人工智能在網(wǎng)絡(luò)安全各個領(lǐng)域得到廣泛探索和應(yīng)用嘗試。人工智能在網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)從早期的概念炒作,向方案落地轉(zhuǎn)變。
當(dāng)人工智能遇上網(wǎng)絡(luò)安全,在紛繁復(fù)雜的技術(shù)與應(yīng)用方案背后,可以歸納成執(zhí)行層、感知層、任務(wù)層和戰(zhàn)略層四大層面的智能化,不僅幫助解決現(xiàn)有的一些安全難題,未來的發(fā)展也非常有想象空間。
網(wǎng)絡(luò)安全新戰(zhàn)場需要AI填補(bǔ)人才緊缺
目前網(wǎng)絡(luò)安全已經(jīng)進(jìn)入了一個嶄新的時代,面向各種新戰(zhàn)場,需要新的架構(gòu)、新的方法、新的編程語言來支撐我們應(yīng)對越來越艱巨的戰(zhàn)斗。新戰(zhàn)場以黑產(chǎn)對抗、反勒索軟件、反Insider-based APT、物聯(lián)網(wǎng)/車聯(lián)網(wǎng)這些新方向?yàn)榇怼1热绾芏鄶z像頭、智能門鎖、兒童手表,都是成批次的被攻破,車聯(lián)網(wǎng)與智能車的安全問題也引起業(yè)界的嚴(yán)重關(guān)注和顧慮。
眾所周知,在移動互聯(lián)網(wǎng)時代,安卓的碎片化生態(tài)幾乎已經(jīng)失控了。不少手機(jī)廠商對某些低版本的手機(jī)系統(tǒng)都不再進(jìn)行升級,盡管還有很多用戶在用,這就帶來了嚴(yán)重的安全隱患,惡意代碼可以輕易通過攻擊幾年前的安卓漏洞來獲利。進(jìn)入物聯(lián)網(wǎng)時代,這種情況會更加嚴(yán)重。很多硬件廠商在開發(fā)產(chǎn)品的時候完全沒有考慮引入專業(yè)安全服務(wù),最終面臨嚴(yán)峻的安全漏洞時卻難以應(yīng)對。
一方面是新的攻擊不斷涌現(xiàn),另一方面防守方卻顯得捉襟見肘了。安全的核心是對抗,而對抗是多維度的、持續(xù)的。為了進(jìn)行有威懾力的對抗,最大的挑戰(zhàn)還是缺少高素質(zhì)安全專業(yè)人才。在這種情況下,我們只能靠AI,也就是靠人工智能來填補(bǔ)人才空缺。
對于人工智能的看法業(yè)界出現(xiàn)兩極分化:一種觀點(diǎn)認(rèn)為AI可以幫人類完成一切工作,另一種認(rèn)為AI會毀滅人類。事實(shí)上沒有絕對的黑白,AI的作用也遠(yuǎn)遠(yuǎn)沒有這么極端。AI能做什么?吳恩達(dá)教授給出了很好的解釋:一方面,正常人類1秒內(nèi)能做出的判斷,AI也能做的很好。比如無人駕駛時代已經(jīng)悄然來臨,人臉識別、語音識別,現(xiàn)在機(jī)器也能夠做到很高的準(zhǔn)確率。另一方面,通過大量已經(jīng)發(fā)生過的具體重復(fù)事件,AI能很好的預(yù)測即將發(fā)生的事情。
當(dāng)AI遇到網(wǎng)絡(luò)安全時,又會發(fā)生什么樣的化學(xué)反應(yīng)呢?
網(wǎng)絡(luò)安全是一個非常復(fù)雜的體系,可以分為執(zhí)行層、感知層、任務(wù)層和戰(zhàn)略層。現(xiàn)在AI已經(jīng)可以在執(zhí)行層和感知層有不錯的應(yīng)用,同時在任務(wù)層和戰(zhàn)略層已經(jīng)開始摸索,但還處于比較初期的階段。
(一) 執(zhí)行層:顯著提高安全運(yùn)維效率
在執(zhí)行層,AI可以顯著提升安全工具的規(guī)則運(yùn)維效率。規(guī)則體系的觸角在整個安全網(wǎng)絡(luò)體系里面的延伸非常廣泛,包括像殺毒、WAF、反SPAM、反欺詐等。這些領(lǐng)域在傳統(tǒng)模式中需要大量的人力來維護(hù),比如像反欺詐系統(tǒng)里面可能有上千條規(guī)則,這些規(guī)則之間存在著很多的沖突,某些規(guī)則組合甚至超出了人的理解能力,人在維護(hù)這些規(guī)則的時候也常常會出現(xiàn)問題。
而依靠AI,就可以很好的解決這些情況,機(jī)器學(xué)習(xí)已經(jīng)展示出非常強(qiáng)大的價值。它可以自動生成規(guī)則,不用依靠龐大的人力資源來維護(hù)。而且安全事件通常是大量發(fā)生的,所以AI能夠比較好的識別判斷下一次事件。
AI是如何做到的呢?機(jī)器學(xué)習(xí)能自動生成規(guī)則,但是其中的學(xué)習(xí)深度還是有一定的區(qū)分。“淺學(xué)習(xí)”以SVM、Random Forrest、GBDT等算法為代表,它還需要很多的人工特征工程來準(zhǔn)備特征向量,然后由算法自動完成分類識別。在風(fēng)控領(lǐng)域,運(yùn)用最廣泛的是GBDT(很多比賽的冠軍都是用GBDT),但是當(dāng)特征維度上升到數(shù)千維后,深度學(xué)習(xí)的優(yōu)勢就開始慢慢展現(xiàn)出來。深度學(xué)習(xí)和“淺學(xué)習(xí)”存在一個很大的區(qū)別,就是深度學(xué)習(xí)對特征工程的依賴減弱很多,它能比較好的自動提取特征,可以生成深度學(xué)習(xí)模型,比如CNN(卷積神經(jīng)網(wǎng)絡(luò))和RNN(循環(huán)神經(jīng)網(wǎng)絡(luò))技術(shù)等。
舉例而言,AI在移動殺毒引擎的應(yīng)用效果明顯。眾所周知,現(xiàn)在病毒種類的變形越來越多,大多數(shù)黑產(chǎn)都會進(jìn)行不同的嘗試。如果用人工來構(gòu)建那些惡意代碼的識別特征,就需要構(gòu)建一套非常龐大的體系,不僅慢而且難以維護(hù)。百度利用深度學(xué)習(xí)技術(shù)在這方面取得了非常出色的成果,在歷次AV Test測試中長期保持第一。去年百度安全在頂級安全工業(yè)界會議 Blackhat Europe 上就此成果做了專題報(bào)告,也是目前全球安全工業(yè)界第一個有實(shí)質(zhì)性進(jìn)展的深度學(xué)習(xí)應(yīng)用技術(shù)報(bào)告。
另一個例子是AI在網(wǎng)頁安全中的應(yīng)用,效果也非常顯著。目前網(wǎng)頁安全的威脅主要包括三類:第一種欺詐類網(wǎng)站,包括虛假高校、虛假藥品、假冒貸款、仿冒火車票、虛假金融證券、仿冒飛機(jī)票、虛假中獎、仿冒登錄、虛假招聘等;第二類是存在風(fēng)險(xiǎn)的網(wǎng)站,主機(jī)托管 深圳電信托管,主要包括網(wǎng)頁掛馬、惡意代碼、隱私竊取、惡意跳轉(zhuǎn)、僵尸網(wǎng)絡(luò)通信、木馬下載主機(jī)等;第三類是違法網(wǎng)站,包括色情和博彩等。
