以人工智能实现网络安全的一点看法

以人工智能实现网络安全的一点看法

作者：王泽宇张小女

来源：《电脑知识与技术》2019年第02期

摘要：通过对我国当前网络的发展状态以及面临的威胁的分析，使人们认识到网络威胁的严重性和人们当下对网络防护的局限性。人工智能经过几十年的积累，目前已经到了厚积薄发的大规模应用阶段，人工智能的迅速发展给网络安全提供了一个更好的技术方向，二者的结合从几个方面有力地促进了网络安全的进步，但是人工智能在网络安全上的应用还有着不少的缺陷，还有很长的技术短板需要去克服。

关键词：人工智能;网络安全;智能设备

中图分类号：TP393; ; ; ; 文献标识码：A; ; ; ; 文章编号：1009-3044（2019）02-0021-02

1 网络安全的当前现状

网络的迅猛发展，促使全世界更加紧密地联系在一起。多样化、互联化的智能设备也已经遍布我们生活、生产、学习的方方面面，网络使我们的工作、生活的界限不再清晰明了，一个联网设备被攻击者攻克，其他互联设备就有可能瞬间被攻克，我们的各种信息就会全部泄露。

智能设备全面互联带给我们便利的同时，也给我们提出了一个迫切而现实的问题：我们的设备安全吗，我们运行于设备之上的各种各样的生产、生活、学习的资产与资料安全吗？答案可以肯定的说是否定的。在当前的网络环境中，我们的各种终端与应用可以说是脆弱的。比如猖獗一时的勒索病毒，它俨然是一场全球性互联网灾难，统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。[1]

从当前的技术发展路线来看，人们发现被攻击与破坏的时间是在逐步缩短中，但是对攻击者而言，这个时间差是足够的，在这段时间内，他们完全能够破坏与窃取数据，给企业造成巨大的损失。

可见，随着网络技术的进步及其相关技术的迅速发展，我们的信息安全受到的威胁也越来越多。据联合国的安全报告，2017年中国的网络及信息安全能力在全球仅排名第32位。

2 传统网络安全手段当前已经达到技术瓶颈

传统的杀毒软件主要是通过比对病毒的特征码等方式来进行病毒查杀，这种方法对新出现的病毒或者变种都缺少有效的应对能力，只有安全人员在病毒库中加入对应病毒的特征码之后，才有可能对病毒进行查杀。对0day攻击可以说接近于无法防护的程度。

当前，网络发展多网融合，网络泛化严重，信息安全的重要性和复杂性更加凸出。中国工程院院士沈昌祥针对主动免疫防御话题发表演讲，他认为，网络空间安全是集计算、通信和控制等学科交叉的科学问题。消极被动的封堵查杀防不胜防，“就好比人没有免疫系统”。众多的组织机构和企业每天要面对百万级别的安全威胁，网络安全人员要逐条进行信息分析这是根本不能够实现的。首先，中国当前对安全人才的需求量与实际培养量间存在着巨大差距，而且层次还参差不齐。其次，一个安全人员每天只不过能够分析1000-2000条日志数据，或者是100-200个代码片段。

以往，比较清晰明了的内外网边界，已经越来越模糊，各种设备，各种网络接口即实现了万物互联，也实现了万物可破，可以被入侵攻击，人们需要保护的安全防线越来越长，更长的安全防线有很多时候反而成了无用的马奇诺防线，接近于有防而无用。当前还如果单纯使用传统的網络安全防护方法与手段已经远远不能满足人们的需求与技术要求，可以说网络安全的实现已经到了必须要有质的突破阶段。

3 中国人工智能当前的现状

眼下，信息技术已经又到了一个新的分化阶段。AI技术经过几十年的积累发展，也已经到实用落地的地步。中国新一届政府也已经看到了AI在信息技术下一步发展中的巨大作用和潜力，对AI技术的发展给予了高度重视，从应用研发、产业规划发展等方面，提出了全方位的发展措施。

近年来，我国AI领域的论文、专利成果均取得了长足的进步，并且一些方面还能够居世界前列，大量AI方面的企业不断出现，AI产业生态也以比较快的速度形成。2017年7月国务院正式发布了《新一代人工智能发展规划》，此发展规划的正式提出，即为AI的发展提供了战略方向，也确立了AI的战略地位。可以说AI在中国的产业发展不再处于概念理论阶段，而是大踏步进入落地实施。

国际知名咨询机构Gartner于2017年7月发布了2017年度新兴技术成熟度曲线，人工智能的两个分支——深度学习和机器学习，均处于曲线的最顶端。而截至2017年底，中国在AI 领域的人才缺口至少在100万以上。而且，由于合格AI人才培养所需的时间远远超过培养一般IT人才，人才缺口很难在短期内得到有效填补[2]，甚至微软的创始人比尔.盖茨曾说，中国在AI领域是不可能实现弯道超车的。虽然我们不太同意他的这个说法，但是也从另一个方面说明了AI发展的困难与艰辛。

4 将人工智能应用于网络安全的现实意义

保护网络信息安全免受威胁的需求与网络安全人员的缺少，是促使AI技术在信息网络安全保护行业应用的强大内在动力。

近几年，APT攻击已经成为企业所需面临的主要安全威胁。但是安全服务厂商不可能先于用户获得攻击样本，更不可能在每个企业中都部署安全人员进行防范，比较好的解决方法是使用技术手段把安全厂商的技术能力前置到企业网络环境中去。对于APT检测来说，目前主要检测技术是虚拟执行，即在虚拟的环境中运行可疑程序与文件，进而判断其包含恶意程序的情况。这种方法虽然具有一定的未知恶意程序检测能力，但是也有资源消耗大、检测周期长等缺陷，一般一个沙箱检测一个文件可能消耗几分钟，这会导致在高速网络环境下造成相当大的处理时延。

随着网络泛化和网络环境内外边界的模糊，各种攻击手段越加隐秘，安全人员运维的难度直线上升。在大数据信息泛滥的当下，安全维护人员需要处理的数据量与其处理能力相比严重失衡，大量攻击报警不能够得到及时响应与处理，这就导致用户有了安全设备可是仍然被入侵。这也是造成入侵行为的MTTR（平均修复时间）过长的最主要因素。解决这一对矛盾比较好的处理方式是运用AI，通过智能算法对原始的大数据进行处理，减少安全人员数据处理工作量，提高安全人员的工作效率是最为可能有效的解决方法。

网络安全问题也是一个攻防互促的战场。安全人员虽然可以使用AI技术防范黑客攻击，黑客也可以使用AI技术进行攻击程序的演化和攻击手段的效率提升。大量AI模型与框架开源，降低了攻击能力提升的成本，或是开始一些此前不可能做到的攻击。但AI终究是目前一个最好的安全改进方法，为此人们也都在努力探索其有效的解决方案。通过AI算法模拟人类的能力，这相当于把安全人员的分析能力前置入企业的网络环境中，这是一个解决未知威胁的有效检测方法，是将人的能力融入机器的目前的完美结合。

5 人工智能应用于网络安全的方法与途径

未来网络安全的发展一定是“不智能，无安全”。目前安全系统花费了人们太多的时间和精力，对人、财、物的消耗都是巨大的。如果将其与AI进行有有效的结合与实现，它将可以明显降低人们在安全防护上的成本与开支，也可以明显提高面对入侵的反应速度与阻断破坏的能力，提高防御的敏捷度。从目前的技术发展和理论水平来看，人们能够将AI与网络安全有效融合在一起的方式主要从以下几个方面来实现：

1）代码检测与安全运维AI化，是AI在网络信息安全领域的主战场

每天，网络上都在产生着大量的病毒程序与恶意代码，如果识别分析的工作都由安全人员去完成，这是不可想象的。将此项工作AI化，可以明显提高人们在这方面的工作质量与效率。

在恶意代码的AI检测方面，目前主要的方法是监督学习。它是一个有效的多维度特征识别方法，适用于恶意代码、计算机病毒和垃圾邮件等的处理[3]。当然这要我们积累相当大体量的数据作为训练样本和测试样本，再应用对应的深度学习算法来进行训练产生分类器，最后