虚拟黑客机器人实现安全控制检测的应用研究

张月红

（上海电子信息职业技术学院， 上海 201411）

多数的企事业单位仅采用防火墙、系统加固和终端接入安全等技术手段保护企业信息资产,没有建立长期有效的风险防控机制。尤其在互联网公司,依赖网络应用对用户提供服务,需要不断更新上线新业务,经常是针对新系统、新应用的安全措施根本无法及时部署,导致系统漏洞没有及时修补,因此遭受安全事件攻击的频率很高。为缓解这些现象,需要关注两个问题。一是检测评估安全控制有效性的方法,要求站在黑客角度,针对网络和业务系统,模拟网络攻击行为实施攻击,以评估组织已采用安全控制措施是否达到控制风险至可接受水平；二是持续安全检测的策略,因为攻击是持续存在的,那么安全检测同样是一个长期持续的过程。由于安全检测与评估对组织而言也是成本,他们需要经济有效并高效持续的安全检测方法。

应对现今的网络安全威胁所需的响应速度已远远超过了人类决策所能达到的速度。鉴于恶意软件攻击的数量和频率不断增加,基于人工智能的网络防御系统被越来越多地用来主动检测和缓解威胁,这些智能设备从多组传感器中收集数据。将网络安全技术与人工智能技术结合,我们称之为“虚拟黑客机器人技术”。［1］它运用人工智能技术模拟黑客入侵,以实现自动化安全验证,为用户提供持续性网络安全验证服务,保障业务系统上线的“事前”安全,同时建立业务安全验证体系。通过不断进行深度学习算法训练,化被动防御为主动攻击,站在黑客的角度进行持续验证性分析,量化企业风险,改善安全态势,且全流程自动化,可以解决组织中网络安全人才缺乏及能力不足的问题。［2］特别值得说明的是传统的安全工具通常可以发现大行其道的已知威胁,而虚拟黑客机器人所具有的智能可以唯一地帮助发现未出现过网络威胁的微小信号。随着高级网络罪犯不断开发新颖的战术、技术和流程来躲避已预置的包括已知攻击特征的控制措施,这种发现未知威胁的能力已成为安全对抗中必备的需求。

一、传统攻击分析（Traditional attack analysis）

在网络环境中发动网络攻击以破坏服务,窃取个人或企业数据并获得网络情报。恶意攻击者利用操作系统的弱点来获取访问权限并篡改操作系统的系统文件,执行系统级命令来实现其恶意目标。在表1中,根据攻击目标、预期的目标设备或应用程序、进行特定攻击时可能暴露的数据和信息、发生特定攻击时受影响的环境类型以及如何检测到这些攻击,对各种网络攻击进行分类。

表1 传统的网络攻击分类

1.速率控制。针对系统可用性的攻击包括拒绝服务攻击和分布式拒绝服务攻击。速率控制技术可通过基本流量限制和重新定义权限列表来减少传入网络流量,从而最大程度地降低此类系统在受到攻击时对其操作的影响。［3］

2.启发式。防火墙和入侵检测系统通常依靠启发式规划,识别并分类网络流量为合法或异常。这种技术执行包括子字符串匹配的一系列步骤,以识别可疑的网站地址。再结合像Virus Total应用程序（一个可以提供网址并获得有关输入网站恶意程度的评分分析的网站）来扫描网址,如果得分低,考虑两次检测结果来决定是否让数据包进入网络。

3.基于签名的入侵检测。基于签名的入侵检测系统利用一个数据库,该数据库可以存储与正常流量对应的合法签名或与恶意流量对应的攻击签名。入侵检测系统将传入的网络数据包的内容与存储的签名实时进行匹配。［4］该技术的缺点是:在没有相关签名的情况下,入侵检测系统在准确检测进入网络的恶意流量方面的能力是有限的。

4.基于异常的入侵检测。它是一种可以视为规范的模型,这些模型可以是基于规则的策略、［5］数学模型和统计技术,偏离规范的流量将被视为攻击。当与基于签名的检测相比时,此类技术的优势在于无需依赖于签名模式,从而将收集签名的管理工作删除了。

5. 最终用户安全控制。当前的最终用户设备,例如手机、智能便携式设备和个人计算机,需要内置安全性,而不是附加组件。［6］最终用户可能不使用最新的安全补丁来更新其设备,而某些供应商则试图推送自动更新以安装安全补丁。Wannacry勒索软件攻击是一个示例,其中,厂商提供的最新安全补丁未在所有最终用户设备上应用。大多数时候,用户并不了解不应用补丁的含义,建议自动更新并由供应商直接推送到最终用户设备,而无需用户参与。但是,挑战将是软件供应商必须确保安全更新可以防御新的攻击（也称为零日攻击）,［7］并且可以与最终用户设备上的所有现有软件无缝地协同工作。

二、黑客机器人的必要性分析（Necessity analysis of hacker robot）

传统的安全管理方法与防护手段中存在的问题:虽然安全管理类系统的开发到上市速度很快,但在敏捷开发模型下嵌入安全性的结果并不理想,传统渗透测试的成本和价值远超出相应的商业回报,通常不熟悉安全设计的开发人员会被要求承担在业务系统中实现安全这一责任,传统的管理方法在重复的人工管理任务中使用太多时间和精力。

从攻防两方来观察当前的网络安全现状是这样的:一方面,许多攻击者都致力于在没有休息日的情况下,以7×24小时的自动化方式攻击用户或企业的设备和系统；互联网上每天都会发现零日漏洞,每天都有验证性测试的测试攻击代码被发布到互联网上,并直接可用。另一方面,我们的安全工程师只是在办公时间来修补系统和应用程序中的漏洞,企业一般没有足够的IT人员来支持运营网络安全。同时业务需要的新应用程序被开发出来,并根据市场需求不断添加新的功能,这让开发工程师一直处于疲劳对付的状态。想要摆脱困境,考虑防护方应建立使用人工智能技术的集成平台,以自动化方式来加强威胁检测和漏洞管理过程。

网络安全研究人员已开始探索用人工智能方法来改善网络安全。同样,网络罪犯也使用人工智能发起越来越复杂的网络攻击,同时隐藏了自己的踪迹。在这项工作中,我们专注于基于人工智能的网络安全检测方案如何更好地发现攻击者,并最小化或防止数据泄露。

虚拟黑客机器人替代人工服务提供持续安全验证服务,可以提供如传统渗透测试类的安全检测与评估类服务,包括如下的六大功能:一是资产探测。基于智能爬取技术和指纹识别算法去确认组织范围内的资产,包括IP地址、域名、主机、操作系统、插件、网络设备等资产。二是漏洞探测。对漏洞扫描工具、丰富的漏洞库及安全攻击事件知识、丰富的风险模型和专家知识等的研究,保证能提供有力的漏洞挖掘能力。三是渗透验证。使用智能沙箱技术去模拟攻击环境,并检验漏洞的真实性,在攻击后阶段,基于特征字典的数据搜索,能收集支撑未来攻击的数据。［8］四是漏洞利用与攻击。支持多种攻击模式,可快速满足用户的不同安全验证需求；自动验证漏洞结果的准确性,确保输出结果的真实、可靠、可用。五是风险量化展示。基于真实攻击结果（如获取数据或授权）的风险评估,自动化产生攻击链图,全景展示黑客脚本和攻击过程。六是高级持续性攻击。针对目标系统的持续漏洞检查,可被如知识库更新、资产变动和漏洞知识迭代等多种类型的事件触发唤醒。

表2 虚拟黑客机器人的角色

随着互联网应用的不断变革,人工智能技术在网络安全中的角色不断拓宽。不仅是人工智能技术被应用去解决问题,同时也让机器能像人一样思考和工作。

三、优势分析（Analysis on the advantages）

虚拟黑客机器人在完成安全控制检测的过程,可以采用标准化工作流程以简化漏洞和安全管理流程；通过自动电子邮件通知、提醒和警报提高效率和减少沟通成本；通过不断跟踪、更新发现、补救和后续行动来减少人工错误；加快了漏洞评估过程,实现了从繁琐低效、不断重复的手动操作到对抗持续的网络攻击；通过移动仪表板显示有关安全级别的即时情况,便于管理员了解当前的安全态势。

（一）兼容性和无缝集成

虚拟黑客机器人能与主流扫描工具兼容,并能集成和整合到企业的单一集中管理平台中,还可以及时利用指定情报平台收集的庞大知识数据。在庞大知识数据和情报的支撑下,虚拟黑客机器人具备更敏感的漏洞发现能力、更丰富的字典等,因此能够为用户提供更强大的风险识别与安全验证能力。

（二）机器人技术自动化

可以实现自动化扫描调度、合并结果、生成和共享漏洞报告。报告内容包括任务信息、资产信息、漏洞信息、风险评分、验证快照、修复建议等一系列内容,同时提供按不同资产属性的各种统计图表等信息。大大提高了扫描结果的准确性,能消除常见的扫描错误:如SQL注入、中断的身份验证和跨站点脚本。最大的优点在于,能大大节省企业的人工操作成本和时间。

（三）持续升级能力

虚拟黑客机器人不断升级,在密码破解能力、敏感文件搜索和网络钓鱼发现中能力不断增加,它会根据最新的数据知识,不断规划攻击路径。在任务执行过程中,当虚拟黑客机器人成功利用漏洞,并获取新的信息或知识的时候,将会触发新的攻击子任务,自动利用新的数据知识进行迭代攻击。通过自动迭代攻击功能,虚拟黑客机器人为用户提供了全面的、关联性的安全验证服务,从而提高企业对不断发展的网络攻击的安全防御能力。

（四）自动生成任务攻击链图

虚拟黑客机器人通过攻击链图可以直观查看虚拟黑客机器人在攻击过程中所发现资产、信息、漏洞以及这些流程的依赖步骤。［9］通过查看攻击链图,用户可以简单操作即可完成黑客脚本的描述,可在客户组织的内部沟通中提供便利。

（五）虚拟黑客机器人提供攻击全景的实时展示界面

界面内容包含多类可视化分析视图、攻击动态、攻击拓扑、感染传播、钓鱼控制台、全景合成、攻击过程等信息,为用户提供基于“视觉”的风险感知和管理。

四、存在的挑战（Existing challenges）

人工智能在网络安全方面的最新进展推动了白帽（防御者）和黑帽（犯罪者）黑客之间的竞争。攻击者可以利用人工智能模仿人类行为,以实现个人自豪感、权力或财务优势。人工智能在网络安全中的使用影响了三个主要利益相关者:白帽黑客、黑帽黑客和最终用户（人类）。白帽和黑帽黑客是共同促进人工智能技术发展的“同伙”。但是,由于一个人的进步追随另一个人的进步,因此很难在两组之间找到分界线来规范技术部署。因此,必须研究如何将人工智能应用于人类的基本需求和发展网络安全控制。

拥有最先进的计算基础架构将有助于有效、高效地解决人工智能问题。随着计算设备数量的增加,业务量也将增加,有必要快速执行数据分析。因此,使用人工智能技术分析数据需要高端计算平台。为了应对这一挑战,已经采用了诸如Apache Spark和Hadoop之类的集群计算解决方案来分析网络流量。［10］在未来,量子计算将是有助于解决复杂计算问题的突破性技术。

五、结束语（Conclusion）

本文对网络威胁和解决方案进行了全面回顾,分析了如何在不同的网络栈和应用程序上发起网络攻击及其影响。虚拟黑客机器人技术作为人工智能与网络安全的结合,颠覆性改变当前网络安全行业风险验证服务的方式,从当前以人工服务为主逐渐转变为以机器人服务为主,为用户提供一个智能化持续性网络安全验证服务平台,为各行业用户在云计算、大数据、移动互联网、物联网、人工智能、区块链等领域,打造新一代网络安全验证服务保障体系,帮助用户在风险控制及安全合规方面提供全新的技术手段。［11］虚拟黑客机器人技术必将发挥其更大的价值和能量,推动着网络安全行业实现更大的进步。