人工智能技術(shù)可以保護(hù)網(wǎng)絡(luò)的安全嗎
掃描二維碼
隨時(shí)隨地手機(jī)看文章
1956年,在由達(dá)特茅斯學(xué)院舉辦的一次會(huì)議上,計(jì)算機(jī)專家約翰·麥卡錫首次提出了“人工智能”一詞,這也被人們看作是人工智能正式誕生的標(biāo)志。此后的人工智能發(fā)展歷程經(jīng)歷了多次波折:
人工智能的第一次高峰就是達(dá)特茅斯會(huì)議之后長(zhǎng)達(dá)十幾年的時(shí)間里,計(jì)算機(jī)被廣泛應(yīng)用于數(shù)學(xué)和自然語言領(lǐng)域,用來解決代數(shù)、幾何和英語問題,有很多學(xué)者認(rèn)為“20年內(nèi),機(jī)器將能完成人能做到的一切”。但很快人工智能發(fā)展遇到了技術(shù)瓶頸:一是計(jì)算機(jī)性能不足,很多程序無法在人工智能領(lǐng)域運(yùn)行;二是用于深度學(xué)習(xí)的數(shù)據(jù)嚴(yán)重缺乏,無法支撐智能訓(xùn)練;三是人工智能程序處理復(fù)雜問題不堪重負(fù)。由于以上原因,上個(gè)世紀(jì)70年代人工智能發(fā)展陷入低谷。
人工智能的第二次高峰是以卡內(nèi)基梅隆大學(xué)設(shè)計(jì)的一套名為XCON的“專家系統(tǒng)”為代表,這是一套具有完整專業(yè)知識(shí)和經(jīng)驗(yàn)的計(jì)算機(jī)智能系統(tǒng)。在這個(gè)時(shí)期,僅專家系統(tǒng)產(chǎn)業(yè)的價(jià)值就高達(dá)5億美元,衍生出了像Symbolics、Lisp Machines和IntelliCorp、Aion這樣的軟硬件公司。但到1987年時(shí),蘋果和IBM公司生產(chǎn)的臺(tái)式機(jī)性能都超過了Symbolics等廠商生產(chǎn)的通用計(jì)算機(jī),從此,專家系統(tǒng)風(fēng)光不再。
人工智能再次崛起是以IBM的計(jì)算機(jī)系統(tǒng)“深藍(lán)”戰(zhàn)勝了國(guó)際象棋世界冠軍卡斯帕羅夫事件為代表,這是人工智能發(fā)展的一個(gè)重要里程碑。而2016年AlphaGo戰(zhàn)勝圍棋冠軍李世石則把人工智能推上了一個(gè)新的頂峰。在最近3年人工智能則引發(fā)了一場(chǎng)商業(yè)革命,谷歌、微軟、百度等互聯(lián)網(wǎng)巨頭以及眾多的初創(chuàng)科技公司,紛紛加入人工智能戰(zhàn)場(chǎng),掀起一輪又一輪的智能化狂潮,人工智能技術(shù)已經(jīng)開始應(yīng)用在各行各業(yè),在網(wǎng)絡(luò)和安全領(lǐng)域的研究和應(yīng)用也得到了各科技公司的重視,其應(yīng)用價(jià)值開始浮現(xiàn)。
人工智能在網(wǎng)絡(luò)領(lǐng)域的應(yīng)用
人工智能在網(wǎng)絡(luò)最重要的應(yīng)用包括智能運(yùn)維、網(wǎng)絡(luò)加速和網(wǎng)絡(luò)優(yōu)化三部分。
1. 智能運(yùn)維
智能運(yùn)維目前是人工智能發(fā)展最好、價(jià)值最高的應(yīng)用,受到了各大公司的重視。傳統(tǒng)的運(yùn)維方式在監(jiān)控、問題發(fā)現(xiàn)、告警以及故障處理等各個(gè)環(huán)節(jié)均存在明顯不足,需要大量依賴人的經(jīng)驗(yàn),工作效率低下,并且在數(shù)據(jù)采集、異常診斷分析、告警事件以及故障處理的效率等方面都有待提高,而人工智能結(jié)合大數(shù)據(jù)分析技術(shù),可以在智能監(jiān)控、智能問題發(fā)現(xiàn)和預(yù)警、智能故障處理等方面最小化人為干預(yù)程度、降低人力成本以及提高運(yùn)維管理效能。
1) 智能監(jiān)控
隨著企業(yè)IT系統(tǒng)規(guī)模的擴(kuò)大、運(yùn)維環(huán)境的復(fù)雜化,使得運(yùn)維人員從海量的數(shù)據(jù)中發(fā)現(xiàn)問題的難度也越來越大。智能運(yùn)維可以通過智能異常檢測(cè)、故障關(guān)聯(lián)分析、故障根因分析和智能異常預(yù)測(cè)等能力,幫助運(yùn)維人員快速定位問題、追溯故障根源,并實(shí)現(xiàn)故障的預(yù)測(cè)預(yù)警。以智能異常檢測(cè)為例,通過歷史數(shù)據(jù)模型的異常檢測(cè)等方法并結(jié)合AI技術(shù),能夠自動(dòng)、實(shí)時(shí)、準(zhǔn)確地從監(jiān)控?cái)?shù)據(jù)中發(fā)現(xiàn)異常,為后續(xù)故障的分析與處理提供基礎(chǔ)。
2) 智能問題發(fā)現(xiàn)和預(yù)警
對(duì)故障進(jìn)行根源分析是在眾多可能引起故障的因素中,追溯到導(dǎo)致故障發(fā)生的癥結(jié)所在,并找出根本性的解決方案。利用機(jī)器學(xué)習(xí)或者深度學(xué)習(xí)的方法可以找出不同因素之間的強(qiáng)相關(guān)關(guān)系,并利用這些關(guān)系,推斷出哪些因素是根本性的因素,幫助用戶快速診斷問題、提高故障的定位速度以及修復(fù)效率。
在告警方面,傳統(tǒng)的告警管理一般使用固定閾值并且需要運(yùn)維人員手動(dòng)設(shè)置,這種方式不僅工作量巨大且十分依賴運(yùn)維人員的經(jīng)驗(yàn),閾值設(shè)置不當(dāng)可能導(dǎo)致告警風(fēng)暴或者告警漏報(bào)等后果。當(dāng)監(jiān)控環(huán)境發(fā)生變化時(shí),原先的固定閾值無法滿足告警管理的要求。而智能運(yùn)維采用動(dòng)態(tài)基線告警方式,智能分析數(shù)據(jù)的動(dòng)態(tài)極限,彌補(bǔ)了以往人為設(shè)置固定閾值的缺陷,智能地分析數(shù)據(jù)的發(fā)展趨勢(shì)以及分析數(shù)據(jù)動(dòng)態(tài)極限,從而對(duì)告警做出智能的判斷,也就有更大靈活性和適用性。
3) 智能故障處理
在智能故障處理方面,傳統(tǒng)運(yùn)維管理中對(duì)故障的處理非常依賴運(yùn)維人員的經(jīng)驗(yàn),但人的經(jīng)驗(yàn)無法覆蓋所有故障范圍,運(yùn)維人員經(jīng)驗(yàn)不足可能會(huì)使運(yùn)維效率低下或者產(chǎn)生錯(cuò)誤決策。智能運(yùn)維將實(shí)時(shí)監(jiān)測(cè)結(jié)果或者預(yù)測(cè)結(jié)果引入智能專家決策系統(tǒng),智能生成決策建議,根據(jù)實(shí)際結(jié)果及趨勢(shì)判斷采用的處理策略,可以是人工處理或者自動(dòng)處理,有效減少問題排查的時(shí)間、大幅提升問題解決的效率,提升企業(yè)運(yùn)維的標(biāo)準(zhǔn)化程度。
2. 網(wǎng)絡(luò)加速
人工智能在網(wǎng)絡(luò)加速最重要的應(yīng)用是利用強(qiáng)化學(xué)習(xí)的思想,深度參與網(wǎng)絡(luò)協(xié)議擁塞控制算法,加速各個(gè)應(yīng)用的傳輸速率,提高網(wǎng)絡(luò)的帶寬利用率和減小網(wǎng)絡(luò)時(shí)延,其典型應(yīng)用是用強(qiáng)化學(xué)習(xí)改進(jìn)TCP的網(wǎng)絡(luò)擁塞算法。TCP具有慢啟動(dòng)、快恢復(fù)的特點(diǎn),但是其快恢復(fù)是以擁塞窗口直接減半為代價(jià),這就導(dǎo)致TCP傳輸帶寬是一個(gè)鋸齒形的形狀,傳輸帶寬不穩(wěn)定。而強(qiáng)化學(xué)習(xí)則通過丟包預(yù)測(cè)自適應(yīng)地調(diào)整擁塞窗口,使擁塞窗口穩(wěn)定在一個(gè)較小的范圍內(nèi)波動(dòng),從而保證了TCP傳輸?shù)目値捄蜁r(shí)延。國(guó)外有相關(guān)論文指出,跟傳統(tǒng)的TCP擁塞算法相比,基于強(qiáng)化學(xué)習(xí)的方法可以使傳輸?shù)膸捥岣?0%以上,端到端時(shí)延減小7%,圖1是測(cè)試效果圖。
圖1 基于強(qiáng)化學(xué)習(xí)和普通TCP擁塞算法測(cè)試對(duì)比圖
在圖1中,紅色是采用普通NewReno算法的測(cè)試效果,綠色則是采用強(qiáng)化學(xué)習(xí)的LP-TCP測(cè)試效果,從圖1中可以清楚看到,基于強(qiáng)化學(xué)習(xí)的TCP擁塞窗口非常穩(wěn)定,這也是為什么能提高網(wǎng)絡(luò)帶寬利用率的原因,同時(shí)因?yàn)閾砣翱诘姆€(wěn)定,設(shè)備的隊(duì)列深度也維持在一個(gè)穩(wěn)定的水平,端到端時(shí)延也同時(shí)減少了。
3. 網(wǎng)絡(luò)優(yōu)化
人工智能在網(wǎng)絡(luò)優(yōu)化上的應(yīng)用主要是轉(zhuǎn)發(fā)路徑優(yōu)化、資源優(yōu)化和流量?jī)?yōu)化。傳統(tǒng)的ECMP算法一般是基于五元組原則進(jìn)行Hash計(jì)算,在大象流都Hash到同一個(gè)路徑的情況下,很容易引起路徑流量的不對(duì)稱,起不到流量均衡的作用,而引入人工智能技術(shù),則可以考慮鏈路實(shí)時(shí)帶寬,動(dòng)態(tài)計(jì)算每一個(gè)流的轉(zhuǎn)發(fā)路徑,從而保證在任何流量情況下均可以實(shí)現(xiàn)鏈路的流量均衡,避免了傳統(tǒng)Hash算法的不足。國(guó)外有一些學(xué)者和專家也在研究通過強(qiáng)化學(xué)習(xí)的方法來進(jìn)行路由的計(jì)算,以替代傳統(tǒng)的路由協(xié)議(如OSPF)等。在資源優(yōu)化方面,人工智能在無線核心網(wǎng)資源分配、無線信道利用率、轉(zhuǎn)發(fā)芯片包緩存動(dòng)態(tài)調(diào)整方面均有良好的表現(xiàn),其可以有效提高資源的利用率,根據(jù)環(huán)境和壓力自動(dòng)調(diào)節(jié)資源分配,以保證資源利用總是處于最佳的一個(gè)狀態(tài)。
人工智能在安全的應(yīng)用
人工智能在安全領(lǐng)域的應(yīng)用十分廣泛,并且有其獨(dú)特的價(jià)值和優(yōu)勢(shì),比如加密流量的威脅識(shí)別問題和APT(高級(jí)持續(xù)性威脅)識(shí)別問題,傳統(tǒng)的基于規(guī)則和特征匹配的方法完全失效,必須依賴人工智能的方法來加以甄別。同時(shí),人工智能在欺詐檢測(cè)、惡意軟件檢測(cè)、入侵檢測(cè)、網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)分和用戶/機(jī)器行為分析等方面也有重要的應(yīng)用價(jià)值,下面介紹人工智能在安全領(lǐng)域的兩個(gè)典型應(yīng)用。
1. 加密流量威脅檢測(cè)
目前網(wǎng)絡(luò)上50%以上是加密流量,加密是保護(hù)隱私的一個(gè)重要手段,能夠保護(hù)我們的數(shù)據(jù)不被窺探,但同時(shí)也讓不法分子有了可乘之機(jī),加密能夠像隱藏其他信息一樣隱藏惡意軟件,從而帶來一系列安全問題。而傳統(tǒng)DPI(深度報(bào)文檢測(cè))需要解密原始報(bào)文,這是不可能完成的任務(wù)。而人工智能基于特征提取和行為分析的方法,可以在不解密報(bào)文的情況下,提煉出惡意軟件的特性,從而識(shí)別出有害威脅。以HTTPS流量為例,通過提取TLS聯(lián)接的初始數(shù)據(jù)包信息、數(shù)據(jù)包長(zhǎng)度和時(shí)間的順序、有效載荷上的字節(jié)分布等特征數(shù)據(jù),經(jīng)過人工智能模型推理,可以檢測(cè)出加密流量中的惡意流量,如圖2所示。
圖2 用人工智能對(duì)提取的TLS聯(lián)接的數(shù)據(jù)包進(jìn)行分析
2. APT防攻擊檢測(cè)
APT攻擊具有不同于傳統(tǒng)網(wǎng)絡(luò)攻擊的5個(gè)顯著特征:針對(duì)性強(qiáng)、組織嚴(yán)密、持續(xù)時(shí)間長(zhǎng)、高隱蔽性和間接攻擊,攻擊者能適應(yīng)防御者的入侵檢測(cè)能力,不斷更換和改進(jìn)入侵方法,具有較強(qiáng)的隱藏能力,攻擊入口、途徑、時(shí)間都是不確定和不可預(yù)見的,使得基于特征匹配的傳統(tǒng)檢測(cè)防御技術(shù)很難有效檢測(cè)出攻擊,必須要引入新的檢測(cè)技術(shù)。人工智能則可以在這方面發(fā)揮特有的優(yōu)勢(shì),通過特征提取和行為分析、結(jié)合沙箱和大數(shù)據(jù)分析技術(shù),準(zhǔn)確判定C&C異常、Web異常、隱蔽通道、郵件和流量異常檢測(cè)等,可以有效識(shí)別并阻斷勒索病毒、海蓮花、震網(wǎng)、BlackEnergy、Google Aurora等APT攻擊。
此外,借助于人工智能增強(qiáng)學(xué)習(xí)的優(yōu)勢(shì),可以構(gòu)建并完善一套主動(dòng)式安全防御系統(tǒng)。如今的網(wǎng)絡(luò)攻擊和病毒具有易變性的特點(diǎn),被動(dòng)防御已經(jīng)不能滿足當(dāng)前網(wǎng)絡(luò)安全的要求,主動(dòng)防御成為趨勢(shì)和必須,借助人工智能的學(xué)習(xí)和進(jìn)化能力,可以針對(duì)即將發(fā)生或者未知的攻擊行為,與安全策略和威脅情報(bào)有機(jī)結(jié)合,最終實(shí)現(xiàn)智慧型、主動(dòng)型的安全防御系統(tǒng)。
結(jié)束語
當(dāng)然,我們同時(shí)也要意識(shí)到人工智能并非是萬能的,甚至發(fā)展到某些時(shí)候還可能帶來負(fù)面的效果。人工智能作為一門當(dāng)前最熱的技術(shù)之一,其在網(wǎng)絡(luò)和安全的應(yīng)用和探索仍然還在進(jìn)行當(dāng)中,但網(wǎng)絡(luò)智能化和安全智能化的趨勢(shì)不可阻擋,人工智能在其中也扮演著不可或缺的角色。