《人工智能技术在网络安全方向的应用》学习笔记
人工智能技术在网络安全方向的应用
摘要:
网络安全态势感知模型由态势要素提取、态势理解和态势预测组成,安全态势预测是整个安全态势感知模型中最高层次的技术,对网络安全的防御有着重要的作用。该技术与实现人工智能的基础条件相吻合,通过不同种类的安全设备、网络设备以及他们的运行日志,积累了大量的数据可供机器深度学习,对构建好的安全模型进行模拟训练,依靠分布式计算的强大数据处理能力,及时判别当前安全态势,提供在线处置方案并予以实施。同样,人工智能技术也是网络安全态势感知与在线处置的最佳选择,没有人工智能技术的支持,网络安全态势感知很难得到飞跃性质的发展,在线处置的效果也会因处置不及时而大打折扣。
关键词:人工智能 网络安全 网络安全态势
一,引言——当前网络安全时代背景:
由于移动设备和物联网设备的几何式增长,伴随着互联网的普及和网络应用的不断深入,网络的范围从广度和深度上都有了极大的扩充,涵盖了国家、社会和个人的方方面面,网络边界也由过去的清晰发展到现在的模糊,甚至到无边界。而互联网本身的开放性、国际性和自由性在增加其使用的便捷性,导致社会和经济活动越来越多地依托在网络之上,目前人们已经习惯使用网络提供的各种服务,参与各种网络活动,如电子政务、电子商务等。但安全却成为影响网络效能的重要问题,网络的普及、应用的暴增和不同网络的交织及应用人员安全意识的薄弱,因此不法人员越来越容易利用在网络上无意识泄露的个人隐私,造成网络安全威胁形势越来越严峻。
二,网络安全的内涵和主要问题
网络面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害,在这里对前者进行分析。
(一)广义上网络存在的威胁
网络存在的威胁主要表现在以下几个方面:
(1)利用网络传播病毒:通过网络传播计算机病毒,由于其强力的传播性使其破坏性大大高于单机系统,而且用户很难防范。计算机病毒具有较强的隐蔽性,在互联网不断发展的今天,各种新型病毒层出不穷,传播速度快,破坏力强,危害大。如前几年发生的Wanna Cry蠕虫勒索病毒事件,严重影响社会运行的正常秩序,致使英国一些医院不一些医院不能给病人做手术,而俄罗斯一些ATM取款机也受到了该病毒的感染无法取款,造成严重的危机管理问题。
(2)非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(3)冒充合法用户造成的信息泄漏或丢失:指核心数据在有意或无意中被泄漏,例如信息在传输中丢失或泄漏(不法分子们利用搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出账号密码等重要信息。)。
(4)破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
(5)拒绝服务攻击,干扰系统正常运行:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢。
除此之外,Internet非法内容也形成了对网络的另一大威胁。有关部门统计显示,有30%-40%的Internet访问是与工作无关的,甚至有的是去访问色情、暴力、反动等站点。在这样的情况下,Internet资源被严重浪费。对互联网来说,面对形形色色、良莠不分的网络信息,如不具备识别和过滤作用,不但会造成大量非法内容出入,占用大量信道资源,造成传输堵塞等问题,而且某些含有暴力、色情、反动消息等内容的不良网站,将极大地危害青少年的身心健康,甚至危害社会和谐稳定。
(二)近年来的网络安全威胁变化
近年来随着互联网技术的快速发展,网络安全威胁也发生了三大重要变化:
(1)攻击动机发生改变。早期的网络攻击多出于个人的好奇心,近乎一种无目的性的行为,而近年来的网络攻击或为由资金充足、训练有素的军队发起、以支持网络战,或是由复杂的犯罪组织发动,动机极具目的性与恶意性。
(2)攻击的范围扩大、速度提高。史上第一起网络攻击利用了手动发现的软件漏洞,感染了单个计算机。而如今的网络攻击则利用自动识别的漏洞,可由黑客新手打包好之后在互联网上自动传播,可影响全球的计算机、平板电脑、智能手机和其他设备,其攻击范围之大不言而喻。
(3)入侵的潜在影响急剧扩大。全球设备和人员联网意味着网络攻击不仅会影响数字世界,还会通过物联网和无处不在的社交媒体平台影响到现实世界,瘫痪网络会影响正常用户的使用,使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
因此,互联网飞速发展的新时代对安全提出了更高的要求。但要实现网络安全,需借助于特征库的及时更新,然而特征值的获取必然落后于安全事件的发生,若无法第一时间给以在线处置方案则无任何作用,而且会使特征库越来越庞大,进而导致防护检测效率越来越低下,最终基于特征库的安全事件漏报、误报越来越严重严重,形成恶性循环。所以,找到帮助网络安全突破这一瓶颈的新技术就显得越发亟待。为了解决这些问题,基于人工智能的网络安全态势感知与在线处置新技术应运而生。
三、基于人工智能的信息网络安全态势感知技术介绍
(一)预测态势算法
预测态势主要是指利用感知系统对当前信息的收集调查,对于所预测内容的主要有关因素进行分析,并结合一定的历史资料、预测经验模型以及科学的理论方法对未来一段时期内可能出现的安全态势变化进行预测。目前,人工智能展开的安全态势预测方法主要分为以下两种:第一是专家系统预测方法, 是指一种利用人工智能模仿特定领域内的人类专家的思维来对安全态势进行预测,此种预测方法需要一个具备丰富专业知识与人类预测经验的智能专家系统,能够求解较为复杂的问题,此预测方法具有易于理解、避免过于繁复的计算、逐渐丰富自身预测经验使预测精准度不断提升等优势;第二是人工神经网络的预测方法,目前所应用的人工神经网络模型包括BP网络、RBF网络、 Hopfield网络等,人工神经网络虽然在近年来与小波分析、粗糙/模糊集、灰色理论以及遗传、进化、免疫等算法工具相结合取得了比较好的应用效果,但是仍旧存在局部最优解的问题,即在面对优化问题时,由于问题过于复杂,所需考虑因素较多,难以在短时间内完成全局最优解,导致优化结果倾向于局部最优解的现象。
(二)表征态势指标体系
在对信息网络安全态势进行预测时,需要制定出一鯇整的指标体系,以此指标体系为基础为人工智能进行态势预判时提供参考标准,并得出合理预测结果,所以此指标体系其实是人工智能工作的依托。目前所应用的指标体系中主要包括以下三类指标:第一是基础运行指标,是表征当前网络性能、传输设备负载、物流环境的一系列指标,代表着当前企业所具备的基础设施的基本情况。第二是网络威胁指标,该指标能够直接反映出网络中所潜在或已经出现的威胁,如病毒、垃圾邮件、钓鱼网站等,同时还能反映出网络被恶意攻击的程度和次数,如攻击强度、挂马密度等指数,人工智能可依据此指标。第三是网络脆弱性指标,表征的是网络整体上漏洞和脆弱性的情况,通过检测DNS服务器、核心路由器等关键设备的健康指数为安全态势预测提供基础数据。人工智能系统可依据此三项指标的检测结果为安全态势感知提供大量数据参考,既能够使系统识别危险难度减小,又能够使企业的信息网络问题反映更加直接,提醒技术人员及时对企业信息网络短板进行完善,使问题处理更加高效,令人工智能在安全态势感知方面的作用更加突出。
(三)人工智能在该技术中的实现
由于此感知技术基于人工智能所发展,所以能够运用大数据对所采集信息进行预处理,降低数据的后续处理难度。此技术主要运用了大数据技术中的Stream框架,此框架具备数据处理速度较快、扩展性与并发处理能力较强的优势。在具体的预处理活动中,将涉及以下几点内容:第一是数据归一,在Stream流中,系统将所收集的包括日志信息、数据流量等内容在内的数据进行统一处理,通过将其进行转化的方式使其适应系统应用方式,并作为系统进行后续分析的数据元。第二是情报知识库的关联,通过将情报库与知识库相关联的方式使企业获取到自身进行安全态势分析所需的支持信息,目的同样是为系统后续分析提供数据基础;第三是数据归并,系统通过计算分析引擎按照预置的事件流程框架将数据进行归并,在此活动中将所有事件处理完成后归纳进引擎入口并结合历史数据中的内容分析出此数据流中是否存在异常,从而触发警报。
网络安全态势感知抛弃传统的特征库比对的预测方式,采用对行为特征的研判,利用获取的大量网络安全数据,采用大数据分析的方法,对网络安全给以分析、理解,建立网络安全算法模型,使用人工智能的深度学习技术,训练网络安全人工智能模型,主动发现安全威胁。对于网络安全态势感知检测到的威胁行为,在线处置系统与路由器、交换机、防火墙等网络设备和安全设备联动,限制网络连接,阻断攻击行为,隔离攻击源和攻击目的设备。对被攻击的设备进行安全态势评估,针对存在的安全隐患,采取防病毒处理、补丁安装、杩清扫、恶意软件清理等措施,待符合网络安全要求之后,恢复网络连接,开展相应服务,仍不能满足网络安全要求的设备,通知管理员进一步处理。 对被动攻击源设备(被其他设备远程控制的被动充当攻击源的设备)采取与被攻击设备相同的策略进行安全加固,对主动攻击源设备(主动发起攻击的设备)除采取与被攻击设备相同的策略进行安全加固之外,检查使用人员的信息,分析是否为有意识的攻击行为,通知安全管理员进行相应处理,对于有意识的攻击行为者实行全网重点监视排查。
对于各类攻击行为,在分析研判的基础上改进策略,采用人工智能深度学习技术,在实际运行处理安全故障过程中,自动修正网络安全态势感知和在线处置系统模型,提升在线处置能力,真正实现智慧安全地提升,降低人为的干预。
值得注意的是,网络安全态势感知与在线处置收集的数据必须是无污染的有效数据,因为人工智能是依赖于数据的,大量的数据错误,训练出的模型必然是不正确的,故此数据的安全有效在机器学习领域至关重要。
四、人工智能在网络安全方面的技术优势
人工智能是研究人类智能活动的规律,构造具有一定智能的人工系统,研究如何应用计算机模拟人类智能行为的基本理论、方法和技术。人工智能以庞大的有效数据为学习基础,培养、优化计算模型,在强大运算能力的加持下,模拟人类的智能行为。在语言处理、智能搜索、机器学习、知识获取、感知问题、神经网络等领域取得了较好的发展。
人工智能在网络安全防范中可以实现以下功能:
自动检测:人工智能(机器学习)可以帮助公司快速识别威胁并找到潜在风险之间的联系,从而消除流程中的人为错误。人工智能(机器学习)可以适应和学习经验和模式,而不是因果关系。今天,机器学习使机器自学成为可能。这意味着他们可以创建用于模式识别的模型,而不必等待人类开发它们。在开始采取适当的补救措施之前,训练过的 AI 可以利用推理来确定各种风险,例如可疑地址,奇怪文件等。
异常检测:人工智能大大提高了识别网站可疑问题所需的时间。开发人员也在利用人工智能来识别那些在网站上有不良意图的人。这一过程被称为异常检测,有多种用途,其中网络安全位居榜首。根据人工智能技术,程序可以在短短几秒钟内分析大量访客,并根据他们的威胁级别和行为对其进行分类。
更好的监视,搜索和分析:人工智能使公司和组织在其安全环境中拥有更大的可见性,并使它们能够提前应对威胁。由 AI 驱动的狩猎技术可以确定组织是否受到攻击,以便组织可以做好准备。
安全认证:如果你的网站需要访客登录,需要输入表单,或者需要在网站后端提供另一层安全保障,人工智能可以更好地以很大的安全性进行认证。确保安全身份验证的一种方法是通过物理身份验证,其中人工智能使用不同的特征来识别一个人。例如,智能手机可以使用指纹扫描仪和面部识别来让你登录。这背后的过程需要程序分析关于你的脸和手指的主要数据点,以辨别登录是否真实。除此之外,人工智能还可以研究其他因素,以确定某个特定用户是否被授权登录某个技术设备。这项技术会检查你输入按键的方式、打字速度和拼写时的错误率。
更快的响应时间:人工智能可以处理大量非结构化信息,从而以更高的效率提供见解。更重要的是,机器学习、人工智能可以更快地学习模式,从而加快响应时间,使其更快、更容易地在威胁造成问题之前阻止它们。一些领先的公司(例如 IBM)正在网络安全中使用认知技术和 AI,以使它们能够快速识别威胁并做出相应的响应。
无差错的网络安全:与人类不同,人工智能在执行重复的任务时不会感到疲倦或无聊。因此,人为错误的风险大大降低。但是,人类需要与人工智能合作才能获得更好的结果。毫无疑问,人类提供了机器缺乏的常识和理性。但是,在非标准情况下,由 AI 设计的应用程序是更好的决策者。
五、人工智能在网络安全方面的发展前景及问题
(一)积极利用人工智能赋能网络安全
近年来,Agent系统、神经网络、顾问系统、机器学习等人工智能技术在网络安全防御中涌现出很多研究成果。总体而言,目前人工智能重点应用在网络安全入侵检测、恶意软件检测、态势分析等领域。
1.入侵检测技术
入侵检测技术是利用各种手段方式,对异常网络流量等数据进行收集、筛选、处理,自动生成安全报告提供给用户,如DDoS检测、僵尸网络检测。目前神经网络、分布式Agent系统、顾问系统等都是重要的人工智能入侵检测技术。这也是当前网络安全领域使用最普遍的人工智能技术。传统的入侵检测技术在检测速度、检测范围和体系结构等方面均存在短板。为了弥补这些短板,智能入侵检测系统借助人工智能中的模糊信息识别、规则产生式专家系统、数据挖掘和人工神经网络等技术,提升入侵检测效率,并且可以最大程度地抵御来自于各方病毒入侵所带来的潜在威胁。
2.垃圾邮件阻止系统
现如今计算机网络快速发展,电子邮件被广泛应用,为人们的工作以及商务活动的开展提供便利。对于一些不法分子,利用这一特点在其注入病毒,当邮件传递时,病毒就会导入网络中,打开邮件或链接时,病毒就会注入到计算机中,影响计算机的运行,导致信息的丢失或损坏。
针对这一情况,人工智能应用在反垃圾邮件系统中,除了可以保护用户数据的安全外,最主要的是可以检测扫描用户邮件并进行智能识别,及时发现其中的敏感信息,同时采取有效防范措施阻止恶意邮件,使用户免受垃圾邮件骚扰之忧。
3.智能防火墙系统
防火墙作为网络安全设备已被普遍应用。防火墙圈定一个保护的范围,并假定防火墙是唯一的出口,然后防火墙来决定是放行还是封 锁进出的包。传统的防火墙有一个重大的理论假设―如果防火墙拒绝某些数据包的通过,则一定是安全的,因为这些包已经被丢弃。但实际上防火墙并不保证准许通过的数据包是安全的,防火墙无法判断一个正常的数据包和一个恶意的数据包有什么不同,而是要求管理员来保证该包是安全的。而智能防火墙引用的识别技术,可以很好地自行分析和处理相应的数据,同时又能巧妙地融合代理技术和过滤技术,不但可以降低计算机对数据的运算量,还能拓宽监控范围,有效地拦截对网络有害的数据流,从而更好地保障网络环境的安全。
4.恶意软件防御
预测性恶意软件防御技术通过使用机器学习和统计模型,寻找恶意软件家族特征,预测进化方向,提前进行防御。当前,在病毒恶意软件持续增加和勒索软件突发涌现的情况下,企业对于恶意软件的防护需求非常迫切,市场上涌现一批应用人工智能技术的相关产品系统。2016年9月,安全公司SparkCognition打造人工智能AI驱动的“认知”防病毒系统DeepArmor,可准确发现和删除恶意文件,保护网络免受未知网络安全威胁。
(二)人工智能网络安全风险引发现实危害
2019年,在被普遍视为解决安全问题的灵丹妙药的同时,人工智能带来的网络安全危害亦持续引发全球广泛关注。一方面,人工智能自身带来的网络安全风险不断。
2019年3月,网络安全业内发现全球应用最为广泛的开源机器学习框架谷歌Tensorflow存在多处漏洞,有被安插后门等风险;
同期,IBM被曝未经用户许可擅自使用图片分享网站Flickr上的100万张照片进行人脸识别算法训练,人工智能训练数据的获取方法和途径侵犯用户隐私问题再次被推上舆论风口浪尖;
另一方面,人工智能的恶意利用导致网络攻防全面升级。随着人工智能技术依托的算法、大数据等以很低的成本进行复制和扩散,人工智能在有效赋能网络安全防御的同时,也为黑客实施网络攻击创造了有利条件。
2019年,人工智能驱动的物联网网络攻击、语音模拟钓鱼欺诈、深度伪造(Deepfake)虚假视频等已在全球造成现实危害,基于人工智能的网络攻防正发展成为一场对抗节奏呈指数级递增的猫鼠游戏。
六、总结
大数据和5G时代下面临的安全威胁日益加剧。人工智能技术的飞速发展,给网络安全态势预测提供了强有力的技术支持。将机器学习、深度学习等人工智能算法应用于网络安全态势预测中,通过分析历史态势信息,得到准确的预测结果,具有广阔的研究与应用前景。但当前基于人工智能的网络安全态势预测仍存在着亟待解决的问题:在提高预测准确率的同时也需要提高数据的有效性,构建多样的预测模型,以及模型稳定性不强、训练时间过长、预测周期短等问题,未来的研究除了要继续提高模型的态势预测能力外,如何让人工智能技术更好的为对应问题提供解决方案,也是研究方向的重中之重,只有及时预测与及时处置高度结合,才能真正地让人工智能技术为网络空间安全保驾护航。
然而在被普遍视为解决安全问题的灵丹妙药的同时,人工智能带来的网络安全危害持续引发全球广泛关注。随着人工智能自身带来的网络安全风险不断,如何确保人工智能在网络安全领域健康发展这一议题,引起了越来越多人的重点关注。