AI在安全領(lǐng)域的實踐有哪一些取得了進(jìn)步

人工智能技術(shù)在數(shù)據(jù)分析、知識提取、智能決策等方面的優(yōu)勢為應(yīng)對動態(tài)多變、復(fù)雜交織網(wǎng)絡(luò)安全問題提供了新思路，網(wǎng)絡(luò)安全已經(jīng)成為人工智能應(yīng)用的重要方向之一。

根據(jù)法國咨詢機構(gòu)凱捷 2019 年 7 月發(fā)布的《以人工智能重塑網(wǎng)絡(luò)安全》報告，超過半數(shù)的被調(diào)研企業(yè)認(rèn)為實施基于人工智能的網(wǎng)絡(luò)安全措施勢在必行。美國咨詢機構(gòu) CB Insights 統(tǒng)計數(shù)據(jù)顯示，2018 年至 2019 年 6 月間，與網(wǎng)絡(luò)安全相關(guān)的人工智能投融資活動超過 180 筆。

以大數(shù)據(jù)分析、機器學(xué)習(xí)、 深度學(xué)習(xí)、人機協(xié)同為代表的人工智能與網(wǎng)絡(luò)安全融合實踐日益增多。

在異常流量檢測方面，人工智能為加密流量分析提供新方案。思科已將 AI 驅(qū)動的加密流量分析應(yīng)用于交換機等產(chǎn)品，基于初始數(shù)據(jù)包特征以及后續(xù)數(shù)據(jù)包長度與時序等，通過機器學(xué)習(xí)算法識別異常流量，提供加密流量檢測能力；Darktrace 基于無監(jiān)督學(xué)習(xí)算法構(gòu)建核心異常檢測算法體系，為網(wǎng)絡(luò)中用戶和設(shè)備建立行為模型以區(qū)分正常模式和攻擊行為，并對攻擊進(jìn)行標(biāo)記和阻止，在此基礎(chǔ)上提供企業(yè)免疫系統(tǒng)、工業(yè)免疫系統(tǒng)等產(chǎn)品；觀成科技推出針對惡意加密流量的 AI 檢測引擎，通過人工智能算法訓(xùn)練加密流量檢測模型，支持 SSL、SSH、RDP等多種加密協(xié)議分析。

在惡意軟件防御方面，針對特定場景人工智能應(yīng)用取得積極進(jìn)展。

Agari 面向電子郵件業(yè)務(wù)開發(fā)了智能檢測功能，防范針對郵箱的釣魚攻擊和惡意訪問；Cylance 利用機器學(xué)習(xí)算法基于文件特征識別惡意軟件，在勒索病毒防御方面效果突出；芯盾時代針對金融反欺詐場景推出智能行為認(rèn)證產(chǎn)品，基于異常檢測及樣本標(biāo)注、欺詐關(guān)聯(lián)圖譜等持續(xù)發(fā)掘欺詐新模式。

在異常行為分析方面，人工智能正成為模式識別的有效補充。

Exabeam 的核心產(chǎn)品安全信息和事件管理（SIEM）平臺，通過分析公司的日志數(shù)據(jù)創(chuàng)建異常檢測模型，實現(xiàn)異?；顒幼R別和風(fēng)險評估；Securonix 的 下一代 SIEM 產(chǎn)品基于 Hadoop 構(gòu)建可擴展的大數(shù)據(jù)分析架構(gòu)，提供日志管理、用戶和實體行為分析功能，通過人工智能算法檢測高級攻擊并實現(xiàn)應(yīng)急響應(yīng)；啟明星辰的 UEBA 產(chǎn)品在對多源異構(gòu)數(shù)據(jù)歸一處理基礎(chǔ)上，利用機器學(xué)習(xí)等技術(shù)建立用戶和實體對象行為正?；€并監(jiān)測與基線的偏離；瀚思科技的 UEBA 解決方案聚焦于對企業(yè)內(nèi)部員工的異常行為進(jìn)行定位，結(jié)合審計、溯源、DLP 等企業(yè)原有安全能力，提高檢測效果。

在敏感數(shù)據(jù)保護(hù)方面，人工智能助力數(shù)據(jù)識別和保護(hù)能力提升。

亞馬遜推出 Amazon Macie Analytics 服務(wù)，可通過機器學(xué)習(xí)技術(shù)自動識別重要數(shù)據(jù)訪問、復(fù)制、移動等可疑行為，并實施準(zhǔn)實時的修復(fù)措施，防范重要數(shù)據(jù)暴露及共享業(yè)務(wù)中的數(shù)據(jù)安全風(fēng)險；德國 Neokami 推出了 CyberV ault 產(chǎn)品，可利用人工智能發(fā)現(xiàn)、 保護(hù)和管理云端和本地的敏感數(shù)據(jù)；亞信安全的數(shù)據(jù)分類分級發(fā)現(xiàn)系統(tǒng)在數(shù)據(jù)塊維度多任務(wù)并行處理，利用機器學(xué)習(xí)+語義分析生成訓(xùn)練模型提高數(shù)據(jù)分類速度和精度，提供數(shù)據(jù)特性及變化趨勢展示。

在安全運營管理方面，安全編排與自動化響應(yīng)（SORA）逐漸興起。

IBM 推出 Resilient 事件響應(yīng)平臺，可提供響應(yīng)流程定制功能，靈活編排響應(yīng)活動并自動審計跟蹤，實現(xiàn)對威脅事件的快速響應(yīng)；Palo Alto Networks 于 2019 年 2 月收購了 Demisto，并隨即于 3 月推出人工 智能安全平臺 Cortex，Cortex 數(shù)據(jù)湖致力于打破網(wǎng)絡(luò)、云端、終端數(shù) 據(jù)孤島，并支持對海量數(shù)據(jù)分析、威脅發(fā)現(xiàn)及響應(yīng)策略快速編排，目前 PwC、CriTIcal Start、On2it、TrustWave 等廠商已通過 API 方式接入該平臺并提供安全能力；安恒信息的 AiLPHA 大數(shù)據(jù)智能安全平臺結(jié)合智能關(guān)聯(lián)分析引擎，構(gòu)建規(guī)則模型、統(tǒng)計模型、機器學(xué)習(xí)模型和無監(jiān)督的聚類分析，并通過“AI 安全大腦”對企業(yè)安全要素進(jìn) 行智能編排，實現(xiàn)威脅管理流程的自動化建模。

國內(nèi)企業(yè)應(yīng)用人工智能賦能網(wǎng)絡(luò)安全主要實踐如表所示：

目前，人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用仍處于初級階段。

隨著研究探索的不斷推進(jìn)、技術(shù)算法的不斷成熟，人工智能技術(shù)或?qū)⒋蚱苽鹘y(tǒng)安全的瓶頸與所能解決問題的邊界，為網(wǎng)絡(luò)安全帶來全新范式。

一是攻防演練為人工智能應(yīng)用訓(xùn)練提供了有效途徑。人工智能算法需要足量、高質(zhì)量的數(shù)據(jù)持續(xù)訓(xùn)練，網(wǎng)絡(luò)攻擊長尾性、情報鏈不完整、數(shù)據(jù)共享不充分等成為制約人工智能成熟應(yīng)用的瓶頸。

隨著國內(nèi)攻防演練對抗實戰(zhàn)化、場景多樣化、參與方多元化發(fā)展，網(wǎng)絡(luò)攻擊路線方式等完整攻擊鏈信息逐漸積累，設(shè)備系統(tǒng)聯(lián)動日益緊密，將為人工智能算法訓(xùn)練和模型建立提供了有力支撐。

二是機器學(xué)習(xí)依然是智能安全的主攻方向。相對于卷積神經(jīng)網(wǎng)絡(luò)等深度學(xué)習(xí)技術(shù)，機器學(xué)習(xí)技術(shù)研究起步早、實踐應(yīng)用多，且多建立在專家智慧基礎(chǔ)上，在可解釋性、 檢測分析效率等方面具有一定優(yōu)勢，預(yù)計在未來一段時間機器學(xué)習(xí)技術(shù)仍然是人工智能在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的主要方向。

三是自動化編排和響應(yīng)的探索應(yīng)用前景可期。

SOAR 在匯集海量網(wǎng)絡(luò)設(shè)備、終端、流 量、數(shù)據(jù)等情報基礎(chǔ)上，構(gòu)建自動化編排、部署與響應(yīng)為一體的解決 方案，可大幅降低安全人力投入，更好應(yīng)對網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜、安全 威脅持續(xù)多樣、防御手段整合度低等挑戰(zhàn)。

四是人工智能自身和應(yīng)用安全問題不容忽視。

人工智能技術(shù)在為網(wǎng)絡(luò)安全提供新理念、新手段的同時，也帶來了新的安全風(fēng)險和挑戰(zhàn)。

一方面數(shù)據(jù)樣本污染、識 別系統(tǒng)混亂、軟件漏洞等安全問題日益顯現(xiàn)，人工智能數(shù)據(jù)樣本、算法模型、框架平臺等技術(shù)自身安全亟待加強。另一方面，人工智能與經(jīng)濟(jì)社會各領(lǐng)域的深入融合也會引發(fā)新的安全風(fēng)險，需要前瞻研究安全措施、標(biāo)準(zhǔn)和手段等，確保人工智能安全發(fā)展、可靠應(yīng)用。

來源：中國信通院