隨著全球網(wǎng)絡信息化技術的快速發(fā)展，先進的攻擊與防御技術助漲了新型犯罪，對國家穩(wěn)定、社會治安及百姓正常生活造成了較為惡劣的影響。而應對新型犯罪技術的方法、技術工具裝備呈現(xiàn)匱乏狀態(tài)。

新型犯罪伴隨著先進技術態(tài)勢猛烈且無休眠，違法分子、恐怖主義，甚至帶有國家標簽屬性的組織通過先進網(wǎng)絡技術的利用與實施，進行竊密控制、入侵破壞、非法傳播、恐怖活動等違法行為，甚至組建僵尸網(wǎng)絡干預輿論，并逃避公安機關的打擊。這些違法犯罪活動呈現(xiàn)無邊界、無疆域、無法有效快速追根溯源的特性，結合其隱蔽性高，技術變種快，破壞力大，難以察覺，擴散效應惡劣的特點，給目前的維穩(wěn)、反恐、犯罪打擊取證工作造成了諸多阻礙。

趨勢：人工智能已經(jīng)日漸趨勢化，它是研究、開發(fā)用于模擬、延伸和擴展人的智能的理論、方法、技術及應用系統(tǒng)的一門新的技術科學。如何在網(wǎng)絡安全保障工作中使用人工智能，應對各種技術難點，充分發(fā)揮人工智能優(yōu)勢，是未來網(wǎng)絡安全領域的趨勢。

技術：網(wǎng)絡自動化攻防AI智能（人工智能攻防機器人），通過學習人的攻防習性、流程、手法及漏洞利用方式執(zhí)行復雜化網(wǎng)絡任務，主要為智能化攻擊與防御兩個方向。

人工智能攻防機器人主要作用于滲透作業(yè)和執(zhí)行任務，通過前期大量的對攻擊數(shù)據(jù)以及防御數(shù)據(jù)分析和利用算法整合以及深度學習，能夠讓機器人能夠自主去識別目標應用的潛在威脅并加以利用，識別攻擊源和行為并加以防御。

攻擊機器人

通過攻擊行為數(shù)據(jù)搜集和數(shù)據(jù)抓取，對其進行有效行為分析后入庫，在數(shù)據(jù)庫中可以隨時被機器人調用，通過長時間的算法學習測試，可以讓機器人自主辨別目標系統(tǒng)環(huán)境。另加上系統(tǒng)掃描減少識別難度后，機器人可以根據(jù)掃描的結果自主選擇數(shù)據(jù)庫中相對應的類型并執(zhí)行攻擊動作。完成一次任務后，這些動作將被收錄在數(shù)據(jù)庫中以便于機器在更多的數(shù)據(jù)中進行學習。

攻擊數(shù)據(jù)抓取

數(shù)據(jù)抓取分為四部分，分別是：文件操作，腳本操作，后臺操作以及數(shù)據(jù)協(xié)議的抓取。其中，文件操作分為：對文件夾的增、刪、查、改動作，對各類文件的增、刪、查、改動作（包括但不限于txt，office，python，php，c）；程序的操作分為：程序動作、程序內輸入的內容、程序運行時間以及結束時間等；后臺的操作分為：任務管理器內增刪查改的項，注冊表中增刪查改的項以及靜默安裝程序后任務管理器和注冊表內變動的項；數(shù)據(jù)協(xié)議分為：常規(guī)協(xié)議分析（包括但不限于ARP、TCP/IP、SNMP、DHCP、RDP、 FTP、HTTP/s、ICMP、POP3、SMTP、TELNET、TFTP以及UDP）。

攻擊行為分析

在數(shù)據(jù)抓取后，需要對抓取內容進行篩選，哪些是機器人需要則保留，如果不需要則丟棄，從而形成數(shù)據(jù)格式化，以便于機器人能夠快速讀取和學習。在過程中，可以對有效操作進行摘取，假設在開文件夾后又關閉了該文件夾且在操作以及后臺程序未對該文件夾進行操作，則判定為無效操作。

深度學習

在深度學習攻擊模塊中涉及到的有7點：1）采集海量攻擊數(shù)據(jù)存儲在數(shù)據(jù)庫中，并且對其進行數(shù)據(jù)分析。2）將其中不小于二維的文本數(shù)據(jù)隨時間與空間的變化值與對應的數(shù)據(jù)關聯(lián)并匯總成一條單元訓練數(shù)據(jù)。3）經(jīng)過數(shù)據(jù)庫的整理之后格式化成計算機可理解的結構化數(shù)據(jù)陣矩并從每個單元數(shù)據(jù)中提取特征。4）將成型的數(shù)據(jù)設置到計算機內對應的深度學習模型的存儲模塊中。5）通過計算機對深度學習模型進行優(yōu)化運算。6）將獲取成型的結構化數(shù)據(jù)導入到深度學習模型中進行分析。7）通過該模型進行結果輸出。

模型示例：

入侵視角復現(xiàn)關鍵要素（見表1）。

系統(tǒng)掃描、漏洞分析以及漏洞利用

掃描工具包括但不限于基于網(wǎng)絡、主機以及應用的掃描器。將掃描結果格式化輸出到數(shù)據(jù)庫中并且和機器學習的庫進行關聯(lián)，通過AI的匹配關聯(lián)能夠迅速找到相應的攻擊辦法，從而進行相應方法的攻擊重放，最后輸出攻擊結果。

防御機器人

防御機器人通過攻擊數(shù)據(jù)搜集和數(shù)據(jù)抓取，對其進行有效行為分析后入庫，在數(shù)據(jù)庫中可以隨時被機器人調用，通過長時間的算法學習測試，可以讓機器人通過入侵檢測系統(tǒng)檢測出的危險行為自主去進行防御，例如修補漏洞或升級補丁。完成一次任務后這些動作將被收錄在數(shù)據(jù)庫中以便于機器人在更多的數(shù)據(jù)中進行學習。

防御數(shù)據(jù)抓取

主動數(shù)據(jù)抓取分為四部分，分別是，文件操作，腳本操作，后臺操作以及數(shù)據(jù)協(xié)議的抓取。其中，文件操作分為：對文件夾的增、刪、查、改動作，對各類文件的增、刪、查、改動作（包括但不限于txt，office，python，php，c）；程序的操作分為：程序動作、程序內輸入的內容、程序運行時間以及結束時間等；后臺的操作分為：任務管理器內增刪查改的項，注冊表中增刪查改的項以及靜默安裝程序后任務管理器和注冊表內變動的項；數(shù)據(jù)協(xié)議分為：常規(guī)協(xié)議分析（包括但不限于ARP、TCP/IP、SNMP、DHCP、RDP、FTP、HTTP/s、ICMP、POP3、SMTP、TELNET、TFTP以及UDP）。補丁數(shù)據(jù)抓取目前分為三部分，但是不限于此三項，分別是：對應系統(tǒng)的版本信息、補丁號以及打補丁的相關操作以及相關命令。

防御行為分析

在數(shù)據(jù)抓取后，需要對抓取內容進行篩選，哪些是機器人需要則保留，如果不需要則丟棄，從而形成數(shù)據(jù)格式化，以便于機器人能夠快速讀取和學習。在過程中，可以對有效操作進行摘取，假設在對某應用進行命令行打補丁時，該命令未對任何文件夾以及注冊表后臺等進行改變，則判定為無效操作。

入侵行為檢測、入侵行為分析以及防御分析和漏洞防御

IDS包括但不限于基于網(wǎng)絡、主機以及應用的檢測系統(tǒng)。將檢測結果格式化輸出到數(shù)據(jù)庫中并且和機器學習的庫進行關聯(lián)，通過AI的匹配關聯(lián)能夠迅速找到相應的防御辦法，從而進行相應防御方法的重放，最后輸出防御結果。

網(wǎng)絡自動化攻防AI智能

網(wǎng)絡空間目標因其復雜的設備部署、基礎操作系統(tǒng)部署、服務器部署、數(shù)據(jù)庫部署、應用軟件部署、內外網(wǎng)組合部署、跨地域組合部署、各種形式的交換部署、防御識別部署、先進技術更迭、加密傳輸隔離部署等，對網(wǎng)絡技術偵查、深度延展等工作造成了巨大的困難。未來，智能化攻防機器人的應用將大幅度增加。

（作者簡介：高建斌，江西省公安廳網(wǎng)絡安全總隊。）endprint