人工智能正在提升你的網絡安全
責編:gltian |2018-06-29 11:05:29隨著云計算、大數據、物聯網等產業不斷發展,內網和外網的邊界逐漸模糊,攝像頭、智能家居等更多設備接入網絡意味著更多潛在攻擊點,全球威脅不斷增長。面臨新挑戰,需要用新的方式來應對越來越艱巨的戰斗。
人工智能為提升網絡安全帶來新可能
在利益的驅動下黑色產業不斷壯大,攻擊手段層出不窮。在防御過程中經常需要面臨先前未知類型的惡意軟件,而人工智能能夠憑借其強大的自我學習記憶能力及數據分析運算能力,迅速排查篩選數千萬次事件,從而快速發現異常、風險和未來威脅。也正是人工智能在防御領域的這個天然優勢,使得AI+網絡安全成為當紅炸子雞。尤其是在檢測未知威脅、阻止惡意軟件與文件執行等方面的應用,讓以前被動的防御變成了主動預防,這將大大提升網絡安全能力,提高防護效率。
下圖為CBInsights給出的人工智能和網絡安全的熱度曲線。可以看出,從2012年開始,人工智能在網絡安全領域就逐漸成為了一個熱門的詞語,尤其是從2016年開始,以機器學習為代表的人工智能,已經成為這個領域的最熱點。
Gartner也表示,到2020年,人工智能在網絡安全領域的份額,將從現在的10%增長到40%。
人工智能如何在網絡安全中有效落地
縱觀全球,們看到像Vectra、Darktrace等國外網絡安全廠商一直在宣傳自己的安全能力是基于AI的。那么,是不是說AI就可以搞定一切網絡安全問題?實際上,國內外的安全廠商大環境存在一定差異:國外的廠商傾向于“小而精”、而國內的廠商傾向于“大而全”。國外廠商之間的接口一般都是公開的,所以即使專注于少數功能也可以和其他廠商的產品聯動起來,用戶能夠獲得整體的安全能力。但國內的情況并非如此,安全廠商需要為企業提供一整套的網絡安全解決方案。單憑一家廠商之力,想要在整套網絡安全方案的每個環節都用AI做好,當下并不現實。
因此,深信服認為,AI要在網絡安全領域落地,就需要以一種理論與實際相結合的方式。這種AI理念要先于具體采用哪種人工智能算法,例如針對流量檢測,可以采用SVM、邏輯回歸、決策樹、LSTM等等,這種算法有太多,但算法本身并不是最重要的,而是從傳統的基于規則的解決問題思路轉換為基于AI的解決問題思路。深信服通過長期的實踐總結出,網絡安全的AI實踐有三方面需要考慮:
1. 人工智能要與其他算法相融合
傳統的基于規則的方法在某些場景仍然十分有效,而人工智能算法并非適用于所有場景。在這樣的情況下,基于規則、特征、統計的方法要和AI形成互補的關系,有些場景下使用AI、有些場景下使用其他方法、有些場景下AI和其他方法相結合,只有這樣才能做出實用的安全產品。
2. 人工智能要有持續進化的能力
傳統基于規則、特征、統計的方法是“死”的,一條規則寫出來,能匹配上就能檢測出來,匹配不上就要重新設計。而AI是依賴數據的,數據是米,人工智能算法是鍋,攻防專家像做飯的廚師。沒有米和廚師是做不成飯的。人工智能算法要能夠持續的檢測新型威脅,需要不斷被訓練,靠的是不斷的加入新的數據,以及攻防專家也不斷對算法和模型進行調優。而擁有持續進化的能力,才是網絡安全領域人工智能的靈魂。
3. 人工智能應當和人來協作分工,實現人機共智
其實這一條在上一條已經有所體現,在實踐當中,攻防專家、數據科學家、安全服務專家應當與AI進行通力合作。攻防專家識別出安全問題,例如根據最新的惡意行為提出解決問題的新思路,數據科學家對問題進行建模,例如特征工程、模型構建,安全服務專家對AI識別的結果進行過濾和反饋。只有這樣AI才可以真正的落地。
基于上述思想,深信服已經在AI領域取得了令人振奮的效果。
例如使用深度學習進行僵尸網絡檢測,二分類效果取得了99.7%以的F值,25分類取得了90.3%的F值,在業界處于領先地位。在黑鏈檢測方面,深信服使用自然語言處理與規則相融合的方法,取得了很好的效果:在選取的112位用戶中,7個月共檢測出132626條黑鏈,最高的一個月50786,最低的一個月6214,平均18946。
在其他方面,如http檢測、DNS檢測、WebShell檢測、掃描工具檢測等方面也很好的應用了人工智能技術。