網(wǎng)絡(luò)安全防護(hù)中人工智能技術(shù)的運(yùn)用

網(wǎng)絡(luò)安全防護(hù)中人工智能技術(shù)的運(yùn)用

摘要：隨著互聯(lián)網(wǎng)的爆炸性發(fā)展,如今網(wǎng)絡(luò)攻擊所需的技術(shù)門檻越來(lái)越低,攻擊的危害性越來(lái)越大。網(wǎng)絡(luò)安全領(lǐng)域傳統(tǒng)的防護(hù)策略正在快速失效,這就迫切需要找到更有效的檢測(cè)威脅的辦法。人工智能技術(shù)在近些年取得了飛速的發(fā)展,可以廣泛應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。本文介紹了網(wǎng)絡(luò)安全技術(shù)的演進(jìn)需求和人工智能技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域取得的進(jìn)展,并對(duì)未來(lái)可預(yù)見的發(fā)展做了展望。

關(guān)鍵詞：網(wǎng)絡(luò)安全;演進(jìn)需求;人工智能;技術(shù)應(yīng)用;

0、引言

隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的快速發(fā)展以及移動(dòng)設(shè)備的普及，終端（包含移動(dòng)終端）、網(wǎng)絡(luò)端和云端均面臨著網(wǎng)絡(luò)安全問(wèn)題。信息技術(shù)的發(fā)展、網(wǎng)絡(luò)環(huán)境的復(fù)雜性以及信息系統(tǒng)的脆弱性和開放性，使得網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)無(wú)處不在。

網(wǎng)絡(luò)安全威脅在新的時(shí)代背景下更是呈現(xiàn)出新的發(fā)展趨勢(shì)。更廣的被攻擊領(lǐng)域、更強(qiáng)大的網(wǎng)絡(luò)攻擊者和更被動(dòng)的防御手段，要求人們尋找與傳統(tǒng)方法不同的網(wǎng)絡(luò)安全防御策略。

1、傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)

典型的網(wǎng)絡(luò)攻擊包括但不限于惡意軟件、僵尸網(wǎng)絡(luò)、釣魚網(wǎng)站、流量攻擊、垃圾郵件等等，這些攻擊不僅對(duì)個(gè)人用戶和企業(yè)造成損失，更重要的是會(huì)危害國(guó)家經(jīng)濟(jì)甚至國(guó)防安全。

在過(guò)去的數(shù)十年間，技術(shù)研究人員開發(fā)出多種保護(hù)網(wǎng)絡(luò)安全的方法。這些方法包括防火墻、密碼技術(shù)、防病毒軟件、防惡意軟件、虛擬專用網(wǎng)絡(luò)以及基于規(guī)則的入侵檢測(cè)系統(tǒng)等。但是面對(duì)如今不斷演進(jìn)的各種網(wǎng)絡(luò)攻擊，上述方法的效果開始逐漸減弱。

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)的特點(diǎn)主要包括：

(1）無(wú)法有效地阻止用戶身份被竊?。?/p>

(2）反病毒軟件的查殺指紋更新周期遠(yuǎn)大于病毒軟件的迭代周期；

(3）漏報(bào)太多，不能做到完全防范風(fēng)險(xiǎn)；

(4）誤報(bào)太多，浪費(fèi)人力物力進(jìn)行人工查驗(yàn)；

(5）設(shè)計(jì)多用于邊界防御，難以阻止攻擊者從內(nèi)部破壞；

(6）安全規(guī)則的制定和設(shè)置復(fù)雜，不能及時(shí)應(yīng)對(duì)現(xiàn)有的各種網(wǎng)絡(luò)威脅。

2、人工智能技術(shù)

源于海量的數(shù)據(jù)、強(qiáng)大的計(jì)算資源以及更先進(jìn)的算法，人工智能技術(shù)在近些年迎來(lái)了蓬勃發(fā)展。機(jī)器學(xué)習(xí)是人工智能的核心，是現(xiàn)階段實(shí)現(xiàn)人工智能應(yīng)用的主要方法，它廣泛地應(yīng)用于機(jī)器視覺(jué)、語(yǔ)音識(shí)別、自然語(yǔ)言處理、無(wú)人駕駛、醫(yī)療診斷、數(shù)據(jù)挖掘等領(lǐng)域【2】。

機(jī)器學(xué)習(xí)算法分為監(jiān)督學(xué)習(xí)和無(wú)監(jiān)督學(xué)習(xí)。監(jiān)督學(xué)習(xí)中，會(huì)對(duì)算法提供帶有標(biāo)記的樣本數(shù)據(jù)，算法從訓(xùn)練樣本中學(xué)習(xí)生成模型，然后依據(jù)該模型對(duì)新的樣本進(jìn)行預(yù)測(cè)推斷。典型的監(jiān)督學(xué)習(xí)方法包括分類和回歸等。無(wú)監(jiān)督學(xué)習(xí)是利用無(wú)標(biāo)記的有限數(shù)據(jù)描述隱藏在未標(biāo)記數(shù)據(jù)中的結(jié)構(gòu)和規(guī)律，不需要訓(xùn)練樣本和人工標(biāo)注數(shù)據(jù)。典型的無(wú)監(jiān)督學(xué)習(xí)方法包括聚類、數(shù)據(jù)降維和關(guān)聯(lián)規(guī)則學(xué)習(xí)等。

深度學(xué)習(xí)和強(qiáng)化學(xué)習(xí)是機(jī)器學(xué)習(xí)研究中的新興領(lǐng)域。深度學(xué)習(xí)通過(guò)深層神經(jīng)網(wǎng)絡(luò)自動(dòng)學(xué)習(xí)復(fù)雜、有用的特征，完成特征提取與機(jī)器學(xué)習(xí)算法的融合。強(qiáng)化學(xué)習(xí)是與監(jiān)督學(xué)習(xí)不同，沒(méi)有標(biāo)簽數(shù)據(jù)作為監(jiān)督信號(hào)，強(qiáng)化學(xué)習(xí)必須依靠自己的經(jīng)歷進(jìn)行學(xué)習(xí)并不斷優(yōu)化。

網(wǎng)絡(luò)中的攻擊行為經(jīng)常改變它們的表現(xiàn)方式，當(dāng)這些襲擊事件發(fā)生變化時(shí)，由于沒(méi)有預(yù)先建立可與之匹配的規(guī)則或者模式，難以被傳統(tǒng)的網(wǎng)絡(luò)防護(hù)系統(tǒng)所識(shí)別。機(jī)器學(xué)習(xí)不是利用顯式的規(guī)則去完成特定功能，而是通過(guò)自身學(xué)習(xí)從大量的樣本數(shù)據(jù)中抽象、歸納出知識(shí)與規(guī)則，從而更加靈活和高效。

3、典型應(yīng)用

3.1、身份認(rèn)證識(shí)別

用戶身份認(rèn)證是對(duì)用戶真實(shí)性的識(shí)別和檢測(cè)，是網(wǎng)絡(luò)安全的重要前提。傳統(tǒng)的用戶身份識(shí)別通常采用口令認(rèn)證，但是口令在網(wǎng)絡(luò)中容易被竊取和破解。使用硬件設(shè)備進(jìn)行加密認(rèn)證能提高認(rèn)證安全性，但是硬件設(shè)備可能會(huì)丟失或者損壞，從而增加成本或造成不便。

人工智能的發(fā)展讓生物特征識(shí)別技術(shù)變得更加成熟。生物特征識(shí)別技術(shù)具有安全性好、不易丟失、難以仿冒和攜帶方便等諸多優(yōu)點(diǎn)，包括指紋、虹膜、聲紋和人臉識(shí)別等，其中最具代表性的是人臉識(shí)別技術(shù)。

人臉識(shí)別流程包括人臉采集、人臉檢測(cè)、人臉特征提取和人臉匹配識(shí)別。人臉識(shí)別過(guò)程采用了機(jī)器學(xué)習(xí)中的AdaBoos算法、卷積神經(jīng)網(wǎng)絡(luò)以及支持向量機(jī)等多種技術(shù)。人臉識(shí)別已廣泛應(yīng)用于刷臉登錄、實(shí)名認(rèn)證以及網(wǎng)絡(luò)支付等各領(lǐng)域。

3.2、惡意域名檢測(cè)

不法分子往往通過(guò)惡意域名進(jìn)行犯罪活動(dòng)，比如詐騙、賭博、釣魚或者色情網(wǎng)站等。傳統(tǒng)的惡意域名檢測(cè)方法是基于特征的黑名單技術(shù)。如今犯罪分子通常使用惡意軟件自動(dòng)生成大量的惡意域名，其數(shù)量一直持續(xù)增長(zhǎng)，并且不斷進(jìn)行技術(shù)演進(jìn)。在這種情況下，過(guò)去的檢測(cè)技術(shù)已經(jīng)徹底失效。

深度學(xué)習(xí)中的循環(huán)神經(jīng)網(wǎng)絡(luò)，可以區(qū)分人類手工編寫的正常域名和惡意軟件自動(dòng)生成的惡意域名。惡意軟件產(chǎn)生的域名中，其元音和輔音字母的比例會(huì)比較奇怪，或者反復(fù)出現(xiàn)大小寫字母與數(shù)字的交叉組合，循環(huán)神經(jīng)網(wǎng)絡(luò)可以輕易地識(shí)別和區(qū)分。通過(guò)語(yǔ)義分析，循環(huán)神經(jīng)網(wǎng)絡(luò)在鑒別惡意域名方面可以取得更加精確的結(jié)果。

3.3、流量攻擊檢測(cè)

黑客通常會(huì)利用惡意數(shù)據(jù)流量作為攻擊手段。對(duì)于此類威脅，傳統(tǒng)的防火墻和入侵檢測(cè)系統(tǒng)無(wú)法提供有效的防護(hù)。監(jiān)督學(xué)習(xí)對(duì)新流量的識(shí)別往往需要大量的樣本數(shù)據(jù)，但是廣泛收集此類樣本數(shù)據(jù)非常困難。缺乏足夠的樣本數(shù)據(jù)，使得基于網(wǎng)絡(luò)流量的入侵檢測(cè)系統(tǒng)難以發(fā)揮有效作用。

自組織映射是一種無(wú)監(jiān)督學(xué)習(xí)，它可以提高惡意流量識(shí)別的效率。自組織映射是人工神經(jīng)網(wǎng)絡(luò)中的一類，它的原理是神經(jīng)網(wǎng)絡(luò)的不同區(qū)域各自對(duì)輸入有不同的響應(yīng)，最終多維空間數(shù)據(jù)將收斂到低維空間。當(dāng)向檢測(cè)系統(tǒng)提供樣本數(shù)據(jù)時(shí)，最接近正常流量的神經(jīng)元向它移動(dòng)，并將鄰居節(jié)點(diǎn)拉向輸入樣本。最終，正常數(shù)據(jù)和異常數(shù)據(jù)的神經(jīng)元各自匯聚，異常流量被成功識(shí)別。

3.4、惡意軟件識(shí)別

惡意軟件包括但不限于勒索軟件、各種病毒軟件（如蠕蟲病毒）、木馬和惡意腳本等，惡意軟件極大危害網(wǎng)絡(luò)安全，給國(guó)家、企業(yè)和個(gè)人造成巨大損失。傳統(tǒng)的防護(hù)系統(tǒng)是通過(guò)簽名檢測(cè)或者人工規(guī)則匹配來(lái)阻止惡意軟件的運(yùn)行。但是如果檢測(cè)失敗，則基本無(wú)法阻止惡意軟件的運(yùn)行。惡意軟件還通過(guò)多種手段產(chǎn)生新的變種，以逃避防護(hù)系統(tǒng)的檢測(cè)。

監(jiān)督學(xué)習(xí)通過(guò)學(xué)習(xí)大量的樣本數(shù)據(jù)，可以提取良性軟件和惡意軟件的表現(xiàn)特征，從而區(qū)分正常和惡意的軟件。它不僅能學(xué)習(xí)惡意軟件是如何表現(xiàn)的，也能學(xué)習(xí)惡意軟件是如何演進(jìn)的。殺毒軟件通常是基于靜態(tài)檢測(cè)，而機(jī)器學(xué)習(xí)算法能實(shí)時(shí)識(shí)別惡意軟件的啟動(dòng)，并且和網(wǎng)絡(luò)隔離技術(shù)一起決策生效，在極短時(shí)間內(nèi)將被感染的電腦和整個(gè)網(wǎng)絡(luò)隔離，從而阻止惡意代碼的傳播。

3.5、垃圾郵件檢測(cè)

互聯(lián)網(wǎng)的飛速發(fā)展以及智能終端的廣泛普及，電子郵件已經(jīng)成了絕大多數(shù)人的日常應(yīng)用，但是這也成為滋生垃圾郵件的溫床。傳統(tǒng)的反垃圾郵件系統(tǒng)是利用基于文本的字符串匹配或者地址黑名單的方法，但是面對(duì)層出不窮的垃圾郵件的各種新型變種，這些傳統(tǒng)方法顯得力不從心。

和惡意軟件識(shí)別的工作類似，我們有巨大的樣本數(shù)據(jù)庫(kù)，這些樣本數(shù)據(jù)庫(kù)能幫助訓(xùn)練深度神經(jīng)網(wǎng)絡(luò)，以區(qū)分垃圾郵件和合法郵件。與此同時(shí)，樣本數(shù)據(jù)庫(kù)隨著用戶和服務(wù)提供商的報(bào)告還在持續(xù)增長(zhǎng)。深度神經(jīng)網(wǎng)絡(luò)不僅能檢測(cè)郵件來(lái)源的地址，更能分析和推斷郵件里的內(nèi)容是否存在無(wú)用或者惡意信息。有研究表明，一種新型的卷積神經(jīng)網(wǎng)絡(luò)和循環(huán)神經(jīng)網(wǎng)絡(luò)結(jié)合的模型，能有效提高識(shí)別準(zhǔn)確率。

3.6、異常檢測(cè)

一個(gè)完備的網(wǎng)絡(luò)防護(hù)系統(tǒng)，關(guān)鍵是能夠檢測(cè)異常狀態(tài)并迅速做出響應(yīng)。網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)動(dòng)態(tài)變化，異常狀態(tài)是相對(duì)正常狀態(tài)而言的，他們的表現(xiàn)形式并非一成不變。從復(fù)雜的網(wǎng)絡(luò)狀態(tài)中發(fā)現(xiàn)異常的過(guò)程，稱為異常檢測(cè)。在網(wǎng)絡(luò)安全領(lǐng)域，異常檢測(cè)能檢測(cè)來(lái)自外部的惡意攻擊，也能識(shí)別內(nèi)部的越權(quán)訪問(wèn)。

異常行為復(fù)雜多變，可能包含多條數(shù)據(jù)流量或者多個(gè)動(dòng)作。每條數(shù)據(jù)含有地址、端口、協(xié)議和路由等多個(gè)信息，動(dòng)作可能是頻繁訪問(wèn)文件或者傳輸大量異常數(shù)據(jù)等。因此，檢測(cè)的難點(diǎn)在于如何對(duì)這些特征進(jìn)行抽象并表達(dá)。

近年來(lái)，無(wú)監(jiān)督學(xué)習(xí)越來(lái)越多地被用于異常檢測(cè)。數(shù)據(jù)降維可以降低數(shù)據(jù)向量的維數(shù)，去除冗余信息，提高識(shí)別精度，進(jìn)一步發(fā)掘數(shù)據(jù)內(nèi)部的本質(zhì)特征。關(guān)聯(lián)規(guī)則學(xué)習(xí)能通過(guò)學(xué)習(xí)源數(shù)據(jù)，發(fā)現(xiàn)行為集合與異常狀態(tài)的潛在關(guān)聯(lián)信息。而通過(guò)基于概率分布和頻度的聚類算法，最終能將正常行為和異常行為區(qū)分開來(lái)。這一系列的機(jī)器學(xué)習(xí)算法，將網(wǎng)絡(luò)安全的異常檢測(cè)應(yīng)用更加成熟化。

4、結(jié)束語(yǔ)

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)技術(shù)是從已知攻擊推斷出的規(guī)則，并將規(guī)則應(yīng)用于這些已知攻擊的識(shí)別并阻止其運(yùn)行。然而不斷升級(jí)的各種惡意攻擊行為能繞開這套機(jī)制并對(duì)網(wǎng)絡(luò)安全造成重大破壞，這使得人們需要引入一種新的實(shí)時(shí)檢測(cè)和響應(yīng)的安全機(jī)制，來(lái)替換以前基于規(guī)則的預(yù)防系統(tǒng)。人工智能技術(shù)的蓬勃發(fā)展，正好提供了這個(gè)契機(jī)。

人工智能讓計(jì)算機(jī)模擬人的學(xué)習(xí)過(guò)程，通過(guò)多種算法構(gòu)建成體系的防護(hù)系統(tǒng)，并且能在和惡意行為的斗爭(zhēng)中學(xué)習(xí)經(jīng)驗(yàn)，優(yōu)化自身性能。人工智能技術(shù)能實(shí)時(shí)調(diào)整和改進(jìn)，是主動(dòng)檢測(cè)而不是被動(dòng)防御，在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用中取得了重大進(jìn)步。

我們也應(yīng)該清醒地看到，當(dāng)前人工智能技術(shù)并不能像人們所期望的那樣，可以解決所有網(wǎng)絡(luò)安全問(wèn)題。機(jī)器學(xué)習(xí)只是解決了網(wǎng)絡(luò)安全中的一小部分問(wèn)題。目前被成功應(yīng)用的解決方案以監(jiān)督學(xué)習(xí)為主，但是要建成實(shí)時(shí)的整套防護(hù)體系，需要更多的利用無(wú)監(jiān)督學(xué)習(xí)，最終目標(biāo)是盡量減少人類的參與，這還有很長(zhǎng)的路要走。

另外，人類目前應(yīng)用的只能算是弱人工智能，即使對(duì)于部分已經(jīng)成功運(yùn)用的算法，我們也沒(méi)有徹底掌握其運(yùn)行機(jī)理。更加值得注意的是，人工智能技術(shù)用于網(wǎng)絡(luò)安全防護(hù)時(shí)，可能本身也存在未被發(fā)現(xiàn)的漏洞。