陳劍鋒， 陳天瑩

走向體系智能的網(wǎng)絡(luò)空間安全自動(dòng)化研究

陳劍鋒1，2，3， 陳天瑩3

(1.保密通信重點(diǎn)實(shí)驗(yàn)室，四川成都610041)
(2.中國(guó)電科網(wǎng)絡(luò)空間安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川成都610041)
(3.中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司，四川成都610041)

隨著網(wǎng)絡(luò)空間安全問(wèn)題的不斷復(fù)雜深化，傳統(tǒng)信息安全機(jī)制手段無(wú)論是在應(yīng)對(duì)系統(tǒng)規(guī)模的非線性擴(kuò)張或者人類的主觀化缺陷方面都缺乏有效的解決辦法，迫切需要革命性的機(jī)制手段來(lái)將人力從重復(fù)性、事務(wù)性、易出錯(cuò)的信息安全工作中解放出來(lái)。在系統(tǒng)論、控制論和智能技術(shù)長(zhǎng)足發(fā)展的促進(jìn)下，安全防護(hù)管理由人工化向機(jī)器自動(dòng)化、智能化的重心轉(zhuǎn)移是技術(shù)的趨勢(shì)也是歷史的必然。對(duì)網(wǎng)絡(luò)空間安全自動(dòng)化的概念、原理、作用和局限性進(jìn)行了介紹，對(duì)自動(dòng)化與智能化的區(qū)別點(diǎn)和銜接關(guān)系給出了說(shuō)明，提出了智能化用于安全的關(guān)鍵問(wèn)題，前瞻了安全智能化融合帶來(lái)的廣闊應(yīng)用潛力。

網(wǎng)絡(luò)空間；信息安全；安全自動(dòng)化；安全智能化

0　引言

近年來(lái)，隨著網(wǎng)絡(luò)空間規(guī)模的不斷拓展，以傳感器、控制器、存儲(chǔ)和計(jì)算單元為代表的節(jié)點(diǎn)同衍生的連接數(shù)呈現(xiàn)爆炸式增長(zhǎng)，不斷深化的網(wǎng)絡(luò)復(fù)雜性削減了整體的可保障性。一個(gè)典型的企業(yè)網(wǎng)可能由成千上萬(wàn)的服務(wù)器、終端和安全設(shè)備構(gòu)成，為了有效防御已知的威脅，即便是簡(jiǎn)單的防火墻也有可能包含成百上千的規(guī)則、配置和參數(shù)，這些規(guī)則是“經(jīng)驗(yàn)化”或“模式化”的，彼此之間互補(bǔ)而又可能存在沖突:對(duì)于富有經(jīng)驗(yàn)的安全管理員而言，正確無(wú)誤的配置所有參數(shù)仍然是糾結(jié)而艱巨的任務(wù)。信息安全運(yùn)維和管理成本呈指數(shù)級(jí)攀升。

與規(guī)?；瘞?lái)的問(wèn)題并存的另一大信息安全挑戰(zhàn)是“人”的歸因。據(jù)IBM 2014年發(fā)布的賽博信息安全情報(bào)報(bào)告披露，上一年中95%的信息安全事件都與人為造成的疏忽或錯(cuò)誤有關(guān)。通常用戶被認(rèn)為是信息安全防護(hù)鏈上最薄弱的一環(huán)，因?yàn)樵谒麄冊(cè)谥R(shí)受限、判斷失誤、漫不經(jīng)心或盲目樂(lè)觀的情況下極有可能錯(cuò)誤使用了信息安全機(jī)制。報(bào)告稱，就算在安全領(lǐng)域投入再多資金，也難以防止工程師在配置防火墻時(shí)心不在焉，或者未給新安裝的服務(wù)器安裝所有必要的補(bǔ)丁[1]。經(jīng)驗(yàn)證明，只要是人為的工作就會(huì)引入風(fēng)險(xiǎn)，系統(tǒng)中的用戶是攻擊者的重要突破點(diǎn)。

傳統(tǒng)的信息安全機(jī)制手段無(wú)論是在應(yīng)對(duì)巨系統(tǒng)的復(fù)雜性或者人類的主觀化缺陷方面都缺乏有效的解決辦法，安全迫切需要通過(guò)技術(shù)革命帶來(lái)新的轉(zhuǎn)機(jī)。所幸，隨著信息化與工業(yè)化的持續(xù)融合，試圖模仿并超越人類智慧的智能產(chǎn)業(yè)蓬勃興起并很快成為現(xiàn)代科技創(chuàng)新的一個(gè)重要標(biāo)志。21世紀(jì)以來(lái)，互聯(lián)網(wǎng)和大數(shù)據(jù)推動(dòng)人工智能技術(shù)進(jìn)入了新的春天，專用人工智能即面向特定領(lǐng)域的人工智能取得了突破性的進(jìn)展。如何將智能化領(lǐng)域的前沿成果與網(wǎng)絡(luò)空間安全的構(gòu)建目標(biāo)有機(jī)融合，著力提升其賦能和保障效果，是當(dāng)前安全產(chǎn)業(yè)潛力巨大但亟待解決的課題。

無(wú)論是自動(dòng)化還是智能化，其設(shè)計(jì)目標(biāo)都是通過(guò)利用自主感知、決策和控制的機(jī)制方法來(lái)代替人的體力、腦力勞動(dòng)。以這種方式節(jié)省下來(lái)的精力投入、時(shí)間耗費(fèi)可以通過(guò)注意力轉(zhuǎn)移的方式讓有限的人工資源聚焦到人腦更擅長(zhǎng)的創(chuàng)造性、直觀性、靈感性工作中去。在網(wǎng)絡(luò)空間安全語(yǔ)境中，面向日趨復(fù)雜、不斷深化的入侵和威脅，防御者可以借助智能化方法，以安全知識(shí)為手段和工具，基于對(duì)資源分布、業(yè)務(wù)運(yùn)行、攻擊狀態(tài)和防御力量的認(rèn)知，依托大數(shù)據(jù)帶來(lái)的海量信息組織管理、深度分析和演化推理能力來(lái)高效調(diào)節(jié)網(wǎng)絡(luò)空間各類主體的狀態(tài)、配置和關(guān)系，填補(bǔ)網(wǎng)絡(luò)空間監(jiān)測(cè)、防御、治理與運(yùn)維多類型問(wèn)題的不斷深化復(fù)雜與解決方案實(shí)現(xiàn)水平的能力差距，達(dá)到網(wǎng)絡(luò)空間更有效開發(fā)、利用、掌控的戰(zhàn)略目標(biāo)。

余下部分將首先介紹安全自動(dòng)化的需求和現(xiàn)狀，如面臨的安全挑戰(zhàn)、自動(dòng)化的觀點(diǎn)和局限性等；第三部分?jǐn)⑹隽税踩珡淖詣?dòng)化到智能化的轉(zhuǎn)變過(guò)程，涉及必然性、智能的體系特征和關(guān)鍵問(wèn)題等；第四部分給出了安全智能化在推進(jìn)過(guò)程中于標(biāo)準(zhǔn)化、應(yīng)用示范方面的一些進(jìn)展；最后一部分總結(jié)全文。

1　安全自動(dòng)化需求和現(xiàn)狀

1.1不斷增長(zhǎng)的安全挑戰(zhàn)

云計(jì)算、大數(shù)據(jù)、量子通信及物聯(lián)網(wǎng)等新一代信息技術(shù)的高度集成和綜合運(yùn)用重塑了網(wǎng)絡(luò)空間的面貌，傳統(tǒng)意義上相關(guān)性有限的傳感器、控制器、用戶和操作環(huán)境通過(guò)新的方式緊密連接在一起，使網(wǎng)絡(luò)空間走入萬(wàn)物互聯(lián)時(shí)代。不斷增強(qiáng)的聯(lián)系帶來(lái)了系統(tǒng)的變化和重組，也帶來(lái)了信息化生產(chǎn)力的飛躍。

需要重視的是，這種泛在互聯(lián)也把攻擊者和利益目標(biāo)聯(lián)結(jié)在了一起，攻擊者因而具備了“從傳感器到射手”的能力，能夠便捷地在任何時(shí)間、場(chǎng)所、針對(duì)任何目標(biāo)發(fā)起猛烈攻擊。當(dāng)連接無(wú)處不在，數(shù)據(jù)無(wú)處不在時(shí)，攻擊無(wú)處不在也成為危險(xiǎn)但無(wú)奈的現(xiàn)實(shí)[2]。

當(dāng)前，黑色產(chǎn)業(yè)鏈的合作和建設(shè)已經(jīng)形成了一定規(guī)模。網(wǎng)絡(luò)攻擊的組織形式越來(lái)越呈現(xiàn)出專業(yè)化和團(tuán)隊(duì)化的趨勢(shì)，黑客們聯(lián)手出擊使攻擊手段更加多樣，高級(jí)持續(xù)性威脅(APT)的攻擊范圍已能涵蓋各種目標(biāo)和領(lǐng)域。更為可怕的是，攻擊者看來(lái)比防御者更能靈活運(yùn)用自動(dòng)化技術(shù)，他們管理著數(shù)量龐大的漏洞和工具，類似目標(biāo)對(duì)象掃描、攻擊載體生成、攻擊進(jìn)程發(fā)起和攻擊效果評(píng)估等流程性工作都已經(jīng)能夠自動(dòng)完成。在進(jìn)行了自動(dòng)化武裝后，攻擊者發(fā)起入侵的頻繁和破壞程度都得到了顯著提升，憑借高速傳輸、瞬發(fā)到達(dá)的信息網(wǎng)絡(luò)，惡意程序能夠?qū)ζ髽I(yè)、組織甚至國(guó)家進(jìn)行“外科手術(shù)”式的猝發(fā)、精準(zhǔn)打擊，網(wǎng)絡(luò)空間威脅從未如此嚴(yán)峻的展現(xiàn)在世人面前。

1.2安全自動(dòng)化的原動(dòng)力

安全自動(dòng)化源于防御技術(shù)發(fā)展的迫切需求。首先，攻擊面增長(zhǎng)得太快、太復(fù)雜。與現(xiàn)實(shí)世界中的軍事行動(dòng)受物理、地理因素制約不同，網(wǎng)絡(luò)空間中自動(dòng)化攻擊工具的出現(xiàn)能夠使得入侵幾乎不受限制地并行發(fā)起，這種網(wǎng)絡(luò)空間對(duì)抗以機(jī)器速度而非人工速度進(jìn)行，如果防御方不大量采用自動(dòng)化手段，就無(wú)法有效地及時(shí)遏制網(wǎng)絡(luò)威脅；其次是信息基礎(chǔ)設(shè)施的規(guī)?；?、虛擬化和軟件定義化為安全管理人員帶來(lái)了新的負(fù)荷，他們的精力被進(jìn)一步分散，迫切需要通過(guò)構(gòu)建安全機(jī)制和流程，力圖在更少的時(shí)間、更少的人力參與下做更多的事情。

在自動(dòng)化手段的幫助下，所有流程性的安全事務(wù)都將以最少人工干預(yù)的方式部署運(yùn)行，安全人員僅參與計(jì)算機(jī)難以完成的任務(wù)。這種設(shè)計(jì)方法從整體上提升了防御的時(shí)效性，避免了人員的流程性錯(cuò)誤，從而能夠改進(jìn)安全防御組織和管理的效能。

1.3安全自動(dòng)化的視角

安全自動(dòng)化是一種活動(dòng)，使用戶從繁瑣、易錯(cuò)的信息安全配置與決策任務(wù)中解脫出來(lái)。安全自動(dòng)化可以從層次、流程和組織三個(gè)角度等進(jìn)行理解。

(1)層次角度的安全自動(dòng)化(見圖1)

圖1　安全自動(dòng)化的層次化視

如圖1所示，作為一種空間/尺度維的劃分，層次角度的安全自動(dòng)化可以分為組件級(jí)、系統(tǒng)級(jí)和全局級(jí)三個(gè)規(guī)模遞進(jìn)的層次。組件級(jí)的自動(dòng)化是自動(dòng)化的最小單元，著眼于在微觀/個(gè)體層面上確保安全功能的自我運(yùn)行；系統(tǒng)級(jí)的自動(dòng)化在中觀/局域?qū)用鎸?shí)現(xiàn)相較組件更高級(jí)別的自動(dòng)機(jī)制；全局自動(dòng)化在宏觀、整體層面上實(shí)現(xiàn)最高級(jí)安全任務(wù)的按需執(zhí)行，將網(wǎng)絡(luò)的所有資源和要素納入自動(dòng)化范疇。例如在大型分布式企業(yè)信息系統(tǒng)中，部門網(wǎng)絡(luò)、地區(qū)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)自然地構(gòu)成了三個(gè)自動(dòng)化層次。

(2)流程角度的安全自動(dòng)化(見圖2)

圖2　安全自動(dòng)化的流程化視圖

如圖2所示，流程角度的自動(dòng)化作為一種時(shí)間/序列維的劃分，通過(guò)安全生命周期中監(jiān)測(cè)、防御、響應(yīng)和評(píng)估環(huán)節(jié)的分別自動(dòng)化，實(shí)現(xiàn)功能間的自然銜接和閉環(huán)增效。例如，監(jiān)測(cè)為防御提供有關(guān)攻擊者和攻擊機(jī)制信息，防御為響應(yīng)提供防護(hù)狀態(tài)和受損程度信息，響應(yīng)為評(píng)估提供修復(fù)目標(biāo)和任務(wù)進(jìn)度信息，評(píng)估又反過(guò)來(lái)為監(jiān)測(cè)指定更精確的關(guān)注點(diǎn)范圍。

(3)組織角度的安全自動(dòng)化(見圖3)

圖3　安全自動(dòng)化的組織化視

如圖3所示，組織角度的自動(dòng)化作為一種群體/系統(tǒng)維的劃分，在組織的各組成部分、以及組織之間按照層次和流程角度的自動(dòng)化機(jī)制進(jìn)行配置和演化。各組織可以擁有相同或不同的既定目標(biāo)，于彼此的分工協(xié)作中在時(shí)間和空間約束下逐步完成調(diào)整，實(shí)現(xiàn)個(gè)體利益與全局利益的均衡與優(yōu)化改進(jìn)。例如，安全防護(hù)強(qiáng)度與系統(tǒng)可用性的動(dòng)態(tài)平衡，多智能體式松散安全自治系統(tǒng)的選舉、角色分派、協(xié)作和競(jìng)爭(zhēng)等行為等。

1.4安全自動(dòng)化的局限性

安全自動(dòng)化并不是嶄新的概念，入侵檢測(cè)與防火墻的協(xié)同就是安全協(xié)作的典型示例[3]。盡管經(jīng)過(guò)精心設(shè)計(jì)的自動(dòng)化能夠在一定程度上提升安全設(shè)備功能互補(bǔ)、快速部署和節(jié)能管理水平，但在更廣泛的場(chǎng)合中，安全防御的多樣性、異構(gòu)性和不可預(yù)知性等因素使自動(dòng)化過(guò)于復(fù)雜從而難以實(shí)施。其局限性來(lái)自:

●自動(dòng)化的核心是位于操作和執(zhí)行層面的自動(dòng)控制理論，其功能類似于根據(jù)外界輸入改變系統(tǒng)狀態(tài)并選擇輸出的自動(dòng)機(jī)。但由于其狀態(tài)空間難以完全描述和檢驗(yàn)，在某些情況下可能會(huì)失控。

●單純的自動(dòng)化是盲目和被動(dòng)的。對(duì)于知悉內(nèi)部機(jī)制的攻擊者而言，自動(dòng)化反而提供了一條通向入侵的捷徑。自動(dòng)化既定模式策略與不斷推陳出新的攻擊手法間的鴻溝不斷加深。

●自動(dòng)化的應(yīng)用場(chǎng)景受限。自動(dòng)化基于明確的規(guī)則，針對(duì)已知、可預(yù)料的情形做出程序化的既定響應(yīng)，多用于重復(fù)性、流程性或事務(wù)性的工作中。而事實(shí)上，不確定性和隨機(jī)性才是網(wǎng)絡(luò)空間安全防御的常態(tài)，對(duì)不可知事件的判斷和決策無(wú)法以規(guī)則清晰表述，也就無(wú)法通過(guò)自動(dòng)化的方式處理。

從當(dāng)前自動(dòng)化的實(shí)踐中可以看出，其固定、靜態(tài)的模式策略難以適應(yīng)網(wǎng)絡(luò)空間時(shí)代涌現(xiàn)的多元安全需求，自動(dòng)化無(wú)法識(shí)別未知威脅，無(wú)法對(duì)多變的情景做出判斷，也無(wú)法給出有用的決策建議，甚至有時(shí)會(huì)錯(cuò)誤解讀數(shù)據(jù)，給用戶帶來(lái)安全假象。如果只是盲目跟風(fēng)，自動(dòng)化手段的誤用和濫用可能導(dǎo)致安全風(fēng)險(xiǎn)更快擴(kuò)散。安全運(yùn)維人員急切需要能夠一種超越自動(dòng)化的技術(shù)，能夠通過(guò)系統(tǒng)內(nèi)外信息的感知、提煉、匯集和分析來(lái)認(rèn)知自我及復(fù)雜環(huán)境，針對(duì)威脅迅速、準(zhǔn)確地反應(yīng)，將人們從重復(fù)和容易誤導(dǎo)的任務(wù)中解放出來(lái)，將有限的注意力和主觀能動(dòng)性聚焦在更能發(fā)揮人類價(jià)值的領(lǐng)域[4]。

2　安全智能化的轉(zhuǎn)變

2.1從自動(dòng)化到智能化

安全智能化是將人工智能技術(shù)與網(wǎng)絡(luò)信息工程、信息安全、心理學(xué)、行為學(xué)等理論交織融合的產(chǎn)物。其主要位于判斷、選擇層面，核心是人工智能理論，作用機(jī)制是知識(shí)加機(jī)器思維，使得通常認(rèn)為需要人工參與發(fā)揮主觀能動(dòng)性的思考、反應(yīng)或決策能力的信息安全關(guān)鍵操作、決策等行為能夠由計(jì)算機(jī)代理。例如從數(shù)據(jù)或經(jīng)驗(yàn)中推理出新知識(shí)、得出邏輯思維推論，對(duì)觀察到的現(xiàn)象提供解釋等。

安全智能化反映了安全實(shí)施方式、手段和機(jī)制的變化，它是現(xiàn)代信息技術(shù)和智能技術(shù)進(jìn)步的產(chǎn)物，預(yù)期能夠顯著提升安全防護(hù)、組織和管理的效能。智能化體現(xiàn)了靈活運(yùn)用知識(shí)分析并解決問(wèn)題的能力，多用于環(huán)境變化性強(qiáng)、不確定性突出、決策能力要求高的場(chǎng)景中，使得一般情況下難以歸納、利用的隱性安全知識(shí)能夠轉(zhuǎn)換為相關(guān)系統(tǒng)可識(shí)別和理解的顯性安全知識(shí)，這種安全知識(shí)能夠被使用者更方便地理解、交互和使用。

綠盟科技將安全由自動(dòng)化到智能化的過(guò)渡分為基本智能、通用智能和超級(jí)智能三個(gè)階段，在基本智能階段中運(yùn)維人員通過(guò)腳本和工具等，逐步將手工操作自動(dòng)化，安全決策活動(dòng)仍由“專家”進(jìn)行，因而是一種“人工化”的智能；在通用智能階段中“專家”建立并訓(xùn)練模型、設(shè)置和校正參數(shù)來(lái)實(shí)現(xiàn)安全系統(tǒng)決策、反饋、行動(dòng)等的部分智能化；在超級(jí)智能階段，安全系統(tǒng)能夠自主觀察系統(tǒng)行為和估計(jì)環(huán)境影響，根據(jù)管理者設(shè)定的安全價(jià)值取向?qū)崿F(xiàn)自我調(diào)整。

安全系統(tǒng)智能化水平在提升過(guò)程中，原始數(shù)據(jù)轉(zhuǎn)化為信息再升華為知識(shí)，并在各安全組件間溝通、理解和最優(yōu)化利用。信息服務(wù)走向知識(shí)服務(wù)，信息處理走向知識(shí)挖掘，安全防護(hù)管理機(jī)制由人工化向機(jī)器化的重心轉(zhuǎn)移是歷史的必然和時(shí)代的期待。

2.2智能化安全的體系特征

安全智能化在運(yùn)作方式、屬性、理論原型等諸多方面都與自動(dòng)化存在著顯著差異，即通過(guò)對(duì)環(huán)境的準(zhǔn)確感知和辨析，通過(guò)統(tǒng)一協(xié)調(diào)和決策機(jī)制實(shí)現(xiàn)反作用于現(xiàn)實(shí)空間的導(dǎo)向性控制，其本質(zhì)是安全知識(shí)的匯聚、洞察與應(yīng)用，在運(yùn)作方式、主要屬性、理論原型、計(jì)算模型等方面都具有嶄新的特點(diǎn)，如表1所示。

表1　安全自動(dòng)化與智能化體系特征對(duì)比

可以看出，安全智能化系統(tǒng)的核心是知識(shí)。在傳統(tǒng)的DIKW即數(shù)據(jù)、信息、知識(shí)和智慧模型中，數(shù)據(jù)直接來(lái)源于傳感器，是變量的測(cè)量值的記錄；信息是經(jīng)過(guò)組織或結(jié)構(gòu)化的數(shù)據(jù)，在一定的環(huán)境中有特定的涵義，代表了系統(tǒng)的歷史和現(xiàn)狀；而知識(shí)則深刻地反映了事物的本質(zhì)，是信息、價(jià)值、經(jīng)驗(yàn)和規(guī)律的有機(jī)綜合，是指導(dǎo)實(shí)踐、形成智慧的必要前提，具有更加深遠(yuǎn)的價(jià)值意義。信息安全論域的知識(shí)涵蓋了信息安全科學(xué)原理、判斷準(zhǔn)則和歷史經(jīng)驗(yàn)，它與應(yīng)用場(chǎng)景強(qiáng)相關(guān)，通過(guò)在實(shí)踐中不斷累積和拓展，能夠適應(yīng)使用者、使用目標(biāo)和使用環(huán)境的變化，是防御者進(jìn)行決策、響應(yīng)和控制的依據(jù)。

安全智能化來(lái)自知識(shí)并走向知識(shí)的意義主要體現(xiàn)在知識(shí)的聯(lián)系、反饋和生成之中:

(1)網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施高度互聯(lián)，全域到達(dá)。這種互聯(lián)不僅是網(wǎng)絡(luò)意義上的連通，更多的是系統(tǒng)在功能、語(yǔ)義層面的無(wú)縫配合，智能化系統(tǒng)因此實(shí)現(xiàn)知識(shí)的聯(lián)系和承載；

(2)智能化系統(tǒng)基于實(shí)時(shí)決策和控制來(lái)積極作用于現(xiàn)實(shí)世界，這一過(guò)程是通過(guò)對(duì)系統(tǒng)行為及其效果的持續(xù)精確感知和調(diào)整實(shí)現(xiàn)的，實(shí)現(xiàn)知識(shí)的反饋?zhàn)饔谩?/p>

(3)智能化系統(tǒng)具有學(xué)習(xí)和交互能力。安全不是靜態(tài)不變的，而是在繼承和演化中不斷進(jìn)化完善。安全系統(tǒng)不斷積累經(jīng)驗(yàn)，使功能迭代提升、適應(yīng)性持續(xù)增強(qiáng)，實(shí)現(xiàn)知識(shí)的生成作用。

2.3智能化安全的關(guān)鍵問(wèn)題

在信息安全領(lǐng)域，一個(gè)著名的瓶頸性問(wèn)題即是，正確的設(shè)計(jì)未必能正確的實(shí)現(xiàn)，正確的實(shí)現(xiàn)未必能正確地運(yùn)用。通過(guò)安全智能在人與機(jī)、機(jī)與機(jī)、以及機(jī)內(nèi)部的補(bǔ)償作用，能夠回填安全期望與安全實(shí)現(xiàn)、安全實(shí)現(xiàn)與安全能力之間存在的，制約安全體系效能發(fā)揮的的二元鴻溝。智能化安全的關(guān)鍵問(wèn)題即是處理好人、機(jī)、數(shù)據(jù)與環(huán)境之間的關(guān)系。

人:基于哥德爾不完備定理，任何完整的系統(tǒng)，總存在其自身無(wú)法解決的問(wèn)題。智能化的現(xiàn)代設(shè)計(jì)原則也不是完全的、無(wú)差別的、盲目的智能化，而是適當(dāng)考慮“人”的因素的地位的，“恰當(dāng)”的智能化。這種智能化提倡將人的能力和獨(dú)特性作用在最合適的環(huán)節(jié)發(fā)揮出來(lái)，以人機(jī)結(jié)合的方式，克服人或機(jī)器各自具備的功能缺陷。

機(jī):機(jī)器是安全智能的載體，可以以個(gè)體或群落形式存在，并和其作用對(duì)象發(fā)生密切的依存-寄生關(guān)系，體現(xiàn)直接性與間接性的統(tǒng)一。依附機(jī)器、環(huán)境的安全智能直接作用于網(wǎng)絡(luò)與安全邏輯，間接作用和影響網(wǎng)絡(luò)空間、物理空間的運(yùn)行和表現(xiàn)。

數(shù)據(jù):信息流是攻防對(duì)抗的本原，是威脅也是安全價(jià)值的載體。信息流的駕馭一方面需借助傳統(tǒng)感知技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的有效搜集和整理；另一方面需借助智能，自海量信息中提煉知識(shí)、正確運(yùn)作。占有足量的數(shù)據(jù)是安全智能系統(tǒng)認(rèn)知、決策和進(jìn)化的前提。

環(huán)境:安全智能無(wú)法孤立存在，其在運(yùn)行中既受環(huán)境深刻影響，也顯著地影響著環(huán)境:智能計(jì)算依賴的信息來(lái)自于環(huán)境、計(jì)算結(jié)果反饋于環(huán)境、是否有效也必須借助于對(duì)環(huán)境觀測(cè)來(lái)完成。只有將智能與環(huán)境融合考慮、合理設(shè)計(jì)，才能促進(jìn)智能水平的不斷提升。

在人、機(jī)、數(shù)據(jù)與環(huán)境合理分工、協(xié)調(diào)運(yùn)行的理想環(huán)境中，智能系統(tǒng)預(yù)期將進(jìn)入結(jié)構(gòu)自主組織、信息按需流動(dòng)、策略動(dòng)態(tài)變化、能力迭代提升的良性循環(huán)，體現(xiàn)智能時(shí)代安全機(jī)制自主優(yōu)化配置、部署、運(yùn)行的全新景觀組態(tài)。

3　安全智能化的應(yīng)用推進(jìn)

安全與智能化的融合交匯代表了更先進(jìn)的防護(hù)理念和應(yīng)用潛力。從當(dāng)前基礎(chǔ)較好的領(lǐng)域來(lái)看，安全智能化的全面推進(jìn)有賴于理論體系的成熟、標(biāo)準(zhǔn)規(guī)范的制訂和典型應(yīng)用的示范效應(yīng)。理論體系方面數(shù)據(jù)挖掘、深度學(xué)習(xí)、智能體理論、知識(shí)工程等領(lǐng)域經(jīng)過(guò)多年的研究在各個(gè)細(xì)分方向均已經(jīng)取得長(zhǎng)足發(fā)展，成果豐富，可以認(rèn)為安全智能化前置技術(shù)的研究已較為充分，下面主要從標(biāo)準(zhǔn)化和典型應(yīng)用方面進(jìn)行探討。

3.1標(biāo)準(zhǔn)化嘗試

目前，與安全智能發(fā)展關(guān)聯(lián)的標(biāo)準(zhǔn)主要是安全自動(dòng)化標(biāo)準(zhǔn)和威脅情報(bào)標(biāo)準(zhǔn)。

(1)安全自動(dòng)化標(biāo)準(zhǔn)

安全自動(dòng)化當(dāng)前的主要標(biāo)準(zhǔn)是SCAP(Security Content Automation Protocol:安全內(nèi)容自動(dòng)化協(xié)議)，它是由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)提出的，用于提升安全自動(dòng)化能力的標(biāo)準(zhǔn)協(xié)議群[5]。SCAP提出的初衷首先是實(shí)現(xiàn)高層政策法規(guī)(如FISMA，ISO27000系列)等到底層實(shí)施的落地；其次是將信息安全所涉及的各個(gè)要素標(biāo)準(zhǔn)化(如統(tǒng)一漏洞的命名及嚴(yán)重性度量)；最后是將復(fù)雜的系統(tǒng)配置核查工作自動(dòng)化。SCAP提供了一種自動(dòng)、標(biāo)準(zhǔn)化的方法來(lái)維護(hù)企業(yè)系統(tǒng)的安全，如實(shí)現(xiàn)安全配置基線，驗(yàn)證當(dāng)前的補(bǔ)丁程序，進(jìn)行系統(tǒng)安全配置設(shè)置的持續(xù)性監(jiān)測(cè)，檢查系統(tǒng)的攻陷指標(biāo)(Sign of compromise)等，試圖在任意設(shè)定時(shí)刻給出系統(tǒng)的安全狀態(tài)。其標(biāo)準(zhǔn)化、自動(dòng)化的思想對(duì)信息安全行業(yè)產(chǎn)生了深遠(yuǎn)的影響。

(2)威脅情報(bào)標(biāo)準(zhǔn)

威脅情報(bào)(Threat Intelligence)是一類有效的網(wǎng)絡(luò)空間安全風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制。情報(bào)的本質(zhì)是減少信息沖突的不確定性，Gartner定義網(wǎng)絡(luò)空間威脅情報(bào)為一種基于證據(jù)的知識(shí)，它包括了情境、機(jī)制、指標(biāo)、暗示和可供操作的建議，通過(guò)描述正在發(fā)生或者即將出現(xiàn)的針對(duì)網(wǎng)絡(luò)空間資產(chǎn)的威脅或危險(xiǎn)，能夠被用于通知相關(guān)主體對(duì)這些威脅或危險(xiǎn)做出響應(yīng)決策。

威脅情報(bào)具有信息和知識(shí)的雙重屬性，因而是安全智能的重要組成部分。威脅情報(bào)以集體智慧應(yīng)對(duì)復(fù)雜威脅，以先知先覺構(gòu)建穩(wěn)固防線。在此過(guò)程中，標(biāo)準(zhǔn)化是安全威脅情報(bào)在多個(gè)發(fā)布者、使用者間交互和共享的必要前提。使用標(biāo)準(zhǔn)化的方式定義情報(bào)格式能夠在最大程度上減少信息語(yǔ)義損失和歧義，同樣也可以避免日后因?yàn)榻涌诤鸵?guī)范不同而造成較大的改動(dòng)和不必要的資源浪費(fèi)。目前在威脅情報(bào)交換方面較有影響力的框架、協(xié)議和語(yǔ)言包括IODEF、CIF、STIX、OpenIOC和Veris等，其中STIX(Structured Threat Information Expression，結(jié)構(gòu)化威脅信息描述語(yǔ)言)更為流行，它是為威脅情報(bào)采集、分析和交流而設(shè)計(jì)的一種語(yǔ)言，以結(jié)構(gòu)化的方式來(lái)支持更有效的網(wǎng)絡(luò)威脅管理流程化和應(yīng)用自動(dòng)化，許多企業(yè)已經(jīng)支持通過(guò)STIX進(jìn)行威脅情報(bào)和安全知識(shí)的共享。

3.2典型應(yīng)用樣例

智能化與安全在體系層面是橫向支撐、縱向貫穿的關(guān)系，通過(guò)嵌入或融合方式覆蓋安全防護(hù)體系的多個(gè)層次。智能化的典型應(yīng)用場(chǎng)景包括云安全快速自主部署、威脅情報(bào)綜合管理、自動(dòng)化漏洞挖掘、用戶實(shí)體行為分析、實(shí)時(shí)應(yīng)用程序自我保護(hù)等。

云安全快速自主部署:在數(shù)據(jù)中心，為了達(dá)到釋放云計(jì)算潛力、降低準(zhǔn)備時(shí)間、增強(qiáng)敏捷性的目的，需要一種能夠快速部署云環(huán)境中的相關(guān)網(wǎng)絡(luò)安全服務(wù)的方法，使得安全能力與業(yè)務(wù)能力的輸出相同步，在計(jì)算平臺(tái)、網(wǎng)絡(luò)和安全機(jī)制方面實(shí)現(xiàn)完全的協(xié)同和可編程能力。多家安全公司2016年在云安全快速自主部署方面發(fā)力，使安全服務(wù)在業(yè)務(wù)流程的自動(dòng)嵌入、自動(dòng)配置和智能監(jiān)測(cè)成為可能。

威脅情報(bào)綜合管理:威脅情報(bào)綜合管理是與威脅情報(bào)與安全防護(hù)系統(tǒng)結(jié)合的切入點(diǎn)，可以扮演情報(bào)生產(chǎn)、情報(bào)傳遞或情報(bào)消費(fèi)三類要素中的一個(gè)或多個(gè)角色，服務(wù)于威脅情報(bào)的形成、封裝、傳輸、中轉(zhuǎn)、解讀或呈現(xiàn)等各環(huán)節(jié)[6]。威脅情報(bào)綜合管理除用攻擊檢測(cè)和安全響應(yīng)方面外的巨大價(jià)值外，還可用于安全設(shè)備功能提升、自適應(yīng)風(fēng)險(xiǎn)管理和決策輔助等目的。系統(tǒng)的自動(dòng)化、智能化水平越高，威脅情報(bào)也就能得到更充分的利用，使安全防御能力能夠在外界源源不斷有益信息的支持下穩(wěn)步提升。

自動(dòng)化漏洞挖掘:系統(tǒng)的漏洞挖掘是攻擊者和防御者都關(guān)心的問(wèn)題，目前并行模糊測(cè)試、污點(diǎn)分析或符號(hào)執(zhí)行等方法已經(jīng)能夠高效地發(fā)現(xiàn)大量的程序錯(cuò)誤，但存在效率不高、需要熟悉目標(biāo)系統(tǒng)、對(duì)經(jīng)驗(yàn)依賴度較高、技術(shù)復(fù)雜等缺點(diǎn)[7-8]，使得快速分析、評(píng)價(jià)這些潛在的漏洞仍然需要大量的人工參與和判斷。美國(guó)國(guó)防部先進(jìn)技術(shù)研究局(DARPA)2016年發(fā)起的CGC網(wǎng)絡(luò)超級(jí)挑戰(zhàn)賽的主題為自動(dòng)化漏洞挖掘及防護(hù)，在無(wú)人干預(yù)的情況下從給定的目標(biāo)地址獲取應(yīng)用程序、分析代碼、給出攻擊向量并生成補(bǔ)丁，從目前主辦方預(yù)留的590個(gè)漏洞均已被參賽隊(duì)伍發(fā)現(xiàn)并修補(bǔ)，可以預(yù)期這一領(lǐng)域即將在智能化的助力下取得更加豐碩的成果。

用戶實(shí)體行為分析:即UEBA(User Entity Behavior Analysis)，是Gartner認(rèn)為2016年十大信息安全技術(shù)之一，它通過(guò)收集網(wǎng)絡(luò)中設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)和用戶等多個(gè)節(jié)點(diǎn)產(chǎn)生的信息創(chuàng)建基準(zhǔn)狀態(tài)，并在后續(xù)的運(yùn)行過(guò)程中不斷尋找“異常”的模式，評(píng)估新發(fā)生的事件在環(huán)境上下文中是否異常，以及異常的程度有多深，進(jìn)而排序事件的重要性及可能產(chǎn)生的業(yè)務(wù)影響，適時(shí)發(fā)出告警。為了更精確地識(shí)別威脅，UEBA產(chǎn)品中通常采用改進(jìn)的機(jī)器學(xué)習(xí)機(jī)制，允許在不依賴于預(yù)先制訂規(guī)則的前提下就能良好的運(yùn)作，充分體現(xiàn)出了智能化的零配置、冷啟動(dòng)特點(diǎn)。

實(shí)時(shí)應(yīng)用程序自我保護(hù):即RASP(Realtime Application Self Protection)，它是一種新型應(yīng)用安全保護(hù)技術(shù)，其基本思想是以智能化的方式將安全無(wú)縫嵌入應(yīng)用之中，使用類似疫苗的方式將保護(hù)能力與被保護(hù)對(duì)象融為一體。RASP在程序運(yùn)行的整個(gè)階段實(shí)現(xiàn)有效的自我監(jiān)控和有害輸入、行為的識(shí)別，使得當(dāng)應(yīng)用程序面臨漏洞攻擊時(shí)，不需要人工干預(yù)就能夠自動(dòng)重新配置和運(yùn)作以阻斷入侵者。RASP顯著的優(yōu)點(diǎn)在于無(wú)需對(duì)應(yīng)用本身做出任何改動(dòng)，而且防護(hù)能力會(huì)隨著智能化水平的提升而不斷增強(qiáng)。

3.3安全智能展望

世界正處于新科技革命和產(chǎn)業(yè)革命的交匯點(diǎn)上，科學(xué)技術(shù)在廣泛交叉和深度融合中不斷創(chuàng)新，智能產(chǎn)業(yè)蓬勃興起，成為安全領(lǐng)域取得顛覆性突破的契機(jī)。

(1)智能是一場(chǎng)安全的革命。智能帶給用戶的意義、價(jià)值在于能夠顯著減少為達(dá)到同等安全水平需要投入的人力、物力和注意力，并且這種安全防護(hù)能力是自組織、自生長(zhǎng)的。泛在網(wǎng)、云服務(wù)和大數(shù)據(jù)為安全智能的傳播和流行提供了堅(jiān)實(shí)的平臺(tái)，安全智能模式將快速?gòu)?fù)制并傳播。

(2)人的關(guān)鍵性參與難以動(dòng)搖。人和智能都無(wú)法單獨(dú)在網(wǎng)絡(luò)安全任務(wù)中取得壓倒性優(yōu)勢(shì)，智能與人類協(xié)同工作必然取得更好效果。通過(guò)人腦的知識(shí)、經(jīng)驗(yàn)與機(jī)器的模型庫(kù)、方法庫(kù)、規(guī)則庫(kù)等在分析、推理方面優(yōu)勢(shì)互補(bǔ)，完成復(fù)雜決策過(guò)程，形成人機(jī)融合的決策力，指導(dǎo)系統(tǒng)未來(lái)運(yùn)作。例如用機(jī)器從海量數(shù)據(jù)中識(shí)別概率最高的攻擊事件，再交給人類專家進(jìn)一步處理以提高精確率等。

(3)智能終將成為安全的內(nèi)在屬性。當(dāng)前智能與安全的協(xié)同機(jī)制以外圍嵌入、流程聚合的方式為主導(dǎo)，存在感知不全面、認(rèn)知不深入、控制不到位的缺點(diǎn)?？梢灶A(yù)期智能將進(jìn)一步和安全深度交織，使智能成為安全的一個(gè)必選項(xiàng)并與之無(wú)縫融合，減少溝通的損耗，實(shí)現(xiàn)更佳的匹配能力。

4　結(jié)語(yǔ)

安全智能是人工智能與安全的深度融合，著眼于獲取網(wǎng)絡(luò)空間安全的決策、行動(dòng)和成本優(yōu)勢(shì)，其預(yù)期能力將覆蓋網(wǎng)絡(luò)空間信息安全感知、認(rèn)知、處置、防御、決策、交互的各個(gè)所需層次和環(huán)節(jié)。當(dāng)前安全智能化已經(jīng)成為安全技術(shù)創(chuàng)新的重要方向，傳統(tǒng)的依賴于邊界防御的靜態(tài)安全控制措施將逐漸被基于知識(shí)共享和大數(shù)據(jù)分析的高級(jí)、智能安全手段所取代，系統(tǒng)將具備多樣化風(fēng)險(xiǎn)感知、精準(zhǔn)響應(yīng)處置和未知威脅抵御的全鏈條能力，實(shí)現(xiàn)安全價(jià)值的非線性涌現(xiàn)爆發(fā)。

[1] Montesino，Raydel，and Stefan Fenz.Information Security Automation:How Far can we go[C]//Availability，Reliability and Security(ARES)，2011 Sixth International Conference，IEEE，2011:280-285.

[2] Edwards W K，Poole E S，and Stoll J.Security Automation Considered Harmful[C]//Proceedings of the 2007 Workshop on New Security Paradigms.ACM.2007:33-42.

[3] 黃子中，韓偉紅，賈焰.基于攻擊流量的網(wǎng)絡(luò)安全規(guī)則自動(dòng)生成系統(tǒng)NSRAG[J].電腦知識(shí)與技術(shù)，2015，11(35): 14-16.

[4] Montesino R，F(xiàn)enz S，and Baluja W.SIEM-based Framework for Security Controls Automation[J].Information Management＆Computer Security，2012，20(4):248-263.

[5] Radack S，and Kuhn，R.Managing Security:The Security Content Automation Protocol[J].IT Professional，2011，13 (1):9-11.

[6] Kampanakis P.Security Automation and Threat Information-sharing Options[J].IEEE Security＆Privacy，2014，12(5):42-51.

[7] BlackburnMark，Robert Busser，Aaron Nauman，and Ramaswamy Chandramouli.Model-based approach to security test automation [C]//Proceeding of Quality Week，2001:46-54.

[8] 邵林，張小松，蘇恩標(biāo).一種基于fuzzing技術(shù)的漏洞發(fā)掘新思路[J].計(jì)算機(jī)應(yīng)用研究，2009，26(03):1086-1088.

Evolutionary Approaches of Cyberspace Security Automation Technologies to Systematic Self-Intelligence

CHEN Jian-feng1，2，3，CHEN Tian-ying3
(1Science and Technology on Communication Security Laboratory，Chengdu Sichuan 610041，China)
(2Cyberspace Security Technology Laboratory of CETC，Chengdu Sichuan 610041，China)
(3China Electronic Technology Cyber Security Co.，Ltd，Chengdu Sichuan 610041，China)

As cyberspace security issues gradually fall into severe and complex situations，traditional information security mechanisms inevitably become outdated while lack efficient solutions to tackle problems brought by the nonlinear expanding scale of information systems，or by the inherent defect of humans for being subjective and arbitrary.A revolutionary innovation is urgently needed to disengage people of information security operation from practicing repetitive，routine and error-prone work daily.Thanks to the great progress of system theory，controlling theory and artificial intelligence，human burden of security management could be substituted by automated or intelligent machine workforces，which is also definitely the trend of technology evolvement.The concept，principle，usage and constrain of cyberspace automation are introduced in the paper，together with main difference and concatenating relations between automation and intelligence are given，key problems for incorporating appropriate intelligence，and present forward-looking visions of application potential of security and intelligence fusion.

cyberspace；information security；security automation；security intelligence

TN915

A

1009-8054(2016)08-0111-06

?2016-03-09

陳劍鋒(1983—)，男，博士，高級(jí)工程師，主要研究方向?yàn)樾畔踩⑷斯ぶ悄埽?/p>

陳天瑩(1982—)，女，博士，高級(jí)工程師，主要研究方向?yàn)樾畔踩?、大?shù)據(jù)?！?/p>