人工智能在網(wǎng)絡(luò)安全運(yùn)維服務(wù)中有什么作用

近年來(lái)，國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)趨于復(fù)雜，關(guān)系到國(guó)民經(jīng)濟(jì)命脈的關(guān)鍵信息基礎(chǔ)設(shè)施在傳統(tǒng)模式下得不到有效保護(hù)。網(wǎng)絡(luò)安全運(yùn)維服務(wù)以“專(zhuān)業(yè)保安”身份著力打造關(guān)鍵信息基礎(chǔ)設(shè)施的整體防御能力，但隨著人工智能、大數(shù)據(jù)、云計(jì)算、5G、物聯(lián)網(wǎng)以及邊緣計(jì)算等新技術(shù)發(fā)展的應(yīng)用，大量關(guān)鍵信息隱藏在海量數(shù)據(jù)中很難被發(fā)現(xiàn)并有效利用。因此，以人工智能為抓手，研究人工智能賦能網(wǎng)絡(luò)安全運(yùn)維服務(wù)，打造智慧運(yùn)營(yíng)新思路，解決實(shí)際運(yùn)維服務(wù)過(guò)程中智能化、自動(dòng)化等問(wèn)題。

習(xí)近平總書(shū)記在“4.19”講話(huà)中明確指出，“要樹(shù)立正確的網(wǎng)絡(luò)安全觀，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”“我們必須深入研究，采取有效措施，切實(shí)做好國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)”。等級(jí)保護(hù)2.0也從保護(hù)對(duì)象、保護(hù)內(nèi)容、標(biāo)準(zhǔn)體系等方面進(jìn)行了相應(yīng)升級(jí)，契合我國(guó)網(wǎng)絡(luò)安全形勢(shì)的不斷發(fā)展。

數(shù)字經(jīng)濟(jì)的飛速發(fā)展，大數(shù)據(jù)技術(shù)的深化應(yīng)用，促使數(shù)字資產(chǎn)成為企業(yè)乃至國(guó)家新的增長(zhǎng)引擎，也成為世界各國(guó)“兵家必爭(zhēng)之地”。網(wǎng)安安全保障將是數(shù)字經(jīng)濟(jì)的“基石”，“基石”搭建是否可靠對(duì)網(wǎng)絡(luò)安全整體運(yùn)維服務(wù)提出了新的需求。隨著人工智能、云計(jì)算、大數(shù)據(jù)以及邊緣計(jì)算等新技術(shù)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)攻擊方式多樣，呈現(xiàn)智能化、自動(dòng)化等特點(diǎn)，且攻擊目標(biāo)已從純粹的個(gè)人“秀技術(shù)肌肉”轉(zhuǎn)變成謀取經(jīng)濟(jì)利益和政治利益。這對(duì)傳統(tǒng)“交付產(chǎn)品”模式提出了挑戰(zhàn)，對(duì)“購(gòu)買(mǎi)安全目標(biāo)”提出了新的需求。

隨著5G應(yīng)用，萬(wàn)物互聯(lián)成為現(xiàn)實(shí)，網(wǎng)絡(luò)入侵不僅影響數(shù)字世界，而且對(duì)萬(wàn)物互聯(lián)的設(shè)備、媒體社交平臺(tái)等均有深入影響。企業(yè)信息化系統(tǒng)強(qiáng)關(guān)聯(lián)性、耦合性導(dǎo)致網(wǎng)絡(luò)入侵由點(diǎn)及面地快速擴(kuò)散影響。因此，從單點(diǎn)防護(hù)擴(kuò)展到點(diǎn)面結(jié)合以及全面防護(hù)十分緊迫。以上從數(shù)字驅(qū)動(dòng)重要性、技術(shù)發(fā)展多樣性、關(guān)聯(lián)影響廣泛性等方面進(jìn)行分析，傳統(tǒng)以交付產(chǎn)品完成建設(shè)的線(xiàn)下模式已不足以支撐高速發(fā)展的信息化社會(huì)，適應(yīng)新時(shí)期以交付能力和目標(biāo)為主的整體運(yùn)維服務(wù)模式成為趨勢(shì)，只有搭建全方位、多層次、全維度的網(wǎng)絡(luò)安全運(yùn)維服務(wù)體系，才能保護(hù)企業(yè)的網(wǎng)絡(luò)安全。

01

網(wǎng)絡(luò)安全運(yùn)維服務(wù)存在的隱患

網(wǎng)絡(luò)安全運(yùn)維服務(wù)及能力建設(shè)以系統(tǒng)全生命周期為主線(xiàn)，以業(yè)務(wù)安全需求為起點(diǎn)，前端根據(jù)企業(yè)安全需求開(kāi)展安全規(guī)劃設(shè)計(jì)，同步根據(jù)規(guī)劃開(kāi)展安全開(kāi)發(fā)、建設(shè)、測(cè)試以及測(cè)評(píng)等。測(cè)評(píng)通過(guò)進(jìn)入實(shí)際運(yùn)維服務(wù)階段，進(jìn)行安全事件監(jiān)測(cè)、安全事件處理、安全事件分析預(yù)測(cè)以及安全審計(jì)追蹤等，同時(shí)對(duì)企業(yè)安全技術(shù)人員開(kāi)展安全技術(shù)認(rèn)證培訓(xùn)，提升其安全技能和安全意識(shí)。

上述網(wǎng)絡(luò)安全運(yùn)維服務(wù)體系架構(gòu)中，運(yùn)營(yíng)維護(hù)階段會(huì)有大量需要人為處理的工作，且海量安全數(shù)據(jù)需要及時(shí)進(jìn)行分析處理。如果純粹依靠技術(shù)人員進(jìn)行人工分析、處理，會(huì)錯(cuò)失最佳的防御時(shí)機(jī)，攻防博弈的天平會(huì)全面倒向入侵者一方，導(dǎo)致企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施遭受?chē)?yán)重威脅。以下從3方面分析網(wǎng)絡(luò)安全運(yùn)維服務(wù)面臨的一些挑戰(zhàn)。

(1)傳統(tǒng)網(wǎng)絡(luò)安全保護(hù)模式是購(gòu)買(mǎi)網(wǎng)絡(luò)安全產(chǎn)品，安全廠商完成建設(shè)交付即可，主要使用單點(diǎn)的網(wǎng)絡(luò)安全設(shè)備在線(xiàn)下實(shí)現(xiàn)安全防護(hù)，安全策略配置、系統(tǒng)升級(jí)、故障排查等過(guò)多依賴(lài)安全廠商技術(shù)人員，用戶(hù)技術(shù)人員因設(shè)備自適應(yīng)程度較低、過(guò)于機(jī)械，無(wú)法及時(shí)做出相應(yīng)處置。在面對(duì)日趨復(fù)雜的安全環(huán)境，不僅是面對(duì)未知威脅，面對(duì)已知威脅也難以做到有效的及時(shí)防御。

(2)企業(yè)有自己的主責(zé)主業(yè)，安全一般歸屬信息化部門(mén)，專(zhuān)業(yè)安全人才只占信息化維護(hù)人員的很小一部分，企業(yè)也難以投入進(jìn)行全方位安全人才隊(duì)伍建設(shè)。因此，企業(yè)的安全技術(shù)人員數(shù)量和水平有限，只能解決一些具體到某點(diǎn)的安全問(wèn)題，系統(tǒng)性的由點(diǎn)及面顯得力不從心，達(dá)不到全生命周期、全維度的運(yùn)維管理。

(3)內(nèi)外部海量流量數(shù)據(jù)隱藏了大量有用的安全信息，人工數(shù)據(jù)分析顯然不現(xiàn)實(shí)，還未待完成數(shù)據(jù)特征提取，一波新的攻擊可能就來(lái)了。由此可見(jiàn)，攻防博弈爭(zhēng)分奪秒，缺乏對(duì)安全數(shù)據(jù)高效挖掘、分析、利用環(huán)節(jié)，不能敏銳抓住數(shù)據(jù)流量中的異常，從而不能有效預(yù)測(cè)、評(píng)估、預(yù)警和防御安全風(fēng)險(xiǎn)。

總結(jié)來(lái)看，一是技術(shù)人員的過(guò)渡依賴(lài)性問(wèn)題;二是橫向和縱向運(yùn)維的全覆蓋問(wèn)題;三是處理動(dòng)態(tài)變化的威脅時(shí)效性問(wèn)題;四是對(duì)海量安全數(shù)據(jù)的分析利用問(wèn)題。人工智能彌補(bǔ)人的不足，以模仿人類(lèi)思維開(kāi)展自我優(yōu)化學(xué)習(xí)，相比人為操作，可以以秒為單位處理很多數(shù)據(jù)問(wèn)題。本文研究人工智能賦能網(wǎng)絡(luò)安全運(yùn)維服務(wù)，打開(kāi)智慧運(yùn)營(yíng)新局面。

02

人工智能賦能網(wǎng)絡(luò)安全運(yùn)維服務(wù)

人工智能技術(shù)架構(gòu)如圖1所示，分為基礎(chǔ)、技術(shù)、應(yīng)用3層?；A(chǔ)層包含計(jì)算能力和數(shù)據(jù)資源，是整個(gè)人工智能的核心;技術(shù)層包含算法、模型、知識(shí)庫(kù)、特征庫(kù)等;應(yīng)用層為人工智能結(jié)合網(wǎng)絡(luò)安全服務(wù)，不局限于某個(gè)具體應(yīng)用場(chǎng)景，重點(diǎn)解決運(yùn)維服務(wù)中人為因素等不足造成的問(wèn)題。

圖1

人工智能架構(gòu)一個(gè)大型集團(tuán)包含很多下級(jí)單位，如何縱向延伸，以中心化運(yùn)維為思路，以公有或私有云加載計(jì)算單元，充分實(shí)現(xiàn)全域運(yùn)維。下面具體分析網(wǎng)絡(luò)安全運(yùn)維服務(wù)事前檢測(cè)、事中運(yùn)維、事后分析3個(gè)階段需要做的重點(diǎn)工作，并以此為重點(diǎn)，研究人工智能如何在這些工作中發(fā)揮作用，從而實(shí)現(xiàn)智慧化運(yùn)營(yíng)，如圖2所示。

圖2　網(wǎng)絡(luò)安全運(yùn)維服務(wù)體系架構(gòu)

2.1 數(shù)據(jù)資產(chǎn)態(tài)勢(shì)感知

企業(yè)的數(shù)據(jù)資產(chǎn)是其核心資產(chǎn)，利用人工智能搭建企業(yè)安全數(shù)據(jù)的學(xué)習(xí)系統(tǒng)，自動(dòng)采集企業(yè)各類(lèi)設(shè)備、軟硬件系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)以及管理系統(tǒng)等數(shù)據(jù)，以多種維度關(guān)聯(lián)數(shù)據(jù)，打造企業(yè)安全數(shù)據(jù)資產(chǎn)的態(tài)勢(shì)感知平臺(tái)，實(shí)時(shí)動(dòng)態(tài)展現(xiàn)企業(yè)相關(guān)資產(chǎn)的使用情況，根據(jù)安全態(tài)勢(shì)對(duì)安全產(chǎn)品和安全流程進(jìn)行動(dòng)態(tài)部署，強(qiáng)化安全控制流程，提升網(wǎng)絡(luò)彈性，并對(duì)安全數(shù)據(jù)進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，對(duì)相關(guān)安全警報(bào)進(jìn)行優(yōu)先級(jí)排序及建議處理，自動(dòng)生成企業(yè)全維度安全報(bào)告，供安全負(fù)責(zé)領(lǐng)導(dǎo)參考決策。

2.2 軟件模塊自動(dòng)化走查

隨著軟件工程化的發(fā)展和開(kāi)源社區(qū)代碼的豐富，企業(yè)級(jí)模塊化開(kāi)發(fā)提高效率的同時(shí)，也帶來(lái)了潛在風(fēng)險(xiǎn)。開(kāi)源代碼存在邏輯性、完整性等問(wèn)題，而非專(zhuān)業(yè)公司并沒(méi)有精力和能力去分析動(dòng)輒幾萬(wàn)行甚至幾十萬(wàn)行的代碼。利用人工智能技術(shù)可幫助識(shí)別和分析代碼中的錯(cuò)誤，降低未被發(fā)現(xiàn)的漏洞，以提高現(xiàn)有軟硬件的防御水平。

2.3 應(yīng)對(duì)APT高級(jí)持續(xù)威脅

企業(yè)面對(duì)嚴(yán)重的威脅就是有組織、有目的、經(jīng)過(guò)精心策劃實(shí)施的APT攻擊。針對(duì)已知漏洞，已有防火墻、IDS等成熟產(chǎn)品應(yīng)對(duì);針對(duì)未知漏洞威脅，顯然不能依靠人工進(jìn)行數(shù)據(jù)分析。APT攻擊的復(fù)雜性結(jié)合攻擊者的隱蔽性，需要獲取海量的內(nèi)外部流量數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行挖掘和關(guān)聯(lián)分析，發(fā)現(xiàn)攻擊者線(xiàn)索并進(jìn)行追蹤溯源。同時(shí)，網(wǎng)絡(luò)安全運(yùn)維工程師可利用人工智能技術(shù)，利用逆向工程改進(jìn)系統(tǒng)，防止再次發(fā)生類(lèi)似事件。

2.4 系統(tǒng)動(dòng)態(tài)加固

信息化程度越高的基礎(chǔ)設(shè)施，遭受攻擊的面更寬，面臨人員短缺、技術(shù)局限的窘境。利用人工智能的自動(dòng)識(shí)別技術(shù)，檢測(cè)信息系統(tǒng)、軟件等運(yùn)行過(guò)程中的漏洞、缺陷等，設(shè)計(jì)、生成、運(yùn)行補(bǔ)丁程序，對(duì)漏洞進(jìn)行實(shí)時(shí)修復(fù)，實(shí)現(xiàn)真正意義上的自動(dòng)防御功能，實(shí)現(xiàn)系統(tǒng)動(dòng)態(tài)加固。

2.5 異常動(dòng)態(tài)檢測(cè)，快速響應(yīng)攻擊

攻防博弈是一個(gè)動(dòng)態(tài)過(guò)程，網(wǎng)絡(luò)攻擊方式日趨多樣化，安全運(yùn)維團(tuán)隊(duì)只有以不斷優(yōu)化調(diào)整相關(guān)技術(shù)來(lái)應(yīng)對(duì)持續(xù)不斷的異常和威脅。但是，攻擊者猶如潛伏在黑暗中的劍客，不知他什么時(shí)間以什么“招式”攻擊，充滿(mǎn)了不確定性，而攻防雙方從時(shí)間上就已失衡。利用人工智能和機(jī)器學(xué)習(xí)，通過(guò)算法和歷史數(shù)據(jù)搭建合理化模型，以一種可靠的方法解析各類(lèi)異常事件，通過(guò)不斷學(xué)習(xí)、訓(xùn)練知道運(yùn)維者最想要的信息是什么，就能在攻擊發(fā)生時(shí)及時(shí)提供相關(guān)重要情報(bào)來(lái)阻擊攻擊，并給運(yùn)維工程師響應(yīng)異常事件提供解決參考，大大縮短了攻擊的響應(yīng)流程，將損失減少到最小。

2.6 自動(dòng)化故障排查

以一個(gè)大型集團(tuán)公司為例，總部各部門(mén)、各分子公司等下屬機(jī)構(gòu)每天會(huì)產(chǎn)生大量業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)，各類(lèi)故障頻發(fā)。通用性故障若大量耗費(fèi)維護(hù)人員進(jìn)行分析處理，既不利于運(yùn)維中心化，也沒(méi)有諸多的人力物力來(lái)支撐。此時(shí)，可將企業(yè)每天產(chǎn)生的各類(lèi)型網(wǎng)絡(luò)安全方面的故障數(shù)據(jù)及解決措施數(shù)據(jù)進(jìn)行分析存儲(chǔ)，建立故障事件特征庫(kù)，形成規(guī)則庫(kù)和知識(shí)庫(kù)，針對(duì)網(wǎng)絡(luò)告警數(shù)據(jù)自動(dòng)選擇最優(yōu)解決方案，保障通信網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。利用人工智能技術(shù)進(jìn)行邏輯推理，分析研判潛在安全威脅，從而提前預(yù)警。

2.7 安全整體態(tài)勢(shì)持續(xù)呈現(xiàn)及預(yù)測(cè)

企業(yè)的通信網(wǎng)絡(luò)、硬件、軟件、系統(tǒng)應(yīng)用、業(yè)務(wù)應(yīng)用以及安全應(yīng)用等，產(chǎn)生大量數(shù)據(jù)結(jié)構(gòu)不一致且具備相關(guān)關(guān)聯(lián)性的安全數(shù)據(jù)。安全運(yùn)維專(zhuān)家經(jīng)驗(yàn)再豐富也不可能實(shí)現(xiàn)安全數(shù)據(jù)的持續(xù)分析呈現(xiàn)，以及發(fā)現(xiàn)安全數(shù)據(jù)之間的關(guān)系。利用人工智能算法對(duì)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，生成當(dāng)前狀態(tài)的綜合評(píng)估和趨勢(shì)預(yù)判，可實(shí)現(xiàn)持續(xù)態(tài)勢(shì)監(jiān)控，并預(yù)測(cè)未知漏洞風(fēng)險(xiǎn)等。

03

結(jié) 語(yǔ)

本文從數(shù)據(jù)資產(chǎn)重要性、新技術(shù)多樣性、系統(tǒng)耦合脆弱性出發(fā)，分析網(wǎng)絡(luò)安全運(yùn)維服務(wù)的重要性和必要性，站在社會(huì)工程學(xué)角度，分析了人在運(yùn)維服務(wù)中的局限性，創(chuàng)新性地探索人工智能在運(yùn)維服務(wù)中的應(yīng)用，形成了智能高效的網(wǎng)絡(luò)安全運(yùn)維新思路，改變攻防博弈中被動(dòng)防御的不利局面，保護(hù)重要行業(yè)關(guān)鍵基礎(chǔ)設(shè)施安全。下一步工作將重點(diǎn)研究算法和搭建模型，分析解決具體的問(wèn)題。