網絡自動化攻防AI智能

隨著全球網絡信息化技術的快速發展，先進的攻擊與防御技術助漲了新型犯罪，對國家穩定、社會治安及百姓正常生活造成了較為惡劣的影響。而應對新型犯罪技術的方法、技術工具裝備呈現匱乏狀態。

新型犯罪伴隨著先進技術態勢猛烈且無休眠，違法分子、恐怖主義，甚至帶有國家標簽屬性的組織通過先進網絡技術的利用與實施，進行竊密控制、入侵破壞、非法傳播、恐怖活動等違法行為，甚至組建僵尸網絡干預輿論，并逃避公安機關的打擊。這些違法犯罪活動呈現無邊界、無疆域、無法有效快速追根溯源的特性，結合其隱蔽性高，技術變種快，破壞力大，難以察覺，擴散效應惡劣的特點，給目前的維穩、反恐、犯罪打擊取證工作造成了諸多阻礙。

趨勢：人工智能已經日漸趨勢化，它是研究、開發用于模擬、延伸和擴展人的智能的理論、方法、技術及應用系統的一門新的技術科學。如何在網絡安全保障工作中使用人工智能，應對各種技術難點，充分發揮人工智能優勢，是未來網絡安全領域的趨勢。

技術：網絡自動化攻防AI智能（人工智能攻防機器人），通過學習人的攻防習性、流程、手法及漏洞利用方式執行復雜化網絡任務，主要為智能化攻擊與防御兩個方向。

人工智能攻防機器人主要作用于滲透作業和執行任務，通過前期大量的對攻擊數據以及防御數據分析和利用算法整合以及深度學習，能夠讓機器人能夠自主去識別目標應用的潛在威脅并加以利用，識別攻擊源和行為并加以防御。

攻擊機器人

通過攻擊行為數據搜集和數據抓取，對其進行有效行為分析后入庫，在數據庫中可以隨時被機器人調用，通過長時間的算法學習測試，可以讓機器人自主辨別目標系統環境。另加上系統掃描減少識別難度后，機器人可以根據掃描的結果自主選擇數據庫中相對應的類型并執行攻擊動作。完成一次任務后，這些動作將被收錄在數據庫中以便于機器在更多的數據中進行學習。

攻擊數據抓取

數據抓取分為四部分，分別是：文件操作，腳本操作，后臺操作以及數據協議的抓取。其中，文件操作分為：對文件夾的增、刪、查、改動作，對各類文件的增、刪、查、改動作（包括但不限于txt，office，python，php，c）；程序的操作分為：程序動作、程序內輸入的內容、程序運行時間以及結束時間等；后臺的操作分為：任務管理器內增刪查改的項，注冊表中增刪查改的項以及靜默安裝程序后任務管理器和注冊表內變動的項；數據協議分為：常規協議分析（包括但不限于ARP、TCP/IP、SNMP、DHCP、RDP、 FTP、HTTP/s、ICMP、POP3、SMTP、TELNET、TFTP以及UDP）。

攻擊行為分析

在數據抓取后，需要對抓取內容進行篩選，哪些是機器人需要則保留，如果不需要則丟棄，從而形成數據格式化，以便于機器人能夠快速讀取和學習。在過程中，可以對有效操作進行摘取，假設在開文件夾后又關閉了該文件夾且在操作以及后臺程序未對該文件夾進行操作，則判定為無效操作。

深度學習

在深度學習攻擊模塊中涉及到的有7點：1）采集海量攻擊數據存儲在數據庫中，并且對其進行數據分析。2）將其中不小于二維的文本數據隨時間與空間的變化值與對應的數據關聯并匯總成一條單元訓練數據。3）經過數據庫的整理之后格式化成計算機可理解的結構化數據陣矩并從每個單元數據中提取特征。4）將成型的數據設置到計算機內對應的深度學習模型的存儲模塊中。5）通過計算機對深度學習模型進行優化運算。6）將獲取成型的結構化數據導入到深度學習模型中進行分析。7）通過該模型進行結果輸出。

模型示例：

入侵視角復現關鍵要素（見表1）。

系統掃描、漏洞分析以及漏洞利用

掃描工具包括但不限于基于網絡、主機以及應用的掃描器。將掃描結果格式化輸出到數據庫中并且和機器學習的庫進行關聯，通過AI的匹配關聯能夠迅速找到相應的攻擊辦法，從而進行相應方法的攻擊重放，最后輸出攻擊結果。

防御機器人

防御機器人通過攻擊數據搜集和數據抓取，對其進行有效行為分析后入庫，在數據庫中可以隨時被機器人調用，通過長時間的算法學習測試，可以讓機器人通過入侵檢測系統檢測出的危險行為自主去進行防御，例如修補漏洞或升級補丁。完成一次任務后這些動作將被收錄在數據庫中以便于機器人在更多的數據中進行學習。

防御數據抓取

主動數據抓取分為四部分，分別是，文件操作，腳本操作，后臺操作以及數據協議的抓取。其中，文件操作分為：對文件夾的增、刪、查、改動作，對各類文件的增、刪、查、改動作（包括但不限于txt，office，python，php，c）；程序的操作分為：程序動作、程序內輸入的內容、程序運行時間以及結束時間等；后臺的操作分為：任務管理器內增刪查改的項，注冊表中增刪查改的項以及靜默安裝程序后任務管理器和注冊表內變動的項；數據協議分為：常規協議分析（包括但不限于ARP、TCP/IP、SNMP、DHCP、RDP、FTP、HTTP/s、ICMP、POP3、SMTP、TELNET、TFTP以及UDP）。補丁數據抓取目前分為三部分，但是不限于此三項，分別是：對應系統的版本信息、補丁號以及打補丁的相關操作以及相關命令。

防御行為分析

在數據抓取后，需要對抓取內容進行篩選，哪些是機器人需要則保留，如果不需要則丟棄，從而形成數據格式化，以便于機器人能夠快速讀取和學習。在過程中，可以對有效操作進行摘取，假設在對某應用進行命令行打補丁時，該命令未對任何文件夾以及注冊表后臺等進行改變，則判定為無效操作。

入侵行為檢測、入侵行為分析以及防御分析和漏洞防御

IDS包括但不限于基于網絡、主機以及應用的檢測系統。將檢測結果格式化輸出到數據庫中并且和機器學習的庫進行關聯，通過AI的匹配關聯能夠迅速找到相應的防御辦法，從而進行相應防御方法的重放，最后輸出防御結果。

網絡自動化攻防AI智能

網絡空間目標因其復雜的設備部署、基礎操作系統部署、服務器部署、數據庫部署、應用軟件部署、內外網組合部署、跨地域組合部署、各種形式的交換部署、防御識別部署、先進技術更迭、加密傳輸隔離部署等，對網絡技術偵查、深度延展等工作造成了巨大的困難。未來，智能化攻防機器人的應用將大幅度增加。

（作者簡介：高建斌，江西省公安廳網絡安全總隊。）endprint