王泽宇 张小女

摘要：通过对我国当前网络的发展状态以及面临的威胁的分析，使人们认识到网络威胁的严重性和人们当下对网络防护的局限性。人工智能经过几十年的积累，目前已经到了厚积薄发的大规模应用阶段，人工智能的迅速发展给网络安全提供了一个更好的技术方向，二者的结合从几个方面有力地促进了网络安全的进步，但是人工智能在网络安全上的应用还有着不少的缺陷，还有很长的技术短板需要去克服。

关键词：人工智能;网络安全;智能设备

中图分类号：TP393        文献标识码：A        文章编号：1009-3044（2019）02-0021-02

1 网络安全的当前现状

网络的迅猛发展，促使全世界更加紧密地联系在一起。多样化、互联化的智能设备也已经遍布我们生活、生产、学习的方方面面，网络使我们的工作、生活的界限不再清晰明了，一个联网设备被攻击者攻克，其他互联设备就有可能瞬间被攻克，我们的各种信息就会全部泄露。

智能设备全面互联带给我们便利的同时，也给我们提出了一个迫切而现实的问题：我们的设备安全吗，我们运行于设备之上的各种各样的生产、生活、学习的资产与资料安全吗？答案可以肯定的说是否定的。在当前的网络环境中，我们的各种终端与应用可以说是脆弱的。比如猖獗一时的勒索病毒，它俨然是一场全球性互联网灾难，统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。[1]

从当前的技术发展路线来看，人们发现被攻击与破坏的时间是在逐步缩短中，但是对攻击者而言，这个时间差是足够的，在这段时间内，他们完全能够破坏与窃取数据，给企业造成巨大的损失。

可见，随着网络技术的进步及其相关技术的迅速发展，我们的信息安全受到的威胁也越来越多。据联合国的安全报告，2017年中国的网络及信息安全能力在全球仅排名第32位。

2 传统网络安全手段当前已经达到技术瓶颈

传统的杀毒软件主要是通过比对病毒的特征码等方式来进行病毒查杀，这种方法对新出现的病毒或者变种都缺少有效的应对能力，只有安全人员在病毒库中加入对应病毒的特征码之后，才有可能对病毒进行查杀。对0day攻击可以说 接近于无法防护的程度。

当前，网络发展多网融合，网络泛化严重，信息安全的重要性和复杂性更加凸出。中国工程院院士沈昌祥针对主动免疫防御话题发表演讲，他认为，网络空间安全是集计算、通信和控制等学科交叉的科学问题。消极被动的封堵查杀防不胜防，“就好比人没有免疫系统”。 众多的组织机构和企业每天要面对百万级别的安全威胁，网络安全人员要逐条进行信息分析这是根本不能够实现的。首先，中国当前对安全人才的需求量与实际培养量间存在着巨大差距，而且层次还参差不齐。其次，一个安全人员每天只不过能够分析1000-2000条日志数据，或者是100-200个代码片段。

以往，比较清晰明了的内外网边界，已经越来越模糊，各种设备，各种网络接口即实现了万物互联，也实现了万物可破，可以被入侵攻击，人们需要保护的安全防线越来越长，更长的安全防线有很多时候反而成了无用的马奇诺防线，接近于有防而无用。当前还如果单纯使用传统的網络安全防护方法与手段已经远远不能满足人们的需求与技术要求，可以说网络安全的实现已经到了必须要有质的突破阶段。

3 中国人工智能当前的现状

眼下，信息技术已经又到了一个新的分化阶段。AI技术经过几十年的积累发展，也已经到实用落地的地步。中国新一届政府也已经看到了AI在信息技术下一步发展中的巨大作用和潜力，对AI技术的发展给予了高度重视，从应用研发、产业规划发展等方面，提出了全方位的发展措施。

近年来，我国AI领域的论文、专利成果均取得了长足的进步，并且一些方面还能够居世界前列，大量AI方面的企业不断出现，AI产业生态也以比较快的速度形成。2017年7月国务院正式发布了《新一代人工智能发展规划》，此发展规划的正式提出，即为AI的发展提供了战略方向，也确立了AI的战略地位。可以说AI在中国的产业发展不再处于概念理论阶段，而是大踏步进入落地实施。

国际知名咨询机构Gartner于2017年7月发布了2017年度新兴技术成熟度曲线，人工智能的两个分支——深度学习和机器学习，均处于曲线的最顶端。而截至2017年底，中国在AI领域的人才缺口至少在100万以上。而且，由于合格AI人才培养所需的时间远远超过培养一般IT人才，人才缺口很难在短期内得到有效填补[2]，甚至微软的创始人比尔.盖茨曾说，中国在AI领域是不可能实现弯道超车的。虽然我们不太同意他的这个说法，但是也从另一个方面说明了AI发展的困难与艰辛。

4 将人工智能应用于网络安全的现实意义

保护网络信息安全免受威胁的需求与网络安全人员的缺少，是促使AI技术在信息网络安全保护行业应用的强大内在动力。

近几年，APT攻击已经成为企业所需面临的主要安全威胁。但是安全服务厂商不可能先于用户获得攻击样本，更不可能在每个企业中都部署安全人员进行防范，比较好的解决方法是使用技术手段把安全厂商的技术能力前置到企业网络环境中去。对于APT检测来说，目前主要检测技术是虚拟执行，即在虚拟的环境中运行可疑程序与文件，进而判断其包含恶意程序的情况。这种方法虽然具有一定的未知恶意程序检测能力，但是也有资源消耗大、检测周期长等缺陷，一般一个沙箱检测一个文件可能消耗几分钟，这会导致在高速网络环境下造成相当大的处理时延。

随着网络泛化和网络环境内外边界的模糊，各种攻击手段越加隐秘，安全人员运维的难度直线上升。在大数据信息泛滥的当下，安全维护人员需要处理的数据量与其处理能力相比严重失衡，大量攻击报警不能够得到及时响应与处理，这就导致用户有了安全设备可是仍然被入侵。这也是造成入侵行为的MTTR（平均修复时间）过长的最主要因素。解决这一对矛盾比较好的处理方式是运用AI，通过智能算法对原始的大数据进行处理，减少安全人员数据处理工作量，提高安全人员的工作效率是最为可能有效的解决方法。

网络安全问题也是一个攻防互促的战场。安全人员虽然可以使用AI技术防范黑客攻击，黑客也可以使用AI技术进行攻击程序的演化和攻击手段的效率提升。大量AI模型与框架开源，降低了攻击能力提升的成本，或是开始一些此前不可能做到的攻击。但AI终究是目前一个最好的安全改进方法，为此人们也都在努力探索其有效的解决方案。通过AI算法模拟人类的能力，这相当于把安全人员的分析能力前置入企业的网络环境中，这是一个解决未知威胁的有效检测方法，是将人的能力融入机器的目前的完美结合。

5 人工智能应用于网络安全的方法与途径

未来网络安全的发展一定是“不智能，无安全”。目前安全系统花费了人们太多的时间和精力，对人、财、物的消耗都是巨大的。如果将其与AI进行有有效的结合与实现，它将可以明显降低人们在安全防护上的成本与开支，也可以明显提高面对入侵的反应速度与阻断破坏的能力，提高防御的敏捷度。从目前的技术发展和理论水平来看，人们能够将AI与网络安全有效融合在一起的方式主要从以下几个方面来实现：

1）代码检测与安全运维AI化，是AI在网络信息安全领域的主战场

每天，网络上都在产生着大量的病毒程序与恶意代码，如果识别分析的工作都由安全人员去完成，这是不可想象的。将此项工作AI化，可以明显提高人们在这方面的工作质量与效率。

在恶意代码的AI检测方面，目前主要的方法是监督学习。它是一个有效的多维度特征识别方法，适用于恶意代码、计算机病毒和垃圾邮件等的处理[3]。当然这要我们积累相当大体量的数据作为训练样本和测试样本，再应用对应的深度学习算法来进行训练产生分类器，最后在利用客户侧实际数据来进行分类器模型增量更新，进而在客户侧形成一个检测-处置-响应的闭环。但是监督学习具有相当的局限性，首先是模型的新鲜度。威胁时时都在发生着变化，但是监督学习却并不是在时时学习，如果不能够保持学习连续性，新威胁在识别上就会出现问题。其次是模型的准确率。知易行难，学习是一种情况，真实使用时又是另一种情况，二者之间可能会出现较大的差距。最后是模型的召回率，也就是我们平常所说的有多少真实的威胁没有被识别出来并捕获到。所以单纯的监督学习还是存在着相当的缺陷，但其在反欺诈、行为分析、态势感知方面优势比较明显。它还需要将其他手段结合起来，才能发挥更好的作用。

在安全运维上，我们可以在安全运维平台上加入AI分析算法，利用AI技术提高对大数据的分析处理能力，提高对安全事件的响应能力。经验丰富的安全人员，在长期的工作实践中会摸索与总结出规范有效的事件分析与处理流程，通过AI分析算法和模型，例如基于统计学习的异常检测方法、基于规则推理的关联分析算法、基于浅层学习的分类聚类算法等技术将流程固化为能够自动运行处理的模型，将明显提高人们的工作质量与效率。

2）APT识别及防护能力的主要改进与提高

安全人员在检测较小异常时可能会不需要特别的帮助，但是在检测和处理攻击水平比较高，恶意代码的复杂度比较大的时候，一系列的情况会给安全人员造成相当大的困难。要阻止高级与复杂的攻击，安全人员要快速分析不断变化的大量数据和异常情况，好发现潜在的威胁，而AI提供了人类安全人员所依靠的蓝图和知识库。在网络安全中使用AI技术，有助于对攻击事件执行逆向工程 并有目的地改进系统。这将使安全人员不再只对单个攻击事件被动响应，而是可以找到解决方案防止此类攻击事件再次发生。这种方法也具有更好的扩展性，可防止企业受到更多的攻击。

3）帮助企业识别漏洞并加以修复

企业要知道系统新的漏洞，并于漏洞被利用之前将其解决。否则，那些致力于时刻寻找系统最新漏洞并在找到后马上加以利用的人，将会使企业处于非常不利的地位。

其实，黑客使用的技术可能不会很复杂，他们只是寻找到未能够进行及时更新漏洞的公司罢了。根据《 Verizon 2017数据泄露报告 》，超过70%的攻击利用的是有对应补丁的已知漏洞。人们都知道，黑客在系统漏洞被公布后立刻就会加以利用。但企业可能还蒙在鼓里，因为他们并不知道有了新的漏洞被公布出来，黑客只不过是在企业没来得及打补丁之前就发动了攻击。AI技术可在事前检测到系统漏洞并加以解决。

4）利用AI的持续在线性监控预测安全态势

安全人员在正常情况下，只有在某种安全趋势出现后才能发现它。而且要实现这种发现，可能会要人类安全员对网络进行持续的安全监测，研究分析百万级别的数据，并了解其他的企业在安全威胁上的经历，最后才可能得出结论。同时，确定安全威胁趋势后，还要研究如何将其应用到企业的安全防护上。持续不断的监测既需要技巧也需要时间，同时也易出现人为错误的情况，更不要说攻击趋势还一直在迅速变化之中了。

而使用AI安全系统，能够在威胁的萌芽阶段发现数据间微妙多变复杂的异常，并跟踪到其演变发展，还有可能利用其发现自行探索系统的未知漏洞，形成网络安全防护的多米诺骨牌效应。

6 人工智能的現有技术能力实现网络安全的缺陷与展望

虽然AI技术在网络安全领域的使用前景十分诱人，但在其成为安全领域的主流技术之前，还面临着相当的挑战。

AI算法需要海量数据进行模型的训练，可以这样说，数据决定了高度，算法只是手段而已。在实际应用环境中，由于企业大都对自己数据有强烈的保护意愿，那么安全厂商很难在将设备应用到企业中后，再获取企业有价值的数据反馈，这也就使安全厂商无法使用真实数据再次提升模型的新鲜度和检测准确率。

对于传统基于特征匹配的攻击检测而言，检测设备对其所产生的报警可以给予充分的证据，用于解释其报警的有效性;但对基于AI检测算法而言，检测设备的判断条件对企业来说是一个黑盒子，企业是不能知道这个警报的具体情况。实际上，现在的网络攻击中，也已经出现了让特定AI算法产生误报的技术。如何提高AI算法的结果可解释性和鲁棒性也是当前面临的一大难题。

虽然AI在网络安全领域的使用还有着诸多挑战，但是我们依然要看好其前景。大数据时代、物联网时代、智能时代已经到来。数据改变以往的业务模式、利用AI技术提升数据价值，已经成为了当前计算技术的发展趋势。AI技术在将来的网络安全实现上一定会得到更充分的利用，发挥出更大的社会价值。当然也会有着更多没有解决的挑战性问题等待着我们去探索和解决。

参考文献：

[1] 岳扬.人工智能技术在网络安全领域的应用研究[J].电脑迷，2017（11）：157.

[2] 张孝荣.人工智能产业2018年待解的三大难题[N]. 人民邮电，2018-02-02（005）

[3] 物联网安全存威胁 人工智能可否成定心法宝 - 物联中国-网络（http：//www.ciotimes.com/iot/134096.html）