深圳电子展
2024年11月6-8日
深圳国际会展中心(宝安新馆)

利用AI技术提升安全防护能力,实现“主动防御”安全目标

“新基建”对网络安全防护能力提出的四点新要求,本质上是希望针对“新基建”新技术新场景实现“主动防御”,即能够做到以下四点:及时发现正在进行的攻击,做到主动检测;及时识别和预警未知威胁与攻击,做到主动预警;及时采取必要措施以阻止恶意攻击或行为达到目标,做到主动保护;在无需人为干预的情况下提前预防类似安全事件再次发生,做到主动响应。

1. 仿生人体免疫系统构建主动防御安全体系

主动防御需要网络安全防护能力必须具有智能。网络安全智能化除了引入AI技术外,还需要一套全新的安全体系。

人工智能从总体上分为强人工智能和弱人工智能,强人工智能遵从仿真主义,也就是希望设计出一个与人完全一样的机器人;弱人工智能又可以分为两个流派,其中一个是通过“大数据+大量计算+适当算法”来获得一定智能,比如阿尔法狗(Alphago);另外一个流派认为应该模仿幼儿学习新事物的方式,也就是“适当数据+适当计算+复杂算法”方式来获得智能,遵从连接主义,也就是仿生学的路线。

仿生学的思路是人工智能技术应用到各个领域的基本方法论之一。我们知道,人体免疫系统是一个具有高度智能化的主动防御系统,同时人体免疫系统还具有联防联控,整体防护的机制。如果将网络空间看成一个人体,网络安全模仿人体免疫系统是一条可行之路。

2. 借助人工智能技术,实现主动防御所面临的挑战

以模仿人工智能应用成功的人脸识别方法为例,人脸识别大部分采用有监督机器学习算法,而威胁检测由于网络安全是攻与防的动态博弈过程,所以攻击特征在不断变化,即使找到了某种攻击的恶意样本,经过训练的模型适应能力必然很差,很容易被绕过,甚至遭受模型攻击,所以应采用无监督学习实现安全威胁的主动检测。采用无监督学习路线对数据要求没有监督学习那么高,但对建模、算法、算力都会有较大挑战。

实现无需人为干预情况下的主动响应,包括主动预防的安全策略、主动响应策略与处置,是几十年安全技术发展的追求,难度可想而知。应借助强化学习技术,模仿人体免疫机制中的DC(树突状)细胞智能决策启动何种抗原体去杀死病原体,来实现网络安全主动响应。

主动预警包括主动预测和主动报警。预测包括多个维度的预测,包括在什么时间可能会来自哪个攻击者,采用什么攻击方式,针对什么目标,希望达到什么目的等。当前即使应用AI技术还难以达到预期效果。大致上有两条技术路线,一条是模仿人获得知识的过程,基于任务驱动的因果推理与学习,核心是通过设计各种任务训练得到价值函数,然后用这个价值函数预测可能的威胁。另一条采用机器学习如回归分析算法,以历史数据预测未来,在很多情况下难以达到预期效果。

3. 基于AI技术的主动防御类安全系统应具备的特征

产品形态:由数据探针和策略执行器与分析平台构成的分布式处理系统。

应用场景:应能满足等保2.0的4+1场景,即传统网络安全、工控安全、云计算安全、移动互联安全和物联网安全。

基本功能:至少具备七大功能,即数据采集与分析、高级威胁检测、未知威胁检测、攻击场景还原、追踪溯源、威胁告警与通报、威胁响应与处置。其中高级威胁和未知威胁检测是必须具有的功能,也是区分与其他传统产品的典型功能。

典型特征:全面防御:既能够防范已知威胁,也能够防范未知威胁;动态防护:能够自适应的检测变种威胁和调整安全响应策略;精准防控:威胁检测准确率达到90%以上,误报率降低到10%以下;自我进化:学习时间越长,威胁防范能力越强,并能够自我调节与完善。