在《十四五规划纲要》专门提出要“加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争”。“人工智能安全”是网络安全的一个全新领域,全球网络安全企业都在积极探索如何有效将人工智能技术创新应用到网络安全领域。“人工智能安全”被写进《规划纲要》作为未来国家战略、政府工作的组成部分,足以体现其重要性。
人工智能在各领域开花结果
人工智能经过60多年的发展已取得了重大进展,在机器视觉、语音识别、自然语言处理、无人驾驶、医疗诊断、网络安全、数据挖掘等领域取得令人瞩目成果:
1、农业:通过应用人工智能设备终端等,大大提高了农牧业的产量,大大减少了许多人工成本和时间成本;
2、通信:智能外呼系统,客户数据处理(订单管理系统),通信故障排除,病毒拦截,骚扰信息拦截等;
3、医疗:利用最先进的物联网技术,实现患者与医务人员、医疗机构、医疗设备之间的互动,逐步达到信息化;4、社会治安:安防监控(数据实时联网,公安系统可以实时进行数据调查分析)、电信诈骗数据锁定、犯罪分子抓捕、消防抢险领域等;5、交通领域:航线规划、无人驾驶汽车、超速、行车不规范等行为整治;
6、服务业:餐饮行业(点餐、上菜,回收餐具,清洗)等,订票系统(酒店、车票、机票等)的查询、预定、修改、提醒等;7、金融行业:股票证券的大数据分析、行业走势分析、投资风险预估等;8、教育:科大讯飞等公司早就开始探寻虚拟现实技术在教育领域的应用,根据图像识别,能够开展设备批阅考卷、识题解题等;9、大数据处理:天气查询,地图导航,资料查询,信息推广等;10、网络安全:人工智能让计算机模拟人的学习过程,能在和恶意行为的对抗中学习经验,实时调整和改进,优化自身性能,在网络安全领域应用中取得了显著进展,其中Darktrace、Cylance、CrowdStrike均是采用AI技术让网络安全更智能的代表厂商。
人工智能在网络安全领域的应用十分广泛,并且有其独特的价值和优势,比如加密流量的威胁识别问题和APT(高级持续性威胁)识别问题,传统的基于规则和特征匹配的方法完全失效,必须依赖人工智能的方法来加以甄别。同时,人工智能在欺诈检测、恶意软件检测、入侵检测、网络风险评分和用户/机器行为分析等方面也有重要的应用价值,下面介绍人工智能在网络安全领域的几个典型应用。
目前网络上50%以上是加密流量,加密是保护隐私的一个重要手段,能够保护我们的数据不被窥探,但同时也让不法分子有了可乘之机,加密能够像隐藏其他信息一样隐藏恶意软件,从而带来一系列安全问题,传统DPI(深度报文检测)需要解密原始报文,这是不可能完成的任务。而人工智能基于特征提取和行为分析的方法,可以在不解密报文的情况下,提炼出恶意软件的特性,从而识别出有害威胁。以HTTPS流量为例,通过提取TLS会话的初始数据包信息、数据包长度和时间的顺序、有效载荷上的字节分布等特征数据,经过人工智能模型推理,可以检测出加密流量中的恶意行为。
APT攻击具有不同于传统网络攻击的5个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击,攻击者能适应防御者的入侵检测能力,不断更换和改进入侵方法,具有较强的隐藏能力,攻击入口、途径、时间都是不确定和不可预见的,使得基于特征匹配的传统检测防御技术很难有效检测出攻击,必须要引入新的检测技术。人工智能则可以在这方面发挥特有的优势,通过特征提取和行为分析、结合模型检测和大数据分析技术,准确判定C&C异常、Web异常、隐蔽通道、邮件和流量异常检测等,可以有效识别并阻断勒索病毒、海莲花、震网、BlackEnergy、Google Aurora等APT攻击。
传统的入侵检测技术在检测速度、检测范围和体系结构等方面均存在短板,特别是无法检测到未知威胁入侵攻击。借助人工智能中的模糊信息识别、规则产生式专家系统、数据挖掘和人工神经网络等技术,可有效提升入侵检测效率,同时可准确检测未知威胁的入侵攻击。
当前恶意软件的变种越来越频繁,从而使得传统依赖特征库升级的防范方式效果越来越差。预测性恶意软件防御技术通过使用机器学习和统计模型,寻找恶意软件家族特征,预测进化方向,提前进行防御。2016年9月,安全公司SparkCognition打造人工智能AI驱动的“认知”防病毒系统DeepArmor,可准确发现和删除变种恶意文件,保护网络信息系统免受各种变种恶意软件的入侵感染。
当前,国内新基建、工业互联网和物联网的发展如火如荼,由此引发的网络安全威胁也备受关注。网络安全威胁共分为两类:已知威胁和未知威胁。对于已知威胁的解决,很多网络安全厂商已经提供了多种解决方案;对于未知威胁的防范,虽然也出现了一些技术,如MTD、蜜罐等,但都无法很好的解决此问题。
传统安全技术无法解决新安全风险,人工智能安全技术将增强网络安全人员的能力,这也是促进人工智能技术在网络安全保护行业应用的强大内在动力,六方云借助人工智能技术仿生人体免疫机制,构建安全威胁免疫体系,实现主动防御,在增强和保证本地网络安全性的同时,及时发现正在进行的网络攻击预测和识别未知攻击,采取各种措施使攻击者不能达到目的,或者使系统能够在无需人为干预的情况下预防安全事件。
六方云采用自主知识产权的人工智能技术,研发了全流量威胁检测与回溯系统(以下简称“神探”),采用“一平台、多场景、全数据”的体系架构,以网络与信息安全监测预警分析需求为基础,以基于攻击路径的安全场景模型为监测依据,采用全流量收集、深度监测、智能分析等手段,形成全面威胁免疫能力。
神探不仅完美满足新时代对网络安全设备提出的要求,而且在技术优势也远远超出了客户的预期,让客户赞叹不已,可以总结为“四大”产品特色:第一款能够有效发现未知威胁的安全产品、检测恶意加密流量的神器、威胁检测精准率达90%、不依赖特征库的自学习自进化能力。
● 基于人工智能的未知威胁检测
采用自主知识产权的AI算法引擎,不依赖先验的攻击特征或威胁情报,颠覆了安全设备必须定期进行特征库升级的惯例,解决了传统安全技术解决不了的“未知威胁发现”难题,填补了国内的空白,达到国际先进水平。
● AI模型之恶意加密流量检测
六方云神探产品在不解密流量的情况,利用AI威胁检测技术,精准识别恶意加密流量,不仅能够检测已知的恶意流量,而且对于新型恶意流量同样具有泛化检测能力。
首先,分析百万级的正常流量和恶意流量中TLS流、DNS流和HTTP流的不同之处,具体包括未加密的TLS握手信息、TLS流中与目的IP地址相关的DNS响应信息、相同源IP地址5min窗口内HTTP流的头部信息;然后,选取具有明显区分度的特征集作为分类器(有监督机器学习)的输入来训练检测模型,从而识别加密的恶意流量。
▲利用上下文流量特征识别TLS加密恶意流量
● 威胁检测精准率达90%
设备运行仅仅两天时间,便为客户发现了100多起恶意代码感染、20多起违规操作行为,且经过安全专家分析,准确率超过90%。
● 安全能力随学习时间增长
▲六方云全流量威胁检测与回溯系统AI模型
AI算法模型可通过持续学习,现网流量进行自我迭代和强化,有效提高威胁检测模型适应能力。随着学习时间的增加,检测能力会逐渐提高。
目前,六方云凭借神探产品不仅荣获了2020年度“最佳创新产品”奖,而且荣获了工信部AI安全试点单位荣誉称号,以及多个行业标杆客户认可,未来将不断优化算法和模型,满足更多行业客户对未知威胁防御的安全需求。