng)絡(luò)攻擊做對(duì)抗過(guò)程中產(chǎn)生的數(shù)據(jù)。利用人工智能把數(shù)據(jù)后面真正的大數(shù)據(jù)價(jià)值榨取出來(lái)，產(chǎn)生很多可以重復(fù)使用和可擴(kuò)展的安全防御模型。

4 安全自動(dòng)化成熟度模型

對(duì)安全自動(dòng)化的模型嘗試定義了成熟度的概念，分為五級(jí)，一級(jí)為入門(mén)，第五級(jí)暫定為最高級(jí)，每一級(jí)代表不同的、可以重復(fù)的能力。第一級(jí)，即自動(dòng)匯集，如常見(jiàn)的事件級(jí)自動(dòng)工單應(yīng)用系統(tǒng)；第二級(jí)，則為堆棧整理，很多安全情報(bào)數(shù)據(jù)源是離散型的，把多源的數(shù)據(jù)按照攻擊鏈邏輯和時(shí)間戳匯集成單個(gè)獨(dú)立的安全事件，梳理出一條主線；第三級(jí)是數(shù)據(jù)富集，不同平臺(tái)的安全探測(cè)端，如防火墻、殺毒軟件、認(rèn)證網(wǎng)關(guān)等得到數(shù)據(jù)種類是不一樣的，這些數(shù)據(jù)如果能夠進(jìn)行交叉相關(guān)分析，可以建立一個(gè)非常全面的安全攻擊的場(chǎng)景，為后續(xù)工位的安全分析和響應(yīng)提供指南；第四級(jí)為自動(dòng)化行動(dòng)預(yù)案，把安全專家常見(jiàn)的響應(yīng)策略自動(dòng)化，形成腳本化、自動(dòng)化的方案。一旦獲得確認(rèn)可靠的安全報(bào)警，通過(guò)自動(dòng)化的響應(yīng)預(yù)案觸發(fā)下游的連續(xù)動(dòng)作，從而降低安全響應(yīng)人員的勞動(dòng)強(qiáng)度；第五級(jí)，即閉環(huán)機(jī)器訓(xùn)練和學(xué)習(xí)場(chǎng)景，由專業(yè)安全研究人員，運(yùn)用人工智能或者是深度學(xué)習(xí)，在典型樣本的分析和安全研發(fā)工作基礎(chǔ)上，創(chuàng)建更多的自動(dòng)化模型級(jí)算法。

利用人工智能的技術(shù)，可以提高響應(yīng)的速度，降低誤報(bào)。傳統(tǒng)的安全技術(shù)開(kāi)發(fā)，需要利用數(shù)據(jù)和已知明確的程序/規(guī)則建立模型，關(guān)注最后得到的輸出。而機(jī)器學(xué)習(xí)是利用數(shù)據(jù)，尤其是標(biāo)注數(shù)據(jù)，訓(xùn)練輸出安全模型，模型可以適應(yīng)環(huán)境變化，并可以隨時(shí)利用新數(shù)據(jù)的重復(fù)進(jìn)行訓(xùn)練，提高模型的準(zhǔn)確度。

在標(biāo)準(zhǔn)方面，人工智能成功助力網(wǎng)絡(luò)安全有三大原則：第一是可自適應(yīng)，而不是僅僅基于特征檢測(cè)，一種特征只能檢測(cè)一種惡意代碼行為；第二是可解釋的，無(wú)法歸因和解釋的結(jié)果是難以理解的；第三是可行動(dòng)的，檢測(cè)必須為下游的響應(yīng)工作提供指導(dǎo)。

在標(biāo)識(shí)數(shù)據(jù)方面，人工智能里最重要的是數(shù)據(jù)。以微軟為例，其相關(guān)標(biāo)識(shí)數(shù)據(jù)來(lái)自于安全專家、客戶反饋的安全警報(bào)，自動(dòng)化的攻擊，漏洞賞金，MSRC，外科手術(shù)式的紅隊(duì)攻擊演練以及來(lái)自其他產(chǎn)品事業(yè)部等。

在成功框架方面，人工智能與網(wǎng)絡(luò)安全防御應(yīng)用的結(jié)合，既依靠機(jī)器算法的自動(dòng)檢測(cè)，也應(yīng)結(jié)合安全專業(yè)知識(shí)進(jìn)行驗(yàn)證。成功的檢測(cè)需要離散的數(shù)據(jù)集和規(guī)則與安全專業(yè)知識(shí)的結(jié)合。98%以上的惡意代碼檢測(cè)工作可以在前端處理，在終端處集成輕量化的機(jī)器學(xué)習(xí)模型。2%的未知變種需要依靠后臺(tái)更重量級(jí)的分析模型來(lái)處理，反饋和響應(yīng)到前端。通過(guò)前端和后端的有效配合，提高響應(yīng)的速度和應(yīng)對(duì)新變種的能力。