充分利用人工智能（AI）技術(shù)，對(duì)傳統(tǒng)數(shù)據(jù)挖掘、統(tǒng)計(jì)計(jì)算、關(guān)聯(lián)分析方法進(jìn)行革新與豐富，將成為有效發(fā)現(xiàn)安全威脅的新利器。

　　一、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用

　　1. 應(yīng)用方向

　　人工智能在網(wǎng)絡(luò)安全中領(lǐng)域應(yīng)用前景廣闊。首先，AI 具備大數(shù)據(jù)分析挖掘的能力，能夠有效提升網(wǎng)絡(luò)威脅的檢測(cè)能力和水平。其次，AI 具備根據(jù)已知檢測(cè)未知的能力，可有效解決現(xiàn)有檢測(cè)方法和手段的適應(yīng)性問(wèn)題。再次，AI 具備自主學(xué)習(xí)和自我更新的能力，可有效解決現(xiàn)有模型老化問(wèn)題。最后，AI 具備推理認(rèn)知構(gòu)建的能力，可從廣泛的時(shí)空維度來(lái)對(duì)網(wǎng)絡(luò)威脅進(jìn)行分析溯源。

　　利用人工智能技術(shù)，可以對(duì)成千上萬(wàn)的網(wǎng)絡(luò)日志/流量、威脅情報(bào)等信息進(jìn)行自動(dòng)分析處理與深度挖掘，從海量數(shù)據(jù)中提取出真正有用的信息，對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià)，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢(shì)，并對(duì)全網(wǎng)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)和預(yù)警，為網(wǎng)絡(luò)安全防護(hù)的技術(shù)突破提供了新思路。目前，AI 主要應(yīng)用方向包括異常檢測(cè)告警、未知威脅發(fā)現(xiàn)、潛在風(fēng)險(xiǎn)預(yù)測(cè)和自適應(yīng)聯(lián)動(dòng)響應(yīng)等。具體方向有異常告警檢測(cè)、未知威脅發(fā)現(xiàn)、潛在風(fēng)險(xiǎn)預(yù)測(cè)和自適應(yīng)聯(lián)動(dòng)響應(yīng)等。

　　2. 模型框架

　　基于人工智能來(lái)構(gòu)建“安全大腦”，對(duì)一定時(shí)間及空間的大范圍樣本數(shù)據(jù)進(jìn)行智能化分析，根據(jù)基線或模型發(fā)現(xiàn)威脅風(fēng)險(xiǎn)并預(yù)判趨勢(shì)。

　　針對(duì)實(shí)際網(wǎng)絡(luò)中安全數(shù)據(jù)的海量、多格式、多粒度的特點(diǎn)，基于人工智能的安全大腦首先進(jìn)行數(shù)據(jù)預(yù)處理，將來(lái)自不同數(shù)據(jù)源、不同格式的數(shù)據(jù)歸一化為統(tǒng)一格式，然后去除冗余及噪聲數(shù)據(jù)。其次，進(jìn)行智能分析， 利用不同的機(jī)器學(xué)習(xí)算法訓(xùn)練出相應(yīng)的網(wǎng)絡(luò)流量分類(lèi)、異常流量檢測(cè)、威脅行為分析和流量趨勢(shì)預(yù)測(cè)模型，然后根據(jù)訓(xùn)練出的模型進(jìn)行結(jié)果輸出。最后，進(jìn)行評(píng)估優(yōu)化， 根據(jù)知識(shí)庫(kù)中的安全量化指標(biāo)體系，對(duì)分析輸出的結(jié)果進(jìn)行量化評(píng)估，用來(lái)改進(jìn)模型和算法參數(shù)，不斷提高模型的準(zhǔn)確率。

　　二、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新實(shí)踐

　　1. 安全 AI 全棧架構(gòu)

　　Gartner 在 2020 年 10 大戰(zhàn)略技術(shù)趨勢(shì)報(bào)告中明確指出，AI 安全將是未來(lái)重要的戰(zhàn)略技術(shù)趨勢(shì)之一。為了有效應(yīng)對(duì)日益高級(jí)和復(fù)雜的攻擊手段，需要將人工智能應(yīng)用于網(wǎng)絡(luò)安全防護(hù)領(lǐng)域，構(gòu)建實(shí)時(shí)、智能、敏捷、可運(yùn)維的“云網(wǎng)邊端”一體化安全防護(hù)體系，將每個(gè)防御點(diǎn)的使用價(jià)值最大化，形成智能分析感知威脅、智能自動(dòng)防護(hù)、智能閉環(huán)管理的體系化安全能力，全面提升應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的能力，實(shí)現(xiàn)從事后補(bǔ)救到安全前置，從被動(dòng)安全到主動(dòng)安全的轉(zhuǎn)變。這就需要構(gòu)筑安全 AI 全棧架構(gòu)。

　　該架構(gòu)從安全日志、終端行為、網(wǎng)絡(luò)流量、業(yè)務(wù)數(shù)據(jù)、威脅情報(bào)、資產(chǎn)管理和故障診斷信息等多源數(shù)據(jù)的采集著手；對(duì)風(fēng)險(xiǎn)狀況、攻擊趨勢(shì)、異常流量、異常行為和異常資產(chǎn)進(jìn)行多維度智能分析和可視化呈現(xiàn)；根據(jù)實(shí)時(shí)場(chǎng)景自適應(yīng)決策響應(yīng)，快速生成應(yīng)急預(yù)案，主動(dòng)將安全策略推送給全網(wǎng)關(guān)鍵設(shè)備，實(shí)時(shí)預(yù)警和響應(yīng)安全事件。

　　2. 安全 AI 應(yīng)用實(shí)踐

　?。?） 基于 DNS 協(xié)議的 C&C 外連檢測(cè)

　　DNS 協(xié)議是一種基礎(chǔ)設(shè)施網(wǎng)絡(luò)協(xié)議，常被攻擊者用來(lái)進(jìn)行 C&C（Command & Control）通信。為了躲避網(wǎng)絡(luò)安全設(shè)備的監(jiān)測(cè)和分析，攻擊者使用DNS 協(xié)議進(jìn)行 C&C 通信時(shí)通常會(huì)使用 Fast-flux 和Domain-flux 技術(shù)頻繁變換 DNS 服務(wù)器的 IP 地址和域名?；谏疃葘W(xué)習(xí)卷積神經(jīng)網(wǎng)絡(luò) （ConvolutionalNeural Networks，CNN） 檢測(cè)網(wǎng)絡(luò)流量中的 C&C 通信，通過(guò)優(yōu)化可使得檢測(cè)概率高達(dá) 98%。

　?。?） 基于 AI 的加密流量分析

　　攻擊者越來(lái)越傾向于使用加密協(xié)議進(jìn)行通信，以便將攻擊流量隱藏于正常的加密流量中。在加密流量的分析過(guò)程中，可將其分為加密應(yīng)用識(shí)別和加密威脅檢測(cè)。在加密應(yīng)用識(shí)別中，提取加密協(xié)議的密鑰交換階段的密碼套件、證書(shū)等明文特征，以及密文傳輸階段的流量模式、通信模式、行為模式等統(tǒng)計(jì)特征，以及由 RNN 和 CNN 提取的時(shí)序特征和時(shí)空特征，采用有監(jiān)督的機(jī)器學(xué)習(xí)方法進(jìn)行加密應(yīng)用的識(shí)別。在加密威脅檢測(cè)中，除了提取應(yīng)用識(shí)別所需的各項(xiàng)特征外，還需要提取流量的上下文信息，包括 https/http 流量信息和 DNS 流量信息等。

　?。?） 基于 AI 的云網(wǎng)邊端協(xié)同聯(lián)動(dòng)

　　為了構(gòu)建“云網(wǎng)邊端”聯(lián)動(dòng)的一體化安全防御體系，AI 防火墻與安全云、態(tài)勢(shì)感知、邊緣計(jì)算等系統(tǒng)相結(jié)合，實(shí)現(xiàn)情報(bào)共享、算力提升、關(guān)聯(lián)分析、協(xié)同聯(lián)動(dòng)等功能。通過(guò)云端威脅情況的共享、分析與服務(wù)， AI 防火墻可以共享所有來(lái)源的威脅情報(bào)，迅速響應(yīng)各類(lèi)漏洞和威脅，及時(shí)阻止各類(lèi)攻擊行為的傳播。同時(shí)，所有 AI 防火墻可以共享部署策略，通過(guò)云端的智能策略分析，可以為各行各業(yè)的客戶(hù)提供最優(yōu)的部署策略推薦，大大簡(jiǎn)化部署和運(yùn)維。除此之外，本地防火墻將潛在威脅數(shù)據(jù)上傳至云端，通過(guò)云端大數(shù)據(jù)分析，獲取機(jī)器學(xué)習(xí)模型，再將模型參數(shù)下放到本地進(jìn)行本地智能檢測(cè)分析，實(shí)現(xiàn)云端一體化智能聯(lián)動(dòng)。

　　三、安全 AI 未來(lái)發(fā)展展望

　　當(dāng) AI 技術(shù)全面融入安全領(lǐng)域，可以快速識(shí)別各類(lèi)未知惡意軟件、及時(shí)偵測(cè)到零日威脅，并進(jìn)行迅速響應(yīng)；能夠更精準(zhǔn)進(jìn)行數(shù)據(jù)挖掘和模式識(shí)別，讓分析結(jié)果更加準(zhǔn)確；可以連續(xù)執(zhí)行這些重復(fù)性和機(jī)械性的檢測(cè)識(shí)別任務(wù)。后續(xù)，還可以在以下三個(gè)方面持續(xù)深入。

　　1. 知識(shí)圖譜

　　基于安全設(shè)備產(chǎn)生的安全事件，構(gòu)建威脅知識(shí)圖譜，從而分析網(wǎng)絡(luò)的整體威脅態(tài)勢(shì)；在終端安全響應(yīng)系統(tǒng)（EDR）中，可以基于終端的行為和操作日志，構(gòu)建溯源知識(shí)圖譜，從而分析終端的已知和未知威脅；在網(wǎng)絡(luò)威脅檢測(cè)及響應(yīng)（NDR）/用戶(hù)實(shí)體行為分析（UEBA）中，可以基于網(wǎng)絡(luò)全流量數(shù)據(jù)和應(yīng)用系統(tǒng)日志，構(gòu)建用戶(hù)的行為知識(shí)圖譜，從而檢測(cè)用戶(hù)的可疑或者惡意行為。

　　2. 混淆對(duì)抗

　　注入攻擊和惡意代碼可以通過(guò)混淆、編碼、壓縮等方式改變自己的表現(xiàn)形式，從而躲過(guò) WAF、IPS、病毒檢測(cè)引擎等設(shè)備的檢測(cè)。復(fù)雜的混淆方法是單向的，雖然混淆的代碼和原始的代碼執(zhí)行相同的功能，但是卻無(wú)法完全還原為原始的代碼，只能部分還原為原始的代碼。因此，在混淆惡意代碼的檢測(cè)中，可以利用 AI 算法將混淆代碼進(jìn)行還原，然后進(jìn)行惡意代碼檢測(cè)，其中對(duì)原始代碼的還原程度將決定著惡意代碼的檢測(cè)效果。

　　3. 聯(lián)邦學(xué)習(xí)

　　在安全領(lǐng)域，有標(biāo)注的數(shù)據(jù)非常少，并且各個(gè)企業(yè)之間的數(shù)據(jù)也沒(méi)有共享，這使得 AI 模型的效果難以得到實(shí)質(zhì)的提升。通過(guò)采用聯(lián)邦學(xué)習(xí)架構(gòu)，可以將多個(gè)企業(yè)的數(shù)據(jù)聯(lián)合起來(lái)訓(xùn)練一個(gè)更加強(qiáng)大的模型；在模型的訓(xùn)練過(guò)程中，可以采用同態(tài)加密、差分隱私等隱私保護(hù)技術(shù)對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)或者模型參數(shù)進(jìn)行保護(hù)，從而保證每個(gè)企業(yè)內(nèi)部的數(shù)據(jù)都不會(huì)泄露出去。