信息來(lái)源：比特網(wǎng) 

在剛剛落幕的RSA2017上，人工智能作為一個(gè)流行的議題自然不會(huì)缺席，專家集中討論的不僅僅是人工智能可能會(huì)如何摧毀人類的防線，還有如何利用人工智能來(lái)解決勒索軟件、APT攻擊等當(dāng)下的一些棘手問(wèn)題。這已經(jīng)不是“紙上談兵”式的理論研究，而是真正進(jìn)入產(chǎn)品化的實(shí)踐，在今年的RSA大會(huì)上，有網(wǎng)絡(luò)安全專家就展示了機(jī)器學(xué)習(xí)分析應(yīng)用，它通過(guò)機(jī)器學(xué)習(xí)處理業(yè)務(wù)，能逐漸去學(xué)習(xí)業(yè)務(wù)數(shù)據(jù)當(dāng)中哪些業(yè)務(wù)出現(xiàn)異常，然后直接進(jìn)行預(yù)警。

的確，未來(lái)被顛覆的將是那些不接受“人工智能+”概念的公司，那么，在重視對(duì)人性深入研究的網(wǎng)絡(luò)安全行業(yè)，人工智能是否能夠成為主流的技術(shù)思路？

從靜態(tài)機(jī)器學(xué)習(xí)到動(dòng)態(tài)機(jī)器學(xué)習(xí) 人工智能的進(jìn)化

人工智能在網(wǎng)絡(luò)安全應(yīng)用的直接動(dòng)因在于網(wǎng)絡(luò)安全形勢(shì)越來(lái)越復(fù)雜，已經(jīng)在很大程度上超過(guò)了人工的處理能力。例如前幾年出現(xiàn)過(guò)一次病毒大規(guī)模爆發(fā)，每天新型病毒的新增數(shù)據(jù)甚至達(dá)到幾十萬(wàn)個(gè)，如果還是通過(guò)傳統(tǒng)的特征碼分析處理模式，根本無(wú)法處理，而且其對(duì)人力、網(wǎng)絡(luò)資源的損耗是驚人的，會(huì)對(duì)網(wǎng)絡(luò)安全企業(yè)以及客戶帶來(lái)沉重的壓力。

在此背景下，靜態(tài)機(jī)器學(xué)習(xí)的概念就應(yīng)運(yùn)而生。早在十年之前，像趨勢(shì)科技這樣的國(guó)際安全企業(yè)就開(kāi)始從事這方面的研究，其方法是學(xué)習(xí)文件的機(jī)器指令，包括惡意軟件的各種特征。通過(guò)這種方式，網(wǎng)絡(luò)安全防御系統(tǒng)可以不用完全掌握惡意軟件的特征碼，而是可以通過(guò)其傳播方式、攻擊方式等特征來(lái)判斷是不是有惡意軟件的嫌疑。這樣一來(lái)，就能夠最大限度的提高企業(yè)的偵測(cè)率和偵測(cè)性能，還有效避免了網(wǎng)絡(luò)防御帶來(lái)的巨額資源消耗。

亞信安全產(chǎn)品研發(fā)及業(yè)務(wù)發(fā)展總經(jīng)理童寧說(shuō)：“靜態(tài)機(jī)器學(xué)習(xí)在面對(duì)未知網(wǎng)絡(luò)安全威脅時(shí)已經(jīng)表現(xiàn)了強(qiáng)大的應(yīng)用潛力，特別是如今勒索軟件、APT攻擊更加傾向于通過(guò)‘私人定制’的方式來(lái)攻擊高價(jià)值的企業(yè)目標(biāo)，通過(guò)機(jī)器學(xué)習(xí)來(lái)對(duì)威脅進(jìn)行提前預(yù)判無(wú)疑是最有效的方式。在亞信安全處理一個(gè)新型勒索軟件樣本的實(shí)例中，亞信安全使用了機(jī)器學(xué)習(xí)的手段，通過(guò)威脅樣本的DNA進(jìn)行特征匹配，以及熱圖的分析方式判斷威脅的可能性95%，最終實(shí)現(xiàn)了對(duì)于該勒索軟件的成功攔截?！?/span>

雖然靜態(tài)機(jī)器學(xué)習(xí)在對(duì)抗未知網(wǎng)絡(luò)安全威脅時(shí)體現(xiàn)了高效的優(yōu)勢(shì)，但是其往往存在著過(guò)于敏感的缺陷，容易出現(xiàn)誤報(bào)的情況，正常的應(yīng)用或數(shù)據(jù)也可能被誤判為安全威脅而遭到攔截，這對(duì)于企業(yè)的關(guān)鍵業(yè)務(wù)應(yīng)用來(lái)說(shuō)會(huì)非常致命。為了解決這一問(wèn)題，動(dòng)態(tài)機(jī)器學(xué)習(xí)技術(shù)也就應(yīng)運(yùn)而生，其會(huì)將所學(xué)習(xí)到的行為特征是放在沙箱里面進(jìn)行重新分析，通過(guò)模擬真實(shí)的環(huán)境來(lái)判斷軟件是否真的對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)成威脅，以幫助減少相關(guān)的誤報(bào)。

在綜合應(yīng)用靜態(tài)機(jī)器學(xué)習(xí)與動(dòng)態(tài)機(jī)器學(xué)習(xí)策略之后，有助于從安全威脅的下載階段、數(shù)控階段、數(shù)據(jù)傳輸、感染等不同的階段入手，通過(guò)海量樣本與安全專家的咨詢意見(jiàn)，對(duì)網(wǎng)絡(luò)威脅進(jìn)行高效、準(zhǔn)確的封堵。

人工智能策略不是你想用，想用就能買

從基本原理來(lái)看，人工智能在網(wǎng)絡(luò)安全中的應(yīng)用并不復(fù)雜，但是真正要應(yīng)用于網(wǎng)絡(luò)安全防護(hù)的實(shí)踐卻并不容易，甚至可能會(huì)給企業(yè)帶來(lái)業(yè)務(wù)上的損失，這也成為本屆RSA大會(huì)上很多專家對(duì)人工智能產(chǎn)生懷疑的原因。在他們看來(lái)，人工智能安全系統(tǒng)的可靠性仍然是一個(gè)嚴(yán)峻的問(wèn)題，很多的問(wèn)題仍然需求借助手動(dòng)處理，這也使得很多人工智能策略瀕臨失效。

但這并不能證明人工智能策略不能適用于當(dāng)前環(huán)境，童寧認(rèn)為，目前來(lái)看，要將人工智能應(yīng)用于網(wǎng)絡(luò)安全需求滿足四個(gè)條件：用于網(wǎng)絡(luò)安全分析所需要的大量數(shù)據(jù)、對(duì)網(wǎng)絡(luò)安全特征標(biāo)簽的正確提取、適合網(wǎng)絡(luò)安全場(chǎng)景的機(jī)器學(xué)習(xí)的算法、具有了解機(jī)器學(xué)習(xí)算法并熟悉網(wǎng)絡(luò)安全技術(shù)的專家，只有當(dāng)這四個(gè)條件同時(shí)具備的時(shí)候，才能研發(fā)出真正的幫助企業(yè)抵擋安全威脅的核心技術(shù)。

目前，亞信安全已經(jīng)確立了“3C+AI”的策略，其中“3C”包括云安全(Cloud)、APT安全戰(zhàn)略(Cyber)和終端安全(Consumerization)戰(zhàn)略，AI即人工智能，在人工智能安全系統(tǒng)方面做了很多落地的工作。在至關(guān)重要的樣本數(shù)據(jù)方面，亞信安全在全球有1.5億個(gè)相關(guān)用戶，實(shí)現(xiàn)了最廣泛產(chǎn)品類型的覆蓋，并建立了覆蓋全球的云安全智能防護(hù)網(wǎng)絡(luò)，每天可以對(duì)文件、URL、域、漏洞等元素進(jìn)行超過(guò)10億次的查詢，通過(guò)大數(shù)據(jù)分析來(lái)進(jìn)行機(jī)器學(xué)習(xí)、建模、關(guān)聯(lián)，快速精確分析并識(shí)別威脅。目前，亞信安全每天使用大數(shù)據(jù)分析有超過(guò)100TB，每天識(shí)別出50多萬(wàn)新型的威脅。

除了借助大數(shù)據(jù)分析快速掌握大量威脅特征因子之外，亞信安全還通過(guò)500余名后臺(tái)分析人員，對(duì)這些特征因子進(jìn)行分析，以進(jìn)一步糾正機(jī)器學(xué)習(xí)模型，在減少誤報(bào)率的同時(shí)，將云端的特征碼下發(fā)給本地安全產(chǎn)品，幫助企業(yè)用戶更快速精準(zhǔn)的定位安全威脅。

人工智能安全系統(tǒng)的未來(lái)：矛與盾的較量仍會(huì)繼續(xù)

從理想狀態(tài)來(lái)看，人工智能安全系統(tǒng)的終極形態(tài)是會(huì)“獨(dú)立思考”，將安全威脅處理的步驟完全自動(dòng)化，甚至可以直接代替網(wǎng)絡(luò)安全專家的角色，但要實(shí)現(xiàn)這一點(diǎn)，大量的機(jī)器學(xué)習(xí)以及對(duì)機(jī)器學(xué)習(xí)算法的改進(jìn)將不可避免。

即使人工智能實(shí)現(xiàn)了進(jìn)化，也可能會(huì)因此產(chǎn)生新的威脅，不僅網(wǎng)絡(luò)安全企業(yè)可以利用人工智能來(lái)快速的定位威脅，黑客也可能會(huì)直接攻擊人工智能系統(tǒng)以納為已用，甚至?xí)ㄟ^(guò)人工智能來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的缺陷以進(jìn)行攻擊，所以在可預(yù)料的未來(lái)，矛與盾的較量仍然不會(huì)結(jié)束。