人工智能技术将成为发现安全威胁的新利器

一、人工智能在网络安全领域的应用

1. 应用方向

人工智能在网络安全中领域应用前景广阔。首先，AI 具备大数据分析挖掘的能力，能够有效提升网络威胁的检测能力和水平。其次，AI 具备根据已知检测未知的能力，可有效解决现有检测方法和手段的适应性问题。再次，AI 具备自主学习和自我更新的能力，可有效解决现有模型老化问题。最后，AI 具备推理认知构建的能力，可从广泛的时空维度来对网络威胁进行分析溯源。

利用人工智能技术，可以对成千上万的网络日志/流量、威胁情报等信息进行自动分析处理与深度挖掘，从海量数据中提取出真正有用的信息，对网络的安全状态进行分析评价，感知网络中的异常事件与整体安全态势，并对全网的发展趋势进行预测和预警，为网络安全防护的技术突破提供了新思路。目前，AI 主要应用方向包括异常检测告警、未知威胁发现、潜在风险预测和自适应联动响应等。具体方向有异常告警检测、未知威胁发现、潜在风险预测和自适应联动响应等。

2. 模型框架

基于人工智能来构建“安全大脑”，对一定时间及空间的大范围样本数据进行智能化分析，根据基线或模型发现威胁风险并预判趋势。

针对实际网络中安全数据的海量、多格式、多粒度的特点，基于人工智能的安全大脑首先进行数据预处理，将来自不同数据源、不同格式的数据归一化为统一格式，然后去除冗余及噪声数据。其次，进行智能分析，利用不同的机器学习算法训练出相应的网络流量分类、异常流量检测、威胁行为分析和流量趋势预测模型，然后根据训练出的模型进行结果输出。最后，进行评估优化，根据知识库中的安全量化指标体系，对分析输出的结果进行量化评估，用来改进模型和算法参数，不断提高模型的准确率。

二、人工智能在网络安全领域的创新实践

1. 安全 AI 全栈架构

Gartner 在 2020 年 10 大战略技术趋势报告中明确指出，AI 安全将是未来重要的战略技术趋势之一。为了有效应对日益高级和复杂的攻击手段，需要将人工智能应用于网络安全防护领域，构建实时、智能、敏捷、可运维的“云网边端”一体化安全防护体系，将每个防御点的使用价值最大化，形成智能分析感知威胁、智能自动防护、智能闭环管理的体系化安全能力，全面提升应对网络安全威胁的能力，实现从事后补救到安全前置，从被动安全到主动安全的转变。这就需要构筑安全 AI 全栈架构。

该架构从安全日志、终端行为、网络流量、业务数据、威胁情报、资产管理和故障诊断信息等多源数据的采集着手;对风险状况、攻击趋势、异常流量、异常行为和异常资产进行多维度智能分析和可视化呈现;根据实时场景自适应决策响应，快速生成应急预案，主动将安全策略推送给全网关键设备，实时预警和响应安全事件。

2. 安全 AI 应用实践

(1) 基于 DNS 协议的 C&C 外连检测

DNS 协议是一种基础设施网络协议，常被攻击者用来进行 C&C(Command & Control)通信。为了躲避网络安全设备的监测和分析，攻击者使用DNS 协议进行 C&C 通信时通常会使用 Fast-flux 和Domain-flux 技术频繁变换 DNS 服务器的 IP 地址和域名。基于深度学习卷积神经网络 (ConvolutionalNeural Networks，CNN) 检测网络流量中的 C&C 通信，通过优化可使得检测概率高达 98%。

(2) 基于 AI 的加密流量分析

攻击者越来越倾向于使用加密协议进行通信，以便将攻击流量隐藏于正常的加密流量中。在加密流量的分析过程中，可将其分为加密应用识别和加密威胁检测。在加密应用识别中，提取加密协议的密钥交换阶段的密码套件、证书等明文特征，以及密文传输阶段的流量模式、通信模式、行为模式等统计特征，以及由 RNN 和 CNN 提取的时序特征和时空特征，采用有监督的机器学习方法进行加密应用的识别。在加密威胁检测中，除了提取应用识别所需的各项特征外，还需要提取流量的上下文信息，包括 https/http 流量信息和 DNS 流量信息等。

(3) 基于 AI 的云网边端协同联动

为了构建“云网边端”联动的一体化安全防御体系，AI 防火墙与安全云、态势感知、边缘计算等系统相结合，实现情报共享、算力提升、关联分析、协同联动等功能。通过云端威胁情况的共享、分析与服务， AI 防火墙可以共享所有来源的威胁情报，迅速响应各类漏洞和威胁，及时阻止各类攻击行为的传播。同时，所有 AI 防火墙可以共享部署策略，通过云端的智能策略分析，可以为各行各业的客户提供最优的部署策略推荐，大大简化部署和运维。除此之外，本地防火墙将潜在威胁数据上传至云端，通过云端大数据分析，获取机器学习模型，再将模型参数下放到本地进行本地智能检测分析，实现云端一体化智能联动。

三、安全 AI 未来发展展望

当 AI 技术全面融入安全领域，可以快速识别各类未知恶意软件、及时侦测到零日威胁，并进行迅速响应;能够更精准进行数据挖掘和模式识别，让分析结果更加准确;可以连续执行这些重复性和机械性的检测识别任务。后续，还可以在以下三个方面持续深入。

1. 知识图谱

基于安全设备产生的安全事件，构建威胁知识图谱，从而分析网络的整体威胁态势;在终端安全响应系统(EDR)中，可以基于终端的行为和操作日志，构建溯源知识图谱，从而分析终端的已知和未知威胁;在网络威胁检测及响应(NDR)/用户实体行为分析(UEBA)中，可以基于网络全流量数据和应用系统日志，构建用户的行为知识图谱，从而检测用户的可疑或者恶意行为。

2. 混淆对抗

注入攻击和恶意代码可以通过混淆、编码、压缩等方式改变自己的表现形式，从而躲过 WAF、IPS、病毒检测引擎等设备的检测。复杂的混淆方法是单向的，虽然混淆的代码和原始的代码执行相同的功能，但是却无法完全还原为原始的代码，只能部分还原为原始的代码。因此，在混淆恶意代码的检测中，可以利用 AI 算法将混淆代码进行还原，然后进行恶意代码检测，其中对原始代码的还原程度将决定着恶意代码的检测效果。

3. 联邦学习

在安全领域，有标注的数据非常少，并且各个企业之间的数据也没有共享，这使得 AI 模型的效果难以得到实质的提升。通过采用联邦学习架构，可以将多个企业的数据联合起来训练一个更加强大的模型;在模型的训练过程中，可以采用同态加密、差分隐私等隐私保护技术对网络中传输的数据或者模型参数进行保护，从而保证每个企业内部的数据都不会泄露出去。