《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 人工智能技術(shù)將成為發(fā)現(xiàn)安全威脅的新利器

人工智能技術(shù)將成為發(fā)現(xiàn)安全威脅的新利器

2021-08-06
來源: 中國信息安全
關(guān)鍵詞: 人工智能 安全威脅

  充分利用人工智能(AI)技術(shù),,對(duì)傳統(tǒng)數(shù)據(jù)挖掘,、統(tǒng)計(jì)計(jì)算、關(guān)聯(lián)分析方法進(jìn)行革新與豐富,,將成為有效發(fā)現(xiàn)安全威脅的新利器,。

  一,、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用

  1. 應(yīng)用方向

  人工智能在網(wǎng)絡(luò)安全中領(lǐng)域應(yīng)用前景廣闊。首先,,AI 具備大數(shù)據(jù)分析挖掘的能力,,能夠有效提升網(wǎng)絡(luò)威脅的檢測能力和水平。其次,,AI 具備根據(jù)已知檢測未知的能力,,可有效解決現(xiàn)有檢測方法和手段的適應(yīng)性問題。再次,,AI 具備自主學(xué)習(xí)和自我更新的能力,,可有效解決現(xiàn)有模型老化問題。最后,,AI 具備推理認(rèn)知構(gòu)建的能力,,可從廣泛的時(shí)空維度來對(duì)網(wǎng)絡(luò)威脅進(jìn)行分析溯源。

  利用人工智能技術(shù),,可以對(duì)成千上萬的網(wǎng)絡(luò)日志/流量,、威脅情報(bào)等信息進(jìn)行自動(dòng)分析處理與深度挖掘,從海量數(shù)據(jù)中提取出真正有用的信息,,對(duì)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行分析評(píng)價(jià),,感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢,并對(duì)全網(wǎng)的發(fā)展趨勢進(jìn)行預(yù)測和預(yù)警,,為網(wǎng)絡(luò)安全防護(hù)的技術(shù)突破提供了新思路。目前,,AI 主要應(yīng)用方向包括異常檢測告警,、未知威脅發(fā)現(xiàn)、潛在風(fēng)險(xiǎn)預(yù)測和自適應(yīng)聯(lián)動(dòng)響應(yīng)等,。具體方向有異常告警檢測,、未知威脅發(fā)現(xiàn),、潛在風(fēng)險(xiǎn)預(yù)測和自適應(yīng)聯(lián)動(dòng)響應(yīng)等。

  2. 模型框架

  基于人工智能來構(gòu)建“安全大腦”,,對(duì)一定時(shí)間及空間的大范圍樣本數(shù)據(jù)進(jìn)行智能化分析,,根據(jù)基線或模型發(fā)現(xiàn)威脅風(fēng)險(xiǎn)并預(yù)判趨勢。

  針對(duì)實(shí)際網(wǎng)絡(luò)中安全數(shù)據(jù)的海量,、多格式,、多粒度的特點(diǎn),基于人工智能的安全大腦首先進(jìn)行數(shù)據(jù)預(yù)處理,,將來自不同數(shù)據(jù)源,、不同格式的數(shù)據(jù)歸一化為統(tǒng)一格式,然后去除冗余及噪聲數(shù)據(jù),。其次,,進(jìn)行智能分析, 利用不同的機(jī)器學(xué)習(xí)算法訓(xùn)練出相應(yīng)的網(wǎng)絡(luò)流量分類,、異常流量檢測,、威脅行為分析和流量趨勢預(yù)測模型,然后根據(jù)訓(xùn)練出的模型進(jìn)行結(jié)果輸出,。最后,,進(jìn)行評(píng)估優(yōu)化, 根據(jù)知識(shí)庫中的安全量化指標(biāo)體系,,對(duì)分析輸出的結(jié)果進(jìn)行量化評(píng)估,,用來改進(jìn)模型和算法參數(shù),不斷提高模型的準(zhǔn)確率,。

  二,、人工智能在網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新實(shí)踐

  1. 安全 AI 全棧架構(gòu)

  Gartner 在 2020 年 10 大戰(zhàn)略技術(shù)趨勢報(bào)告中明確指出,AI 安全將是未來重要的戰(zhàn)略技術(shù)趨勢之一,。為了有效應(yīng)對(duì)日益高級(jí)和復(fù)雜的攻擊手段,,需要將人工智能應(yīng)用于網(wǎng)絡(luò)安全防護(hù)領(lǐng)域,構(gòu)建實(shí)時(shí),、智能,、敏捷、可運(yùn)維的“云網(wǎng)邊端”一體化安全防護(hù)體系,,將每個(gè)防御點(diǎn)的使用價(jià)值最大化,,形成智能分析感知威脅、智能自動(dòng)防護(hù),、智能閉環(huán)管理的體系化安全能力,,全面提升應(yīng)對(duì)網(wǎng)絡(luò)安全威脅的能力,實(shí)現(xiàn)從事后補(bǔ)救到安全前置,,從被動(dòng)安全到主動(dòng)安全的轉(zhuǎn)變,。這就需要構(gòu)筑安全 AI 全棧架構(gòu),。

  該架構(gòu)從安全日志、終端行為,、網(wǎng)絡(luò)流量,、業(yè)務(wù)數(shù)據(jù)、威脅情報(bào),、資產(chǎn)管理和故障診斷信息等多源數(shù)據(jù)的采集著手,;對(duì)風(fēng)險(xiǎn)狀況、攻擊趨勢,、異常流量,、異常行為和異常資產(chǎn)進(jìn)行多維度智能分析和可視化呈現(xiàn);根據(jù)實(shí)時(shí)場景自適應(yīng)決策響應(yīng),,快速生成應(yīng)急預(yù)案,,主動(dòng)將安全策略推送給全網(wǎng)關(guān)鍵設(shè)備,實(shí)時(shí)預(yù)警和響應(yīng)安全事件,。

  2. 安全 AI 應(yīng)用實(shí)踐

 ?。?) 基于 DNS 協(xié)議的 C&C 外連檢測

  DNS 協(xié)議是一種基礎(chǔ)設(shè)施網(wǎng)絡(luò)協(xié)議,常被攻擊者用來進(jìn)行 C&C(Command & Control)通信,。為了躲避網(wǎng)絡(luò)安全設(shè)備的監(jiān)測和分析,,攻擊者使用DNS 協(xié)議進(jìn)行 C&C 通信時(shí)通常會(huì)使用 Fast-flux 和Domain-flux 技術(shù)頻繁變換 DNS 服務(wù)器的 IP 地址和域名?;谏疃葘W(xué)習(xí)卷積神經(jīng)網(wǎng)絡(luò) (ConvolutionalNeural Networks,,CNN) 檢測網(wǎng)絡(luò)流量中的 C&C 通信,通過優(yōu)化可使得檢測概率高達(dá) 98%,。

 ?。?) 基于 AI 的加密流量分析

  攻擊者越來越傾向于使用加密協(xié)議進(jìn)行通信,以便將攻擊流量隱藏于正常的加密流量中,。在加密流量的分析過程中,,可將其分為加密應(yīng)用識(shí)別和加密威脅檢測。在加密應(yīng)用識(shí)別中,,提取加密協(xié)議的密鑰交換階段的密碼套件,、證書等明文特征,以及密文傳輸階段的流量模式,、通信模式,、行為模式等統(tǒng)計(jì)特征,以及由 RNN 和 CNN 提取的時(shí)序特征和時(shí)空特征,,采用有監(jiān)督的機(jī)器學(xué)習(xí)方法進(jìn)行加密應(yīng)用的識(shí)別,。在加密威脅檢測中,除了提取應(yīng)用識(shí)別所需的各項(xiàng)特征外,還需要提取流量的上下文信息,,包括 https/http 流量信息和 DNS 流量信息等。

 ?。?) 基于 AI 的云網(wǎng)邊端協(xié)同聯(lián)動(dòng)

  為了構(gòu)建“云網(wǎng)邊端”聯(lián)動(dòng)的一體化安全防御體系,,AI 防火墻與安全云、態(tài)勢感知,、邊緣計(jì)算等系統(tǒng)相結(jié)合,,實(shí)現(xiàn)情報(bào)共享、算力提升,、關(guān)聯(lián)分析,、協(xié)同聯(lián)動(dòng)等功能。通過云端威脅情況的共享,、分析與服務(wù),, AI 防火墻可以共享所有來源的威脅情報(bào),迅速響應(yīng)各類漏洞和威脅,,及時(shí)阻止各類攻擊行為的傳播,。同時(shí),所有 AI 防火墻可以共享部署策略,,通過云端的智能策略分析,,可以為各行各業(yè)的客戶提供最優(yōu)的部署策略推薦,大大簡化部署和運(yùn)維,。除此之外,,本地防火墻將潛在威脅數(shù)據(jù)上傳至云端,通過云端大數(shù)據(jù)分析,,獲取機(jī)器學(xué)習(xí)模型,,再將模型參數(shù)下放到本地進(jìn)行本地智能檢測分析,實(shí)現(xiàn)云端一體化智能聯(lián)動(dòng),。

  三,、安全 AI 未來發(fā)展展望

  當(dāng) AI 技術(shù)全面融入安全領(lǐng)域,可以快速識(shí)別各類未知惡意軟件,、及時(shí)偵測到零日威脅,,并進(jìn)行迅速響應(yīng);能夠更精準(zhǔn)進(jìn)行數(shù)據(jù)挖掘和模式識(shí)別,,讓分析結(jié)果更加準(zhǔn)確,;可以連續(xù)執(zhí)行這些重復(fù)性和機(jī)械性的檢測識(shí)別任務(wù)。后續(xù),,還可以在以下三個(gè)方面持續(xù)深入,。

  1. 知識(shí)圖譜

  基于安全設(shè)備產(chǎn)生的安全事件,構(gòu)建威脅知識(shí)圖譜,從而分析網(wǎng)絡(luò)的整體威脅態(tài)勢,;在終端安全響應(yīng)系統(tǒng)(EDR)中,,可以基于終端的行為和操作日志,構(gòu)建溯源知識(shí)圖譜,,從而分析終端的已知和未知威脅,;在網(wǎng)絡(luò)威脅檢測及響應(yīng)(NDR)/用戶實(shí)體行為分析(UEBA)中,可以基于網(wǎng)絡(luò)全流量數(shù)據(jù)和應(yīng)用系統(tǒng)日志,,構(gòu)建用戶的行為知識(shí)圖譜,,從而檢測用戶的可疑或者惡意行為。

  2. 混淆對(duì)抗

  注入攻擊和惡意代碼可以通過混淆,、編碼,、壓縮等方式改變自己的表現(xiàn)形式,從而躲過 WAF,、IPS,、病毒檢測引擎等設(shè)備的檢測。復(fù)雜的混淆方法是單向的,,雖然混淆的代碼和原始的代碼執(zhí)行相同的功能,,但是卻無法完全還原為原始的代碼,只能部分還原為原始的代碼,。因此,,在混淆惡意代碼的檢測中,可以利用 AI 算法將混淆代碼進(jìn)行還原,,然后進(jìn)行惡意代碼檢測,,其中對(duì)原始代碼的還原程度將決定著惡意代碼的檢測效果。

  3. 聯(lián)邦學(xué)習(xí)

  在安全領(lǐng)域,,有標(biāo)注的數(shù)據(jù)非常少,,并且各個(gè)企業(yè)之間的數(shù)據(jù)也沒有共享,這使得 AI 模型的效果難以得到實(shí)質(zhì)的提升,。通過采用聯(lián)邦學(xué)習(xí)架構(gòu),,可以將多個(gè)企業(yè)的數(shù)據(jù)聯(lián)合起來訓(xùn)練一個(gè)更加強(qiáng)大的模型;在模型的訓(xùn)練過程中,,可以采用同態(tài)加密,、差分隱私等隱私保護(hù)技術(shù)對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)或者模型參數(shù)進(jìn)行保護(hù),從而保證每個(gè)企業(yè)內(nèi)部的數(shù)據(jù)都不會(huì)泄露出去,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected]