充分利用人工智能（AI）技術(shù)，對傳統(tǒng)數(shù)據(jù)挖掘、統(tǒng)計計算、關(guān)聯(lián)分析方法進行革新與豐富，將成為有效發(fā)現(xiàn)安全威脅的新利器。

　　一、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應用

　　1. 應用方向

　　人工智能在網(wǎng)絡(luò)安全中領(lǐng)域應用前景廣闊。首先，AI 具備大數(shù)據(jù)分析挖掘的能力，能夠有效提升網(wǎng)絡(luò)威脅的檢測能力和水平。其次，AI 具備根據(jù)已知檢測未知的能力，可有效解決現(xiàn)有檢測方法和手段的適應性問題。再次，AI 具備自主學習和自我更新的能力，可有效解決現(xiàn)有模型老化問題。最后，AI 具備推理認知構(gòu)建的能力，可從廣泛的時空維度來對網(wǎng)絡(luò)威脅進行分析溯源。

　　利用人工智能技術(shù)，可以對成千上萬的網(wǎng)絡(luò)日志/流量、威脅情報等信息進行自動分析處理與深度挖掘，從海量數(shù)據(jù)中提取出真正有用的信息，對網(wǎng)絡(luò)的安全狀態(tài)進行分析評價，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢，并對全網(wǎng)的發(fā)展趨勢進行預測和預警，為網(wǎng)絡(luò)安全防護的技術(shù)突破提供了新思路。目前，AI 主要應用方向包括異常檢測告警、未知威脅發(fā)現(xiàn)、潛在風險預測和自適應聯(lián)動響應等。具體方向有異常告警檢測、未知威脅發(fā)現(xiàn)、潛在風險預測和自適應聯(lián)動響應等。

　　2. 模型框架

　　基于人工智能來構(gòu)建“安全大腦”，對一定時間及空間的大范圍樣本數(shù)據(jù)進行智能化分析，根據(jù)基線或模型發(fā)現(xiàn)威脅風險并預判趨勢。

　　針對實際網(wǎng)絡(luò)中安全數(shù)據(jù)的海量、多格式、多粒度的特點，基于人工智能的安全大腦首先進行數(shù)據(jù)預處理，將來自不同數(shù)據(jù)源、不同格式的數(shù)據(jù)歸一化為統(tǒng)一格式，然后去除冗余及噪聲數(shù)據(jù)。其次，進行智能分析， 利用不同的機器學習算法訓練出相應的網(wǎng)絡(luò)流量分類、異常流量檢測、威脅行為分析和流量趨勢預測模型，然后根據(jù)訓練出的模型進行結(jié)果輸出。最后，進行評估優(yōu)化， 根據(jù)知識庫中的安全量化指標體系，對分析輸出的結(jié)果進行量化評估，用來改進模型和算法參數(shù)，不斷提高模型的準確率。

　　二、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新實踐

　　1. 安全 AI 全棧架構(gòu)

　　Gartner 在 2020 年 10 大戰(zhàn)略技術(shù)趨勢報告中明確指出，AI 安全將是未來重要的戰(zhàn)略技術(shù)趨勢之一。為了有效應對日益高級和復雜的攻擊手段，需要將人工智能應用于網(wǎng)絡(luò)安全防護領(lǐng)域，構(gòu)建實時、智能、敏捷、可運維的“云網(wǎng)邊端”一體化安全防護體系，將每個防御點的使用價值最大化，形成智能分析感知威脅、智能自動防護、智能閉環(huán)管理的體系化安全能力，全面提升應對網(wǎng)絡(luò)安全威脅的能力，實現(xiàn)從事后補救到安全前置，從被動安全到主動安全的轉(zhuǎn)變。這就需要構(gòu)筑安全 AI 全棧架構(gòu)。

　　該架構(gòu)從安全日志、終端行為、網(wǎng)絡(luò)流量、業(yè)務(wù)數(shù)據(jù)、威脅情報、資產(chǎn)管理和故障診斷信息等多源數(shù)據(jù)的采集著手；對風險狀況、攻擊趨勢、異常流量、異常行為和異常資產(chǎn)進行多維度智能分析和可視化呈現(xiàn)；根據(jù)實時場景自適應決策響應，快速生成應急預案，主動將安全策略推送給全網(wǎng)關(guān)鍵設(shè)備，實時預警和響應安全事件。

　　2. 安全 AI 應用實踐

　?。?） 基于 DNS 協(xié)議的 C&C 外連檢測

　　DNS 協(xié)議是一種基礎(chǔ)設(shè)施網(wǎng)絡(luò)協(xié)議，常被攻擊者用來進行 C&C（Command & Control）通信。為了躲避網(wǎng)絡(luò)安全設(shè)備的監(jiān)測和分析，攻擊者使用DNS 協(xié)議進行 C&C 通信時通常會使用 Fast-flux 和Domain-flux 技術(shù)頻繁變換 DNS 服務(wù)器的 IP 地址和域名?；谏疃葘W習卷積神經(jīng)網(wǎng)絡(luò) （ConvolutionalNeural Networks，CNN） 檢測網(wǎng)絡(luò)流量中的 C&C 通信，通過優(yōu)化可使得檢測概率高達 98%。

　?。?） 基于 AI 的加密流量分析

　　攻擊者越來越傾向于使用加密協(xié)議進行通信，以便將攻擊流量隱藏于正常的加密流量中。在加密流量的分析過程中，可將其分為加密應用識別和加密威脅檢測。在加密應用識別中，提取加密協(xié)議的密鑰交換階段的密碼套件、證書等明文特征，以及密文傳輸階段的流量模式、通信模式、行為模式等統(tǒng)計特征，以及由 RNN 和 CNN 提取的時序特征和時空特征，采用有監(jiān)督的機器學習方法進行加密應用的識別。在加密威脅檢測中，除了提取應用識別所需的各項特征外，還需要提取流量的上下文信息，包括 https/http 流量信息和 DNS 流量信息等。

　　（3） 基于 AI 的云網(wǎng)邊端協(xié)同聯(lián)動

　　為了構(gòu)建“云網(wǎng)邊端”聯(lián)動的一體化安全防御體系，AI 防火墻與安全云、態(tài)勢感知、邊緣計算等系統(tǒng)相結(jié)合，實現(xiàn)情報共享、算力提升、關(guān)聯(lián)分析、協(xié)同聯(lián)動等功能。通過云端威脅情況的共享、分析與服務(wù)， AI 防火墻可以共享所有來源的威脅情報，迅速響應各類漏洞和威脅，及時阻止各類攻擊行為的傳播。同時，所有 AI 防火墻可以共享部署策略，通過云端的智能策略分析，可以為各行各業(yè)的客戶提供最優(yōu)的部署策略推薦，大大簡化部署和運維。除此之外，本地防火墻將潛在威脅數(shù)據(jù)上傳至云端，通過云端大數(shù)據(jù)分析，獲取機器學習模型，再將模型參數(shù)下放到本地進行本地智能檢測分析，實現(xiàn)云端一體化智能聯(lián)動。

　　三、安全 AI 未來發(fā)展展望

　　當 AI 技術(shù)全面融入安全領(lǐng)域，可以快速識別各類未知惡意軟件、及時偵測到零日威脅，并進行迅速響應；能夠更精準進行數(shù)據(jù)挖掘和模式識別，讓分析結(jié)果更加準確；可以連續(xù)執(zhí)行這些重復性和機械性的檢測識別任務(wù)。后續(xù)，還可以在以下三個方面持續(xù)深入。

　　1. 知識圖譜

　　基于安全設(shè)備產(chǎn)生的安全事件，構(gòu)建威脅知識圖譜，從而分析網(wǎng)絡(luò)的整體威脅態(tài)勢；在終端安全響應系統(tǒng)（EDR）中，可以基于終端的行為和操作日志，構(gòu)建溯源知識圖譜，從而分析終端的已知和未知威脅；在網(wǎng)絡(luò)威脅檢測及響應（NDR）/用戶實體行為分析（UEBA）中，可以基于網(wǎng)絡(luò)全流量數(shù)據(jù)和應用系統(tǒng)日志，構(gòu)建用戶的行為知識圖譜，從而檢測用戶的可疑或者惡意行為。

　　2. 混淆對抗

　　注入攻擊和惡意代碼可以通過混淆、編碼、壓縮等方式改變自己的表現(xiàn)形式，從而躲過 WAF、IPS、病毒檢測引擎等設(shè)備的檢測。復雜的混淆方法是單向的，雖然混淆的代碼和原始的代碼執(zhí)行相同的功能，但是卻無法完全還原為原始的代碼，只能部分還原為原始的代碼。因此，在混淆惡意代碼的檢測中，可以利用 AI 算法將混淆代碼進行還原，然后進行惡意代碼檢測，其中對原始代碼的還原程度將決定著惡意代碼的檢測效果。

　　3. 聯(lián)邦學習

　　在安全領(lǐng)域，有標注的數(shù)據(jù)非常少，并且各個企業(yè)之間的數(shù)據(jù)也沒有共享，這使得 AI 模型的效果難以得到實質(zhì)的提升。通過采用聯(lián)邦學習架構(gòu)，可以將多個企業(yè)的數(shù)據(jù)聯(lián)合起來訓練一個更加強大的模型；在模型的訓練過程中，可以采用同態(tài)加密、差分隱私等隱私保護技術(shù)對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)或者模型參數(shù)進行保護，從而保證每個企業(yè)內(nèi)部的數(shù)據(jù)都不會泄露出去。