高伟波 李仲琴

摘   要：人工智能工具用于分析数据和预测结果，其对许多行业都是福音，包括网络安全和国防行业。目前，越来越多的防病毒和网络威胁情报系统正在寻求将人工智能技术集成到网络防御响应能力中。过去网络安全领域的观点认为威胁主要来自于单独的黑客入侵行为，而事实上，我们面对的是有着严密组织的网络犯罪集团[1]，勒索软件就是一个典型的例子。传统网络安全领域存在两个重大缺陷：一是非常依赖规则;二是无法根据现代企业的规模进行扩展。但是，人工智能则可凭借其强大的学习和运算能力，迅速地从百万次迥异的嫌疑事件中发现异常、风险和未知威胁的信号。文章阐述该如何利用人工智能、机器学习、深度感知等方法，提升应对网络安全威胁的能力，从而更全面、高效地建设我国的信息安全保障机制，使局部安全服务于国家安全。

关键词：人工智能;网络安全;深度学习

中图分类号： TP393.0          文献标识码：A

Abstract： Artificial intelligence tools are used to analyze data and predict results. They are good news for many industries， including cybersecurity and defense industries. At present， more and more antivirus and network threat intelligence systems are seeking to integrate artificial intelligence technology into network defense response capabilities. In the past， the point of view in the field of cybersecurity was that the threat mainly came from separate hacking activities. In fact， we are faced with a tightly organized cybercrime group[1]. Ransomware is a typical example. There are two major flaws in the traditional cybersecurity field： one is very dependent on rules; the other is that it cannot be expanded according to the scale of modern enterprises. However， artificial intelligence can quickly find signals of anomalies， risks， and unknown threats from millions of very different suspected events with its powerful learning and computing capabilities. This article explains how to use artificial intelligence， machine learning， depth perception and other methods to improve the ability to respond to cybersecurity threats， so as to build a more comprehensive and efficient information security assurance mechanism in my country， so that local security serves national security.

Key words： artificial intelligence; cybersecurity; deep learning

1 引言

人工智能在进入20世纪后高速发展，尤其是在2010年后，一系列基于大数据、高性能GPU和高速网络的深度学习方法被研究完善，使得之前被认为需要到21世纪中叶才能实现的人工智能技术，在当前就已经成为现实。

最初，网络安全和人工智能被认为是两个独立的实体。为了提高工作效率，人工智能研究人员开始着手创建机器学习模型，而网络安全专家则试图设计出更安全的身份审计系统。随着时间的推移，这两个领域的发展越来越紧密，为了混淆身份验证系统，入侵的手段越来越隐蔽且复杂化，但人们可以将CAPTCHA与人工智能[2]在安全性方面的博弈，视为一个很好的例子.在CAPTCHA中，用户将键入扭曲（底噪）的图片上的字母，或者键入出现在屏幕上顺序颠倒模糊的字母或数字。以前，CAPTCHA可以通过让人识别扭曲的文字来轻易过滤算法，但到了2014年，人工智能在解决这类问题时已经超过人类，之后有一些人机识别机制转而使用图片场景识别，例如谷歌就经常让用户找出图片中的十字路口或交通信号灯。然而，人工智能现在对于这类问题的解答能力超过了人类。

鉴于上述情况，并结合近两年的研究表明，将人工智能整合入企业的网络安全体系中，可大幅降低企业全球化后所面临的日益增长的网络安全威胁。随着企业在信息化建设、大数据商业分析和计算能力等方面的不断提高，来自网络的威胁也越来越多样化，其入侵的手段已经不再局限于钓鱼邮件、恶意注入等，而是开始大规模地利用社会工程学、勒索软件、APT等方式，以期对目标企业造成巨大的经济和信用打击，如何确保企业重要资产的安全和客戶的隐私，成为了摆在所有机构面前的头等大事。引入人工智能辅助网络安全管理的优势在于，可以立即识别可疑问题并做出反应，从而防止潜在问题干扰业务。

与此同时，人工智能技术也是一把“双刃剑”。确实，尽管人工智能和机器学习为网络安全提供了好处，但也有可能产生其他问题，因为这些工具可以帮助抵御黑客攻击，网络犯罪分子很可能会使用相同的技术来使攻击更加有效。欧洲刑警组织（Europol）的一份报告警告[3]说，人工智能是新兴的技术之一，它可能使网络攻击比以往任何时候更加危险，甚至网络犯罪分子可能已经开始使用这些技术，来帮助进行黑客活动和恶意软件攻击。

2 网络安全态势综述和发展趋势

如果将信息战场比作是一场没有硝烟的战争，那么这应该是世界上最长的战争。根据IDG CSO的统计，预计2021年，各国在网络安全上的投入预算达到6万亿美元，在对已知的“严重”等级以上的网络安全事件进行筛选后发现，导致网络安全事件发生的最薄弱的环节并不是软硬件的缺失，而是人为因素，这其中包括疏忽、误操作、响应迟缓、决策错误等。

网络安全是多方面的，就像人们可以为自己的家庭网络设置诸如防火墙、虚拟操作系统和指纹验证等安全保障。但是，保护企业网络要复杂得多，随着时间的推移，在现有的网络安全理念的框架下，多样化的威胁开始迅速涌现，现有的响应机制必须满足不断变化的威胁形势的需求，这让传统的应对手段显得老态龙钟。与此同时，伴随着网络安全在技术上取得的每一次进步，入侵的手段也在不断变化，对网络安全造成的压力也与日俱增。

现如今，人类所面临的网络安全威胁已日趋组织化、专业化、隐蔽化[4]，部署更加智能的网络安全软件是网络安全防御发展的趋势。安全信息和事件管理（SIEM）软件提供安全事件分析以及各种信息的存储和关联，包括日志数据、威胁向量和用户行为等信息，以及结构化威胁情报分析。人工智能是人类为了使机器变得更加智能的尝试，情报是人类社会中独特的重要组成部分，在网络空间中亦是如此，但是，直到最近人工智能才逐渐取代人工手段，成为网络空间中各类情报（大数据）获取的主要来源。

3 人工智能在网络安全领域的发展前景

为了增强现有的网络安全系统和实践，可以在三个方面应用人工智能。

3.1 预防和保护

一段时间以来，研究人员一直专注于人工智能阻止网络入侵者的潜力。2014年，美国国防高级研究计划局宣布了首届DARPA网络大挑战赛，这项竞赛由专业黑客和信息安全研究人员参加，通过利用基于人工智能的漏洞检测系统找出安全漏洞并实时开发和部署解决方案。尽管仍处于初期阶段，但网络安全的未来可能会受益于更多使用人工智能的预防和保护系统，这些系统使用先进的机器学习技术来强化防御，还可以使人们灵活的与算法决策交互。

3.2 网络安全属性的定性检测

传统的网络安全预警机制，依赖专业人员使用固有特征的威胁样本的分析软件，来检测网络中存在的异常，以及利用已知的攻击方式对漏洞进行识别。一旦发现匹配的威胁特征时，分析软件会向安全团队发出警报，将这种工作模式归类为基于定量风险的分析模式，这其中包括已知和未知的风险，优点和不足都显而易见。其中，不足集中表现在缺乏对未来网络安全趋势的预测和可持续性追踪上，对于网络威胁的预警只能是发生在事中或者事后，无法做到全过程可溯，造成这种情况的原因与前面提到的基于固有特征的定量风险管理模式是分不开的。

在网络威胁不断变化的情况下，准确的筛选网络中的异常行为，对人类来说是一项极其庞大的工作。由于入侵行为（通常是数据盗窃）是长期的，因此网络上也存在一些恶意软件程序，并且看起来是无害的，称之为高级持久威胁（APT）。它们经过精心设计，可以被网络安全程序和分析软件所忽略，绕过前段蜜罐，自动识别高价值信息，并可以长期潜伏在目标网络中，且无论目标库中的威胁特征码如何更新，始终可将自身置于“高度受信”的名单内。面对APT，最好的方法就是引入“预测分析”和“认知计算”，作为人工智能的重要组成，“预测分析”也可以被成为“机器学习”，实际上它具备了比人类更好的识别模式。通过分析各种已发生的攻击，即使它与先前已知的特征不匹配，人工智能也具备对可能的攻击具有“直觉”或预测的能力。而“认知计算”则是人工智能模型通过模仿人脑动作，在系统输入的大数据中，将网络安全威胁事件筛查出来，它可以学习并获得识别威胁的能力，构建基于态势的网络安全模型。“认知计算”可使用结构化和非结构化数据作为输入，在异构数据的基础上，提供类似于人为洞察力的人机协作关系。之后，它可以提供人类可能从未想出的见解或提出独特的解决方案，这个称之为输出，从而增强网络安全专业人员的能力，并且其速度远远超过了人类的能力。

3.3 对威胁和风险的即时响应

人工智能可以帮助优先考虑需要关注的风险领域并自动化的执行任务（例如在日志文件中搜索是否存在警告），从而减轻网络安全分析师的工作量，将人员的工作重心转移到更高价值的活动上。人工智能还可以基于共享的知识和学习，促进对外部或内部攻击的智能响应。例如，目前人类拥有部署半自动，智能诱饵或“蜜罐”的技术，这些诱饵创建了要渗透的网络环境，以使攻击者认为他们在预期的入侵路径上，然后使用欺骗手段来识别罪魁祸首。具有人工智能功能的响应系统可以动态隔离网络，以将有价值的资产隔离在安全的“地方”，或使攻击者远离漏洞或有价值的数据。

在传统网络安全领域中，所有网络安全团队面临的最大挑战就是疲劳。他们疲于在上千万的网络安全响应中奔命，响应时间被无限的延迟。毕竟与人工智能相比，人类理解大型数据集的能力并不是很好。人工智能的引入为专业人员提供了所需要的威胁分类关联信息（可理解为上下文信息），从而可以更快、更明智地制定决策，并降低劳动强度，同时借助网络安全分析软件提供的数据（预测分析），以及上下文数据毫实时更新网络安全知识集，再加上先前确定的见解（认知计算），人工智能可以比任何人更快，更准确地关聯所有数据。自工业革命开始以来，人工智能可能被证明是人类技术上最大的进步，曾经只在科幻小说中构思过的人工智能，终于出现在这里并影响着人们的日常生活。

网络安全研究人员已经成功地操控了由亚马逊、苹果和谷歌开发的人工智能系统，以进行拨号电话和浏览论坛留言等操作，并且无需借助任何自动化运行脚本。众所周知，Alexa、Siri和Google Assistant是人类所接触到和使用最广泛的人工智能辅助程序，目前诸多APT都已瞄准了上述人工智能平台，企图操控用户安装在设备中的金融程序或通讯软件，以窃取相关数据或实施盗窃。实际上，根据网络安全公司Webroot的一项调查，在美国和日本，超过90%的网络安全专业人员都表示，入侵者对其公司所使用的人工智能系统十分感兴趣，尤其是涉及到商业决策和客户关系管理的后端人工智能系统。

6 结束语

本文提出的人工智能在网络安全领域的场景应用，能有效增强关键信息基础网络和服务的安全水平，提高网络在应对0Day和APT时的可用性。在当前愈发严峻的国外内网络安全形势下，借助人工智能，打造一套更加坚固的网络安全系统。与传统的网络安全解决方案相比，人工智能在这个领域展示出了它强大且灵活的一面。与此同时，人类也应该看到，尽管人工智能已在网络安全领域发生了巨大作用，但并不是解决所有网络安全问题的灵丹妙药，不过这并不意味着不能利用人工智能方法，而是应该了解其不足并正确利用它。在此期间，人类需要对人工智能进行不断的完善和训练。

参考文献

[1] IBM.Security Artificial Intelligence[R].中国：IBM，2018.

[2] 张亮.基于LSTM 型RNN 的CAPTCHA 识别方法[J].模式识别与人工智能，2011，1（24）：40-47.

[3] Europol.2019网络有组织犯罪威胁评估报告[R].比利时： Europol，2019.

[4] Erik Zouave.Malicious Use of AI Poses a Real Cybersecurity Threat[EB/OL].https：//www.darkreading.com/vulnerabilities---threats/malicious-use-of-ai-poses-a-real-cybersecurity-threat/a/d-id/1337690，2020-5-5.

[5] KAKURU S. Behavior based network traffic analysis tool[C]//2011 IEEE 3rd International Conference on Communication Software and Networks （ICCSN）.Xi'an： IEEE， 2011： 649-652.

[6] GOODALL J R. Visualization is better！ a comparative evaluation[C]//6th International Workshop on Visualization for Cyber Security.Atlantic City， NJ： IEEE， 2009： 57-68.

[7] Fortinet.威胁态势预测：网络犯罪五大趋势[R].美国： Fortinet，2019.

作者简介：

高伟波（1986-），男，汉族，山东日照人，哈尔滨理工大学，本科，江西省核工业地质局261大队，高级工程师;主要研究方向和关注领域：网络安全、数据中心管理、地理信息系统数据库建设、TensorFlow模型算法。

李仲琴（1988-），女，汉族，江西高安人，江西师范大学，本科，江西省核工业地质局261大隊，工程师;主要研究方向和关注领域：舆情与舆论情报分析、信息系统安全管理、工业基础网络防护。