當前位置：首頁 >文章發(fā)布 > 正文

人工智能在網(wǎng)絡安全中的應用價值展望

來源：環(huán)球網(wǎng) 作者：佚名 2017-09-20 17:19:52

隨著網(wǎng)絡環(huán)境越來越復雜、攻擊手段越來越隱蔽，安全運維的難度也越來越大。在大數(shù)據(jù)時代，安全分析人員要處理的數(shù)據(jù)規(guī)模與其處理能力嚴重不匹配，許多攻擊報警得不到及時響應，這是造成用戶雖部署了安全設備仍然被入侵、且一次入侵行為的MTTR(平均修復時間)過長的主要原因。據(jù)統(tǒng)計，當前國內(nèi)安全人員的缺口達數(shù)十萬，通過提高分析人員數(shù)量來應對大數(shù)據(jù)的思路顯然不可行，比較可行的方法就是運用人工智能，通過智能算法對原始數(shù)據(jù)進行預處理，降低分析人員數(shù)據(jù)處理壓力，輔助分析人員做出正確判斷。

在經(jīng)歷了一輪又一輪的跌宕起伏后，人工智能在2017年再一次站到了浪潮之巔。在國外，國際知名咨詢機構Gartner于2017年7月發(fā)布了本年度新興技術成熟度曲線，人工智能的兩個分支——深度學習和機器學習，均處于曲線的最頂端(見圖1)。在國內(nèi)，國務院同樣于2017年7月印發(fā)了《新一代人工智能發(fā)展規(guī)劃》，提出要推動人工智能與各行業(yè)融合創(chuàng)新，推動人工智能規(guī)模化應用，全面提升產(chǎn)業(yè)發(fā)展智能化水平。作為IT領域的傳統(tǒng)行業(yè)，網(wǎng)絡安全如何與人工智能相結合，產(chǎn)生化學反應，成為業(yè)界關注的焦點。本文展望了人工智能在網(wǎng)絡安全行業(yè)的應用價值和存在的挑戰(zhàn)，希望能夠對大家有所啟發(fā)。

圖12017 Gartner新興技術成熟度曲線

1.防范高級威脅的需求和安全人員的短缺，是推動人工智能技術在網(wǎng)絡安全行業(yè)應用的內(nèi)在動力。

眾所周知，近年來APT攻擊已成為企業(yè)級用戶所面臨的最主要的安全威脅。由于安全廠商既不能先于用戶獲取到攻擊樣本，又不能在每個用戶的網(wǎng)絡環(huán)境中都安排安全人員進行應急防范，可行的解決方案是通過技術手段將安全廠商自身的分析能力前置到用戶的網(wǎng)絡環(huán)境中。對于高級威脅檢測而言，當前主流檢測技術是虛擬執(zhí)行，即通過在沙箱、虛擬機等環(huán)境中運行可疑文件，判斷其是否包含惡意代碼。這種技術固然具備一定的未知威脅檢測能力，但也存在計算資源耗費大、檢測時間長等缺點，一般單個沙箱處理一個可疑文件需要幾分鐘的時間，這在高速網(wǎng)絡環(huán)境中會造成較大的處理延遲。為此大家都在積極探索其它更有效的解決方案，人工智能就是替代方案之一。通過人工智能算法模擬人的分析能力，在一定程度上相當于把廠商的分析能力前置到了用戶環(huán)境中，這是解決未知威脅檢測的有效途徑。

2.惡意代碼檢測和智能安全運維，是人工智能在網(wǎng)絡安全領域應用的主戰(zhàn)場

了解了網(wǎng)絡安全行業(yè)所面臨的主要問題，我們不難推測人工智能在網(wǎng)絡安全領域的用武之地。

在惡意代碼檢測方面，我們需要利用人工智能提升對未知惡意代碼的檢測能力，提升對可疑樣本的研判速度。目前可行的方法是采用監(jiān)督學習方法，首先積累一定體量的標注數(shù)據(jù)作為訓練樣本和測試樣本，然后利用深度學習算法訓練產(chǎn)生分類器，最后在用戶側利用實際數(shù)據(jù)進行模型的增量更新，從而在用戶側形成檢測-處置-響應的閉環(huán)。具體方案如圖2所示：

圖2基于深度學習的惡意代碼檢測框架

目前國內(nèi)外已有安全廠商進行了基于深度學習算法進行惡意代碼檢測的嘗試，啟明星辰也利用自身的數(shù)據(jù)和算法積累進行了驗證，我們對這種檢測方案的前景還是比較樂觀的。

在安全運維方面，我們需要利用人工智能技術提升對安全大數(shù)據(jù)的處理能力，提升對安全事件的響應速度。一名有經(jīng)驗的安全分析師，在長期的安全運維實踐中會摸索出有效的安全事件分析和處置流程，如果能夠通過人工智能把這些流程固化成可自動運行的分析模型，將大大提升運維人員的工作效率。

在安全運維平臺中增加智能分析算法，已成為了國內(nèi)外SIME類廠商的關注焦點。啟明星辰在其SOC平臺中也提供了一系列的智能分析模型和算法，包括基于統(tǒng)計學習的異常檢測方法、基于規(guī)則推理的關聯(lián)分析算法、基于淺層學習的分類聚類算法等。此外，啟明星辰還進行了基于本體建模和知識圖譜的事件自動化處置方案驗證，取得了積極的效果。

3.有價值數(shù)據(jù)的缺失和結果可解釋性不足，是人工智能技術應用所面臨的主要挑戰(zhàn)

雖然人工智能算法在網(wǎng)絡安全領域的應用前景樂觀，但在成為安全領域的主流技術前，還面臨著一系列的挑戰(zhàn)。

首先是數(shù)據(jù)缺失帶來的挑戰(zhàn)。我們知道人工智能、機器學習算法需要大量的標注數(shù)據(jù)來訓練模型，可以說數(shù)據(jù)決定了模型最終能夠達到的高度，算法只是逼近這個高度的手段而已。但在實際環(huán)境中，由于安全廠商的用戶大都對自身數(shù)據(jù)比較敏感，廠商在將設備部署到用戶環(huán)境后很難通過用戶的反饋獲取有價值的數(shù)據(jù)，比如在實際環(huán)境中的攻擊報警及原始數(shù)據(jù)、對漏報或誤報的分析結果等，這就導致廠商無法利用真實數(shù)據(jù)提升模型的檢測準確率。

其次是結果的可解釋性帶來的挑戰(zhàn)。對于傳統(tǒng)基于特征匹配的攻擊檢測而言，檢測設備對其所產(chǎn)生的報警可以給予充分的證據(jù)，用于解釋其報警的有效性;但對于人工智能、尤其是深度學習算法而言，檢測設備的判斷依據(jù)對用戶而言是一個黑盒子，用戶無法知曉某個報警產(chǎn)生的具體原因。事實上目前已經(jīng)出現(xiàn)了攻擊特定機器學習算法使其產(chǎn)生誤報的技術。如何提高人工智能算法的魯棒性和結果可解釋性，也是學術界研究的熱點。

雖然人工智能在網(wǎng)絡安全領域的應用還面臨著各種各樣的挑戰(zhàn)，我們依然看好其應用前景。這是因為數(shù)據(jù)時代和智能時代已經(jīng)來臨，利用數(shù)據(jù)改變傳統(tǒng)的業(yè)務模式、利用人工智能提升數(shù)據(jù)的利用價值，已成為大勢所趨。我們期待著人工智能在未來的網(wǎng)絡安全產(chǎn)業(yè)發(fā)揮更大的價值!(周濤博士)

編輯：張潔

關鍵詞：人工智能網(wǎng)絡安全惡意代碼