雷鋒網(wǎng)注：以下內(nèi)容摘自中國(guó)信通院發(fā)布的《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(2019 年)》。

人工智能技術(shù)在數(shù)據(jù)分析、知識(shí)提取、智能決策等方面的優(yōu)勢(shì)為應(yīng)對(duì)動(dòng)態(tài)多變、復(fù)雜交織網(wǎng)絡(luò)安全問題提供了新思路，網(wǎng)絡(luò)安全已經(jīng)成為人工智能應(yīng)用的重要方向之一。

根據(jù)法國(guó)咨詢機(jī)構(gòu)凱捷 2019 年 7 月發(fā)布的《以人工智能重塑網(wǎng)絡(luò)安全》報(bào)告，超過半數(shù)的被調(diào)研企業(yè)認(rèn)為實(shí)施基于人工智能的網(wǎng)絡(luò)安全措施勢(shì)在必行。美國(guó)咨詢機(jī)構(gòu) CB Insights 統(tǒng)計(jì)數(shù)據(jù)顯示，2018 年至 2019 年 6 月間，與網(wǎng)絡(luò)安全相關(guān)的人工智能投融資活動(dòng)超過 180 筆。

以大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、 深度學(xué)習(xí)、人機(jī)協(xié)同為代表的人工智能與網(wǎng)絡(luò)安全融合實(shí)踐日益增多。

在異常流量檢測(cè)方面，人工智能為加密流量分析提供新方案。思科已將 AI 驅(qū)動(dòng)的加密流量分析應(yīng)用于交換機(jī)等產(chǎn)品，基于初始數(shù)據(jù)包特征以及后續(xù)數(shù)據(jù)包長(zhǎng)度與時(shí)序等，通過機(jī)器學(xué)習(xí)算法識(shí)別異常流量，提供加密流量檢測(cè)能力；Darktrace 基于無監(jiān)督學(xué)習(xí)算法構(gòu)建核心異常檢測(cè)算法體系，為網(wǎng)絡(luò)中用戶和設(shè)備建立行為模型以區(qū)分正常模式和攻擊行為，并對(duì)攻擊進(jìn)行標(biāo)記和阻止，在此基礎(chǔ)上提供企業(yè)免疫系統(tǒng)、工業(yè)免疫系統(tǒng)等產(chǎn)品；觀成科技推出針對(duì)惡意加密流量的 AI 檢測(cè)引擎，通過人工智能算法訓(xùn)練加密流量檢測(cè)模型，支持 SSL、SSH、RDP等多種加密協(xié)議分析。

在惡意軟件防御方面，針對(duì)特定場(chǎng)景人工智能應(yīng)用取得積極進(jìn)展。

Agari 面向電子郵件業(yè)務(wù)開發(fā)了智能檢測(cè)功能，防范針對(duì)郵箱的釣魚攻擊和惡意訪問；Cylance 利用機(jī)器學(xué)習(xí)算法基于文件特征識(shí)別惡意軟件，在勒索病毒防御方面效果突出；芯盾時(shí)代針對(duì)金融反欺詐場(chǎng)景推出智能行為認(rèn)證產(chǎn)品，基于異常檢測(cè)及樣本標(biāo)注、欺詐關(guān)聯(lián)圖譜等持續(xù)發(fā)掘欺詐新模式。

在異常行為分析方面，人工智能正成為模式識(shí)別的有效補(bǔ)充。

Exabeam 的核心產(chǎn)品安全信息和事件管理(SIEM)平臺(tái)，通過分析公司的日志數(shù)據(jù)創(chuàng)建異常檢測(cè)模型，實(shí)現(xiàn)異?；顒?dòng)識(shí)別和風(fēng)險(xiǎn)評(píng)估；Securonix 的 下一代 SIEM 產(chǎn)品基于 Hadoop 構(gòu)建可擴(kuò)展的大數(shù)據(jù)分析架構(gòu)，提供日志管理、用戶和實(shí)體行為分析功能，通過人工智能算法檢測(cè)高級(jí)攻擊并實(shí)現(xiàn)應(yīng)急響應(yīng)；啟明星辰的 UEBA 產(chǎn)品在對(duì)多源異構(gòu)數(shù)據(jù)歸一處理基礎(chǔ)上，利用機(jī)器學(xué)習(xí)等技術(shù)建立用戶和實(shí)體對(duì)象行為正?；€并監(jiān)測(cè)與基線的偏離；瀚思科技的 UEBA 解決方案聚焦于對(duì)企業(yè)內(nèi)部員工的異常行為進(jìn)行定位，結(jié)合審計(jì)、溯源、DLP 等企業(yè)原有安全能力，提高檢測(cè)效果。

在敏感數(shù)據(jù)保護(hù)方面，人工智能助力數(shù)據(jù)識(shí)別和保護(hù)能力提升。

亞馬遜推出 Amazon Macie Analytics 服務(wù)，可通過機(jī)器學(xué)習(xí)技術(shù)自動(dòng)識(shí)別重要數(shù)據(jù)訪問、復(fù)制、移動(dòng)等可疑行為，并實(shí)施準(zhǔn)實(shí)時(shí)的修復(fù)措施，防范重要數(shù)據(jù)暴露及共享業(yè)務(wù)中的數(shù)據(jù)安全風(fēng)險(xiǎn)；德國(guó) Neokami 推出了 CyberV ault 產(chǎn)品，可利用人工智能發(fā)現(xiàn)、 保護(hù)和管理云端和本地的敏感數(shù)據(jù)；亞信安全的數(shù)據(jù)分類分級(jí)發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)塊維度多任務(wù)并行處理，利用機(jī)器學(xué)習(xí)+語義分析生成訓(xùn)練模型提高數(shù)據(jù)分類速度和精度，提供數(shù)據(jù)特性及變化趨勢(shì)展示。

在安全運(yùn)營(yíng)管理方面，安全編排與自動(dòng)化響應(yīng)(SORA)逐漸興起。

IBM 推出 Resilient 事件響應(yīng)平臺(tái)，可提供響應(yīng)流程定制功能，靈活編排響應(yīng)活動(dòng)并自動(dòng)審計(jì)跟蹤，實(shí)現(xiàn)對(duì)威脅事件的快速響應(yīng)；Palo Alto Networks 于 2019 年 2 月收購了 Demisto，并隨即于 3 月推出人工 智能安全平臺(tái) Cortex，Cortex 數(shù)據(jù)湖致力于打破網(wǎng)絡(luò)、云端、終端數(shù) 據(jù)孤島，并支持對(duì)海量數(shù)據(jù)分析、威脅發(fā)現(xiàn)及響應(yīng)策略快速編排，目前 PwC、Critical Start、On2it、TrustWave 等廠商已通過 API 方式接入該平臺(tái)并提供安全能力；安恒信息的 AiLPHA 大數(shù)據(jù)智能安全平臺(tái)結(jié)合智能關(guān)聯(lián)分析引擎，構(gòu)建規(guī)則模型、統(tǒng)計(jì)模型、機(jī)器學(xué)習(xí)模型和無監(jiān)督的聚類分析，并通過“AI 安全大腦”對(duì)企業(yè)安全要素進(jìn) 行智能編排，實(shí)現(xiàn)威脅管理流程的自動(dòng)化建模。

國(guó)內(nèi)企業(yè)應(yīng)用人工智能賦能網(wǎng)絡(luò)安全主要實(shí)踐如表所示：

目前，人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用仍處于初級(jí)階段。

隨著研究探索的不斷推進(jìn)、技術(shù)算法的不斷成熟，人工智能技術(shù)或?qū)⒋蚱苽鹘y(tǒng)安全的瓶頸與所能解決問題的邊界，為網(wǎng)絡(luò)安全帶來全新范式。

一是攻防演練為人工智能應(yīng)用訓(xùn)練提供了有效途徑。人工智能算法需要足量、高質(zhì)量的數(shù)據(jù)持續(xù)訓(xùn)練，網(wǎng)絡(luò)攻擊長(zhǎng)尾性、情報(bào)鏈不完整、數(shù)據(jù)共享不充分等成為制約人工智能成熟應(yīng)用的瓶頸。

隨著國(guó)內(nèi)攻防演練對(duì)抗實(shí)戰(zhàn)化、場(chǎng)景多樣化、參與方多元化發(fā)展，網(wǎng)絡(luò)攻擊路線方式等完整攻擊鏈信息逐漸積累，設(shè)備系統(tǒng)聯(lián)動(dòng)日益緊密，將為人工智能算法訓(xùn)練和模型建立提供了有力支撐。

二是機(jī)器學(xué)習(xí)依然是智能安全的主攻方向。相對(duì)于卷積神經(jīng)網(wǎng)絡(luò)等深度學(xué)習(xí)技術(shù)，機(jī)器學(xué)習(xí)技術(shù)研究起步早、實(shí)踐應(yīng)用多，且多建立在專家智慧基礎(chǔ)上，在可解釋性、 檢測(cè)分析效率等方面具有一定優(yōu)勢(shì)，預(yù)計(jì)在未來一段時(shí)間機(jī)器學(xué)習(xí)技術(shù)仍然是人工智能在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的主要方向。

三是自動(dòng)化編排和響應(yīng)的探索應(yīng)用前景可期。

SOAR 在匯集海量網(wǎng)絡(luò)設(shè)備、終端、流 量、數(shù)據(jù)等情報(bào)基礎(chǔ)上，構(gòu)建自動(dòng)化編排、部署與響應(yīng)為一體的解決 方案，可大幅降低安全人力投入，更好應(yīng)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜、安全 威脅持續(xù)多樣、防御手段整合度低等挑戰(zhàn)。

四是人工智能自身和應(yīng)用安全問題不容忽視。

人工智能技術(shù)在為網(wǎng)絡(luò)安全提供新理念、新手段的同時(shí)，也帶來了新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。

一方面數(shù)據(jù)樣本污染、識(shí) 別系統(tǒng)混亂、軟件漏洞等安全問題日益顯現(xiàn)，人工智能數(shù)據(jù)樣本、算法模型、框架平臺(tái)等技術(shù)自身安全亟待加強(qiáng)。另一方面，人工智能與經(jīng)濟(jì)社會(huì)各領(lǐng)域的深入融合也會(huì)引發(fā)新的安全風(fēng)險(xiǎn)，需要前瞻研究安全措施、標(biāo)準(zhǔn)和手段等，確保人工智能安全發(fā)展、可靠應(yīng)用。

雷鋒網(wǎng)注：以下內(nèi)容摘自中國(guó)信通院發(fā)布的《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(2019 年)》。

雷鋒網(wǎng)。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。