传统安全防护能力需要提前定义威胁，具有三大局限：防护能力是静态的，防护是被动式的，无法防范未知威胁。比如边界控制方法、终端安全需要依赖提前定义好的入侵特征，沙盒很容易被高级威胁所绕过，事件管理与分析工具是一个资源密集型的活动，需要大量专家参与；当前流行的行为分析技术不能检测新型威胁，仍然要依赖业务规则库。

而“新基建”下安全风险与威胁呈现三大特征：网络攻击自动化、网络攻击智能化、网络攻击手段多样化。这就对网络安全防护能力提出了四个新要求：能够及时发现高级威胁与未知威胁；尽可能高的威胁检测告警准确率；安全能力能够自动适应网络环境进行智能调节与进化；具有一定的自主决策与响应处置能力。

这些新要求的总体特点是安全能力要能够防范未知威胁，并能够在一定范围内自我调节与优化，以应对千变万化、无孔不入的安全威胁，即网络安全能力要具备智能。因此，“新基建”对网络安全提出的新要求，将推动网络安全能力向智能化方向创新。

网络安全+AI成为网络安全能力智能化的必然技术路线

面临安全需求与现有安全能力之间的差距，安全行业从业者一直在探索安全防护能力智能化的可行路线，前后大致经历了两个阶段：

一阶段，以沙箱、行为分析、数据挖掘和威胁情报为代表的技术路线。这在一定程度上可以防范之前依靠静态特征比对所难以发现的高级威胁，但由于这条技术路线本质上仍然需要提前定义威胁并转换为防护规则，所以无法防范诸如0 Day漏洞利用、快速变种病毒等未知威胁。

第二阶段，以人工智能或计算智能为代表的技术路线，借助数据、建模、算法和算力，使得安全威胁检测和响应具有一定的自适应调节和自主决策能力，从而具有内生智能和自我进化的智能化特点。

当前国际上有很多创业公司利用人工智能技术解决网络安全难题，围绕EDR、NTA、数据安全三个领域，取得了可喜的效果。例如CrowdStrike是一家以机器学习为核心技术进行终端恶意代码检测的公司，2019年在美国纳斯达克上市。DarkTrace以无监督机器学习进行全流量威胁检测，在内网威胁检测与主动响应方面取得不错的效果，国内六方云也采用AI基因、威胁免疫理念，打造了神探产品（全流量威胁检测与回溯系统），得到了市场的一致认可。

来源：网络