(网经社讯)9 月 18 日,在「2018 世界人工智能大会·人工智能安全高端对话」分论坛中,腾讯安全管理部联合赛博研究院发布《人工智能赋能网络空间安全:模式与实践》报告。该报告聚焦网络安全,分析了网络空间安全的演进和风险趋势,结合腾讯 AI 安全应用全布局和国内外企业的 30 多个最佳实践,详细阐释人工智能赋能网络空间安全(AI+安全)的最新进展。本文对此报告的第三章「人工智能在网络空间安全领域的应用模式」进行了介绍。
摘要
人工智能时代,网络空间安全威胁全面泛化,如何利用人工智能思想和技术应对各类安全威胁,是国内外产业界共同努力的方向。本报告从风险演进和技术逻辑的角度,将网络空间安全分为网络系统安全、网络内容安全和物理网络系统安全三大领域;在此基础上,本报告借鉴 Gartner 公司的 ASA 自适应安全架构模型,从预测、防御、检测、响应四个维度,提出人工智能技术在网络空间安全领域的具体应用模式。与此同时,本报告结合国内外企业最佳实践,详细阐释人工智能赋能网络空间安全(AI+安全)的最新进展。最后,本报告提出,人工智能安全将成为人工智能产业发展最大蓝海,人工智能的本体安全决定安全应用的发展进程,「人工」+「智能」将长期主导安全实践,人工智能技术路线丰富将改善安全困境,网络空间安全将驱动人工智能国际合作。
目 录
第一章 人工智能技术的发展沿革
(一) 人工智能技术的关键阶段
(二) 人工智能技术的驱动因素
(三) 人工智能技术的典型代表
(四) 人工智能技术的广泛应用
第二章 网络空间安全的内涵与态势
(一) 网络空间安全的内涵
(二) 人工智能时代网络空间安全发展态势
1、网络空间安全威胁趋向智能2、网络空间安全边界开放扩张3、网络空间安全人力面临不足4、网络空间安全防御趋向主动
第三章 人工智能在网络空间安全领域的应用模式
(一) AI+安全的应用优势
(二) AI+安全的产业格局
(三) AI+安全的实现模式
1、人工智能应用于网络系统安全2、人工智能应用于网络内容安全3、人工智能应用于物理网络系统安全
第四章 人工智能在网络空间安全领域的应用案例
网络系统安全篇
(一)病毒及恶意代码检测与防御
(二)网络入侵检测与防御
第三章 人工智能在网络空间安全领域的应用模式
人工智能技术日趋成熟,人工智能在网络空间安全领域的应用(简称 AI+安全)不仅能够全面提高网络空间各类威胁的响应和应对速度,而且能够全面提高风险防范的预见性和准确性。因此,人工智能技术已经被全面应用于网络空间安全领域,在应对智能时代人类各类安全难题中发挥着巨大潜力。
(一)AI+安全的应用优势
人们应对和解决安全威胁,从感知和意识到不安全的状态开始,通过经验知识加以分析,针对威胁形态做出决策,选择最优的行动脱离不安全状态。类人的人工智能,正是令机器学会从认识物理世界到自主决策的过程,其内在逻辑是通过数据输入理解世界,或通过传感器感知环境,然后运用模式识别实现数据的分类、聚类、回归等分析,并据此做出最优的决策推荐。
当人工智能运用到安全领域,机器自动化和机器学习技术能有效且高效地帮助人类预测、感知和识别安全风险,快速检测定位危险来源,分析安全问题产生的原因和危害方式,综合智慧大脑的知识库判断并选择最优策略,采取缓解措施或抵抗威胁,甚至提供进一步缓解和修复的建议。这个过程不仅将人们从繁重、耗时、复杂的任务中解放出来,且面对不断变化的风险环境、异常的攻击威胁形态比人更快、更准确,综合分析的灵活性和效率也更高。
因此,人工智能的「思考和行动」逻辑与安全防护的逻辑从本质上是自洽的,网络空间安全天然是人工智能技术大显身手的领域。
(1)基于大数据分析的高效威胁识别:大数据为机器学习和深度学习算法提供源源动能,使人工智能保持良好的自我学习能力,升级的安全分析引擎,具有动态适应各种不确定环境的能力,有助于更好地针对大量模糊、非线性、异构数据做出因地制宜的聚合、分类、序列化等分析处理,甚至实现了对行为及动因的分析,大幅提升检测、识别已知和未知网络空间安全威胁的效率,升级精准度和自动化程度。
(2)基于深度学习的精准关联分析:人工智能的深度学习算法在发掘海量数据中的复杂关联方面表现突出,擅长综合定量分析相关安全性,有助于全面感知内外部安全威胁。人工智能技术对各种网络安全要素和百千级维度的安全风险数据进行归并融合、关联分析,再经过深度学习的综合理解、评估后对安全威胁的发展趋势做出预测,还能够自主设立安全基线达到精细度量网络安全性的效果,从而构建立体、动态、精准和自适应的网络安全威胁态势感知体系。
(3)基于自主优化的快速应急响应:人工智能展现出强大的学习、思考和进化能力,能够从容应对未知、变化、激增的攻击行为,并结合当前威胁情报和现有安全策略形成适应性极高的安全智慧,主动快速选择调整安全防护策略,并付诸实施,最终帮助构建全面感知、适应协同、智能防护、优化演进的主动安全防御体系。
(4)基于进化赋能的良善广域治理:随着网络空间内涵外延的不断扩展,人类面临的安全威胁无论从数量、来源、形态、程度和修复性上都在超出原本行之有效的分工和应对能力,有可能处于失控边缘,人工智能对人的最高智慧的极限探索,也将拓展网络治理的理念和方式,实现安全治理的突破性创新。人工智能不仅能解决当下的安全难题,而通过在安全场景的深化应用和检验,发现人工智能的缺陷和不足,为下一阶段的人工智能发展和应用奠定基础,指明方向,推动人工智能技术的持续变革及其更广域的赋能。
(二)AI+安全的产业格局
人工智能以其独特的优势正在各类安全场景中形成多种多样的解决方案。从可观察的市场指标来看,近几年来人工智能安全市场迅速成长, 公司在 2018 年的研究表明,在网络安全中人工智能应用场景增多,同时地域覆盖范围扩大,将进一步扩大技术在安全领域的应用,因此人工智能技术在安全市场内将快速发展,预计到 2024 年,可用在安全中的人工智能技术市场规模将超过 350 亿美元,在 2017-2024 年之间年复合增长率(CAGR)可达 31%。
MarketsandMarkets 公司在 2018 年 1 月发布的《安全市场中人工智能》报告则认为,2016 年 AI 安全市场规模就已达 29.9 亿美元、2017 年更是达到 39.2 亿美元,预测在 2025 年将达到 348.1 亿美元,年复合增长率为 31.38%。而爱尔兰的 Research and Markets 公司在 2018 年 4 月份发布了专门的市场研究报告,认为到 2023 年人工智能在安全领域应用的市场规模将达 182 亿美元,年复合增长率为 34.5%。由于机器学习对付网络犯罪较为有效,因此机器学习作为单一技术将占领最大的一块市场,到 2023 年其市场规模预计可达 60 亿美元。
除了传统安全公司致力于人工智能安全,大型互联网企业也在积极开展人工智能安全实践,如 Google、Facebook、Amazon、腾讯、阿里巴巴等均在围绕自身业务积极布局人工智能安全应用。
(三)AI+安全的实现模式
人工智能是以计算机科学为基础的综合交叉学科,涉及技术领域众多、应用范畴广泛,其知识、技术体系实际与整个科学体系的演化和发展密切相关。因此,如何根据各类场景安全需求的变化,进行 AI 技术的系统化配置尤为关键。
本报告采用 Gartner 公司 2014 年提出的自适应安全架构(ASA,Adaptive SecurityArchitecture)来分析安全场景中人工智能技术的应用需求,此架构重在持续监控和行为分析,统合安全中预测、防御、检测、响应四层面,直观的采用四象限图来进行安全建模。其中「预测」指检测安全威胁行动的能力;「防御」表示现有预防攻击的产品和流程;「检测」用以发现、监测、确认及遏制攻击行为的手段;「响应」用来描述调查、修复问题的能力。
本报告将 AI+安全的实现模式按照阶段进行分类和总结,识别各领域的外在和潜在的安全需求,采用 ASA 分析应用场景的安全需求及技术要求,结合算法和模型的多维度分析, 寻找 AI+安全实现模式与适应条件,揭示技术如何响应和满足安全需求,促进业务系统实现持续的自我进化、自我调整,最终动态适应网络空间不断变化的各类安全威胁。
1、人工智能应用于网络系统安全
人工智能技术较早应用于网络系统安全领域,从机器学习、专家系统以及过程自动化等到如今的深度学习,越来越多的人工智能技术被证实能有效增强网络系统安全防御:
机器学习 (ML, Machine Learning):在安全中使用机器学习技术可增强系统的预测能力,动态防御攻击,提升安全事件响应能力。专家系统(ES, Expert System):可用于安全事件发生时为人提供决策辅助或部分自主决策。过程自动化 (AT, Automation ):在安全领域中应用较为普遍,代替或协助人类进行检测或修复,尤其是安全事件的审计、取证,有不可替代的作用。深度学习(DL, Deep Learning):在安全领域中应用非常广泛,如探测与防御、威胁情报感知,结合其他技术的发展取得极高的成就。
如图 3 所示,通过分析人工智能技术应用于网络系统安全,在四个层面均可有效提升安全效能:
预测:基于无监督学习、可持续训练的机器学习技术,可以提前研判网络威胁,用专家系统、机器学习和过程自动化技术来进行风险评估并建立安全基线,可以让系统固若金汤。
防御:发现系统潜在风险或漏洞后,可采用过程自动化技术进行加固。安全事件发生时,机器学习还能通过模拟来诱导攻击者,保护更有价值的数字资产,避免系统遭受攻击。
检测:组合机器学习、专家系统等工具连续监控流量,可以识别攻击模式,实现实时、无人参与的网络分析,洞察系统的安全态势,动态灵活调整系统安全策略,让系统适应不断变化的安全环境。
响应:系统可及时将威胁分析和分类,实现自动或有人介入响应,为后续恢复正常并审计事件提供帮助和指引。
因此人工智能技术应用于网络系统安全,正在改变当前安全态势,可让系统弹性应对日益细化的网络攻击。在安全领域使用人工智能技术也会带来一些新问题,不仅有人工智能技术用于网络攻击等伴生问题,还有如隐私保护等道德伦理问题,因此还需要多种措施保证其合理应用。总而言之,利用机器的智慧和力量来支持和保障网络系统安全行之有效。
2、人工智能应用于网络内容安全
人工智能技术可被应用于网络内容安全领域,参与网络文本内容检测与分类、视频和图片内容识别、语音内容检测等事务,切实高效地协助人类进行内容分类和管理。面对包括视频、图片、文字等实时海量的信息内容,人工方式开展网络内容治理已经捉襟见肘,人工智能技术在网络内容治理层面已然不可替代。
在网络内容安全领域所应用的人工智能技术如下:
自然语言处理(NLP, Natural Language Processing):可用于理解文字、语音等人类创造的内容,在内容安全领域不可或缺。图像处理(IP, Image Processing):对图像进行分析,进行内容的识别和分类,在内容安全中常用于不良信息处理。视频分析技术 (VA, Video Analysis):对目标行为的视频进行分析,识别出视频中活动的目标及相应的内涵,用于不良信息识别。
如图 4 所示,通过分析人工智能技术应用于网络内容安全,在四个层面均可有效提升安全效能:
预防阶段:内容安全最重要的是合规性,由于各领域的监管法律/政策的侧重点不同而有所区别且动态变化。在预防阶段,可使用深度学习和自然语言处理进行相关法律法规条文的理解和解读,并设定内容安全基线,再由深度学习工具进行场景预测和风险评估,并及时将结果向网络内容管理人员报告。
防御阶段:应用深度学习等工具可完善系统,防范潜在安全事件的发生。
检测阶段:自然语言、图像、视频分析等智能工具能快速识别内容,动态比对安全基线,及时将分析结果交付给人类伙伴进行后续处置,除此之外,基于内容分析的情感人工智能也已逐步应用于舆情预警,取得不俗成果。
响应阶段:在后续调查或留存审计资料阶段,过程自动化同样不可或缺。
3、人工智能应用于物理网络系统安全
随着物联网、工业互联网、5G 等技术的成熟,网络空间发生深刻变化,人、物、物理空间通过各类系统实现无缝连接,由于涉及的领域众多同时接入的设备数量巨大,传感器网络所产生的数据可能是高频低密度数据,人工已经难以应对,采用人工智能势在必行。但由于应用场景极为复杂多样,可供应用的人工智能技术将更加广泛,并会驱动人工智能技术自身新发展。
情绪识别(ER, Emotion Recognition):不仅可用图像处理或音频数据获得人类的情绪状态,还可以通过文本分析、心率、脑电波等方式感知人类的情绪状态,在物理网络中将应用较为普遍,通过识别人类的情绪状态从而可与周边环境的互动更为安全。AI 建模(DT, Digital Twin/AI Modeling):通过软件来沟通物理系统与数字世界。生物特征识别 (BO, Biometrics):可通过获取和分析人体的生理和行为特征来实现人类唯一身份的智能和自动鉴别,包括人脸识别、虹膜识别、指纹识别、掌纹识别等技术。虚拟代理 (VA, Virtual Agents):这类具有人类行为和思考特征的智能程序,协助人类识别安全风险因素,让人类在物理网络世界中更安全。
物理网络安全由于应用领域广、层次多,可应用的技术类型也极为复杂,因此需要以人为中心,通过全程监测人和系统、人与机器、人与环境之间的交互,确保人与物的不受威胁。以物联网为例,在业务运营系统与网络系统进行融合后,通常可分为负责业务信息的信息技术(IT)网络与负责生产运行维护的运营技术(OT)网络这两部分,IT 部分的 AI 应用与网络系统安全需求基本一致,而 OT 部分则涉及业务运营安全,与应用场景融合的安全需求变得复杂,安全不仅关乎这些 IT 资产拥有者的安全,而且其中部分属于关键基础设施,一旦出现风险则将可能给国计民生带来恶劣影响。
但人工智能应用得当,不仅可以更高效的抵御 OT 风险,还可以提升 OT 运营效能,从而直接创造价值,因此 AI 应用于 OT 安全领域不仅在安全管理上成为必需,而且也能促进综合效益提升。例如,AI 应用于智慧城市的智能交通安全中的流量管控中,一般通过历史数据与深度学习进行交通流量预测,可通过交通设施的优化布局进行流量管控预防,而在当前道路体系中应用专家系统进行预防,同时通过计算机图像分析技术首先进行道口流量实时监控、车辆通过监测,提前疏解交通堵点,洞悉交通现场态势,即便发生事故,也可迅速调集应急资源快速进行现场处置,在事件回溯期间,可将相关系统中已处理的信息进行自动关联,从而为后续调整道路通行方案提供依据。(来源:腾讯安全管理部 赛博研究院;编选:电子商务研究中心)