張?jiān)录t

（上海電子信息職業(yè)技術(shù)學(xué)院， 上海 201411）

多數(shù)的企事業(yè)單位僅采用防火墻、系統(tǒng)加固和終端接入安全等技術(shù)手段保護(hù)企業(yè)信息資產(chǎn),沒(méi)有建立長(zhǎng)期有效的風(fēng)險(xiǎn)防控機(jī)制。尤其在互聯(lián)網(wǎng)公司,依賴網(wǎng)絡(luò)應(yīng)用對(duì)用戶提供服務(wù),需要不斷更新上線新業(yè)務(wù),經(jīng)常是針對(duì)新系統(tǒng)、新應(yīng)用的安全措施根本無(wú)法及時(shí)部署,導(dǎo)致系統(tǒng)漏洞沒(méi)有及時(shí)修補(bǔ),因此遭受安全事件攻擊的頻率很高。為緩解這些現(xiàn)象,需要關(guān)注兩個(gè)問(wèn)題。一是檢測(cè)評(píng)估安全控制有效性的方法,要求站在黑客角度,針對(duì)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng),模擬網(wǎng)絡(luò)攻擊行為實(shí)施攻擊,以評(píng)估組織已采用安全控制措施是否達(dá)到控制風(fēng)險(xiǎn)至可接受水平；二是持續(xù)安全檢測(cè)的策略,因?yàn)楣羰浅掷m(xù)存在的,那么安全檢測(cè)同樣是一個(gè)長(zhǎng)期持續(xù)的過(guò)程。由于安全檢測(cè)與評(píng)估對(duì)組織而言也是成本,他們需要經(jīng)濟(jì)有效并高效持續(xù)的安全檢測(cè)方法。

應(yīng)對(duì)現(xiàn)今的網(wǎng)絡(luò)安全威脅所需的響應(yīng)速度已遠(yuǎn)遠(yuǎn)超過(guò)了人類(lèi)決策所能達(dá)到的速度。鑒于惡意軟件攻擊的數(shù)量和頻率不斷增加,基于人工智能的網(wǎng)絡(luò)防御系統(tǒng)被越來(lái)越多地用來(lái)主動(dòng)檢測(cè)和緩解威脅,這些智能設(shè)備從多組傳感器中收集數(shù)據(jù)。將網(wǎng)絡(luò)安全技術(shù)與人工智能技術(shù)結(jié)合,我們稱(chēng)之為“虛擬黑客機(jī)器人技術(shù)”。［1］它運(yùn)用人工智能技術(shù)模擬黑客入侵,以實(shí)現(xiàn)自動(dòng)化安全驗(yàn)證,為用戶提供持續(xù)性網(wǎng)絡(luò)安全驗(yàn)證服務(wù),保障業(yè)務(wù)系統(tǒng)上線的“事前”安全,同時(shí)建立業(yè)務(wù)安全驗(yàn)證體系。通過(guò)不斷進(jìn)行深度學(xué)習(xí)算法訓(xùn)練,化被動(dòng)防御為主動(dòng)攻擊,站在黑客的角度進(jìn)行持續(xù)驗(yàn)證性分析,量化企業(yè)風(fēng)險(xiǎn),改善安全態(tài)勢(shì),且全流程自動(dòng)化,可以解決組織中網(wǎng)絡(luò)安全人才缺乏及能力不足的問(wèn)題。［2］特別值得說(shuō)明的是傳統(tǒng)的安全工具通常可以發(fā)現(xiàn)大行其道的已知威脅,而虛擬黑客機(jī)器人所具有的智能可以唯一地幫助發(fā)現(xiàn)未出現(xiàn)過(guò)網(wǎng)絡(luò)威脅的微小信號(hào)。隨著高級(jí)網(wǎng)絡(luò)罪犯不斷開(kāi)發(fā)新穎的戰(zhàn)術(shù)、技術(shù)和流程來(lái)躲避已預(yù)置的包括已知攻擊特征的控制措施,這種發(fā)現(xiàn)未知威脅的能力已成為安全對(duì)抗中必備的需求。

一、傳統(tǒng)攻擊分析（Traditional attack analysis）

在網(wǎng)絡(luò)環(huán)境中發(fā)動(dòng)網(wǎng)絡(luò)攻擊以破壞服務(wù),竊取個(gè)人或企業(yè)數(shù)據(jù)并獲得網(wǎng)絡(luò)情報(bào)。惡意攻擊者利用操作系統(tǒng)的弱點(diǎn)來(lái)獲取訪問(wèn)權(quán)限并篡改操作系統(tǒng)的系統(tǒng)文件,執(zhí)行系統(tǒng)級(jí)命令來(lái)實(shí)現(xiàn)其惡意目標(biāo)。在表1中,根據(jù)攻擊目標(biāo)、預(yù)期的目標(biāo)設(shè)備或應(yīng)用程序、進(jìn)行特定攻擊時(shí)可能暴露的數(shù)據(jù)和信息、發(fā)生特定攻擊時(shí)受影響的環(huán)境類(lèi)型以及如何檢測(cè)到這些攻擊,對(duì)各種網(wǎng)絡(luò)攻擊進(jìn)行分類(lèi)。

表1 傳統(tǒng)的網(wǎng)絡(luò)攻擊分類(lèi)

1.速率控制。針對(duì)系統(tǒng)可用性的攻擊包括拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊。速率控制技術(shù)可通過(guò)基本流量限制和重新定義權(quán)限列表來(lái)減少傳入網(wǎng)絡(luò)流量,從而最大程度地降低此類(lèi)系統(tǒng)在受到攻擊時(shí)對(duì)其操作的影響。［3］

2.啟發(fā)式。防火墻和入侵檢測(cè)系統(tǒng)通常依靠啟發(fā)式規(guī)劃,識(shí)別并分類(lèi)網(wǎng)絡(luò)流量為合法或異常。這種技術(shù)執(zhí)行包括子字符串匹配的一系列步驟,以識(shí)別可疑的網(wǎng)站地址。再結(jié)合像Virus Total應(yīng)用程序（一個(gè)可以提供網(wǎng)址并獲得有關(guān)輸入網(wǎng)站惡意程度的評(píng)分分析的網(wǎng)站）來(lái)掃描網(wǎng)址,如果得分低,考慮兩次檢測(cè)結(jié)果來(lái)決定是否讓數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。

3.基于簽名的入侵檢測(cè)?；诤灻娜肭謾z測(cè)系統(tǒng)利用一個(gè)數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)可以存儲(chǔ)與正常流量對(duì)應(yīng)的合法簽名或與惡意流量對(duì)應(yīng)的攻擊簽名。入侵檢測(cè)系統(tǒng)將傳入的網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容與存儲(chǔ)的簽名實(shí)時(shí)進(jìn)行匹配。［4］該技術(shù)的缺點(diǎn)是:在沒(méi)有相關(guān)簽名的情況下,入侵檢測(cè)系統(tǒng)在準(zhǔn)確檢測(cè)進(jìn)入網(wǎng)絡(luò)的惡意流量方面的能力是有限的。

4.基于異常的入侵檢測(cè)。它是一種可以視為規(guī)范的模型,這些模型可以是基于規(guī)則的策略、［5］數(shù)學(xué)模型和統(tǒng)計(jì)技術(shù),偏離規(guī)范的流量將被視為攻擊。當(dāng)與基于簽名的檢測(cè)相比時(shí),此類(lèi)技術(shù)的優(yōu)勢(shì)在于無(wú)需依賴于簽名模式,從而將收集簽名的管理工作刪除了。

5. 最終用戶安全控制。當(dāng)前的最終用戶設(shè)備,例如手機(jī)、智能便攜式設(shè)備和個(gè)人計(jì)算機(jī),需要內(nèi)置安全性,而不是附加組件。［6］最終用戶可能不使用最新的安全補(bǔ)丁來(lái)更新其設(shè)備,而某些供應(yīng)商則試圖推送自動(dòng)更新以安裝安全補(bǔ)丁。Wannacry勒索軟件攻擊是一個(gè)示例,其中,廠商提供的最新安全補(bǔ)丁未在所有最終用戶設(shè)備上應(yīng)用。大多數(shù)時(shí)候,用戶并不了解不應(yīng)用補(bǔ)丁的含義,建議自動(dòng)更新并由供應(yīng)商直接推送到最終用戶設(shè)備,而無(wú)需用戶參與。但是,挑戰(zhàn)將是軟件供應(yīng)商必須確保安全更新可以防御新的攻擊（也稱(chēng)為零日攻擊）,［7］并且可以與最終用戶設(shè)備上的所有現(xiàn)有軟件無(wú)縫地協(xié)同工作。

二、黑客機(jī)器人的必要性分析（Necessity analysis of hacker robot）

傳統(tǒng)的安全管理方法與防護(hù)手段中存在的問(wèn)題:雖然安全管理類(lèi)系統(tǒng)的開(kāi)發(fā)到上市速度很快,但在敏捷開(kāi)發(fā)模型下嵌入安全性的結(jié)果并不理想,傳統(tǒng)滲透測(cè)試的成本和價(jià)值遠(yuǎn)超出相應(yīng)的商業(yè)回報(bào),通常不熟悉安全設(shè)計(jì)的開(kāi)發(fā)人員會(huì)被要求承擔(dān)在業(yè)務(wù)系統(tǒng)中實(shí)現(xiàn)安全這一責(zé)任,傳統(tǒng)的管理方法在重復(fù)的人工管理任務(wù)中使用太多時(shí)間和精力。

從攻防兩方來(lái)觀察當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀是這樣的:一方面,許多攻擊者都致力于在沒(méi)有休息日的情況下,以7×24小時(shí)的自動(dòng)化方式攻擊用戶或企業(yè)的設(shè)備和系統(tǒng)；互聯(lián)網(wǎng)上每天都會(huì)發(fā)現(xiàn)零日漏洞,每天都有驗(yàn)證性測(cè)試的測(cè)試攻擊代碼被發(fā)布到互聯(lián)網(wǎng)上,并直接可用。另一方面,我們的安全工程師只是在辦公時(shí)間來(lái)修補(bǔ)系統(tǒng)和應(yīng)用程序中的漏洞,企業(yè)一般沒(méi)有足夠的IT人員來(lái)支持運(yùn)營(yíng)網(wǎng)絡(luò)安全。同時(shí)業(yè)務(wù)需要的新應(yīng)用程序被開(kāi)發(fā)出來(lái),并根據(jù)市場(chǎng)需求不斷添加新的功能,這讓開(kāi)發(fā)工程師一直處于疲勞對(duì)付的狀態(tài)。想要擺脫困境,考慮防護(hù)方應(yīng)建立使用人工智能技術(shù)的集成平臺(tái),以自動(dòng)化方式來(lái)加強(qiáng)威脅檢測(cè)和漏洞管理過(guò)程。

網(wǎng)絡(luò)安全研究人員已開(kāi)始探索用人工智能方法來(lái)改善網(wǎng)絡(luò)安全。同樣,網(wǎng)絡(luò)罪犯也使用人工智能發(fā)起越來(lái)越復(fù)雜的網(wǎng)絡(luò)攻擊,同時(shí)隱藏了自己的蹤跡。在這項(xiàng)工作中,我們專(zhuān)注于基于人工智能的網(wǎng)絡(luò)安全檢測(cè)方案如何更好地發(fā)現(xiàn)攻擊者,并最小化或防止數(shù)據(jù)泄露。

虛擬黑客機(jī)器人替代人工服務(wù)提供持續(xù)安全驗(yàn)證服務(wù),可以提供如傳統(tǒng)滲透測(cè)試類(lèi)的安全檢測(cè)與評(píng)估類(lèi)服務(wù),包括如下的六大功能:一是資產(chǎn)探測(cè)?；谥悄芘廊〖夹g(shù)和指紋識(shí)別算法去確認(rèn)組織范圍內(nèi)的資產(chǎn),包括IP地址、域名、主機(jī)、操作系統(tǒng)、插件、網(wǎng)絡(luò)設(shè)備等資產(chǎn)。二是漏洞探測(cè)。對(duì)漏洞掃描工具、豐富的漏洞庫(kù)及安全攻擊事件知識(shí)、豐富的風(fēng)險(xiǎn)模型和專(zhuān)家知識(shí)等的研究,保證能提供有力的漏洞挖掘能力。三是滲透驗(yàn)證。使用智能沙箱技術(shù)去模擬攻擊環(huán)境,并檢驗(yàn)漏洞的真實(shí)性,在攻擊后階段,基于特征字典的數(shù)據(jù)搜索,能收集支撐未來(lái)攻擊的數(shù)據(jù)。［8］四是漏洞利用與攻擊。支持多種攻擊模式,可快速滿足用戶的不同安全驗(yàn)證需求；自動(dòng)驗(yàn)證漏洞結(jié)果的準(zhǔn)確性,確保輸出結(jié)果的真實(shí)、可靠、可用。五是風(fēng)險(xiǎn)量化展示。基于真實(shí)攻擊結(jié)果（如獲取數(shù)據(jù)或授權(quán)）的風(fēng)險(xiǎn)評(píng)估,自動(dòng)化產(chǎn)生攻擊鏈圖,全景展示黑客腳本和攻擊過(guò)程。六是高級(jí)持續(xù)性攻擊。針對(duì)目標(biāo)系統(tǒng)的持續(xù)漏洞檢查,可被如知識(shí)庫(kù)更新、資產(chǎn)變動(dòng)和漏洞知識(shí)迭代等多種類(lèi)型的事件觸發(fā)喚醒。

表2 虛擬黑客機(jī)器人的角色

隨著互聯(lián)網(wǎng)應(yīng)用的不斷變革,人工智能技術(shù)在網(wǎng)絡(luò)安全中的角色不斷拓寬。不僅是人工智能技術(shù)被應(yīng)用去解決問(wèn)題,同時(shí)也讓機(jī)器能像人一樣思考和工作。

三、優(yōu)勢(shì)分析（Analysis on the advantages）

虛擬黑客機(jī)器人在完成安全控制檢測(cè)的過(guò)程,可以采用標(biāo)準(zhǔn)化工作流程以簡(jiǎn)化漏洞和安全管理流程；通過(guò)自動(dòng)電子郵件通知、提醒和警報(bào)提高效率和減少溝通成本；通過(guò)不斷跟蹤、更新發(fā)現(xiàn)、補(bǔ)救和后續(xù)行動(dòng)來(lái)減少人工錯(cuò)誤；加快了漏洞評(píng)估過(guò)程,實(shí)現(xiàn)了從繁瑣低效、不斷重復(fù)的手動(dòng)操作到對(duì)抗持續(xù)的網(wǎng)絡(luò)攻擊；通過(guò)移動(dòng)儀表板顯示有關(guān)安全級(jí)別的即時(shí)情況,便于管理員了解當(dāng)前的安全態(tài)勢(shì)。

（一）兼容性和無(wú)縫集成

虛擬黑客機(jī)器人能與主流掃描工具兼容,并能集成和整合到企業(yè)的單一集中管理平臺(tái)中,還可以及時(shí)利用指定情報(bào)平臺(tái)收集的龐大知識(shí)數(shù)據(jù)。在龐大知識(shí)數(shù)據(jù)和情報(bào)的支撐下,虛擬黑客機(jī)器人具備更敏感的漏洞發(fā)現(xiàn)能力、更豐富的字典等,因此能夠?yàn)橛脩籼峁└鼜?qiáng)大的風(fēng)險(xiǎn)識(shí)別與安全驗(yàn)證能力。

（二）機(jī)器人技術(shù)自動(dòng)化

可以實(shí)現(xiàn)自動(dòng)化掃描調(diào)度、合并結(jié)果、生成和共享漏洞報(bào)告。報(bào)告內(nèi)容包括任務(wù)信息、資產(chǎn)信息、漏洞信息、風(fēng)險(xiǎn)評(píng)分、驗(yàn)證快照、修復(fù)建議等一系列內(nèi)容,同時(shí)提供按不同資產(chǎn)屬性的各種統(tǒng)計(jì)圖表等信息。大大提高了掃描結(jié)果的準(zhǔn)確性,能消除常見(jiàn)的掃描錯(cuò)誤:如SQL注入、中斷的身份驗(yàn)證和跨站點(diǎn)腳本。最大的優(yōu)點(diǎn)在于,能大大節(jié)省企業(yè)的人工操作成本和時(shí)間。

（三）持續(xù)升級(jí)能力

虛擬黑客機(jī)器人不斷升級(jí),在密碼破解能力、敏感文件搜索和網(wǎng)絡(luò)釣魚(yú)發(fā)現(xiàn)中能力不斷增加,它會(huì)根據(jù)最新的數(shù)據(jù)知識(shí),不斷規(guī)劃攻擊路徑。在任務(wù)執(zhí)行過(guò)程中,當(dāng)虛擬黑客機(jī)器人成功利用漏洞,并獲取新的信息或知識(shí)的時(shí)候,將會(huì)觸發(fā)新的攻擊子任務(wù),自動(dòng)利用新的數(shù)據(jù)知識(shí)進(jìn)行迭代攻擊。通過(guò)自動(dòng)迭代攻擊功能,虛擬黑客機(jī)器人為用戶提供了全面的、關(guān)聯(lián)性的安全驗(yàn)證服務(wù),從而提高企業(yè)對(duì)不斷發(fā)展的網(wǎng)絡(luò)攻擊的安全防御能力。

（四）自動(dòng)生成任務(wù)攻擊鏈圖

虛擬黑客機(jī)器人通過(guò)攻擊鏈圖可以直觀查看虛擬黑客機(jī)器人在攻擊過(guò)程中所發(fā)現(xiàn)資產(chǎn)、信息、漏洞以及這些流程的依賴步驟。［9］通過(guò)查看攻擊鏈圖,用戶可以簡(jiǎn)單操作即可完成黑客腳本的描述,可在客戶組織的內(nèi)部溝通中提供便利。

（五）虛擬黑客機(jī)器人提供攻擊全景的實(shí)時(shí)展示界面

界面內(nèi)容包含多類(lèi)可視化分析視圖、攻擊動(dòng)態(tài)、攻擊拓?fù)?、感染傳播、釣魚(yú)控制臺(tái)、全景合成、攻擊過(guò)程等信息,為用戶提供基于“視覺(jué)”的風(fēng)險(xiǎn)感知和管理。

四、存在的挑戰(zhàn)（Existing challenges）

人工智能在網(wǎng)絡(luò)安全方面的最新進(jìn)展推動(dòng)了白帽（防御者）和黑帽（犯罪者）黑客之間的競(jìng)爭(zhēng)。攻擊者可以利用人工智能模仿人類(lèi)行為,以實(shí)現(xiàn)個(gè)人自豪感、權(quán)力或財(cái)務(wù)優(yōu)勢(shì)。人工智能在網(wǎng)絡(luò)安全中的使用影響了三個(gè)主要利益相關(guān)者:白帽黑客、黑帽黑客和最終用戶（人類(lèi)）。白帽和黑帽黑客是共同促進(jìn)人工智能技術(shù)發(fā)展的“同伙”。但是,由于一個(gè)人的進(jìn)步追隨另一個(gè)人的進(jìn)步,因此很難在兩組之間找到分界線來(lái)規(guī)范技術(shù)部署。因此,必須研究如何將人工智能應(yīng)用于人類(lèi)的基本需求和發(fā)展網(wǎng)絡(luò)安全控制。

擁有最先進(jìn)的計(jì)算基礎(chǔ)架構(gòu)將有助于有效、高效地解決人工智能問(wèn)題。隨著計(jì)算設(shè)備數(shù)量的增加,業(yè)務(wù)量也將增加,有必要快速執(zhí)行數(shù)據(jù)分析。因此,使用人工智能技術(shù)分析數(shù)據(jù)需要高端計(jì)算平臺(tái)。為了應(yīng)對(duì)這一挑戰(zhàn),已經(jīng)采用了諸如Apache Spark和Hadoop之類(lèi)的集群計(jì)算解決方案來(lái)分析網(wǎng)絡(luò)流量。［10］在未來(lái),量子計(jì)算將是有助于解決復(fù)雜計(jì)算問(wèn)題的突破性技術(shù)。

五、結(jié)束語(yǔ)（Conclusion）

本文對(duì)網(wǎng)絡(luò)威脅和解決方案進(jìn)行了全面回顧,分析了如何在不同的網(wǎng)絡(luò)棧和應(yīng)用程序上發(fā)起網(wǎng)絡(luò)攻擊及其影響。虛擬黑客機(jī)器人技術(shù)作為人工智能與網(wǎng)絡(luò)安全的結(jié)合,顛覆性改變當(dāng)前網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)驗(yàn)證服務(wù)的方式,從當(dāng)前以人工服務(wù)為主逐漸轉(zhuǎn)變?yōu)橐詸C(jī)器人服務(wù)為主,為用戶提供一個(gè)智能化持續(xù)性網(wǎng)絡(luò)安全驗(yàn)證服務(wù)平臺(tái),為各行業(yè)用戶在云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等領(lǐng)域,打造新一代網(wǎng)絡(luò)安全驗(yàn)證服務(wù)保障體系,幫助用戶在風(fēng)險(xiǎn)控制及安全合規(guī)方面提供全新的技術(shù)手段。［11］虛擬黑客機(jī)器人技術(shù)必將發(fā)揮其更大的價(jià)值和能量,推動(dòng)著網(wǎng)絡(luò)安全行業(yè)實(shí)現(xiàn)更大的進(jìn)步。