編者按：本文主要從人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用及所面臨的挑戰(zhàn)展開(kāi)，闡述我們?cè)撊绾卫萌斯ぶ悄堋C(jī)器學(xué)習(xí)及深度感知等方法提升應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的能力，從而更全面高效地建設(shè)我國(guó)的信息安全保障機(jī)制。

在2010年后，一系列基于大數(shù)據(jù)、高性能GPU和高速網(wǎng)絡(luò)的深度學(xué)習(xí)方法被研究完善，基于人工智能的場(chǎng)景應(yīng)用得到了廣泛關(guān)注，網(wǎng)絡(luò)安全就是其中之一。

最初，網(wǎng)絡(luò)安全和人工智能被認(rèn)為是兩個(gè)獨(dú)立的實(shí)體，而隨著時(shí)間的推移，這兩個(gè)領(lǐng)域變得越來(lái)越緊密。為了混淆身份驗(yàn)證系統(tǒng)，入侵的手段越來(lái)越隱蔽且復(fù)雜化。CAPTCHA與人工智能在安全性方面的博弈是一個(gè)很好的例子：在CAPTCHA中，用戶將鍵入扭曲（底噪）或順序顛倒模糊的字母或數(shù)字，便可輕易過(guò)濾掉惡意行為，但到了2014年，人工智能在解決這類(lèi)問(wèn)題時(shí)的效率已經(jīng)遠(yuǎn)超人類(lèi)。

結(jié)合近兩年的研究表明，將人工智能整合入企業(yè)的網(wǎng)絡(luò)安全體系中，可在大幅降低企業(yè)全球化后所面臨的日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅。

網(wǎng)絡(luò)安全態(tài)勢(shì)綜述和發(fā)展趨勢(shì)

根據(jù)IDG CSO的統(tǒng)計(jì)，預(yù)計(jì)2021年，各國(guó)在網(wǎng)絡(luò)安全上的投入預(yù)算將達(dá)到6萬(wàn)億美元，在對(duì)已知的“嚴(yán)重”等級(jí)以上的網(wǎng)絡(luò)安全事件進(jìn)行篩選后發(fā)現(xiàn)，導(dǎo)致網(wǎng)絡(luò)安全事件發(fā)生的最薄弱的環(huán)節(jié)并不是軟硬件的缺失，而是人為因素，這其中包括疏忽、誤操作、響應(yīng)遲緩以及決策錯(cuò)誤等。

在現(xiàn)有的網(wǎng)絡(luò)安全理念的框架下，多樣化的威脅開(kāi)始迅速涌現(xiàn)，現(xiàn)有的響應(yīng)機(jī)制必須滿足不斷變化的威脅形勢(shì)的需求，這讓傳統(tǒng)的應(yīng)對(duì)手段顯得老態(tài)龍鐘。

現(xiàn)今，我們所面臨的網(wǎng)絡(luò)安全威脅已日趨組織化、專(zhuān)業(yè)化和隱蔽化，部署更加智能的網(wǎng)絡(luò)安全軟件是網(wǎng)絡(luò)安全防御發(fā)展的趨勢(shì)。安全信息和事件管理軟件提供安全事件分析以及各種信息的存儲(chǔ)和關(guān)聯(lián)，包括日志數(shù)據(jù)、威脅向量和用戶行為等結(jié)構(gòu)化的威脅情報(bào)分析。近年來(lái)，人工智能逐漸取代人工手段，成為網(wǎng)絡(luò)空間中各類(lèi)情報(bào)大數(shù)據(jù)獲取的主要來(lái)源。

人工智能在網(wǎng)絡(luò)安全領(lǐng)域的輔助應(yīng)用

為了增強(qiáng)現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)和實(shí)踐，可以在以下三個(gè)方面應(yīng)用人工智能。

第一個(gè)方面是“預(yù)防和保護(hù)”。一段時(shí)間以來(lái)，研究人員一直專(zhuān)注于人工智能阻止網(wǎng)絡(luò)入侵者的潛力。2014年在美國(guó)開(kāi)始舉辦的首屆DARPA網(wǎng)絡(luò)挑戰(zhàn)賽由專(zhuān)業(yè)黑客和信息安全研究人員參加，通過(guò)利用基于人工智能的漏洞檢測(cè)系統(tǒng)找出安全漏洞并實(shí)時(shí)開(kāi)發(fā)和部署解決方案。盡管仍處于初期，但網(wǎng)絡(luò)安全的未來(lái)可能會(huì)受益于更多使用人工智能的預(yù)防和保護(hù)系統(tǒng)，這些系統(tǒng)使用先進(jìn)的機(jī)器學(xué)習(xí)技術(shù)來(lái)強(qiáng)化防御，還可以使人們靈活的與算法決策交互。

其次是“檢測(cè)”。傳統(tǒng)的網(wǎng)絡(luò)安全預(yù)警機(jī)制依賴專(zhuān)業(yè)人員使用固有特征的威脅樣本的分析軟件來(lái)檢測(cè)網(wǎng)絡(luò)中存在的異常，以及利用已知的攻擊方式對(duì)漏洞進(jìn)行識(shí)別。一旦發(fā)現(xiàn)匹配的威脅特征時(shí)，分析軟件會(huì)向安全團(tuán)隊(duì)發(fā)出警報(bào)。筆者將這種工作模式歸類(lèi)為基于定量風(fēng)險(xiǎn)的分析模式，這其中包括已知和未知的風(fēng)險(xiǎn)。優(yōu)點(diǎn)和不足都顯而易見(jiàn)：不足集中表現(xiàn)在缺乏對(duì)未來(lái)網(wǎng)絡(luò)安全趨勢(shì)的預(yù)測(cè)和可持續(xù)性追蹤上，對(duì)于網(wǎng)絡(luò)威脅的預(yù)警只能是發(fā)生在事中或者事后，無(wú)法做到全過(guò)程可溯。造成這種情況的原因與前面提到的基于固有特征的定量風(fēng)險(xiǎn)管理模式是分不開(kāi)了的。

在網(wǎng)絡(luò)威脅不斷變化的情況下，準(zhǔn)確地篩選網(wǎng)絡(luò)中的異常行為，對(duì)人類(lèi)來(lái)說(shuō)是一項(xiàng)極其龐大的工作。由于入侵行為（通常是數(shù)據(jù)盜竊）是長(zhǎng)期的，因此網(wǎng)絡(luò)上也存在一些惡意軟件程序，并且看起來(lái)是無(wú)害的，我們稱之為高級(jí)持續(xù)性威脅（APT）。它們經(jīng)過(guò)精心設(shè)計(jì)，可以被網(wǎng)絡(luò)安全程序和分析軟件所忽略，繞過(guò)前端蜜罐，自動(dòng)識(shí)別高價(jià)值信息，并可以長(zhǎng)期潛伏在目標(biāo)網(wǎng)絡(luò)中，且無(wú)論目標(biāo)庫(kù)中的威脅特征碼如何更新，始終可將自身置于“高度受信”的名單內(nèi)。

面對(duì)APT，最好的方法就是引入“預(yù)測(cè)分析”和“認(rèn)知計(jì)算”。作為人工智能的重要組成，“預(yù)測(cè)分析”也可以被稱為“機(jī)器學(xué)習(xí)”，實(shí)際上它具備了比人類(lèi)更好地識(shí)別模式。通過(guò)分析各種已發(fā)生的攻擊，即使它與先前已知的特征不匹配，人工智能也具備對(duì)可能的攻擊具有“直覺(jué)”或預(yù)測(cè)的能力。

而“認(rèn)知計(jì)算”則是人工智能模型通過(guò)模仿人腦動(dòng)作，在系統(tǒng)輸入的大數(shù)據(jù)中，將網(wǎng)絡(luò)安全威脅事件篩查出來(lái)。它可以學(xué)習(xí)并獲得識(shí)別威脅的能力，構(gòu)建基于態(tài)勢(shì)的網(wǎng)絡(luò)安全模型，“認(rèn)知計(jì)算”可使用結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)作為輸入，在異構(gòu)數(shù)據(jù)的基礎(chǔ)上提供類(lèi)似于人為洞察力的人機(jī)協(xié)作關(guān)系。之后，它可以提供人類(lèi)可能從未想出的見(jiàn)解或提出獨(dú)特的解決方案，我們稱之為輸出，從而增強(qiáng)了網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的能力，并且其速度遠(yuǎn)遠(yuǎn)超過(guò)了人類(lèi)。

最后一個(gè)方面是“響應(yīng)”。人工智能可以幫助優(yōu)先考慮需要關(guān)注的風(fēng)險(xiǎn)領(lǐng)域并自動(dòng)化地執(zhí)行任務(wù)，從而減輕網(wǎng)絡(luò)安全分析師的工作量，將人員的工作重心轉(zhuǎn)移到更高價(jià)值的活動(dòng)上。人工智能還可以基于共享的知識(shí)和學(xué)習(xí)，促進(jìn)對(duì)外部或內(nèi)部攻擊的智能響應(yīng)。

例如，今天我們擁有部署半自動(dòng)、智能誘餌或蜜罐的技術(shù)，這些誘餌創(chuàng)建了要滲透的網(wǎng)絡(luò)環(huán)境，以使攻擊者認(rèn)為他們?cè)陬A(yù)期的入侵路徑上，然后使用欺騙手段來(lái)識(shí)別罪魁禍?zhǔn)?。具有人工智能功能的響?yīng)系統(tǒng)可以動(dòng)態(tài)隔離網(wǎng)絡(luò)，以將有價(jià)值的資產(chǎn)隔離在安全的“地方”，或使攻擊者遠(yuǎn)離漏洞或有價(jià)值的數(shù)據(jù)。

人工智能的引入為專(zhuān)業(yè)人員提供了所需要的威脅分類(lèi)關(guān)聯(lián)信息，從而可以更快、更明智地制定決策，同時(shí)借助網(wǎng)絡(luò)安全分析軟件提供的數(shù)據(jù)（預(yù)測(cè)分析），以及上下文數(shù)據(jù)實(shí)時(shí)更新網(wǎng)絡(luò)安全知識(shí)集，再加上先前確定的見(jiàn)解（認(rèn)知計(jì)算），人工智能可以比任何人更快、更準(zhǔn)確地關(guān)聯(lián)所有數(shù)據(jù)。

人工智能在網(wǎng)絡(luò)安全應(yīng)用中所面臨挑戰(zhàn)

我們看到了人工智能在網(wǎng)絡(luò)安全應(yīng)用方面的無(wú)限前景，但同時(shí)人工智能也面臨著來(lái)自多維度的威脅，這其中包括深度學(xué)習(xí)框架中的軟件漏洞、對(duì)抗機(jī)器學(xué)習(xí)的惡意干擾元素的生成以及訓(xùn)練數(shù)據(jù)的污染等。這些威脅可能導(dǎo)致人工智能所驅(qū)動(dòng)的應(yīng)用系統(tǒng)出現(xiàn)邏輯混淆，形成偏差或者誤判，甚至導(dǎo)致系統(tǒng)崩潰或被惡意劫持，從而使得人工智能變成威脅信息安全和網(wǎng)絡(luò)安全的攻擊工具。

惡意使用人工智能技術(shù)足以控制一個(gè)小型企業(yè)網(wǎng)絡(luò)。Fortinet公司在其發(fā)布的2019年《威脅態(tài)勢(shì)預(yù)測(cè)：網(wǎng)絡(luò)犯罪五大趨勢(shì)》中指出，未來(lái)人工智能技術(shù)將被大量應(yīng)用在蜂巢網(wǎng)絡(luò)和機(jī)器人集群中，利用自我學(xué)習(xí)感知的能力以前所未有的精度自主攻擊脆弱系統(tǒng)和網(wǎng)絡(luò)。與傳統(tǒng)僵尸的網(wǎng)絡(luò)不同，利用人工智能技術(shù)構(gòu)建的網(wǎng)絡(luò)和集群內(nèi)部是能相互通信和交流的，并根據(jù)共享的本地情報(bào)采取對(duì)應(yīng)的行動(dòng)。被感染設(shè)備也將變得更加智能，這里的設(shè)備不僅僅包括計(jì)算機(jī)設(shè)備，更包括大量采用ARM或者M(jìn)IPS指令集的路由器，這些設(shè)備無(wú)需等待人類(lèi)控制者發(fā)出指令就能自主執(zhí)行命令，同時(shí)對(duì)多個(gè)目標(biāo)發(fā)起攻擊，并通過(guò)對(duì)抗學(xué)習(xí)，極大地延遲被攻擊目標(biāo)自我響應(yīng)程度。這一系列實(shí)例說(shuō)明，智能IoT設(shè)備在應(yīng)對(duì)規(guī)?；?、智能化的主動(dòng)攻擊方面系統(tǒng)表現(xiàn)出的脆弱性。

網(wǎng)絡(luò)安全研究人員曾成功操控了那些由亞馬遜、蘋(píng)果公司和谷歌開(kāi)發(fā)的人工智能系統(tǒng)，以進(jìn)行撥號(hào)電話和瀏覽論壇留言等操作，并且無(wú)需借助任何自動(dòng)化運(yùn)行腳本。眾所周知，各類(lèi)移動(dòng)設(shè)備平臺(tái)的語(yǔ)音助手也許是我們所接觸到和使用最廣泛的人工智能輔助程序，目前諸多APT都已瞄準(zhǔn)了上述人工智能平臺(tái)，企圖操控用戶安裝在設(shè)備中的金融程序或通訊軟件，以竊取相關(guān)數(shù)據(jù)或?qū)嵤┍I竊。實(shí)際上，根據(jù)網(wǎng)絡(luò)安全公司W(wǎng)ebroot的一項(xiàng)調(diào)查，在美國(guó)和日本，超過(guò)90%的網(wǎng)絡(luò)安全專(zhuān)業(yè)人員都表示，入侵者對(duì)其所使用的人工智能系統(tǒng)十分感興趣，尤其是涉及到商業(yè)決策和客戶關(guān)系管理的后端人工智能系統(tǒng)。

總結(jié)

在當(dāng)前愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，借助人工智能，我們可以打造一套更加堅(jiān)固的網(wǎng)絡(luò)安全系統(tǒng)。與傳統(tǒng)的網(wǎng)絡(luò)安全解決方案相比，人工智能在這個(gè)領(lǐng)域展示出了它強(qiáng)大且靈活的一面。

與此同時(shí)，我們也應(yīng)該看到，盡管人工智能已在網(wǎng)絡(luò)安全領(lǐng)域發(fā)生了巨大作用，但并不是解決所有網(wǎng)絡(luò)安全問(wèn)題的靈丹妙藥。不過(guò)，這并不意味著我們不能利用AI方法，而是應(yīng)該了解其不足并正確利用它，在此期間，我們需要對(duì)人工智能進(jìn)行不斷的完善和訓(xùn)練。