湖北省烟草公司黄石市公司 湖北 黄石 435000
随着烟草行业并入经济全球化的格局,一直以来行业大力开展信息化建设工作。尤其是近年来,行业将信息化与烟草产业的融合创新作为构建现代烟草经济体系、推动行业高质量发展的战略支点,实现行业信息化高质量发展,为行业高质量发展提供新动能。但是随着对信息化依赖程度的日益增加,网络安全对整个烟草行业具有至关重要的影响。目前行业的网络拓扑结构复杂,信息化结构不完善,信息系统多而杂。随着“互联网+”逐步融入行业生产经营的方方面面,行业网与互联网的结合愈加紧密,内外网的边界也越来越模糊,网络威胁逐步泛化,由点向面持续扩大,这为行业的网络安全带来了巨大的威胁。
烟草行业目前仍然使用传统的网络安全手段来应对网络安全威胁。通过防火墙、IPS、上网行为应对网络边界安全;通过杀毒软件来对服务器、终端进行病毒查杀;通过漏洞扫描工具对网络设备、服务器、中间件、数据库进行漏扫分析;通过WAF来对web应用系统进行入侵防御等。面对网络安全威胁的指数级增长,网络安全运维人员要操作和查看多种网络安全设备和系统,疲于分析和处理各种安全设备的威胁日志、流量分析、预警信息等,手段单一且效率低下,事件处理响应缓慢。随着网络攻击日趋分布化、复杂化、多样化以及自动化,传统的网络安全手段在当下已经达到技术瓶颈,使用传统的网络安全防护方法已经远远不能满足行业网络安全的技术要求,行业网络安全威胁检测和防御方法面临新变革。
人工智能(Artificial Intelligence,AI)是一门将计算机科学与语言学、控制论、神经生理学等多种学科的理论和应用相互结合、相互渗透,逐渐产生发展的综合性学科,是计算机科学领域内有关研究、设计和利用现代智能工具的一个重要分支。人工智能自诞生以来,在机器学习、数据挖掘、计算机视觉、专家系统、自然语言处理、模式识别和智能机器人等领域不断取得突破性进展,并且作为一种底层的生产力工具,已逐渐渗透到各个行业。根据市场调研机构Meticulous Research的最新报告,预计网络安全市场中的人工智能从2020年开始将以23.6%的复合年增长率增长,到2027年市场规模将达到463亿美元。网络安全中的人工智能市场包括硬件、软件和服务,技术方面主要包括机器学习、自然语言处理、情景感知计算等。安全性应用主要针对应用程序安全、端点安全、云安全、网络安全等。主要应用包括数据丢失预防、统一威胁管理、身份认证管理、风险与合规性管理、防病毒和恶意软件、入侵检测、分布式拒绝服务缓解、安全信息和事件管理、威胁情报、欺诈检测等[1]。
保护网络信息安全免受威胁的需求与网络安全人员的缺少,是促使人工智能技术在信息网络安全保护行业应用的强大内在动力,人工智能在网络安全应用领域上有如下优势:
一是人工智能技术可以更好地处理模糊、非线性、海量数据,通过对大量数据进行聚合、分类、序列化,有效检测识别各类网络安全威胁,大大提升安全检测效率、精准度和自动化程度。
二是人工智能技术可对各种网络安全要素数据进行归并、关联分析、融合处理,通过大量安全风险数据进行关联性安全态势分析,综合分析网络安全要素,评估网络安全状况,预测其发展趋势。
三是人工智能技术可应对未知的、变化的攻击行为,结合当前安全策略和威胁情报来调整已有的安全防护策略,形成智能协同和动态防护的主动安全防御体系[2]。
目前网络安全系统花费了行业安全运维人员太多的时间和精力,对人、财、物的消耗都是巨大的。如果与人工智能进行有效的结合与实现,可以明降低在安全防护上的成本和开支,也可以明显提高面对入侵的反应速度与阻断破坏的能力,提高防御的敏捷度。从目前的技术发展来看,能够将人工智能与行业网络安全防护有效融合在一起的方式主要从以下几个方面来实现:
对于上线前的Web应用系统,一般会通过自动化工具或者人工审查的方式进行代码审计,检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方。但是随着Web应用系统需求模块的增加、bug修复、版本升级以及新漏洞的出现,导致源代码变动产生新的缺陷从而引发安全漏洞,持续的靠人工审查源码不但效率低下而且极大增加人工成本。采用基于知识图谱的人工智能代码审计可以有效解决这一难题。人工智能代码审计是将持续将包含现有各形式的代码漏洞特征的数据以及对应的处理建议形成代码审计的知识图谱,通过深度学习算法对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供给开发者代码修订措施和建议。行业上线的Web应用系统可以使用人工智能代码审计来及时发现代码中的安全隐患和漏洞,在修正代码漏洞前部署好安全防御措施进行安全加固,避免不安全代码造成的漏洞引发网络安全攻击事件。
对于恶意代码检测,基于机器学习算法的人工智能恶意代码检测提供了很好的技术途径。它是一个有效的多维度特征识别方法,适用于恶意代码、计算机病毒和垃圾邮件等的处理。根据检测过程中样本数据采集角度的不同,可以将检测分为:静态分析与动态分析。静态分析是通过程序进行分析得到数据特征,而动态分析在虚拟机中执行程序,并获取和分析程序执行的行为特征。具体检测步骤是:采集数量充分的恶意代码样本,对样本进行有效的数据处理,提取特征。进一步选取用于分类的主数据特征,结合机器学习算法的训练,建立分类模型,通过训练后的分类模型对未知样本进行检测。行业的服务器和系统可以使用人工智能恶意代码检测来扫描、分析和处理可能存在的恶意代码文件,提前消除恶意代码文件带来的隐患和安全威胁。
渗透测试(penetration testing)是受信任的第三方通过模拟黑客可能使用到的攻击手段和漏洞挖掘技术对目标应用系统及其宿主服务器(如web、数据库、中间件服务器等)进行深度漏洞挖掘,发现系统中存在的漏洞,并进行漏洞可利用性的验证的过程。渗透测试主要分为前期交互、信息收集、威胁建模、漏洞分析、渗透攻击、后渗透攻击、报告生成七个阶段。使用基于人工智能的自动化渗透测试系统和方法,利用人工智能算法将传统渗透测试中的各个步骤进行自动化的串联,并通过深度学习算法来尝试组合各种攻击路径,以此来提高渗透测试的效率和准确性。行业可以使用人工智能自动化渗透来持续发现系统中存在的漏洞和相应的攻击路径方法,提前做好安全加固和安全防护工作,避免引发网络安全事件。
态势感知是一种基于环境、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。人工智能安全态势感知是人工智能和网络安全态势感知的有机融合,通过采集分析多种数据,如终端数据、网络设备及安全设备日志、网络流量、第三方威胁情报、用户的系统操作行为等,完成信息的提取和预处理,然后基于机器学习算法从预处理的数据中自动学习分析获得规律,并利用规律对威胁进行态势识别、理解和预测,从数据视角提升对各种安全攻击威胁的发现识别、理解分析、响应处置能力,提供安全决策与行动支持。行业可以使用人工智能安全态势感知对网络进行全方位的防护,更好地分析已知和未知的安全威胁,及时快速的响应攻击及安全事件,全面提升安全运维人员面临的海量告警分析效率和威胁的快速闭环处置能力,保障行业网络安全。
虽然人工智能在网络安全领域的使用还有着诸多挑战,但是我们依然要看好其前景。大数据时代、物联网时代、智能时代已经到来,利用人工智能技术提升数据价值,已经成为当前计算技术的发展趋势。人工智能技术在将来的网络安全实现上一定会得到更充分的利用,发挥出更大的社会价值,我们应该正确理解人工智能技术,将其灵活运用到网络安全防护中来,提升自身网络安全等级,保障烟草行业网络的安全性和稳健性。