以人工智能實(shí)現(xiàn)網(wǎng)絡(luò)安全的一點(diǎn)看法

王澤宇 張小女

摘要：通過對我國當(dāng)前網(wǎng)絡(luò)的發(fā)展?fàn)顟B(tài)以及面臨的威脅的分析，使人們認(rèn)識到網(wǎng)絡(luò)威脅的嚴(yán)重性和人們當(dāng)下對網(wǎng)絡(luò)防護(hù)的局限性。人工智能經(jīng)過幾十年的積累，目前已經(jīng)到了厚積薄發(fā)的大規(guī)模應(yīng)用階段，人工智能的迅速發(fā)展給網(wǎng)絡(luò)安全提供了一個(gè)更好的技術(shù)方向，二者的結(jié)合從幾個(gè)方面有力地促進(jìn)了網(wǎng)絡(luò)安全的進(jìn)步，但是人工智能在網(wǎng)絡(luò)安全上的應(yīng)用還有著不少的缺陷，還有很長的技術(shù)短板需要去克服。

關(guān)鍵詞：人工智能;網(wǎng)絡(luò)安全;智能設(shè)備

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? 文章編號：1009-3044（2019）02-0021-02

1 網(wǎng)絡(luò)安全的當(dāng)前現(xiàn)狀

網(wǎng)絡(luò)的迅猛發(fā)展，促使全世界更加緊密地聯(lián)系在一起。多樣化、互聯(lián)化的智能設(shè)備也已經(jīng)遍布我們生活、生產(chǎn)、學(xué)習(xí)的方方面面，網(wǎng)絡(luò)使我們的工作、生活的界限不再清晰明了，一個(gè)聯(lián)網(wǎng)設(shè)備被攻擊者攻克，其他互聯(lián)設(shè)備就有可能瞬間被攻克，我們的各種信息就會全部泄露。

智能設(shè)備全面互聯(lián)帶給我們便利的同時(shí)，也給我們提出了一個(gè)迫切而現(xiàn)實(shí)的問題：我們的設(shè)備安全嗎，我們運(yùn)行于設(shè)備之上的各種各樣的生產(chǎn)、生活、學(xué)習(xí)的資產(chǎn)與資料安全嗎？答案可以肯定的說是否定的。在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，我們的各種終端與應(yīng)用可以說是脆弱的。比如猖獗一時(shí)的勒索病毒，它儼然是一場全球性互聯(lián)網(wǎng)災(zāi)難，統(tǒng)計(jì)數(shù)據(jù)顯示，100多個(gè)國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊、感染。[1]

從當(dāng)前的技術(shù)發(fā)展路線來看，人們發(fā)現(xiàn)被攻擊與破壞的時(shí)間是在逐步縮短中，但是對攻擊者而言，這個(gè)時(shí)間差是足夠的，在這段時(shí)間內(nèi)，他們完全能夠破壞與竊取數(shù)據(jù)，給企業(yè)造成巨大的損失。

可見，隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步及其相關(guān)技術(shù)的迅速發(fā)展，我們的信息安全受到的威脅也越來越多。據(jù)聯(lián)合國的安全報(bào)告，2017年中國的網(wǎng)絡(luò)及信息安全能力在全球僅排名第32位。

2 傳統(tǒng)網(wǎng)絡(luò)安全手段當(dāng)前已經(jīng)達(dá)到技術(shù)瓶頸

傳統(tǒng)的殺毒軟件主要是通過比對病毒的特征碼等方式來進(jìn)行病毒查殺，這種方法對新出現(xiàn)的病毒或者變種都缺少有效的應(yīng)對能力，只有安全人員在病毒庫中加入對應(yīng)病毒的特征碼之后，才有可能對病毒進(jìn)行查殺。對0day攻擊可以說 接近于無法防護(hù)的程度。

當(dāng)前，網(wǎng)絡(luò)發(fā)展多網(wǎng)融合，網(wǎng)絡(luò)泛化嚴(yán)重，信息安全的重要性和復(fù)雜性更加凸出。中國工程院院士沈昌祥針對主動(dòng)免疫防御話題發(fā)表演講，他認(rèn)為，網(wǎng)絡(luò)空間安全是集計(jì)算、通信和控制等學(xué)科交叉的科學(xué)問題。消極被動(dòng)的封堵查殺防不勝防，“就好比人沒有免疫系統(tǒng)”。 眾多的組織機(jī)構(gòu)和企業(yè)每天要面對百萬級別的安全威脅，網(wǎng)絡(luò)安全人員要逐條進(jìn)行信息分析這是根本不能夠?qū)崿F(xiàn)的。首先，中國當(dāng)前對安全人才的需求量與實(shí)際培養(yǎng)量間存在著巨大差距，而且層次還參差不齊。其次，一個(gè)安全人員每天只不過能夠分析1000-2000條日志數(shù)據(jù)，或者是100-200個(gè)代碼片段。

以往，比較清晰明了的內(nèi)外網(wǎng)邊界，已經(jīng)越來越模糊，各種設(shè)備，各種網(wǎng)絡(luò)接口即實(shí)現(xiàn)了萬物互聯(lián)，也實(shí)現(xiàn)了萬物可破，可以被入侵攻擊，人們需要保護(hù)的安全防線越來越長，更長的安全防線有很多時(shí)候反而成了無用的馬奇諾防線，接近于有防而無用。當(dāng)前還如果單純使用傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方法與手段已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足人們的需求與技術(shù)要求，可以說網(wǎng)絡(luò)安全的實(shí)現(xiàn)已經(jīng)到了必須要有質(zhì)的突破階段。

3 中國人工智能當(dāng)前的現(xiàn)狀

眼下，信息技術(shù)已經(jīng)又到了一個(gè)新的分化階段。AI技術(shù)經(jīng)過幾十年的積累發(fā)展，也已經(jīng)到實(shí)用落地的地步。中國新一屆政府也已經(jīng)看到了AI在信息技術(shù)下一步發(fā)展中的巨大作用和潛力，對AI技術(shù)的發(fā)展給予了高度重視，從應(yīng)用研發(fā)、產(chǎn)業(yè)規(guī)劃發(fā)展等方面，提出了全方位的發(fā)展措施。

近年來，我國AI領(lǐng)域的論文、專利成果均取得了長足的進(jìn)步，并且一些方面還能夠居世界前列，大量AI方面的企業(yè)不斷出現(xiàn)，AI產(chǎn)業(yè)生態(tài)也以比較快的速度形成。2017年7月國務(wù)院正式發(fā)布了《新一代人工智能發(fā)展規(guī)劃》，此發(fā)展規(guī)劃的正式提出，即為AI的發(fā)展提供了戰(zhàn)略方向，也確立了AI的戰(zhàn)略地位。可以說AI在中國的產(chǎn)業(yè)發(fā)展不再處于概念理論階段，而是大踏步進(jìn)入落地實(shí)施。

國際知名咨詢機(jī)構(gòu)Gartner于2017年7月發(fā)布了2017年度新興技術(shù)成熟度曲線，人工智能的兩個(gè)分支——深度學(xué)習(xí)和機(jī)器學(xué)習(xí)，均處于曲線的最頂端。而截至2017年底，中國在AI領(lǐng)域的人才缺口至少在100萬以上。而且，由于合格AI人才培養(yǎng)所需的時(shí)間遠(yuǎn)遠(yuǎn)超過培養(yǎng)一般IT人才，人才缺口很難在短期內(nèi)得到有效填補(bǔ)[2]，甚至微軟的創(chuàng)始人比爾.蓋茨曾說，中國在AI領(lǐng)域是不可能實(shí)現(xiàn)彎道超車的。雖然我們不太同意他的這個(gè)說法，但是也從另一個(gè)方面說明了AI發(fā)展的困難與艱辛。

4 將人工智能應(yīng)用于網(wǎng)絡(luò)安全的現(xiàn)實(shí)意義

保護(hù)網(wǎng)絡(luò)信息安全免受威脅的需求與網(wǎng)絡(luò)安全人員的缺少，是促使AI技術(shù)在信息網(wǎng)絡(luò)安全保護(hù)行業(yè)應(yīng)用的強(qiáng)大內(nèi)在動(dòng)力。

近幾年，APT攻擊已經(jīng)成為企業(yè)所需面臨的主要安全威脅。但是安全服務(wù)廠商不可能先于用戶獲得攻擊樣本，更不可能在每個(gè)企業(yè)中都部署安全人員進(jìn)行防范，比較好的解決方法是使用技術(shù)手段把安全廠商的技術(shù)能力前置到企業(yè)網(wǎng)絡(luò)環(huán)境中去。對于APT檢測來說，目前主要檢測技術(shù)是虛擬執(zhí)行，即在虛擬的環(huán)境中運(yùn)行可疑程序與文件，進(jìn)而判斷其包含惡意程序的情況。這種方法雖然具有一定的未知惡意程序檢測能力，但是也有資源消耗大、檢測周期長等缺陷，一般一個(gè)沙箱檢測一個(gè)文件可能消耗幾分鐘，這會導(dǎo)致在高速網(wǎng)絡(luò)環(huán)境下造成相當(dāng)大的處理時(shí)延。

隨著網(wǎng)絡(luò)泛化和網(wǎng)絡(luò)環(huán)境內(nèi)外邊界的模糊，各種攻擊手段越加隱秘，安全人員運(yùn)維的難度直線上升。在大數(shù)據(jù)信息泛濫的當(dāng)下，安全維護(hù)人員需要處理的數(shù)據(jù)量與其處理能力相比嚴(yán)重失衡，大量攻擊報(bào)警不能夠得到及時(shí)響應(yīng)與處理，這就導(dǎo)致用戶有了安全設(shè)備可是仍然被入侵。這也是造成入侵行為的MTTR（平均修復(fù)時(shí)間）過長的最主要因素。解決這一對矛盾比較好的處理方式是運(yùn)用AI，通過智能算法對原始的大數(shù)據(jù)進(jìn)行處理，減少安全人員數(shù)據(jù)處理工作量，提高安全人員的工作效率是最為可能有效的解決方法。

網(wǎng)絡(luò)安全問題也是一個(gè)攻防互促的戰(zhàn)場。安全人員雖然可以使用AI技術(shù)防范黑客攻擊，黑客也可以使用AI技術(shù)進(jìn)行攻擊程序的演化和攻擊手段的效率提升。大量AI模型與框架開源，降低了攻擊能力提升的成本，或是開始一些此前不可能做到的攻擊。但AI終究是目前一個(gè)最好的安全改進(jìn)方法，為此人們也都在努力探索其有效的解決方案。通過AI算法模擬人類的能力，這相當(dāng)于把安全人員的分析能力前置入企業(yè)的網(wǎng)絡(luò)環(huán)境中，這是一個(gè)解決未知威脅的有效檢測方法，是將人的能力融入機(jī)器的目前的完美結(jié)合。

5 人工智能應(yīng)用于網(wǎng)絡(luò)安全的方法與途徑

未來網(wǎng)絡(luò)安全的發(fā)展一定是“不智能，無安全”。目前安全系統(tǒng)花費(fèi)了人們太多的時(shí)間和精力，對人、財(cái)、物的消耗都是巨大的。如果將其與AI進(jìn)行有有效的結(jié)合與實(shí)現(xiàn)，它將可以明顯降低人們在安全防護(hù)上的成本與開支，也可以明顯提高面對入侵的反應(yīng)速度與阻斷破壞的能力，提高防御的敏捷度。從目前的技術(shù)發(fā)展和理論水平來看，人們能夠?qū)I與網(wǎng)絡(luò)安全有效融合在一起的方式主要從以下幾個(gè)方面來實(shí)現(xiàn)：

1）代碼檢測與安全運(yùn)維AI化，是AI在網(wǎng)絡(luò)信息安全領(lǐng)域的主戰(zhàn)場

每天，網(wǎng)絡(luò)上都在產(chǎn)生著大量的病毒程序與惡意代碼，如果識別分析的工作都由安全人員去完成，這是不可想象的。將此項(xiàng)工作AI化，可以明顯提高人們在這方面的工作質(zhì)量與效率。

在惡意代碼的AI檢測方面，目前主要的方法是監(jiān)督學(xué)習(xí)。它是一個(gè)有效的多維度特征識別方法，適用于惡意代碼、計(jì)算機(jī)病毒和垃圾郵件等的處理[3]。當(dāng)然這要我們積累相當(dāng)大體量的數(shù)據(jù)作為訓(xùn)練樣本和測試樣本，再應(yīng)用對應(yīng)的深度學(xué)習(xí)算法來進(jìn)行訓(xùn)練產(chǎn)生分類器，最后在利用客戶側(cè)實(shí)際數(shù)據(jù)來進(jìn)行分類器模型增量更新，進(jìn)而在客戶側(cè)形成一個(gè)檢測-處置-響應(yīng)的閉環(huán)。但是監(jiān)督學(xué)習(xí)具有相當(dāng)?shù)木窒扌?，首先是模型的新鮮度。威脅時(shí)時(shí)都在發(fā)生著變化，但是監(jiān)督學(xué)習(xí)卻并不是在時(shí)時(shí)學(xué)習(xí)，如果不能夠保持學(xué)習(xí)連續(xù)性，新威脅在識別上就會出現(xiàn)問題。其次是模型的準(zhǔn)確率。知易行難，學(xué)習(xí)是一種情況，真實(shí)使用時(shí)又是另一種情況，二者之間可能會出現(xiàn)較大的差距。最后是模型的召回率，也就是我們平常所說的有多少真實(shí)的威脅沒有被識別出來并捕獲到。所以單純的監(jiān)督學(xué)習(xí)還是存在著相當(dāng)?shù)娜毕?，但其在反欺詐、行為分析、態(tài)勢感知方面優(yōu)勢比較明顯。它還需要將其他手段結(jié)合起來，才能發(fā)揮更好的作用。

在安全運(yùn)維上，我們可以在安全運(yùn)維平臺上加入AI分析算法，利用AI技術(shù)提高對大數(shù)據(jù)的分析處理能力，提高對安全事件的響應(yīng)能力。經(jīng)驗(yàn)豐富的安全人員，在長期的工作實(shí)踐中會摸索與總結(jié)出規(guī)范有效的事件分析與處理流程，通過AI分析算法和模型，例如基于統(tǒng)計(jì)學(xué)習(xí)的異常檢測方法、基于規(guī)則推理的關(guān)聯(lián)分析算法、基于淺層學(xué)習(xí)的分類聚類算法等技術(shù)將流程固化為能夠自動(dòng)運(yùn)行處理的模型，將明顯提高人們的工作質(zhì)量與效率。

2）APT識別及防護(hù)能力的主要改進(jìn)與提高

安全人員在檢測較小異常時(shí)可能會不需要特別的幫助，但是在檢測和處理攻擊水平比較高，惡意代碼的復(fù)雜度比較大的時(shí)候，一系列的情況會給安全人員造成相當(dāng)大的困難。要阻止高級與復(fù)雜的攻擊，安全人員要快速分析不斷變化的大量數(shù)據(jù)和異常情況，好發(fā)現(xiàn)潛在的威脅，而AI提供了人類安全人員所依靠的藍(lán)圖和知識庫。在網(wǎng)絡(luò)安全中使用AI技術(shù)，有助于對攻擊事件執(zhí)行逆向工程 并有目的地改進(jìn)系統(tǒng)。這將使安全人員不再只對單個(gè)攻擊事件被動(dòng)響應(yīng)，而是可以找到解決方案防止此類攻擊事件再次發(fā)生。這種方法也具有更好的擴(kuò)展性，可防止企業(yè)受到更多的攻擊。

3）幫助企業(yè)識別漏洞并加以修復(fù)

企業(yè)要知道系統(tǒng)新的漏洞，并于漏洞被利用之前將其解決。否則，那些致力于時(shí)刻尋找系統(tǒng)最新漏洞并在找到后馬上加以利用的人，將會使企業(yè)處于非常不利的地位。

其實(shí)，黑客使用的技術(shù)可能不會很復(fù)雜，他們只是尋找到未能夠進(jìn)行及時(shí)更新漏洞的公司罷了。根據(jù)《 Verizon 2017數(shù)據(jù)泄露報(bào)告 》，超過70%的攻擊利用的是有對應(yīng)補(bǔ)丁的已知漏洞。人們都知道，黑客在系統(tǒng)漏洞被公布后立刻就會加以利用。但企業(yè)可能還蒙在鼓里，因?yàn)樗麄儾⒉恢烙辛诵碌穆┒幢还汲鰜?，黑客只不過是在企業(yè)沒來得及打補(bǔ)丁之前就發(fā)動(dòng)了攻擊。AI技術(shù)可在事前檢測到系統(tǒng)漏洞并加以解決。

4）利用AI的持續(xù)在線性監(jiān)控預(yù)測安全態(tài)勢

安全人員在正常情況下，只有在某種安全趨勢出現(xiàn)后才能發(fā)現(xiàn)它。而且要實(shí)現(xiàn)這種發(fā)現(xiàn)，可能會要人類安全員對網(wǎng)絡(luò)進(jìn)行持續(xù)的安全監(jiān)測，研究分析百萬級別的數(shù)據(jù)，并了解其他的企業(yè)在安全威脅上的經(jīng)歷，最后才可能得出結(jié)論。同時(shí)，確定安全威脅趨勢后，還要研究如何將其應(yīng)用到企業(yè)的安全防護(hù)上。持續(xù)不斷的監(jiān)測既需要技巧也需要時(shí)間，同時(shí)也易出現(xiàn)人為錯(cuò)誤的情況，更不要說攻擊趨勢還一直在迅速變化之中了。

而使用AI安全系統(tǒng)，能夠在威脅的萌芽階段發(fā)現(xiàn)數(shù)據(jù)間微妙多變復(fù)雜的異常，并跟蹤到其演變發(fā)展，還有可能利用其發(fā)現(xiàn)自行探索系統(tǒng)的未知漏洞，形成網(wǎng)絡(luò)安全防護(hù)的多米諾骨牌效應(yīng)。

6 人工智能的現(xiàn)有技術(shù)能力實(shí)現(xiàn)網(wǎng)絡(luò)安全的缺陷與展望

雖然AI技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的使用前景十分誘人，但在其成為安全領(lǐng)域的主流技術(shù)之前，還面臨著相當(dāng)?shù)奶魬?zhàn)。

AI算法需要海量數(shù)據(jù)進(jìn)行模型的訓(xùn)練，可以這樣說，數(shù)據(jù)決定了高度，算法只是手段而已。在實(shí)際應(yīng)用環(huán)境中，由于企業(yè)大都對自己數(shù)據(jù)有強(qiáng)烈的保護(hù)意愿，那么安全廠商很難在將設(shè)備應(yīng)用到企業(yè)中后，再獲取企業(yè)有價(jià)值的數(shù)據(jù)反饋，這也就使安全廠商無法使用真實(shí)數(shù)據(jù)再次提升模型的新鮮度和檢測準(zhǔn)確率。

對于傳統(tǒng)基于特征匹配的攻擊檢測而言，檢測設(shè)備對其所產(chǎn)生的報(bào)警可以給予充分的證據(jù)，用于解釋其報(bào)警的有效性;但對基于AI檢測算法而言，檢測設(shè)備的判斷條件對企業(yè)來說是一個(gè)黑盒子，企業(yè)是不能知道這個(gè)警報(bào)的具體情況。實(shí)際上，現(xiàn)在的網(wǎng)絡(luò)攻擊中，也已經(jīng)出現(xiàn)了讓特定AI算法產(chǎn)生誤報(bào)的技術(shù)。如何提高AI算法的結(jié)果可解釋性和魯棒性也是當(dāng)前面臨的一大難題。

雖然AI在網(wǎng)絡(luò)安全領(lǐng)域的使用還有著諸多挑戰(zhàn)，但是我們依然要看好其前景。大數(shù)據(jù)時(shí)代、物聯(lián)網(wǎng)時(shí)代、智能時(shí)代已經(jīng)到來。數(shù)據(jù)改變以往的業(yè)務(wù)模式、利用AI技術(shù)提升數(shù)據(jù)價(jià)值，已經(jīng)成為了當(dāng)前計(jì)算技術(shù)的發(fā)展趨勢。AI技術(shù)在將來的網(wǎng)絡(luò)安全實(shí)現(xiàn)上一定會得到更充分的利用，發(fā)揮出更大的社會價(jià)值。當(dāng)然也會有著更多沒有解決的挑戰(zhàn)性問題等待著我們?nèi)ヌ剿骱徒鉀Q。

參考文獻(xiàn)：

[1] 岳揚(yáng).人工智能技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用研究[J].電腦迷，2017（11）：157.

[2] 張孝榮.人工智能產(chǎn)業(yè)2018年待解的三大難題[N]. 人民郵電，2018-02-02（005）

[3] 物聯(lián)網(wǎng)安全存威脅 人工智能可否成定心法寶 - 物聯(lián)中國-網(wǎng)絡(luò)（http：//www.ciotimes.com/iot/134096.html）