浅析人工智能时代下的网络安全防护技术

高悦榕

西安科技大学高新学院 陕西省 西安市 710109

引 言

人工智能（Artificial Intelligence），英文缩写AI，最早是在1956年的达特茅斯学会上提出，人工智能的本质是一种能力，即用计算机模拟人的智能，使计算机像人一样看、听、理解事物，与之对应的是计算机视觉、语音识别、自然语言处理等能力。2016年3月，一场由谷歌生产的智能机器人“阿尔法”与围棋世界冠军李世石的5局世纪对决，引发了人们的极大关注，最终“阿尔法”大比分获胜，这表明了人工智能技术的先进和成熟，它的发展已经超出了人们的预期，其上限也不可估算。随着人工智能浪潮席卷全球，广泛应用于各个行业和领域，这极大的推动了科技的发展、人类的进步，可以说人工智能的时代已经悄然而至。人工智能是基于网络和大数据的新技术应用，保护网络和数据安全是发展人工智能的前提条件，保障网络安全也就成为了人工智能应用急需解决的首要问题，我们应该充分利用人工智能提升网络安全防护能力，充分发挥它的先进性、科学性和智能性，使整个网络世界和谐健康、安全有序。

1 即将到来的人工智能时代

近年来，随着计算机、智能终端、移动互联网、物联网、大数据等技术的飞速发展，制约人工智能发展的技术瓶颈得以突破，人工智能发展步入快车道，目前广泛应用于通讯、教育、医疗、航天科技、制造业等诸多行业和领域。在2016年世界经济论坛报告中，人工智能被定性为第四次工业革命的核心技术，它将在今后彻底改变世界、改变人们的生活，未来将像水电、煤气、网络一样深入人们的日常生活，如同蒸汽机革命、能源革命和信息革命一样，通过人工智能革命人类将进入人工智能的时代。

据国际数据公司（IDC）预测，未来五年人工智能及相关服务市场的年复合增长率将达17%，到2019年行业总规模将达到1400亿美元。目前主流的互联网科技公司都投入了大量的人力、物力进行人工智能技术的研发和应用。例如微软最近成立了一个5000人的AI团队，试图在未来将AI整合进所有的平台和体系中；谷歌也在大张旗鼓地开发人工智能软件，如DeepMind机器学习系统；还有IBM在模仿大脑神经元上所利用到的人工智能，这些都为人工智能领域带来了革命性的突破。

2 人工智能与网络安全的关系

2.1 网络安全对于人工智能的意义

从结构组成来看，人工智能由基础技术支撑、人工智能技术、人工智能应用三方面组成。基础技术支撑就是计算智能阶段，包括数据信息的传输、各类运算和存储；人工智能技术是基于基础物理层提供的存储信息和大数据，通过机器学习建立模型，开发面向不同对象的应用；人工智能应用则是实现不同场景的应用。这三个方面的运行和实现都离不开网络，所以说网络就是人工智能的基础，获取数据信息、完成指令操作、反馈完成情况、模型的建立与调用等都是建立在通畅的通信网络基础上。因此在人工智能时代下，网络安全显得尤为重要。

2.2 人工智能给网络安全带来的全新挑战

人工智能将会给我们的生活带来天翻地覆的改变，我们在享受这些便捷、智能的服务同时，也要充分考虑到它所带来的风险与挑战。例如当要用人工智能对患者实施诊断疾病、手术治疗时，若患者的病历、身体指标数据被非法攻击篡改，就会引发重大的医疗事故；还比如自动驾驶的智能轿车受到非法攻击而接收错误行车指令，就会发生重大的交通安全事故。所以说人工智能对于网络安全的需求等级是非常高、非常严格的，另一方面，在万物互联的背景下，网络泛化是较为明显的趋势，传统网络安全防护主要是对网络划分边界，但人工智能时代下一般都是通过内网大数据系统直接遥控用户终端，网络边界不复存在，大数据带来的安全隐患必须要重点关注，要尤其注意数据在收集、传输、存储、使用时的安全，这实际上扩大了攻击点、增加了防护边界和难度。图1是传统网络安全原理与人工智能时代网络安全需求对比图。

2.3 人工智能提升了网络安防能力

随着网络攻击增多、危害程度加剧以及“零日攻击”等新型攻击形式的频繁出现，人工智能被越来越多的应用到网络安全防护中。由于它的技术优势，在更多新的网络安全防护领域被实践应用，极大地提高了网络整体安防能力。

2.3.1 技术优势

由于人工智能具备优良的学习和推理能力、妥善处理未知性能力、很强的非线性处理能力以及快速精准的并行计算能力，所以它的加入极大改善了安全防护体系，开创了网络防护的新时代。如利用优良的学习和推理能力，运用认知算法不断学习新型恶意软件的行为，自主学习安全系统，实现自动防御；发生事件响应攻击时，人工智能防护系统可发挥其处理未知性和不确定问题的能力，智能识别切入点、阻止攻击并修复漏洞；此外，人工智能防护系统可以并行执行多项工作，监控并保护大量设备和系统，缓解大规模的网络攻击。

2.3.2 在网络安全中的新应用

（1）物联网的入侵检测

据预测，到2020年全球联网的设备将达到500多亿部，到时候可以说是万物互联，但由于物联设备受到软、硬件条件的限制，许多设备不具备最基本的网络安全防护能力。而基于人工智能的预测模型可在各类设备上自动驻留并工作，实时进行入侵检测、防护恶意程序攻击。

（2）防护文件网络攻击

对于各种文件的恶意攻击是主要的攻击手段，包括各类Office文件、pdf文件都易受到非法攻击。而利用人工智能的标准模型和模糊处理能力，可轻松分析、获取可疑文件的各种类型特征，包括最轻微的代码冲突，从而杜绝文件网络攻击。

（3）量化风险

如何量化面临的网络风险一直以来都是一个技术难题，这是由于缺乏历史数据、变量较多导致的。借助人工智能的数据模型和快速精准的并行计算能力，可以实时处理海量数据、生成预测结果，获得准确的网络量化风险评估结果。

（4）检测异常网络流量

图1 传统网络安全原理与人工智能时代网络安全需求对比图

通过寻找跨平台、跨协议的关联性，分析内、外部网络流量中无穷无尽的元数据相关性、耦合性，检测异常网络流量。

（5）移动应用软件的防护

预测到2020年，全球智能手机的保有量将突破60亿台，各类移动应用软件也如雨后春笋般出现，研究发现超过半数的应用软件都被黑客光顾过，目前两大应用店Google Play与App Store的应用软件已达200多万个，人工智能可实现它们的精准分类，并能识别出这些受攻击应用软件的混淆技术手段，实现移动应用软件的安全防护。

3 人工智能时代的网络安防新技术、新理念

人工神经网络、人工免疫技术、智能网关、专家系统等人工智能技术在网络安全防护方面的应用较为普遍，有着不俗的实际防护能力并取得了大量的科研成果。近年来随着人工智能技术的不断成熟和完善，还涌现出了人工智能引擎、UEBA、EDR等新的防护技术和理念。

3.1 人工智能引擎

人工智能引擎就是通过海量病毒数据样本的学习，整理归纳出一套智能算法，通过自我发现、自我学习、自我进化来动态跟踪病毒变化规律，它支持向量机、不需要频繁更新病毒特征库、不需要分析病毒的静态特征和攻击行为，病毒检出率高、查杀能力和查杀速度出众。它组合了多种安全技术，包括云安全和客户端结合、人工智能算法和特征识别结合、主动防御和引擎查杀结合。

3.2 用户实体的行为分析（UEBA）

根据相关数据显示，内部人员和权限滥用是导致数据泄密的主要原因，用户实体行为分析（UEBA）就是一种有效解决内部威胁的新型防护技术。UEBA属于数据驱动类的安全分析产品，机器学习是它的核心技术，它主要聚焦于特权账号盗用与用户异常行为这两点。通过机器学习来发现有害威胁，实现了自动化的建模，相比于传统的安全信息与事件管理（SIEM），其在发现异常用户行为、用户异常行为等方面具备了非常高的防护效率。图2是UEBA与SIEM的综合对比图。

图2 UEBA与SIEM的综合对比图

3.3 端点检测和响应（EDR）

端点检测和响应（EDR）可解决虚拟环境下的网络安全问题，它基于应用程序对操作系统调用行为进行分析，不依赖于传统静态特征防护机制，能实现未知威胁的秒级检测与响应，系统资源消耗量比同类产品大大降低。EDR工具通常会记录大量端点和网络事件，把这些信息资料保存在中央数据库或者本地服务器，然后运用攻击指示器、行为分析和机器学习技术建立的数据模型库，持续搜索可疑数据，检测出早期漏洞以及内部威胁，做出快速响应。EDR的检测更加深入，具备可持续性，可视化程度也比较高，同时还能发现高级攻击行为、准确评估该攻击行为造成的影响。

3.4 “云服务-网络-智能终端”模式

云服务主要解决海量信息和数据的处理；网络的IP化是运营商以ALLIP技术为基础，以HSPA/LTE、FTTx、IP+光、NGCDN等形式构建新一代的网络基础架构，主要解决信息和数据的传送；智能终端主要解决信息与数据的多媒体呈现。实际上这个模式，主要就是利用了云服务的存储计算能力，通过构建的新型网络实现信息数据的高速安全传输，然后通过人工智能的先进算法来处理这些信息数据。

3.5 基于人工智能梳理的“AI2”平台

“AI2”是一个新型混杂式系统，它是基于人工智能梳理技术，通过人工智能学习并找到可疑攻击事件，然后交给网络安全专家人工识别，之后再把研判结果提交到模型数据库，作为下一个数据集的检测标准，不断的循环这个工作流程，到最后需要人工识别的事件将会越来越少。在网络安全的世界里，以人为主的防护技术太过于依赖专业人员素质，而人工智能的机器学习则依赖于异常检测，易产生误报。像“AI2”系统这样融合了人类与计算机自动处理能力的安全防护系统将是今后网络安全防护发展的一个全新发展方向。

结束语

人工智能技术应用到网络安防领域的时间还不长，还存在着一些技术瓶颈，还面临着一些艰巨考验。但是人工智能的技术优势明显、发展速度惊人，可以预见，在不久的将来人工智能将会成为网络安全防御的核心力量。另外随着5G、云计算、物联网等新技术在网络中的普及应用，网络的综合承载能力得到了进一步加强，网络的信息安全、数据安全也就显得更加重要，我们要持续加强网络安全技术能力建设，建立健全网络安全信息共享机制，实现通信网络的可管可控。