高偉波 李仲琴

摘? ?要：人工智能工具用于分析數(shù)據(jù)和預(yù)測結(jié)果，其對許多行業(yè)都是福音，包括網(wǎng)絡(luò)安全和國防行業(yè)。目前，越來越多的防病毒和網(wǎng)絡(luò)威脅情報系統(tǒng)正在尋求將人工智能技術(shù)集成到網(wǎng)絡(luò)防御響應(yīng)能力中。過去網(wǎng)絡(luò)安全領(lǐng)域的觀點認(rèn)為威脅主要來自于單獨的黑客入侵行為，而事實上，我們面對的是有著嚴(yán)密組織的網(wǎng)絡(luò)犯罪集團(tuán)[1]，勒索軟件就是一個典型的例子。傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域存在兩個重大缺陷：一是非常依賴規(guī)則;二是無法根據(jù)現(xiàn)代企業(yè)的規(guī)模進(jìn)行擴(kuò)展。但是，人工智能則可憑借其強大的學(xué)習(xí)和運算能力，迅速地從百萬次迥異的嫌疑事件中發(fā)現(xiàn)異常、風(fēng)險和未知威脅的信號。文章闡述該如何利用人工智能、機(jī)器學(xué)習(xí)、深度感知等方法，提升應(yīng)對網(wǎng)絡(luò)安全威脅的能力，從而更全面、高效地建設(shè)我國的信息安全保障機(jī)制，使局部安全服務(wù)于國家安全。

關(guān)鍵詞：人工智能;網(wǎng)絡(luò)安全;深度學(xué)習(xí)

中圖分類號： TP393.0? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A

Abstract： Artificial intelligence tools are used to analyze data and predict results. They are good news for many industries， including cybersecurity and defense industries. At present， more and more antivirus and network threat intelligence systems are seeking to integrate artificial intelligence technology into network defense response capabilities. In the past， the point of view in the field of cybersecurity was that the threat mainly came from separate hacking activities. In fact， we are faced with a tightly organized cybercrime group[1]. Ransomware is a typical example. There are two major flaws in the traditional cybersecurity field： one is very dependent on rules; the other is that it cannot be expanded according to the scale of modern enterprises. However， artificial intelligence can quickly find signals of anomalies， risks， and unknown threats from millions of very different suspected events with its powerful learning and computing capabilities. This article explains how to use artificial intelligence， machine learning， depth perception and other methods to improve the ability to respond to cybersecurity threats， so as to build a more comprehensive and efficient information security assurance mechanism in my country， so that local security serves national security.

Key words： artificial intelligence; cybersecurity; deep learning

1 引言

人工智能在進(jìn)入20世紀(jì)后高速發(fā)展，尤其是在2010年后，一系列基于大數(shù)據(jù)、高性能GPU和高速網(wǎng)絡(luò)的深度學(xué)習(xí)方法被研究完善，使得之前被認(rèn)為需要到21世紀(jì)中葉才能實現(xiàn)的人工智能技術(shù)，在當(dāng)前就已經(jīng)成為現(xiàn)實。

最初，網(wǎng)絡(luò)安全和人工智能被認(rèn)為是兩個獨立的實體。為了提高工作效率，人工智能研究人員開始著手創(chuàng)建機(jī)器學(xué)習(xí)模型，而網(wǎng)絡(luò)安全專家則試圖設(shè)計出更安全的身份審計系統(tǒng)。隨著時間的推移，這兩個領(lǐng)域的發(fā)展越來越緊密，為了混淆身份驗證系統(tǒng)，入侵的手段越來越隱蔽且復(fù)雜化，但人們可以將CAPTCHA與人工智能[2]在安全性方面的博弈，視為一個很好的例子.在CAPTCHA中，用戶將鍵入扭曲（底噪）的圖片上的字母，或者鍵入出現(xiàn)在屏幕上順序顛倒模糊的字母或數(shù)字。以前，CAPTCHA可以通過讓人識別扭曲的文字來輕易過濾算法，但到了2014年，人工智能在解決這類問題時已經(jīng)超過人類，之后有一些人機(jī)識別機(jī)制轉(zhuǎn)而使用圖片場景識別，例如谷歌就經(jīng)常讓用戶找出圖片中的十字路口或交通信號燈。然而，人工智能現(xiàn)在對于這類問題的解答能力超過了人類。

鑒于上述情況，并結(jié)合近兩年的研究表明，將人工智能整合入企業(yè)的網(wǎng)絡(luò)安全體系中，可大幅降低企業(yè)全球化后所面臨的日益增長的網(wǎng)絡(luò)安全威脅。隨著企業(yè)在信息化建設(shè)、大數(shù)據(jù)商業(yè)分析和計算能力等方面的不斷提高，來自網(wǎng)絡(luò)的威脅也越來越多樣化，其入侵的手段已經(jīng)不再局限于釣魚郵件、惡意注入等，而是開始大規(guī)模地利用社會工程學(xué)、勒索軟件、APT等方式，以期對目標(biāo)企業(yè)造成巨大的經(jīng)濟(jì)和信用打擊，如何確保企業(yè)重要資產(chǎn)的安全和客戶的隱私，成為了擺在所有機(jī)構(gòu)面前的頭等大事。引入人工智能輔助網(wǎng)絡(luò)安全管理的優(yōu)勢在于，可以立即識別可疑問題并做出反應(yīng)，從而防止?jié)撛趩栴}干擾業(yè)務(wù)。

與此同時，人工智能技術(shù)也是一把“雙刃劍”。確實，盡管人工智能和機(jī)器學(xué)習(xí)為網(wǎng)絡(luò)安全提供了好處，但也有可能產(chǎn)生其他問題，因為這些工具可以幫助抵御黑客攻擊，網(wǎng)絡(luò)犯罪分子很可能會使用相同的技術(shù)來使攻擊更加有效。歐洲刑警組織（Europol）的一份報告警告[3]說，人工智能是新興的技術(shù)之一，它可能使網(wǎng)絡(luò)攻擊比以往任何時候更加危險，甚至網(wǎng)絡(luò)犯罪分子可能已經(jīng)開始使用這些技術(shù)，來幫助進(jìn)行黑客活動和惡意軟件攻擊。

2 網(wǎng)絡(luò)安全態(tài)勢綜述和發(fā)展趨勢

如果將信息戰(zhàn)場比作是一場沒有硝煙的戰(zhàn)爭，那么這應(yīng)該是世界上最長的戰(zhàn)爭。根據(jù)IDG CSO的統(tǒng)計，預(yù)計2021年，各國在網(wǎng)絡(luò)安全上的投入預(yù)算達(dá)到6萬億美元，在對已知的“嚴(yán)重”等級以上的網(wǎng)絡(luò)安全事件進(jìn)行篩選后發(fā)現(xiàn)，導(dǎo)致網(wǎng)絡(luò)安全事件發(fā)生的最薄弱的環(huán)節(jié)并不是軟硬件的缺失，而是人為因素，這其中包括疏忽、誤操作、響應(yīng)遲緩、決策錯誤等。

網(wǎng)絡(luò)安全是多方面的，就像人們可以為自己的家庭網(wǎng)絡(luò)設(shè)置諸如防火墻、虛擬操作系統(tǒng)和指紋驗證等安全保障。但是，保護(hù)企業(yè)網(wǎng)絡(luò)要復(fù)雜得多，隨著時間的推移，在現(xiàn)有的網(wǎng)絡(luò)安全理念的框架下，多樣化的威脅開始迅速涌現(xiàn)，現(xiàn)有的響應(yīng)機(jī)制必須滿足不斷變化的威脅形勢的需求，這讓傳統(tǒng)的應(yīng)對手段顯得老態(tài)龍鐘。與此同時，伴隨著網(wǎng)絡(luò)安全在技術(shù)上取得的每一次進(jìn)步，入侵的手段也在不斷變化，對網(wǎng)絡(luò)安全造成的壓力也與日俱增。

現(xiàn)如今，人類所面臨的網(wǎng)絡(luò)安全威脅已日趨組織化、專業(yè)化、隱蔽化[4]，部署更加智能的網(wǎng)絡(luò)安全軟件是網(wǎng)絡(luò)安全防御發(fā)展的趨勢。安全信息和事件管理（SIEM）軟件提供安全事件分析以及各種信息的存儲和關(guān)聯(lián)，包括日志數(shù)據(jù)、威脅向量和用戶行為等信息，以及結(jié)構(gòu)化威脅情報分析。人工智能是人類為了使機(jī)器變得更加智能的嘗試，情報是人類社會中獨特的重要組成部分，在網(wǎng)絡(luò)空間中亦是如此，但是，直到最近人工智能才逐漸取代人工手段，成為網(wǎng)絡(luò)空間中各類情報（大數(shù)據(jù)）獲取的主要來源。

3 人工智能在網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展前景

為了增強現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)和實踐，可以在三個方面應(yīng)用人工智能。

3.1 預(yù)防和保護(hù)

一段時間以來，研究人員一直專注于人工智能阻止網(wǎng)絡(luò)入侵者的潛力。2014年，美國國防高級研究計劃局宣布了首屆DARPA網(wǎng)絡(luò)大挑戰(zhàn)賽，這項競賽由專業(yè)黑客和信息安全研究人員參加，通過利用基于人工智能的漏洞檢測系統(tǒng)找出安全漏洞并實時開發(fā)和部署解決方案。盡管仍處于初期階段，但網(wǎng)絡(luò)安全的未來可能會受益于更多使用人工智能的預(yù)防和保護(hù)系統(tǒng)，這些系統(tǒng)使用先進(jìn)的機(jī)器學(xué)習(xí)技術(shù)來強化防御，還可以使人們靈活的與算法決策交互。

3.2 網(wǎng)絡(luò)安全屬性的定性檢測

傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)警機(jī)制，依賴專業(yè)人員使用固有特征的威脅樣本的分析軟件，來檢測網(wǎng)絡(luò)中存在的異常，以及利用已知的攻擊方式對漏洞進(jìn)行識別。一旦發(fā)現(xiàn)匹配的威脅特征時，分析軟件會向安全團(tuán)隊發(fā)出警報，將這種工作模式歸類為基于定量風(fēng)險的分析模式，這其中包括已知和未知的風(fēng)險，優(yōu)點和不足都顯而易見。其中，不足集中表現(xiàn)在缺乏對未來網(wǎng)絡(luò)安全趨勢的預(yù)測和可持續(xù)性追蹤上，對于網(wǎng)絡(luò)威脅的預(yù)警只能是發(fā)生在事中或者事后，無法做到全過程可溯，造成這種情況的原因與前面提到的基于固有特征的定量風(fēng)險管理模式是分不開的。

在網(wǎng)絡(luò)威脅不斷變化的情況下，準(zhǔn)確的篩選網(wǎng)絡(luò)中的異常行為，對人類來說是一項極其龐大的工作。由于入侵行為（通常是數(shù)據(jù)盜竊）是長期的，因此網(wǎng)絡(luò)上也存在一些惡意軟件程序，并且看起來是無害的，稱之為高級持久威脅（APT）。它們經(jīng)過精心設(shè)計，可以被網(wǎng)絡(luò)安全程序和分析軟件所忽略，繞過前段蜜罐，自動識別高價值信息，并可以長期潛伏在目標(biāo)網(wǎng)絡(luò)中，且無論目標(biāo)庫中的威脅特征碼如何更新，始終可將自身置于“高度受信”的名單內(nèi)。面對APT，最好的方法就是引入“預(yù)測分析”和“認(rèn)知計算”，作為人工智能的重要組成，“預(yù)測分析”也可以被成為“機(jī)器學(xué)習(xí)”，實際上它具備了比人類更好的識別模式。通過分析各種已發(fā)生的攻擊，即使它與先前已知的特征不匹配，人工智能也具備對可能的攻擊具有“直覺”或預(yù)測的能力。而“認(rèn)知計算”則是人工智能模型通過模仿人腦動作，在系統(tǒng)輸入的大數(shù)據(jù)中，將網(wǎng)絡(luò)安全威脅事件篩查出來，它可以學(xué)習(xí)并獲得識別威脅的能力，構(gòu)建基于態(tài)勢的網(wǎng)絡(luò)安全模型?！罢J(rèn)知計算”可使用結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)作為輸入，在異構(gòu)數(shù)據(jù)的基礎(chǔ)上，提供類似于人為洞察力的人機(jī)協(xié)作關(guān)系。之后，它可以提供人類可能從未想出的見解或提出獨特的解決方案，這個稱之為輸出，從而增強網(wǎng)絡(luò)安全專業(yè)人員的能力，并且其速度遠(yuǎn)遠(yuǎn)超過了人類的能力。

3.3 對威脅和風(fēng)險的即時響應(yīng)

人工智能可以幫助優(yōu)先考慮需要關(guān)注的風(fēng)險領(lǐng)域并自動化的執(zhí)行任務(wù)（例如在日志文件中搜索是否存在警告），從而減輕網(wǎng)絡(luò)安全分析師的工作量，將人員的工作重心轉(zhuǎn)移到更高價值的活動上。人工智能還可以基于共享的知識和學(xué)習(xí)，促進(jìn)對外部或內(nèi)部攻擊的智能響應(yīng)。例如，目前人類擁有部署半自動，智能誘餌或“蜜罐”的技術(shù)，這些誘餌創(chuàng)建了要滲透的網(wǎng)絡(luò)環(huán)境，以使攻擊者認(rèn)為他們在預(yù)期的入侵路徑上，然后使用欺騙手段來識別罪魁禍?zhǔn)?。具有人工智能功能的響?yīng)系統(tǒng)可以動態(tài)隔離網(wǎng)絡(luò)，以將有價值的資產(chǎn)隔離在安全的“地方”，或使攻擊者遠(yuǎn)離漏洞或有價值的數(shù)據(jù)。

在傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域中，所有網(wǎng)絡(luò)安全團(tuán)隊面臨的最大挑戰(zhàn)就是疲勞。他們疲于在上千萬的網(wǎng)絡(luò)安全響應(yīng)中奔命，響應(yīng)時間被無限的延遲。畢竟與人工智能相比，人類理解大型數(shù)據(jù)集的能力并不是很好。人工智能的引入為專業(yè)人員提供了所需要的威脅分類關(guān)聯(lián)信息（可理解為上下文信息），從而可以更快、更明智地制定決策，并降低勞動強度，同時借助網(wǎng)絡(luò)安全分析軟件提供的數(shù)據(jù)（預(yù)測分析），以及上下文數(shù)據(jù)毫實時更新網(wǎng)絡(luò)安全知識集，再加上先前確定的見解（認(rèn)知計算），人工智能可以比任何人更快，更準(zhǔn)確地關(guān)聯(lián)所有數(shù)據(jù)。自工業(yè)革命開始以來，人工智能可能被證明是人類技術(shù)上最大的進(jìn)步，曾經(jīng)只在科幻小說中構(gòu)思過的人工智能，終于出現(xiàn)在這里并影響著人們的日常生活。

網(wǎng)絡(luò)安全研究人員已經(jīng)成功地操控了由亞馬遜、蘋果和谷歌開發(fā)的人工智能系統(tǒng)，以進(jìn)行撥號電話和瀏覽論壇留言等操作，并且無需借助任何自動化運行腳本。眾所周知，Alexa、Siri和Google Assistant是人類所接觸到和使用最廣泛的人工智能輔助程序，目前諸多APT都已瞄準(zhǔn)了上述人工智能平臺，企圖操控用戶安裝在設(shè)備中的金融程序或通訊軟件，以竊取相關(guān)數(shù)據(jù)或?qū)嵤┍I竊。實際上，根據(jù)網(wǎng)絡(luò)安全公司W(wǎng)ebroot的一項調(diào)查，在美國和日本，超過90%的網(wǎng)絡(luò)安全專業(yè)人員都表示，入侵者對其公司所使用的人工智能系統(tǒng)十分感興趣，尤其是涉及到商業(yè)決策和客戶關(guān)系管理的后端人工智能系統(tǒng)。

6 結(jié)束語

本文提出的人工智能在網(wǎng)絡(luò)安全領(lǐng)域的場景應(yīng)用，能有效增強關(guān)鍵信息基礎(chǔ)網(wǎng)絡(luò)和服務(wù)的安全水平，提高網(wǎng)絡(luò)在應(yīng)對0Day和APT時的可用性。在當(dāng)前愈發(fā)嚴(yán)峻的國外內(nèi)網(wǎng)絡(luò)安全形勢下，借助人工智能，打造一套更加堅固的網(wǎng)絡(luò)安全系統(tǒng)。與傳統(tǒng)的網(wǎng)絡(luò)安全解決方案相比，人工智能在這個領(lǐng)域展示出了它強大且靈活的一面。與此同時，人類也應(yīng)該看到，盡管人工智能已在網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了巨大作用，但并不是解決所有網(wǎng)絡(luò)安全問題的靈丹妙藥，不過這并不意味著不能利用人工智能方法，而是應(yīng)該了解其不足并正確利用它。在此期間，人類需要對人工智能進(jìn)行不斷的完善和訓(xùn)練。

參考文獻(xiàn)

[1] IBM.Security Artificial Intelligence[R].中國：IBM，2018.

[2] 張亮.基于LSTM 型RNN 的CAPTCHA 識別方法[J].模式識別與人工智能，2011，1（24）：40-47.

[3] Europol.2019網(wǎng)絡(luò)有組織犯罪威脅評估報告[R].比利時： Europol，2019.

[4] Erik Zouave.Malicious Use of AI Poses a Real Cybersecurity Threat[EB/OL].https：//www.darkreading.com/vulnerabilities---threats/malicious-use-of-ai-poses-a-real-cybersecurity-threat/a/d-id/1337690，2020-5-5.

[5] KAKURU S. Behavior based network traffic analysis tool[C]//2011 IEEE 3rd International Conference on Communication Software and Networks （ICCSN）.Xi'an： IEEE， 2011： 649-652.

[6] GOODALL J R. Visualization is better！ a comparative evaluation[C]//6th International Workshop on Visualization for Cyber Security.Atlantic City， NJ： IEEE， 2009： 57-68.

[7] Fortinet.威脅態(tài)勢預(yù)測：網(wǎng)絡(luò)犯罪五大趨勢[R].美國： Fortinet，2019.

作者簡介：

高偉波（1986-），男，漢族，山東日照人，哈爾濱理工大學(xué)，本科，江西省核工業(yè)地質(zhì)局261大隊，高級工程師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、數(shù)據(jù)中心管理、地理信息系統(tǒng)數(shù)據(jù)庫建設(shè)、TensorFlow模型算法。

李仲琴（1988-），女，漢族，江西高安人，江西師范大學(xué)，本科，江西省核工業(yè)地質(zhì)局261大隊，工程師;主要研究方向和關(guān)注領(lǐng)域：輿情與輿論情報分析、信息系統(tǒng)安全管理、工業(yè)基礎(chǔ)網(wǎng)絡(luò)防護(hù)。