一、前言
在如今的万物互联时代,只要一台设备被攻陷,用户银行信息等个人隐私可能全部泄露,其他设备也可能瞬间被瓦解。网络世界的攻守双方,将人工智能当作制胜法宝,正在进行角力较量。
根据瑞星《2017年上半年中国网络安全报告》显示2017 年 1-6 月,瑞星「云安全」系统共截获病毒样本总量 3,132 万个,病毒感染次数 23.4 亿次,病毒总体数量比 2016 年同期上涨 35.47%。上半年病毒 Top10中,令人胆颤心惊的 WannaCry 病毒却只能排列第九。
二、网络安全面临严峻考验
来自国际电信联盟于 2017 年 7 月发布的《全球网络安全指数》中的数据显示:2016 年全球互联网用户达到 35 亿人,约占世界总人口的一半。到 2020 年,接入互联网的终端设备预计将达到 120 亿台。
随着智能设备的广泛应用,大规模普及的物联网必将为攻击者提供大量新机会,工作与生活的界限愈加模糊,一台联网设备,只要被攻陷,从银行等财务信息到健康等个人信息,则可能全部泄露。而在互联时代,只要攻克一台设备,其他设备就可能瞬间被瓦解。
这样的事情已有先例。2016 年 10 月,一款名为 Mirai 的恶意软件侵袭了大量存在漏洞的智能摄像头、智能网关、智能家电等物联网设备,被感染后的它们瞬间变成了网络中的“肉鸡”设备。在工控领域,2010 年的 Stuxnet 蠕虫病毒能够针对西门子的监控与数据采集(SCADA)系统进行攻击,并通过 U 盘和局域网进行传播。
万物互联,内网和外网的边界逐渐模糊,网络泛化则成为大趋势,比如特斯拉的汽车在各种场合都可以接入 wifi,还可以接入 3G/4G 网络,而在未来的交通中,无人驾驶车还将与交通灯、交通台,甚至是和其他车互通互联——这意味着更多的潜在攻击点。
“一旦入网,有很多传统的攻击手段就能像攻击电脑一样攻击无人驾驶车,WannaCry 病毒同样可以入侵车,这造成的问题将会更大。”——“德国弗劳恩霍夫应用集成信息安全研究所”认知信息安全研究组组长肖煌在接受机器之能的采访时说。
三、“AI+网络安全”大势所趋
逐渐上涨的病毒数量让网络安全受到了前所未有的关注,以人工智能驱动的网络安全公司也受到了资本的青睐。2017年6月一个月份,就至少有 7 家将人工智能用于网络安全的公司获得新一轮融资,而融资总额接近 5 亿美元。
公司 |
融资金额 |
技术方向 |
Cybereason |
1亿美元 |
Cybereason的技术方向不是“高筑墙”,而是实时响应和防御。这家公司的核心技术是“端点感知”,利用机器学习和行为分析来实时处理大量端点监测数据,引擎处理速度达到800万条问询/秒。产品的定价基于企业IT环境的端点数量。 |
SparkCognition |
3250万美元 |
号称全球首家认知安全分析公司,总部位于美国奥斯汀。
SparkCognition成立于2013年,使用机器学习和人工智能技术来分析预测安全漏洞与系统故障,其客户主要来自对网络安全需求量很大的行业,包括航空航天、国防、电信和能源等。
|
Illumio |
1.25亿美元 |
Illumio成立于2013年,是一个自适应云安全平台,主要为企业私有云、公有云、用户数据和云端数据等数据提供安全保障,帮助企业找出公司网络中潜在的恶意软件或未经授权的数据泄漏。
Illumio构建的自适应安全架构,可以安全监控和防护每个工作单元或应用,而不是基于传统的边界防护,用户可以使用自然语言编写安全策略,而不需要了解底层网络架构。
|
Netskope |
1亿美元 |
Netskope致力于帮助大型公司监管员工使用云服务,保证其安全,认为企业云应用市场已经来到引爆点,企业IT部门面临无处不在的影子IT问题,Netskope的产品能够帮助IT部门有效治理影子IT问题,通过深度分析帮助IT决策者轻松创建云应用安全政策,保护企业数据并优化云应用负载。 |
GreatHorn |
630万美元 |
GreatHorn总部设在美国麻省Belmont,2015年创立。是一个致力于阻止网络钓鱼式攻击的云安全平台。
这家公司的成立基于创始人的两个趋势预测:一是针对核心商业服务(特别是电子邮件)的云基础设施建设会加快,二是通过这些云技术基础设施造成数据泄露的案例数量会等量上升。现在越来越多的企业使用基于云的通信平台,例如Slack、Skype、Office 365和G Suite等,然而这也给网络犯罪留下可乘之机。GreatHorn的自动化产品据说可以让企业安全团队预防钓鱼的工作量每周减少300小时以上。
|
CybelAngel |
300万欧元 |
一家位于巴黎的公司。CybelAnGEl通过大数据和人工智能技术提供网络安全解决方案,他们的网络安全产品每天能在网上检测十亿份敏感文档,帮助公司确定自己的信息没有外泄,避免造成研发、客户等信息暴露在风险之中。 |
Hexadite |
1亿美元 |
一家以色列公司。Hexadite创建于2014年,其主要任务不是防御网络攻击,而是迅速识别和解决网络攻击。Hexadite的技术可以连接到当前的网络安全检测系统,利用人工智能来自动分析威胁。 |
四、“AI+网络安全”防护的六个关键创新领域
“在很多配备人工智能(AI)预测能力的前沿领域,可让安全厂商、企业以及我们个人在应对网络袭击中占据上风”。总结出AI网络安全防护的六个关键创新领域:
关键创新领域 |
技术实现 |
代表性公司 |
发现和阻止黑客入侵物联网设备 |
基于AI的轻量级预测模型可以在低计算能力的设备上自动驻留和操作,它可以实时发现和阻止设备或网络范围的可疑行为。 |
CyberX、
PFP Cybersecurity、
Dojo-Labs
|
预防恶意软件和文件被执行 |
利用AI的巨大能力,可以查阅每个可疑文件数以百万计的特征,发现哪怕是最轻微的代码冲突。 |
Cylance
Deep Instinct
Invincea
|
提高安全运营中心的运营效率 |
安全团队面临的关键问题之一就是每天收到的安全警报溢出引发的警报疲劳。 |
Phantom、Jask、
StatusToday、CyberLytic
|
量化风险 |
量化企业面临的网络危险正成为挑战,主要是缺少历史数据和需要考虑的变量太多。AI技术可以处理数以百万计的数据点,同时生成预测,帮助企业和网络保险公司获得最精确的网络风险评估。 |
BitSight、Security Scorecard |
网络流量异常检测 |
通过寻找跨协议相关性,不依赖侵入性的深度数据包检查,分析内部和外部网络流量中无穷无尽的元数据相关性,AI技术可被用于检查异常网络流量。 |
Vectra Networks、DarkTrace、BluVector |
检测恶意移动应用 |
数据显示,56%的iOS顶级应用和全部Android应用都曾遭到网络攻击。利用先进AI技术可以帮助应用分类,区分恶意与良性应用。 |
Deep Instinct、Lookout Mobile Security、Checkpoint |
五、六方云如何利用AI技术引导下一代防火墙走向智能化?
从2009年Gartner正式对“新一代防火墙”这个名词下定义,新一代防火墙就已经不只是个营销噱头了。再回顾一下新一代防火墙需要满足的主要要求:
Ø 标准第一代防火墙能力(包过滤、NAT、状态协议检查、VPN等)
Ø 不仅限于融入网络入侵防御能力
Ø 应用感知,和全栈可视性
Ø 支持防火墙以外的威胁情报
实际上,这其中最重要的部分就是所谓的“应用感知和全栈可视性”。这是新一代防火墙相较状态检测防火墙最大的区别,将针对流量的检测提升到了OSI模型中的第七层,并依据对应用层的流量检查,实现对应用的识别,以及直观的可视化。比如说,在这种功能的加持下,防火墙可以实现允许特定应用流量,但同时却禁止特定应用中的文件共享功能。这是以前的防火墙无法实现的功能。
综合下一代防火墙核心理念与人工智能关键创新领域技术,六方云科技的网络安全产品线从三个维度进行“AI+网络安全”的组合实践。
5.1基于“未知威胁识别”的立体防御体系
在黑客进行攻击过程中,六方云科技的网络安全产品在每个攻击阶段都提供对应的安全方案。例如:在外围突破的时候,能够提供下一代防火墙保护;当黑客攻破内部网络,进行恶意软件传送的时候,可以通过未知威胁以及端点威胁防止进行阻断;假如黑客攻破了内部网络,在其横向移动时,也通过下一代防火墙的智能威胁检测模块来进行阻断;到最后黑客攻破系统,开始窃取数据,则可以利用域名检测以及URL过滤来找到这些黑客的来源,以及其所传送的这些数据,帮助用户检测、发现和阻断黑客的攻击行为。
5.2基于“健康指纹基线”的辅助机器学习
传统安全厂商部署的机器学习算法通常采用训练大型数据集的方式,以“学习”网络上需要注意的事项以及如何对不同情况作出反应。与人工智能系统不同,大多数安全应用程序无法在没有新的训练数据的情况下推断出新的结论。
然而,机器学习本身就很强大,而且这种方法非常适合病毒防御和恶意软件扫描。几十年来,防病毒一直是基于签名的,这意味着安全厂商会识别特定的恶意程序,为每个程序提取一种独特的指纹,然后监控客户设备以确保不会出现这些签名。
基于机器学习的恶意软件扫描以类似的方式工作,算法训练大量恶意程序目录以了解要查找的内容。但是机器学习的方法具有灵活性的额外好处,因为扫描工具已经学会了寻找恶意软件的特征而不是特定的签名。
攻击者可以通过对他们的恶意工具进行轻微改动来阻止传统的防病毒,这些恶意工具会丢掉签名,基于机器学习的扫描程序。
从本质上讲,机器学习在安全方面的最大优势在于训练,以了解系统的“基线”或“正常”,然后标记任何不寻常的人工审查。
5.3基于“样本回归分析”的事件处理机制
在网络安全领域,对威胁的识别,并非一蹴而就,而是渐进发展的过程。安全厂商起初通过黑白名单技术,将目标进行好/坏定性,用这样的一维特征来识别威胁。随后是匹配字符串这样的二维特征,如果请求里包含某一类型的数据,就会被认定为非法。在这之后是多维特征,要辨别一个程序是好是坏,先让它运行,再监督它的运行过程,将运行过程中的信息形成多维特征,用于判断。但多维特征技术的致命缺点就是开销太大,效率低下,因此无法达到客户要求。
在 2000 年以后,随着移动互联网的发展,有大量设备产生各式各样的日志,因此在日志管理和分析方面,有了长足的发展,但也带来了海量日志报警,运维人员每天无法及时遍历处理查看的问题,而包括关联分析等机器学习算法的使用,有效解决了此问题。
通过离散型的统计分类、联系性的关联分析等监督学习算法,使得海量威胁告警、日志事件进行归一化合并,大大降低企业运维人员的运维工作量,提升威胁事件处理的效率,更好的辅助宏观决策。
六、总结
六方云一直秉承“基于客户开发产品,以技术作为安全的保障”的思想,踏踏实实为客户解决实际问题。因此,我们积极地研究人工智能相关技术,并用于公司现有安全产品进行实践,让人工智能+网络安全能够更好的服务客户。
