一、人工智能在網絡安全領域的應用

1. 應用方向

人工智能在網絡安全中領域應用前景廣闊。首先，AI 具備大數據分析挖掘的能力，能夠有效提升網絡威脅的檢測能力和水平。其次，AI 具備根據已知檢測未知的能力，可有效解決現有檢測方法和手段的適應性問題。再次，AI 具備自主學習和自我更新的能力，可有效解決現有模型老化問題。最后，AI 具備推理認知構建的能力，可從廣泛的時空維度來對網絡威脅進行分析溯源。

利用人工智能技術，可以對成千上萬的網絡日志/流量、威脅情報等信息進行自動分析處理與深度挖掘，從海量數據中提取出真正有用的信息，對網絡的安全狀態進行分析評價，感知網絡中的異常事件與整體安全態勢，并對全網的發展趨勢進行預測和預警，為網絡安全防護的技術突破提供了新思路。目前，AI 主要應用方向包括異常檢測告警、未知威脅發現、潛在風險預測和自適應聯動響應等。具體方向有異常告警檢測、未知威脅發現、潛在風險預測和自適應聯動響應等。

2. 模型框架

基于人工智能來構建“安全大腦”，對一定時間及空間的大范圍樣本數據進行智能化分析，根據基線或模型發現威脅風險并預判趨勢。

針對實際網絡中安全數據的海量、多格式、多粒度的特點，基于人工智能的安全大腦首先進行數據預處理，將來自不同數據源、不同格式的數據歸一化為統一格式，然后去除冗余及噪聲數據。其次，進行智能分析， 利用不同的機器學習算法訓練出相應的網絡流量分類、異常流量檢測、威脅行為分析和流量趨勢預測模型，然后根據訓練出的模型進行結果輸出。最后，進行評估優化， 根據知識庫中的安全量化指標體系，對分析輸出的結果進行量化評估，用來改進模型和算法參數，不斷提高模型的準確率。

二、人工智能在網絡安全領域的創新實踐

1. 安全 AI 全棧架構

Gartner 在 2020 年 10 大戰略技術趨勢報告中明確指出，AI 安全將是未來重要的戰略技術趨勢之一。為了有效應對日益高級和復雜的攻擊手段，需要將人工智能應用于網絡安全防護領域，構建實時、智能、敏捷、可運維的“云網邊端”一體化安全防護體系，將每個防御點的使用價值最大化，形成智能分析感知威脅、智能自動防護、智能閉環管理的體系化安全能力，全面提升應對網絡安全威脅的能力，實現從事后補救到安全前置，從被動安全到主動安全的轉變。這就需要構筑安全 AI 全棧架構。

該架構從安全日志、終端行為、網絡流量、業務數據、威脅情報、資產管理和故障診斷信息等多源數據的采集著手;對風險狀況、攻擊趨勢、異常流量、異常行為和異常資產進行多維度智能分析和可視化呈現;根據實時場景自適應決策響應，快速生成應急預案，主動將安全策略推送給全網關鍵設備，實時預警和響應安全事件。

2. 安全 AI 應用實踐

(1) 基于 DNS 協議的 C&C 外連檢測

DNS 協議是一種基礎設施網絡協議，常被攻擊者用來進行 C&C(Command & Control)通信。為了躲避網絡安全設備的監測和分析，攻擊者使用DNS 協議進行 C&C 通信時通常會使用 Fast-flux 和Domain-flux 技術頻繁變換 DNS 服務器的 IP 地址和域名。基于深度學習卷積神經網絡 (ConvolutionalNeural Networks，CNN) 檢測網絡流量中的 C&C 通信，通過優化可使得檢測概率高達 98%。

(2) 基于 AI 的加密流量分析

攻擊者越來越傾向于使用加密協議進行通信，以便將攻擊流量隱藏于正常的加密流量中。在加密流量的分析過程中，可將其分為加密應用識別和加密威脅檢測。在加密應用識別中，提取加密協議的密鑰交換階段的密碼套件、證書等明文特征，以及密文傳輸階段的流量模式、通信模式、行為模式等統計特征，以及由 RNN 和 CNN 提取的時序特征和時空特征，采用有監督的機器學習方法進行加密應用的識別。在加密威脅檢測中，除了提取應用識別所需的各項特征外，還需要提取流量的上下文信息，包括 https/http 流量信息和 DNS 流量信息等。

(3) 基于 AI 的云網邊端協同聯動

為了構建“云網邊端”聯動的一體化安全防御體系，AI 防火墻與安全云、態勢感知、邊緣計算等系統相結合，實現情報共享、算力提升、關聯分析、協同聯動等功能。通過云端威脅情況的共享、分析與服務， AI 防火墻可以共享所有來源的威脅情報，迅速響應各類漏洞和威脅，及時阻止各類攻擊行為的傳播。同時，所有 AI 防火墻可以共享部署策略，通過云端的智能策略分析，可以為各行各業的客戶提供最優的部署策略推薦，大大簡化部署和運維。除此之外，本地防火墻將潛在威脅數據上傳至云端，通過云端大數據分析，獲取機器學習模型，再將模型參數下放到本地進行本地智能檢測分析，實現云端一體化智能聯動。

三、安全 AI 未來發展展望

當 AI 技術全面融入安全領域，可以快速識別各類未知惡意軟件、及時偵測到零日威脅，并進行迅速響應;能夠更精準進行數據挖掘和模式識別，讓分析結果更加準確;可以連續執行這些重復性和機械性的檢測識別任務。后續，還可以在以下三個方面持續深入。

1. 知識圖譜

基于安全設備產生的安全事件，構建威脅知識圖譜，從而分析網絡的整體威脅態勢;在終端安全響應系統(EDR)中，可以基于終端的行為和操作日志，構建溯源知識圖譜，從而分析終端的已知和未知威脅;在網絡威脅檢測及響應(NDR)/用戶實體行為分析(UEBA)中，可以基于網絡全流量數據和應用系統日志，構建用戶的行為知識圖譜，從而檢測用戶的可疑或者惡意行為。

2. 混淆對抗

注入攻擊和惡意代碼可以通過混淆、編碼、壓縮等方式改變自己的表現形式，從而躲過 WAF、IPS、病毒檢測引擎等設備的檢測。復雜的混淆方法是單向的，雖然混淆的代碼和原始的代碼執行相同的功能，但是卻無法完全還原為原始的代碼，只能部分還原為原始的代碼。因此，在混淆惡意代碼的檢測中，可以利用 AI 算法將混淆代碼進行還原，然后進行惡意代碼檢測，其中對原始代碼的還原程度將決定著惡意代碼的檢測效果。

3. 聯邦學習

在安全領域，有標注的數據非常少，并且各個企業之間的數據也沒有共享，這使得 AI 模型的效果難以得到實質的提升。通過采用聯邦學習架構，可以將多個企業的數據聯合起來訓練一個更加強大的模型;在模型的訓練過程中，可以采用同態加密、差分隱私等隱私保護技術對網絡中傳輸的數據或者模型參數進行保護，從而保證每個企業內部的數據都不會泄露出去。