王智民

2020年，以5G網(wǎng)絡(luò)、云計(jì)算、工業(yè)互聯(lián)網(wǎng)為代表的“新基建”開啟了中國未來經(jīng)濟(jì)發(fā)展的新格局，數(shù)字化網(wǎng)絡(luò)和智能化產(chǎn)業(yè)應(yīng)用成為其核心，新技術(shù)催生了無數(shù)新的應(yīng)用場景，使網(wǎng)絡(luò)安全從以往的信息化輔助工程角色升級為基礎(chǔ)工程。

一、“新基建”推動(dòng)網(wǎng)絡(luò)安全能力向智能化方向創(chuàng)新

傳統(tǒng)安全防護(hù)能力有三大局限性，即防護(hù)能力是靜態(tài)的，防護(hù)能力是被動(dòng)的，不能抵御未知威脅。例如邊界控制方法，終端安全需要依賴于預(yù)先定義的入侵特征，沙盒很容易被高級威脅繞過，事件管理和分析工具是一個(gè)需要大量專家參與的資源密集型活動(dòng);目前流行的行為分析技術(shù)不能檢測新的威脅，仍然依賴于業(yè)務(wù)規(guī)則庫。

而“新基建”下安全風(fēng)險(xiǎn)與威脅呈現(xiàn)三大特征——網(wǎng)絡(luò)攻擊自動(dòng)化、網(wǎng)絡(luò)攻擊智能化、網(wǎng)絡(luò)攻擊手段多樣化。這就對網(wǎng)絡(luò)安全防護(hù)能力提出了四個(gè)新要求：能夠及時(shí)發(fā)現(xiàn)高級威脅與未知威脅;盡可能高的威脅檢測告警準(zhǔn)確率;安全能力能夠自動(dòng)適應(yīng)網(wǎng)絡(luò)環(huán)境進(jìn)行智能調(diào)節(jié)與進(jìn)化;具有一定的自主決策與響應(yīng)處置能力。

這些新要求的總體特點(diǎn)是安全能力要能夠防范未知威脅，并能夠在一定范圍內(nèi)自我調(diào)節(jié)與優(yōu)化，以適應(yīng)不斷變化和無孔不入的安全威脅，即網(wǎng)絡(luò)安全能力要具備智能化特征。因此，新基建對網(wǎng)絡(luò)安全提出的新要求，將推動(dòng)網(wǎng)絡(luò)安全能力向智能化方向創(chuàng)新。

二、網(wǎng)絡(luò)安全+AI成為網(wǎng)絡(luò)安全能力智能化的必然技術(shù)路線

面對安全需求和現(xiàn)有安全能力之間的差距，安全行業(yè)從業(yè)者一直在探索安全防護(hù)能力智能化的可行路線，前后大致經(jīng)歷了兩個(gè)階段：

第一階段，以沙箱、行為分析、數(shù)據(jù)挖掘和威脅情報(bào)為代表的技術(shù)路線。這種方法在某些程度上可以防范之前依靠靜態(tài)特征比對所難以發(fā)現(xiàn)的高級威脅，但是因?yàn)檫@種技術(shù)路線本質(zhì)上仍然需要提前定義威脅并轉(zhuǎn)換為防護(hù)規(guī)則，所以無法防范諸如0 Day漏洞利用、快速變種病毒等未知威脅。

第二階段，以人工智能或計(jì)算智能為代表的技術(shù)路線，借助數(shù)據(jù)、建模、算法和算力，使得安全威脅檢測和響應(yīng)具有一定的自適應(yīng)調(diào)節(jié)和自主決策能力，從而具有內(nèi)生智能和自我進(jìn)化的智能化特點(diǎn)。當(dāng)前國際上有許多創(chuàng)業(yè)公司利用人工智能技術(shù)來解決網(wǎng)絡(luò)安全難題，圍繞EDR、NTA、數(shù)據(jù)安全三個(gè)領(lǐng)域，取得了很好的效果。舉例來說，CrowdStrike是一家基于機(jī)器學(xué)習(xí)技術(shù)的終端惡意代碼檢測公司，2019年在美國納斯達(dá)克上市;DarkTrace通過無監(jiān)督機(jī)器學(xué)習(xí)進(jìn)行全流量威脅檢測，在內(nèi)網(wǎng)威脅檢測與主動(dòng)響應(yīng)方面取得了良好的效果;國內(nèi)六方云也采用AI基因、威脅免疫理念，打造了神探產(chǎn)品（全流量威脅檢測與回溯系統(tǒng)），獲得了市場的一致認(rèn)可。

三、利用AI技術(shù)提升安全防護(hù)能力，實(shí)現(xiàn)“主動(dòng)防御”安全目標(biāo)

新基建對網(wǎng)絡(luò)安全防護(hù)能力提出的四點(diǎn)新要求，本質(zhì)上是希望針對新基建新技術(shù)新場景實(shí)現(xiàn)“主動(dòng)防御”，即能夠做到以下四點(diǎn)：及時(shí)發(fā)現(xiàn)正在進(jìn)行的攻擊，做到主動(dòng)檢測;及時(shí)識(shí)別和預(yù)警未知威脅與攻擊，做到主動(dòng)預(yù)警;及時(shí)采取必要措施以阻止惡意攻擊或行為達(dá)到目標(biāo)，做到主動(dòng)保護(hù);在不受人為干預(yù)的情況下提前預(yù)防類似安全事件再次發(fā)生，做到主動(dòng)響應(yīng)。

1.仿生人體免疫系統(tǒng)構(gòu)建主動(dòng)防御安全體系

主動(dòng)防御需要網(wǎng)絡(luò)安全防護(hù)能力必須具有智能。網(wǎng)絡(luò)安全智能化除了引入AI技術(shù)外，還需要一套全新的安全體系。

人工智能從總體上分為強(qiáng)人工智能和弱人工智能，強(qiáng)人工智能遵從仿真主義，也就是希望設(shè)計(jì)出一個(gè)與人完全一樣的機(jī)器人;弱人工智能又可以分為兩個(gè)流派，其中一個(gè)是通過“大數(shù)據(jù)+大量計(jì)算+適當(dāng)算法”來獲得一定智能，比如阿爾法狗（Alphago）;另外一個(gè)流派認(rèn)為應(yīng)該模仿幼兒學(xué)習(xí)新事物的方式，也就是“適當(dāng)數(shù)據(jù)+適當(dāng)計(jì)算+復(fù)雜算法”方式來獲得智能，遵從連接主義，也就是仿生學(xué)的路線。

仿生學(xué)的思路是人工智能技術(shù)應(yīng)用到各個(gè)領(lǐng)域的基本方法論之一。我們知道，人體免疫系統(tǒng)是一個(gè)具有高度智能化的主動(dòng)防御系統(tǒng)，同時(shí)人體免疫系統(tǒng)還具有聯(lián)防聯(lián)控、整體防護(hù)的機(jī)制。如果將網(wǎng)絡(luò)空間看成一個(gè)人體，網(wǎng)絡(luò)安全模仿人體免疫系統(tǒng)是一條可行之路。

2、借助人工智能技術(shù)，實(shí)現(xiàn)主動(dòng)防御所面臨的挑戰(zhàn)

以模仿人工智能應(yīng)用最成功的人臉識(shí)別方法為例，人臉識(shí)別大部分采用有監(jiān)督機(jī)器學(xué)習(xí)算法，而威脅檢測由于網(wǎng)絡(luò)安全是攻與防的動(dòng)態(tài)博弈過程，所以攻擊特征在不斷變化，即使找到了某種攻擊的惡意樣本，經(jīng)過訓(xùn)練的模型適應(yīng)能力必然很差，很容易被繞過，甚至遭受模型攻擊，所以應(yīng)采用無監(jiān)督學(xué)習(xí)實(shí)現(xiàn)安全威脅的主動(dòng)檢測。采用無監(jiān)督學(xué)習(xí)路線對數(shù)據(jù)要求沒有監(jiān)督學(xué)習(xí)那么高，但對建模、算法、算力都會(huì)有較大挑戰(zhàn)。

實(shí)現(xiàn)無需人為干預(yù)情況下的主動(dòng)響應(yīng)，包括主動(dòng)預(yù)防的安全策略、主動(dòng)響應(yīng)策略與處置，是幾十年安全技術(shù)發(fā)展的追求，難度可想而知。應(yīng)借助強(qiáng)化學(xué)習(xí)技術(shù)，模仿人體免疫機(jī)制中的DC細(xì)胞，智能決策啟動(dòng)何種抗原體去殺死病原體，來實(shí)現(xiàn)網(wǎng)絡(luò)安全主動(dòng)響應(yīng)。

主動(dòng)預(yù)警包括主動(dòng)預(yù)測和主動(dòng)報(bào)警。預(yù)測包括多個(gè)維度的預(yù)測，包括在什么時(shí)間，可能會(huì)來自哪個(gè)攻擊者，采用什么攻擊方式，針對什么目標(biāo)，希望達(dá)到什么目的等。當(dāng)前即使應(yīng)用AI技術(shù)還難以達(dá)到預(yù)期效果。大致上有兩條技術(shù)路線，一條是模仿人獲得知識(shí)的過程，基于任務(wù)驅(qū)動(dòng)的因果推理與學(xué)習(xí)，核心是通過設(shè)計(jì)各種任務(wù)訓(xùn)練得到價(jià)值函數(shù)，然后用這個(gè)價(jià)值函數(shù)預(yù)測可能的威脅。另一條采用機(jī)器學(xué)習(xí)如回歸分析算法，以歷史數(shù)據(jù)預(yù)測未來，在很多情況下難以達(dá)到預(yù)期效果。

3、基于AI技術(shù)的主動(dòng)防御類安全系統(tǒng)應(yīng)具備的特征

產(chǎn)品形態(tài)：由數(shù)據(jù)探針和策略執(zhí)行器與分析平臺(tái)構(gòu)成的分布式處理系統(tǒng)。

應(yīng)用場景：應(yīng)能滿足等保2.0的4+1場景，即傳統(tǒng)網(wǎng)絡(luò)安全、工控安全、云計(jì)算安全、移動(dòng)互聯(lián)安全和物聯(lián)網(wǎng)安全。

基本功能：至少具備七大功能，即數(shù)據(jù)采集與分析、高級威脅檢測、未知威脅檢測、攻擊場景還原、追蹤溯源、威脅告警與通報(bào)、威脅響應(yīng)與處置。其中高級威脅和未知威脅檢測是必須具有的功能，也是區(qū)分與其他傳統(tǒng)產(chǎn)品的典型功能。

典型特征：全面防御：既能夠防范已知威脅，也能夠防范未知威脅;動(dòng)態(tài)防護(hù)：能夠自適應(yīng)的檢測變種威脅和調(diào)整安全響應(yīng)策略;精準(zhǔn)防控：威脅檢測準(zhǔn)確率達(dá)到90%以上，誤報(bào)率降低到10%以下;自我進(jìn)化：學(xué)習(xí)時(shí)間越長，威脅防范能力越強(qiáng)，并能夠自我調(diào)節(jié)與完善。

測評指標(biāo)：威脅檢測準(zhǔn)確率、威脅檢測誤報(bào)率、模型AUC。

最后，主動(dòng)防御類安全系統(tǒng)在如下場景安全防護(hù)效果會(huì)更優(yōu)：與互聯(lián)網(wǎng)不連接的封閉網(wǎng)絡(luò)環(huán)境、威脅變種比較多的網(wǎng)絡(luò)環(huán)境、可能遭受APT和0 Day漏洞利用攻擊的關(guān)鍵信息基礎(chǔ)設(shè)施、安全威脅告警準(zhǔn)確率要求高和漏報(bào)率要求低的場景。