高偉波 李仲琴

摘? ?要：人工智能工具用于分析數(shù)據和預測結果，其對許多行業(yè)都是福音，包括網絡安全和國防行業(yè)。目前，越來越多的防病毒和網絡威脅情報系統(tǒng)正在尋求將人工智能技術集成到網絡防御響應能力中。過去網絡安全領域的觀點認為威脅主要來自于單獨的黑客入侵行為，而事實上，我們面對的是有著嚴密組織的網絡犯罪集團[1]，勒索軟件就是一個典型的例子。傳統(tǒng)網絡安全領域存在兩個重大缺陷：一是非常依賴規(guī)則;二是無法根據現(xiàn)代企業(yè)的規(guī)模進行擴展。但是，人工智能則可憑借其強大的學習和運算能力，迅速地從百萬次迥異的嫌疑事件中發(fā)現(xiàn)異常、風險和未知威脅的信號。文章闡述該如何利用人工智能、機器學習、深度感知等方法，提升應對網絡安全威脅的能力，從而更全面、高效地建設我國的信息安全保障機制，使局部安全服務于國家安全。

關鍵詞：人工智能;網絡安全;深度學習

中圖分類號： TP393.0? ? ? ? ? 文獻標識碼：A

Abstract： Artificial intelligence tools are used to analyze data and predict results. They are good news for many industries， including cybersecurity and defense industries. At present， more and more antivirus and network threat intelligence systems are seeking to integrate artificial intelligence technology into network defense response capabilities. In the past， the point of view in the field of cybersecurity was that the threat mainly came from separate hacking activities. In fact， we are faced with a tightly organized cybercrime group[1]. Ransomware is a typical example. There are two major flaws in the traditional cybersecurity field： one is very dependent on rules; the other is that it cannot be expanded according to the scale of modern enterprises. However， artificial intelligence can quickly find signals of anomalies， risks， and unknown threats from millions of very different suspected events with its powerful learning and computing capabilities. This article explains how to use artificial intelligence， machine learning， depth perception and other methods to improve the ability to respond to cybersecurity threats， so as to build a more comprehensive and efficient information security assurance mechanism in my country， so that local security serves national security.

Key words： artificial intelligence; cybersecurity; deep learning

1 引言

人工智能在進入20世紀后高速發(fā)展，尤其是在2010年后，一系列基于大數(shù)據、高性能GPU和高速網絡的深度學習方法被研究完善，使得之前被認為需要到21世紀中葉才能實現(xiàn)的人工智能技術，在當前就已經成為現(xiàn)實。

最初，網絡安全和人工智能被認為是兩個獨立的實體。為了提高工作效率，人工智能研究人員開始著手創(chuàng)建機器學習模型，而網絡安全專家則試圖設計出更安全的身份審計系統(tǒng)。隨著時間的推移，這兩個領域的發(fā)展越來越緊密，為了混淆身份驗證系統(tǒng)，入侵的手段越來越隱蔽且復雜化，但人們可以將CAPTCHA與人工智能[2]在安全性方面的博弈，視為一個很好的例子.在CAPTCHA中，用戶將鍵入扭曲（底噪）的圖片上的字母，或者鍵入出現(xiàn)在屏幕上順序顛倒模糊的字母或數(shù)字。以前，CAPTCHA可以通過讓人識別扭曲的文字來輕易過濾算法，但到了2014年，人工智能在解決這類問題時已經超過人類，之后有一些人機識別機制轉而使用圖片場景識別，例如谷歌就經常讓用戶找出圖片中的十字路口或交通信號燈。然而，人工智能現(xiàn)在對于這類問題的解答能力超過了人類。

鑒于上述情況，并結合近兩年的研究表明，將人工智能整合入企業(yè)的網絡安全體系中，可大幅降低企業(yè)全球化后所面臨的日益增長的網絡安全威脅。隨著企業(yè)在信息化建設、大數(shù)據商業(yè)分析和計算能力等方面的不斷提高，來自網絡的威脅也越來越多樣化，其入侵的手段已經不再局限于釣魚郵件、惡意注入等，而是開始大規(guī)模地利用社會工程學、勒索軟件、APT等方式，以期對目標企業(yè)造成巨大的經濟和信用打擊，如何確保企業(yè)重要資產的安全和客戶的隱私，成為了擺在所有機構面前的頭等大事。引入人工智能輔助網絡安全管理的優(yōu)勢在于，可以立即識別可疑問題并做出反應，從而防止?jié)撛趩栴}干擾業(yè)務。

與此同時，人工智能技術也是一把“雙刃劍”。確實，盡管人工智能和機器學習為網絡安全提供了好處，但也有可能產生其他問題，因為這些工具可以幫助抵御黑客攻擊，網絡犯罪分子很可能會使用相同的技術來使攻擊更加有效。歐洲刑警組織（Europol）的一份報告警告[3]說，人工智能是新興的技術之一，它可能使網絡攻擊比以往任何時候更加危險，甚至網絡犯罪分子可能已經開始使用這些技術，來幫助進行黑客活動和惡意軟件攻擊。

2 網絡安全態(tài)勢綜述和發(fā)展趨勢

如果將信息戰(zhàn)場比作是一場沒有硝煙的戰(zhàn)爭，那么這應該是世界上最長的戰(zhàn)爭。根據IDG CSO的統(tǒng)計，預計2021年，各國在網絡安全上的投入預算達到6萬億美元，在對已知的“嚴重”等級以上的網絡安全事件進行篩選后發(fā)現(xiàn)，導致網絡安全事件發(fā)生的最薄弱的環(huán)節(jié)并不是軟硬件的缺失，而是人為因素，這其中包括疏忽、誤操作、響應遲緩、決策錯誤等。

網絡安全是多方面的，就像人們可以為自己的家庭網絡設置諸如防火墻、虛擬操作系統(tǒng)和指紋驗證等安全保障。但是，保護企業(yè)網絡要復雜得多，隨著時間的推移，在現(xiàn)有的網絡安全理念的框架下，多樣化的威脅開始迅速涌現(xiàn)，現(xiàn)有的響應機制必須滿足不斷變化的威脅形勢的需求，這讓傳統(tǒng)的應對手段顯得老態(tài)龍鐘。與此同時，伴隨著網絡安全在技術上取得的每一次進步，入侵的手段也在不斷變化，對網絡安全造成的壓力也與日俱增。

現(xiàn)如今，人類所面臨的網絡安全威脅已日趨組織化、專業(yè)化、隱蔽化[4]，部署更加智能的網絡安全軟件是網絡安全防御發(fā)展的趨勢。安全信息和事件管理（SIEM）軟件提供安全事件分析以及各種信息的存儲和關聯(lián)，包括日志數(shù)據、威脅向量和用戶行為等信息，以及結構化威脅情報分析。人工智能是人類為了使機器變得更加智能的嘗試，情報是人類社會中獨特的重要組成部分，在網絡空間中亦是如此，但是，直到最近人工智能才逐漸取代人工手段，成為網絡空間中各類情報（大數(shù)據）獲取的主要來源。

3 人工智能在網絡安全領域的發(fā)展前景

為了增強現(xiàn)有的網絡安全系統(tǒng)和實踐，可以在三個方面應用人工智能。

3.1 預防和保護

一段時間以來，研究人員一直專注于人工智能阻止網絡入侵者的潛力。2014年，美國國防高級研究計劃局宣布了首屆DARPA網絡大挑戰(zhàn)賽，這項競賽由專業(yè)黑客和信息安全研究人員參加，通過利用基于人工智能的漏洞檢測系統(tǒng)找出安全漏洞并實時開發(fā)和部署解決方案。盡管仍處于初期階段，但網絡安全的未來可能會受益于更多使用人工智能的預防和保護系統(tǒng)，這些系統(tǒng)使用先進的機器學習技術來強化防御，還可以使人們靈活的與算法決策交互。

3.2 網絡安全屬性的定性檢測

傳統(tǒng)的網絡安全預警機制，依賴專業(yè)人員使用固有特征的威脅樣本的分析軟件，來檢測網絡中存在的異常，以及利用已知的攻擊方式對漏洞進行識別。一旦發(fā)現(xiàn)匹配的威脅特征時，分析軟件會向安全團隊發(fā)出警報，將這種工作模式歸類為基于定量風險的分析模式，這其中包括已知和未知的風險，優(yōu)點和不足都顯而易見。其中，不足集中表現(xiàn)在缺乏對未來網絡安全趨勢的預測和可持續(xù)性追蹤上，對于網絡威脅的預警只能是發(fā)生在事中或者事后，無法做到全過程可溯，造成這種情況的原因與前面提到的基于固有特征的定量風險管理模式是分不開的。

在網絡威脅不斷變化的情況下，準確的篩選網絡中的異常行為，對人類來說是一項極其龐大的工作。由于入侵行為（通常是數(shù)據盜竊）是長期的，因此網絡上也存在一些惡意軟件程序，并且看起來是無害的，稱之為高級持久威脅（APT）。它們經過精心設計，可以被網絡安全程序和分析軟件所忽略，繞過前段蜜罐，自動識別高價值信息，并可以長期潛伏在目標網絡中，且無論目標庫中的威脅特征碼如何更新，始終可將自身置于“高度受信”的名單內。面對APT，最好的方法就是引入“預測分析”和“認知計算”，作為人工智能的重要組成，“預測分析”也可以被成為“機器學習”，實際上它具備了比人類更好的識別模式。通過分析各種已發(fā)生的攻擊，即使它與先前已知的特征不匹配，人工智能也具備對可能的攻擊具有“直覺”或預測的能力。而“認知計算”則是人工智能模型通過模仿人腦動作，在系統(tǒng)輸入的大數(shù)據中，將網絡安全威脅事件篩查出來，它可以學習并獲得識別威脅的能力，構建基于態(tài)勢的網絡安全模型?！罢J知計算”可使用結構化和非結構化數(shù)據作為輸入，在異構數(shù)據的基礎上，提供類似于人為洞察力的人機協(xié)作關系。之后，它可以提供人類可能從未想出的見解或提出獨特的解決方案，這個稱之為輸出，從而增強網絡安全專業(yè)人員的能力，并且其速度遠遠超過了人類的能力。

3.3 對威脅和風險的即時響應

人工智能可以幫助優(yōu)先考慮需要關注的風險領域并自動化的執(zhí)行任務（例如在日志文件中搜索是否存在警告），從而減輕網絡安全分析師的工作量，將人員的工作重心轉移到更高價值的活動上。人工智能還可以基于共享的知識和學習，促進對外部或內部攻擊的智能響應。例如，目前人類擁有部署半自動，智能誘餌或“蜜罐”的技術，這些誘餌創(chuàng)建了要滲透的網絡環(huán)境，以使攻擊者認為他們在預期的入侵路徑上，然后使用欺騙手段來識別罪魁禍首。具有人工智能功能的響應系統(tǒng)可以動態(tài)隔離網絡，以將有價值的資產隔離在安全的“地方”，或使攻擊者遠離漏洞或有價值的數(shù)據。

在傳統(tǒng)網絡安全領域中，所有網絡安全團隊面臨的最大挑戰(zhàn)就是疲勞。他們疲于在上千萬的網絡安全響應中奔命，響應時間被無限的延遲。畢竟與人工智能相比，人類理解大型數(shù)據集的能力并不是很好。人工智能的引入為專業(yè)人員提供了所需要的威脅分類關聯(lián)信息（可理解為上下文信息），從而可以更快、更明智地制定決策，并降低勞動強度，同時借助網絡安全分析軟件提供的數(shù)據（預測分析），以及上下文數(shù)據毫實時更新網絡安全知識集，再加上先前確定的見解（認知計算），人工智能可以比任何人更快，更準確地關聯(lián)所有數(shù)據。自工業(yè)革命開始以來，人工智能可能被證明是人類技術上最大的進步，曾經只在科幻小說中構思過的人工智能，終于出現(xiàn)在這里并影響著人們的日常生活。

網絡安全研究人員已經成功地操控了由亞馬遜、蘋果和谷歌開發(fā)的人工智能系統(tǒng)，以進行撥號電話和瀏覽論壇留言等操作，并且無需借助任何自動化運行腳本。眾所周知，Alexa、Siri和Google Assistant是人類所接觸到和使用最廣泛的人工智能輔助程序，目前諸多APT都已瞄準了上述人工智能平臺，企圖操控用戶安裝在設備中的金融程序或通訊軟件，以竊取相關數(shù)據或實施盜竊。實際上，根據網絡安全公司Webroot的一項調查，在美國和日本，超過90%的網絡安全專業(yè)人員都表示，入侵者對其公司所使用的人工智能系統(tǒng)十分感興趣，尤其是涉及到商業(yè)決策和客戶關系管理的后端人工智能系統(tǒng)。

6 結束語

本文提出的人工智能在網絡安全領域的場景應用，能有效增強關鍵信息基礎網絡和服務的安全水平，提高網絡在應對0Day和APT時的可用性。在當前愈發(fā)嚴峻的國外內網絡安全形勢下，借助人工智能，打造一套更加堅固的網絡安全系統(tǒng)。與傳統(tǒng)的網絡安全解決方案相比，人工智能在這個領域展示出了它強大且靈活的一面。與此同時，人類也應該看到，盡管人工智能已在網絡安全領域發(fā)生了巨大作用，但并不是解決所有網絡安全問題的靈丹妙藥，不過這并不意味著不能利用人工智能方法，而是應該了解其不足并正確利用它。在此期間，人類需要對人工智能進行不斷的完善和訓練。

參考文獻

[1] IBM.Security Artificial Intelligence[R].中國：IBM，2018.

[2] 張亮.基于LSTM 型RNN 的CAPTCHA 識別方法[J].模式識別與人工智能，2011，1（24）：40-47.

[3] Europol.2019網絡有組織犯罪威脅評估報告[R].比利時： Europol，2019.

[4] Erik Zouave.Malicious Use of AI Poses a Real Cybersecurity Threat[EB/OL].https：//www.darkreading.com/vulnerabilities---threats/malicious-use-of-ai-poses-a-real-cybersecurity-threat/a/d-id/1337690，2020-5-5.

[5] KAKURU S. Behavior based network traffic analysis tool[C]//2011 IEEE 3rd International Conference on Communication Software and Networks （ICCSN）.Xi'an： IEEE， 2011： 649-652.

[6] GOODALL J R. Visualization is better！ a comparative evaluation[C]//6th International Workshop on Visualization for Cyber Security.Atlantic City， NJ： IEEE， 2009： 57-68.

[7] Fortinet.威脅態(tài)勢預測：網絡犯罪五大趨勢[R].美國： Fortinet，2019.

作者簡介：

高偉波（1986-），男，漢族，山東日照人，哈爾濱理工大學，本科，江西省核工業(yè)地質局261大隊，高級工程師;主要研究方向和關注領域：網絡安全、數(shù)據中心管理、地理信息系統(tǒng)數(shù)據庫建設、TensorFlow模型算法。

李仲琴（1988-），女，漢族，江西高安人，江西師范大學，本科，江西省核工業(yè)地質局261大隊，工程師;主要研究方向和關注領域：輿情與輿論情報分析、信息系統(tǒng)安全管理、工業(yè)基礎網絡防護。