人工智能在網絡安全中的應用價值展望

2017-09-20

在經歷了一輪又一輪的跌宕起伏後，人工智能在2017年再一次站到了浪潮之巔。在國外，國際知名諮詢機構Gartner於2017年7月發佈了本年度新興技術成熟度曲線，人工智能的兩個分支——深度學習和機器學習，均處於曲線的最頂端（見圖1）。在國內，國務院同樣於2017年7月印發了《新一代人工智能發展規劃》，提出要推動人工智能與各行業融合創新，推動人工智能規模化應用，全面提升產業發展智能化水平。作為IT領域的傳統行業，網絡安全如何與人工智能相結合，產生化學反應，成為業界關注的焦點。本文展望了人工智能在網絡安全行業的應用價值和存在的挑戰，希望能夠對大家有所啓發。

1.防範高級威脅的需求和安全人員的短缺，是推動人工智能技術在網絡安全行業應用的內在動力。

眾所周知，近年來APT攻擊已成為企業級用户所面臨的最主要的安全威脅。由於安全廠商既不能先於用户獲取到攻擊樣本，又不能在每個用户的網絡環境中都安排安全人員進行應急防範，可行的解決方案是通過技術手段將安全廠商自身的分析能力前置到用户的網絡環境中。對於高級威脅檢測而言，當前主流檢測技術是虛擬執行，即通過在沙箱、虛擬機等環境中運行可疑文件，判斷其是否包含惡意代碼。這種技術固然具備一定的未知威脅檢測能力，但也存在計算資源耗費大、檢測時間長等缺點，一般單個沙箱處理一個可疑文件需要幾分鐘的時間，這在高速網絡環境中會造成較大的處理延遲。為此大家都在積極探索其它更有效的解決方案，人工智能就是替代方案之一。通過人工智能算法模擬人的分析能力，在一定程度上相當於把廠商的分析能力前置到了用户環境中，這是解決未知威脅檢測的有效途徑。

隨着網絡環境越來越複雜、攻擊手段越來越隱蔽，安全運維的難度也越來越大。在大數據時代，安全分析人員要處理的數據規模與其處理能力嚴重不匹配，許多攻擊報警得不到及時響應，這是造成用户雖部署了安全設備仍然被入侵、且一次入侵行為的MTTR（平均修復時間）過長的主要原因。據統計，當前國內安全人員的缺口達數十萬，通過提高分析人員數量來應對大數據的思路顯然不可行，比較可行的方法就是運用人工智能，通過智能算法對原始數據進行預處理，降低分析人員數據處理壓力，輔助分析人員做出正確判斷。

2.惡意代碼檢測和智能安全運維，是人工智能在網絡安全領域應用的主戰場

瞭解了網絡安全行業所面臨的主要問題，我們不難推測人工智能在網絡安全領域的用武之地。

在惡意代碼檢測方面，我們需要利用人工智能提升對未知惡意代碼的檢測能力，提升對可疑樣本的研判速度。目前可行的方法是採用監督學習方法，首先積累一定體量的標註數據作為訓練樣本和測試樣本，然後利用深度學習算法訓練產生分類器，最後在用户側利用實際數據進行模型的增量更新，從而在用户側形成檢測-處置-響應的閉環。具體方案如圖2所示：

目前國內外已有安全廠商進行了基於深度學習算法進行惡意代碼檢測的嘗試，啓明星辰也利用自身的數據和算法積累進行了驗證，我們對這種檢測方案的前景還是比較樂觀的。

在安全運維方面，我們需要利用人工智能技術提升對安全大數據的處理能力，提升對安全事件的響應速度。一名有經驗的安全分析師，在長期的安全運維實踐中會摸索出有效的安全事件分析和處置流程，如果能夠通過人工智能把這些流程固化成可自動運行的分析模型，將大大提升運維人員的工作效率。

在安全運維平台中增加智能分析算法，已成為了國內外SIME類廠商的關注焦點。啓明星辰在其SOC平台中也提供了一系列的智能分析模型和算法，包括基於統計學習的異常檢測方法、基於規則推理的關聯分析算法、基於淺層學習的分類聚類算法等。此外，啓明星辰還進行了基於本體建模和知識圖譜的事件自動化處置方案驗證，取得了積極的效果。

3.有價值數據的缺失和結果可解釋性不足，是人工智能技術應用所面臨的主要挑戰

雖然人工智能算法在網絡安全領域的應用前景樂觀，但在成為安全領域的主流技術前，還面臨着一系列的挑戰。

首先是數據缺失帶來的挑戰。我們知道人工智能、機器學習算法需要大量的標註數據來訓練模型，可以説數據決定了模型最終能夠達到的高度，算法只是逼近這個高度的手段而已。但在實際環境中，由於安全廠商的用户大都對自身數據比較敏感，廠商在將設備部署到用户環境後很難通過用户的反饋獲取有價值的數據，比如在實際環境中的攻擊報警及原始數據、對漏報或誤報的分析結果等，這就導致廠商無法利用真實數據提升模型的檢測準確率。

其次是結果的可解釋性帶來的挑戰。對於傳統基於特徵匹配的攻擊檢測而言，檢測設備對其所產生的報警可以給予充分的證據，用於解釋其報警的有效性；但對於人工智能、尤其是深度學習算法而言，檢測設備的判斷依據對用户而言是一個黑盒子，用户無法知曉某個報警產生的具體原因。事實上目前已經出現了攻擊特定機器學習算法使其產生誤報的技術。如何提高人工智能算法的魯棒性和結果可解釋性，也是學術界研究的熱點。

雖然人工智能在網絡安全領域的應用還面臨着各種各樣的挑戰，我們依然看好其應用前景。這是因為數據時代和智能時代已經來臨，利用數據改變傳統的業務模式、利用人工智能提升數據的利用價值，已成為大勢所趨。我們期待着人工智能在未來的網絡安全產業發揮更大的價值！(周濤博士)