一、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用

1. 應(yīng)用方向

人工智能在網(wǎng)絡(luò)安全中領(lǐng)域應(yīng)用前景廣闊。首先，AI 具備大數(shù)據(jù)分析挖掘的能力，能夠有效提升網(wǎng)絡(luò)威脅的檢測能力和水平。其次，AI 具備根據(jù)已知檢測未知的能力，可有效解決現(xiàn)有檢測方法和手段的適應(yīng)性問題。再次，AI 具備自主學(xué)習(xí)和自我更新的能力，可有效解決現(xiàn)有模型老化問題。最后，AI 具備推理認(rèn)知構(gòu)建的能力，可從廣泛的時空維度來對網(wǎng)絡(luò)威脅進(jìn)行分析溯源。

利用人工智能技術(shù)，可以對成千上萬的網(wǎng)絡(luò)日志/流量、威脅情報等信息進(jìn)行自動分析處理與深度挖掘，從海量數(shù)據(jù)中提取出真正有用的信息，對網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評價，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢，并對全網(wǎng)的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警，為網(wǎng)絡(luò)安全防護(hù)的技術(shù)突破提供了新思路。目前，AI 主要應(yīng)用方向包括異常檢測告警、未知威脅發(fā)現(xiàn)、潛在風(fēng)險預(yù)測和自適應(yīng)聯(lián)動響應(yīng)等。具體方向有異常告警檢測、未知威脅發(fā)現(xiàn)、潛在風(fēng)險預(yù)測和自適應(yīng)聯(lián)動響應(yīng)等。

2. 模型框架

基于人工智能來構(gòu)建“安全大腦”，對一定時間及空間的大范圍樣本數(shù)據(jù)進(jìn)行智能化分析，根據(jù)基線或模型發(fā)現(xiàn)威脅風(fēng)險并預(yù)判趨勢。

針對實際網(wǎng)絡(luò)中安全數(shù)據(jù)的海量、多格式、多粒度的特點，基于人工智能的安全大腦首先進(jìn)行數(shù)據(jù)預(yù)處理，將來自不同數(shù)據(jù)源、不同格式的數(shù)據(jù)歸一化為統(tǒng)一格式，然后去除冗余及噪聲數(shù)據(jù)。其次，進(jìn)行智能分析， 利用不同的機(jī)器學(xué)習(xí)算法訓(xùn)練出相應(yīng)的網(wǎng)絡(luò)流量分類、異常流量檢測、威脅行為分析和流量趨勢預(yù)測模型，然后根據(jù)訓(xùn)練出的模型進(jìn)行結(jié)果輸出。最后，進(jìn)行評估優(yōu)化， 根據(jù)知識庫中的安全量化指標(biāo)體系，對分析輸出的結(jié)果進(jìn)行量化評估，用來改進(jìn)模型和算法參數(shù)，不斷提高模型的準(zhǔn)確率。

二、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新實踐

1. 安全 AI 全棧架構(gòu)

Gartner 在 2020 年 10 大戰(zhàn)略技術(shù)趨勢報告中明確指出，AI 安全將是未來重要的戰(zhàn)略技術(shù)趨勢之一。為了有效應(yīng)對日益高級和復(fù)雜的攻擊手段，需要將人工智能應(yīng)用于網(wǎng)絡(luò)安全防護(hù)領(lǐng)域，構(gòu)建實時、智能、敏捷、可運維的“云網(wǎng)邊端”一體化安全防護(hù)體系，將每個防御點的使用價值最大化，形成智能分析感知威脅、智能自動防護(hù)、智能閉環(huán)管理的體系化安全能力，全面提升應(yīng)對網(wǎng)絡(luò)安全威脅的能力，實現(xiàn)從事后補(bǔ)救到安全前置，從被動安全到主動安全的轉(zhuǎn)變。這就需要構(gòu)筑安全 AI 全棧架構(gòu)。

該架構(gòu)從安全日志、終端行為、網(wǎng)絡(luò)流量、業(yè)務(wù)數(shù)據(jù)、威脅情報、資產(chǎn)管理和故障診斷信息等多源數(shù)據(jù)的采集著手;對風(fēng)險狀況、攻擊趨勢、異常流量、異常行為和異常資產(chǎn)進(jìn)行多維度智能分析和可視化呈現(xiàn);根據(jù)實時場景自適應(yīng)決策響應(yīng)，快速生成應(yīng)急預(yù)案，主動將安全策略推送給全網(wǎng)關(guān)鍵設(shè)備，實時預(yù)警和響應(yīng)安全事件。

2. 安全 AI 應(yīng)用實踐

(1) 基于 DNS 協(xié)議的 C&C 外連檢測

DNS 協(xié)議是一種基礎(chǔ)設(shè)施網(wǎng)絡(luò)協(xié)議，常被攻擊者用來進(jìn)行 C&C(Command & Control)通信。為了躲避網(wǎng)絡(luò)安全設(shè)備的監(jiān)測和分析，攻擊者使用DNS 協(xié)議進(jìn)行 C&C 通信時通常會使用 Fast-flux 和Domain-flux 技術(shù)頻繁變換 DNS 服務(wù)器的 IP 地址和域名。基于深度學(xué)習(xí)卷積神經(jīng)網(wǎng)絡(luò) (ConvolutionalNeural Networks，CNN) 檢測網(wǎng)絡(luò)流量中的 C&C 通信，通過優(yōu)化可使得檢測概率高達(dá) 98%。

(2) 基于 AI 的加密流量分析

攻擊者越來越傾向于使用加密協(xié)議進(jìn)行通信，以便將攻擊流量隱藏于正常的加密流量中。在加密流量的分析過程中，可將其分為加密應(yīng)用識別和加密威脅檢測。在加密應(yīng)用識別中，提取加密協(xié)議的密鑰交換階段的密碼套件、證書等明文特征，以及密文傳輸階段的流量模式、通信模式、行為模式等統(tǒng)計特征，以及由 RNN 和 CNN 提取的時序特征和時空特征，采用有監(jiān)督的機(jī)器學(xué)習(xí)方法進(jìn)行加密應(yīng)用的識別。在加密威脅檢測中，除了提取應(yīng)用識別所需的各項特征外，還需要提取流量的上下文信息，包括 https/http 流量信息和 DNS 流量信息等。

(3) 基于 AI 的云網(wǎng)邊端協(xié)同聯(lián)動

為了構(gòu)建“云網(wǎng)邊端”聯(lián)動的一體化安全防御體系，AI 防火墻與安全云、態(tài)勢感知、邊緣計算等系統(tǒng)相結(jié)合，實現(xiàn)情報共享、算力提升、關(guān)聯(lián)分析、協(xié)同聯(lián)動等功能。通過云端威脅情況的共享、分析與服務(wù)， AI 防火墻可以共享所有來源的威脅情報，迅速響應(yīng)各類漏洞和威脅，及時阻止各類攻擊行為的傳播。同時，所有 AI 防火墻可以共享部署策略，通過云端的智能策略分析，可以為各行各業(yè)的客戶提供最優(yōu)的部署策略推薦，大大簡化部署和運維。除此之外，本地防火墻將潛在威脅數(shù)據(jù)上傳至云端，通過云端大數(shù)據(jù)分析，獲取機(jī)器學(xué)習(xí)模型，再將模型參數(shù)下放到本地進(jìn)行本地智能檢測分析，實現(xiàn)云端一體化智能聯(lián)動。

三、安全 AI 未來發(fā)展展望

當(dāng) AI 技術(shù)全面融入安全領(lǐng)域，可以快速識別各類未知惡意軟件、及時偵測到零日威脅，并進(jìn)行迅速響應(yīng);能夠更精準(zhǔn)進(jìn)行數(shù)據(jù)挖掘和模式識別，讓分析結(jié)果更加準(zhǔn)確;可以連續(xù)執(zhí)行這些重復(fù)性和機(jī)械性的檢測識別任務(wù)。后續(xù)，還可以在以下三個方面持續(xù)深入。

1. 知識圖譜

基于安全設(shè)備產(chǎn)生的安全事件，構(gòu)建威脅知識圖譜，從而分析網(wǎng)絡(luò)的整體威脅態(tài)勢;在終端安全響應(yīng)系統(tǒng)(EDR)中，可以基于終端的行為和操作日志，構(gòu)建溯源知識圖譜，從而分析終端的已知和未知威脅;在網(wǎng)絡(luò)威脅檢測及響應(yīng)(NDR)/用戶實體行為分析(UEBA)中，可以基于網(wǎng)絡(luò)全流量數(shù)據(jù)和應(yīng)用系統(tǒng)日志，構(gòu)建用戶的行為知識圖譜，從而檢測用戶的可疑或者惡意行為。

2. 混淆對抗

注入攻擊和惡意代碼可以通過混淆、編碼、壓縮等方式改變自己的表現(xiàn)形式，從而躲過 WAF、IPS、病毒檢測引擎等設(shè)備的檢測。復(fù)雜的混淆方法是單向的，雖然混淆的代碼和原始的代碼執(zhí)行相同的功能，但是卻無法完全還原為原始的代碼，只能部分還原為原始的代碼。因此，在混淆惡意代碼的檢測中，可以利用 AI 算法將混淆代碼進(jìn)行還原，然后進(jìn)行惡意代碼檢測，其中對原始代碼的還原程度將決定著惡意代碼的檢測效果。

3. 聯(lián)邦學(xué)習(xí)

在安全領(lǐng)域，有標(biāo)注的數(shù)據(jù)非常少，并且各個企業(yè)之間的數(shù)據(jù)也沒有共享，這使得 AI 模型的效果難以得到實質(zhì)的提升。通過采用聯(lián)邦學(xué)習(xí)架構(gòu)，可以將多個企業(yè)的數(shù)據(jù)聯(lián)合起來訓(xùn)練一個更加強(qiáng)大的模型;在模型的訓(xùn)練過程中，可以采用同態(tài)加密、差分隱私等隱私保護(hù)技術(shù)對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)或者模型參數(shù)進(jìn)行保護(hù)，從而保證每個企業(yè)內(nèi)部的數(shù)據(jù)都不會泄露出去。