澳门新葡亰0066

当前位置:论文网 > 论文宝库 > 信息科技类 > 网络安全 > 正文

人工智能在网络安全领域的辅助应用和面临的挑战

来源:UC论文网2020-09-04 13:38

摘要:

  摘要:人工智能工具用于分析数据和预测结果,其对许多行业都是福音,包括网络安全和国防行业。目前,越来越多的防病毒和网络威胁情报系统正在寻求将人工智能技术集成到网络防御响应能力中。过去网络安全领域的观点认为威胁主要来自于单独的黑客入侵行为,而事实上,我们面对的是有着严密组织的网络犯罪集团[1],勒索软件就是一个典型的例子。传统网络安全领域存在两个重大缺陷:一是非常依赖规则;二是无法根据现代企业的规...

  摘要:人工智能工具用于分析数据和预测结果,其对许多行业都是福音,包括网络安全和国防行业。目前,越来越多的防病毒和网络威胁情报系统正在寻求将人工智能技术集成到网络防御响应能力中。过去网络安全领域的观点认为威胁主要来自于单独的黑客入侵行为,而事实上,我们面对的是有着严密组织的网络犯罪集团[1],勒索软件就是一个典型的例子。传统网络安全领域存在两个重大缺陷:一是非常依赖规则;二是无法根据现代企业的规模进行扩展。但是,人工智能则可凭借其强大的学习和运算能力,迅速地从百万次迥异的嫌疑事件中发现异常、风险和未知威胁的信号。文章阐述该如何利用人工智能、机器学习、深度感知等方法,提升应对网络安全威胁的能力,从而更全面、高效地建设我国的信息安全保障机制,使局部安全服务于国家安全。


  关键词:人工智能;网络安全;深度学习


  中图分类号:TP393.0文献标识码:A


  1引言


  人工智能在进入20世纪后高速发展,尤其是在2010年后,一系列基于大数据、高性能GPU和高速网络的深度学习方法被研究完善,使得之前被认为需要到21世纪中叶才能实现的人工智能技术,在当前就已经成为现实。


  最初,网络安全和人工智能被认为是两个独立的实体。为了提高工作效率,人工智能研究人员开始着手创建机器学习模型,而网络安全专家则试图设计出更安全的身份审计系统。随着时间的推移,这两个领域的发展越来越紧密,为了混淆身份验证系统,入侵的手段越来越隐蔽且复杂化,但人们可以将CAPTCHA与人工智能[2]在安全性方面的博弈,视为一个很好的例子.在CAPTCHA中,用户将键入扭曲(底噪)的图片上的字母,或者键入出现在屏幕上顺序颠倒模糊的字母或数字。以前,CAPTCHA可以通过让人识别扭曲的文字来轻易过滤算法,但到了2014年,人工智能在解决这类问题时已经超过人类,之后有一些人机识别机制转而使用图片场景识别,例如谷歌就经常让用户找出图片中的十字路口或交通信号灯。然而,人工智能现在对于这类问题的解答能力超过了人类。


  鉴于上述情况,并结合近两年的研究表明,将人工智能整合入企业的网络安全体系中,可大幅降低企业全球化后所面临的日益增长的网络安全威胁。随着企业在信息化建设、大数据商业分析和计算能力等方面的不断提高,来自网络的威胁也越来越多样化,其入侵的手段已经不再局限于钓鱼邮件、恶意注入等,而是开始大规模地利用社会工程学、勒索软件、APT等方式,以期对目标企业造成巨大的经济和信用打击,如何确保企业重要资产的安全和客戶的隐私,成为了摆在所有机构面前的头等大事。引入人工智能辅助网络安全管理的优势在于,可以立即识别可疑问题并做出反应,从而防止潜在问题干扰业务。


  与此同时,人工智能技术也是一把“双刃剑”。确实,尽管人工智能和机器学习为网络安全提供了好处,但也有可能产生其他问题,因为这些工具可以帮助抵御黑客攻击,网络犯罪分子很可能会使用相同的技术来使攻击更加有效。欧洲刑警组织(Europol)的一份报告警告[3]说,人工智能是新兴的技术之一,它可能使网络攻击比以往任何时候更加危险,甚至网络犯罪分子可能已经开始使用这些技术,来帮助进行黑客活动和恶意软件攻击。


  2网络安全态势综述和发展趋势


  如果将信息战场比作是一场没有硝烟的战争,那么这应该是世界上最长的战争。根据IDGCSO的统计,预计2021年,各国在网络安全上的投入预算达到6万亿美元,在对已知的“严重”等级以上的网络安全事件进行筛选后发现,导致网络安全事件发生的最薄弱的环节并不是软硬件的缺失,而是人为因素,这其中包括疏忽、误操作、响应迟缓、决策错误等。


  网络安全是多方面的,就像人们可以为自己的家庭网络设置诸如防火墙、虚拟操作系统和指纹验证等安全保障。但是,保护企业网络要复杂得多,随着时间的推移,在现有的网络安全理念的框架下,多样化的威胁开始迅速涌现,现有的响应机制必须满足不断变化的威胁形势的需求,这让传统的应对手段显得老态龙钟。与此同时,伴随着网络安全在技术上取得的每一次进步,入侵的手段也在不断变化,对网络安全造成的压力也与日俱增。


  现如今,人类所面临的网络安全威胁已日趋组织化、专业化、隐蔽化[4],部署更加智能的网络安全软件是网络安全防御发展的趋势。安全信息和事件管理(SIEM)软件提供安全事件分析以及各种信息的存储和关联,包括日志数据、威胁向量和用户行为等信息,以及结构化威胁情报分析。人工智能是人类为了使机器变得更加智能的尝试,情报是人类社会中独特的重要组成部分,在网络空间中亦是如此,但是,直到最近人工智能才逐渐取代人工手段,成为网络空间中各类情报(大数据)获取的主要来源。


  3人工智能在网络安全领域的发展前景


  为了增强现有的网络安全系统和实践,可以在三个方面应用人工智能。


  3.1预防和保护


  一段时间以来,研究人员一直专注于人工智能阻止网络入侵者的潜力。2014年,美国国防高级研究计划局宣布了首届DARPA网络大挑战赛,这项竞赛由专业黑客和信息安全研究人员参加,通过利用基于人工智能的漏洞检测系统找出安全漏洞并实时开发和部署解决方案。尽管仍处于初期阶段,但网络安全的未来可能会受益于更多使用人工智能的预防和保护系统,这些系统使用先进的机器学习技术来强化防御,还可以使人们灵活的与算法决策交互。


  3.2网络安全属性的定性检测


  传统的网络安全预警机制,依赖专业人员使用固有特征的威胁样本的分析软件,来检测网络中存在的异常,以及利用已知的攻击方式对漏洞进行识别。一旦发现匹配的威胁特征时,分析软件会向安全团队发出警报,将这种工作模式归类为基于定量风险的分析模式,这其中包括已知和未知的风险,优点和不足都显而易见。其中,不足集中表现在缺乏对未来网络安全趋势的预测和可持续性追踪上,对于网络威胁的预警只能是发生在事中或者事后,无法做到全过程可溯,造成这种情况的原因与前面提到的基于固有特征的定量风险管理模式是分不开的。


  在网络威胁不断变化的情况下,准确的筛选网络中的异常行为,对人类来说是一项极其庞大的工作。由于入侵行为(通常是数据盗窃)是长期的,因此网络上也存在一些恶意软件程序,并且看起来是无害的,称之为高级持久威胁(APT)。它们经过精心设计,可以被网络安全程序和分析软件所忽略,绕过前段蜜罐,自动识别高价值信息,并可以长期潜伏在目标网络中,且无论目标库中的威胁特征码如何更新,始终可将自身置于“高度受信”的名单内。面对APT,最好的方法就是引入“预测分析”和“认知计算”,作为人工智能的重要组成,“预测分析”也可以被成为“机器学习”,实际上它具备了比人类更好的识别模式。通过分析各种已发生的攻击,即使它与先前已知的特征不匹配,人工智能也具备对可能的攻击具有“直觉”或预测的能力。而“认知计算”则是人工智能模型通过模仿人脑动作,在系统输入的大数据中,将网络安全威胁事件筛查出来,它可以学习并获得识别威胁的能力,构建基于态势的网络安全模型。“认知计算”可使用结构化和非结构化数据作为输入,在异构数据的基础上,提供类似于人为洞察力的人机协作关系。之后,它可以提供人类可能从未想出的见解或提出独特的解决方案,这个称之为输出,从而增强网络安全专业人员的能力,并且其速度远远超过了人类的能力。


  3.3对威胁和风险的即时响应


  人工智能可以帮助优先考虑需要关注的风险领域并自动化的执行任务(例如在日志文件中搜索是否存在警告),从而减轻网络安全分析师的工作量,将人员的工作重心转移到更高价值的活动上。人工智能还可以基于共享的知识和学习,促进对外部或内部攻击的智能响应。例如,目前人类拥有部署半自动,智能诱饵或“蜜罐”的技术,这些诱饵创建了要渗透的网络环境,以使攻击者认为他们在预期的入侵路径上,然后使用欺骗手段来识别罪魁祸首。具有人工智能功能的响应系统可以动态隔离网络,以将有价值的资产隔离在安全的“地方”,或使攻击者远离漏洞或有价值的数据。


  在传统网络安全领域中,所有网络安全团队面临的最大挑战就是疲劳。他们疲于在上千万的网络安全响应中奔命,响应时间被无限的延迟。毕竟与人工智能相比,人类理解大型数据集的能力并不是很好。人工智能的引入为专业人员提供了所需要的威胁分类关联信息(可理解为上下文信息),从而可以更快、更明智地制定决策,并降低劳动强度,同时借助网络安全分析软件提供的数据(预测分析),以及上下文数据毫实时更新网络安全知识集,再加上先前确定的见解(认知计算),人工智能可以比任何人更快,更准确地关聯所有数据。自工业革命开始以来,人工智能可能被证明是人类技术上最大的进步,曾经只在科幻小说中构思过的人工智能,终于出现在这里并影响着人们的日常生活。


  4人工智能在网络安全领域的应用聚焦


  4.1网络安全抽象化


  将机器学习应用到网络安全已成为近年来安全领域的研究热点。它主要围绕机器学习在网络空间安全的典型应用中展开,包括数据采集、样本提取、威胁模型构建和验证三方面上,大多数的论点、研究也都集中在这些典型应用领域。而在问题分类、聚类问题和降维问题的网络安全问题抽象化方面则关注极少。


  通过引入安全问题抽象,可将网络空间安全问题映射为机器学习能够解决的类别,问题映射的恰当与否直接关系到机器学习技术解决网络空间安全问题成功与否。比如,对硬件级芯片木马的检测、网络端口反射、身份验证、5G安全等都可以抽象为分类问题;网络舆情分析、跨域异常账号检测、网络入侵检测等可以抽象为聚类问题;用户身份认证、取证分析、垃圾邮件等问题,既可以抽象为分类问题,也可以抽象为聚类问题。通过上述抽象化后的问题分类,可以快速地对应监督学习、无监督学习、对抗式学习等的人工智能解决方案,既满足了在网络环境中,对采集数据的低噪音、高质量的要求,也达到了对目标网络中数据包与数据流高耦合性的要求,极大地避免了人工处理失误而产生异常点。


  4.2智能代理


  智能代理可深度地融入人工智能在网络安全场景中的实际应用,在人工智能领域,智能代理指一个可以观察周围环境并作出行动以达致目标的自主实体,是一种具备了一定学习能力以及对样本威胁可以做出响应的网络质量保证工具,主要特点是对网络威胁的主动预见性、对威胁的理解和自主响应能力、机器学习能力等。在网络安全应用研究和开发的新领域,智能代理犹如网络空间中“巡逻警察”,既可以有效地感知和抵御诸如DDoS攻击一类的网络威胁,也可以满足在分布式网络结构下的面向特定威胁对象的态势感知。它以网络信息资源建设为核心,实现信息海量存取、可信的数据传输、威胁跟踪、版权保护,形成一套基于智能代理和神经网络的非分布式混合入侵检测方法,在网络安全的应用中发挥举足轻重的作用。


  在下一步的发展中,智能代理应更紧密地与基础网络架构和ISP运营商相融合,借助后者在网络结构和质量上的优势,进一步在网络安全领域发挥更大的作用,这需要包括ISP服务商在内的多方面的合作。


  4.3威胁的搜索分析


  以往对网络安全数据的搜索分析,大都采用文本分析方式,来识别网络活动和模式[5]。但是,随着网络安全数据量的增加和安全数据复杂度的增高,数据搜索分析所需的时间也越来越长[6]。目前来说,以人工智能为基础的搜索模式主要是启发式搜索,也被称为回溯式搜索。它需要在进行搜索前对前导条件进行一系列的定义,以避免结果和范围失控,所以无论是在网络安全领域还是数据分析应用领域,启发式搜索的应用场景都较窄,但是人类可以借助人工智能中的深度学习模式,利用αβ(Alpha-beta)搜索算法,在更多的场景中尝试将网络数据抽象为可视化形式进行表示,以快速地发现和识别各种网络行为,并且利用可视化系统或者可视分析系统处理大规模网络安全数据,以更有效地表征网络行为特征。αβ是一种基于决策树的搜索算法,用以减少极小化极大算法搜索树的节点数,一旦节点数被确定为唯一,那么这个节点就会被系统认定为最优解,这是一种对抗性搜索算法,同时,基于αβ算法的网络安全数据搜索方法,实现了用户对关键安全信息的快速检索,提高了整体的交互效率,非常有助于网络安全决策。


  4.4基于人工智能的网络安全专家系统


  专家系统对在各个领域的发展起到了很大的促进作用,并对科技、经济、国防、教育、社会和人民生活产生极其深远的影响,目前越来越多的人工智能技术,被证实能有效增强网络系统安全防御。当下,人们可以逐步将基于人工智能的网络安全专家系统,应用于网络系统安全领域,并重点从机器学习、启发式响应以及过程自动化等领域着手,逐步将其技术融入实际场景应用中。


  基于人工智能的网络安全专家系统,可用于安全事件发生时为人提供决策辅助或部分自主决策,是应用于“机器学习”“过程自动化”和“深度学习”之上应用层的构架软件。专家系统通过基于无监督学习、可持续训练和过程自动化技术,可以提前研判网络威胁,进行风险评估并建立安全基线,加强网络结构的鲁棒性。在网络安全管理的应用中,以现有的技术,人们可以利用专家系统连续监控网络流量,识别攻击模式,实现实时、无人参与的网络分析,洞察系统的安全态势,动态灵活调整系统安全策略,让系统适应不断变化的安全环境。


  “启发性”“透明性”“灵活性”是专家系统的显著特点,能够汇集和集成多领域专家的知识和经验以及他们协作解决重大问题的能力,拥有更渊博的知识、更丰富的经验和更强的工作能力。也就是说,专家系统是一个具有大量的专门知识与经验的程序系统,它应用人工智能技术和计算机技术,根据某领域一个或多个专家提供的知识和经验,进行推理和判断,模拟人类专家的决策过程,以解决那些需要人类专家处理的复杂问题。简而言之,专家系统是一种模拟人类专家解决领域问题的计算机程序系统。


  5人工智能在网络安全应用中所面临挑战


  本文看到了人工智能在网络安全应用方面的无限前景,但与此同时人工智能也面临着来自多维度的威胁,这其中包括深度学习框架中的软件漏洞、对抗机器学习的恶意干扰元素的生成、训练数据的污染等。这些威胁可能导致人工智能所驱动的应用系统出现逻辑混淆,形成偏差或者误判,甚至导致系统崩溃或被恶意劫持,从而使得人工智能变成威胁信息安全和网络安全的攻击工具。


  恶意使用人工智能技术足以控制一个小型企业网络。飞塔信息公司(Fortinet)在其发布的2019年《威胁态势预测:网络犯罪五大趋势》[7]中指出,人工智能技术未来将被大量应用在蜂巢网络和机器人集群中,利用自我学习感知的能力以及前所未有的精度自主攻击脆弱系统和网络。与传统僵尸的网络不同,利用人工智能技术构建的网络和集群内部是能相互通信和交流的,并根据共享的本地情报采取对应的行动。被感染设备也将变得更加智能,这里的设备不仅包括计算机设备,还包括大量采用ARM或者MIPS指令集的路由器,这些设备无需等待人类控制者发出指令就能自主执行命令,同时對多个目标发起攻击,并通过对抗学习,极大地延迟被攻击目标自我响应程度。这一系列实例说明,智能IoT设备在应对规模化、智能化的主动攻击方面系统表现出的脆弱性。


  网络安全研究人员已经成功地操控了由亚马逊、苹果和谷歌开发的人工智能系统,以进行拨号电话和浏览论坛留言等操作,并且无需借助任何自动化运行脚本。众所周知,Alexa、Siri和GoogleAssistant是人类所接触到和使用最广泛的人工智能辅助程序,目前诸多APT都已瞄准了上述人工智能平台,企图操控用户安装在设备中的金融程序或通讯软件,以窃取相关数据或实施盗窃。实际上,根据网络安全公司Webroot的一项调查,在美国和日本,超过90%的网络安全专业人员都表示,入侵者对其公司所使用的人工智能系统十分感兴趣,尤其是涉及到商业决策和客户关系管理的后端人工智能系统。


  6结束语


  本文提出的人工智能在网络安全领域的场景应用,能有效增强关键信息基础网络和服务的安全水平,提高网络在应对0Day和APT时的可用性。在当前愈发严峻的国外内网络安全形势下,借助人工智能,打造一套更加坚固的网络安全系统。与传统的网络安全解决方案相比,人工智能在这个领域展示出了它强大且灵活的一面。与此同时,人类也应该看到,尽管人工智能已在网络安全领域发生了巨大作用,但并不是解决所有网络安全问题的灵丹妙药,不过这并不意味着不能利用人工智能方法,而是应该了解其不足并正确利用它。在此期间,人类需要对人工智能进行不断的完善和训练。


  作者简介:高伟波(1986-),男,汉族,山东日照人,哈尔滨理工大学,本科,江西省核工业地质局261大队,高级工程师;主要研究方向和关注领域:网络安全、数据中心管理、地理信息系统数据库建设、TensorFlow模型算法。李仲琴(1988-),女,汉族,江西高安人,江西师范大学,本科,江西省核工业地质局261大隊,工程师;主要研究方向和关注领域:舆情与舆论情报分析、信息系统安全管理、工业基础网络防护。

核心期刊推荐

Baidu
sogou