基于大數據與人工智能的網絡安全防護

■ 云南 王軍峰

編者按：現有的網絡安全防御思路在安全預判、威脅識別和數據處理等方面的能力有限，而新的技術將以大數據分析架為支撐，業務安全為導向，構建起以數據為核心的安全管理體系，更加主動、智能地對網絡安全進行管理和運營。

目前，企業賴以生存的網絡環境非常惡劣，APT攻擊、病毒、釣魚軟件隨時威脅著正常的網絡秩序。但在云計算和移動互聯網業務被委以重任的當下，各種網絡終端和安全設備又產生出了令人震撼的日志數據，這使得日志管理與安全審計工作變得越來越復雜。

在茫無邊際的日志檔案面前，要發現異常行為的源頭，或是找出可以支撐決策的數據依據，都會讓企業IT 人員付出極大的時間和人力成本，更不可能定位那些威脅企業核心機密的源頭。這些都使得安全評估、威脅源頭追蹤，以及法規遵從工作都難以再從日志入手。

網絡安全不容樂觀

更多軟硬件漏洞給網絡安全帶來極大威脅，根據2018 年中國互聯網網絡安全報告，當年收錄的安全漏洞中，“零日”漏洞收錄數量占比37.9%，高達5 381 個，同比增長39.6%。給互聯網用戶和設備帶來無法估量的危險。

攻擊技術和手段不斷提升，主動、定制化的精準攻擊開始出現。攻擊者利用大數據、人工智能等新技術可以對受害對象發起更加精準的個體打擊，大大提高攻擊效果。

物聯網讓社會生活的方方面面都更深入的智能化，但是物聯網設備內置的安全性薄弱，很多設備存在漏洞和弱口令，致使很多物聯網設備成為攻擊者的肉雞。

傳統安全技術無法應對網絡攻擊

傳統的邊界隔離主要是依靠防火墻、路由器ACL 等對不同安全等級的網絡區域進行劃分，但是客觀上總要存在外部接入內部的網絡渠道。攻擊和探測程序就可以通過防火墻開放的端口穿越防火墻，使得傳統防火墻的端口過濾功能對他們無能為力。

傳統的安全架構中，較多依賴特征匹配的模式。在這種模式中，防護設備需要先將某個攻擊事件寫入特征庫，然后才能防御這個攻擊。但是由于安全設備特征庫的滯后性和局限性，無法有效應對惡意代碼變形、加殼等隱蔽手段。

突破邊界后的內部網絡防護能力不足。由于傳統的防御體系側重于互聯網、第三方等邊界的網絡安全防護，認為只要構筑了企業的數字護城河，通過防火墻、WAF 和IPS等邊界安全產品或方案，就能實現企業的網絡安全。對于突破邊界后在內網埋伏、感染、操控內部服務器及數據的惡意行為識別和監測缺乏有效手段。

單打獨斗式的防御無法面對有組織有計劃的針對性攻擊。外部攻擊越來越呈現組織化、系統化、規模化以及智能化甚至國家化的特點，依靠一己之力無法防御此類攻擊。

基于大數據、人工智能的網絡安全防護

1.安全信息的深度檢測分析

大數據針對信息安全領域內的數據分析，主要基于日志與流量的兩大方式，通過建模分析，從海量日志中檢測異常行為，可對網絡流量、網絡行為及安全事件等進行自動化和全面的采集及分析。同時，關聯系統配置、用戶行為、應用行為和業務行為等數據進行分析，達到感知威脅以及攻擊取證的目的。

基于行為檢測方式，以日志分析為例，利用足夠詳細的用戶行為日志區分正常行為和異常行為。發現異常的方式在傳統的關聯技巧規則關聯、漏洞關聯、關聯列表關聯、環境關聯等進行數據分析，對異常行為中的攻擊者畫像，列出定點攻擊、有明確攻擊目標的攻擊者、自動化攻擊和無目標的攻擊對象，針對行為描述進行合理建設滲透、攻擊模型。系統可根據所建立的模型有效感知系統安全態勢，從而進行針對性的主動防御，增加入侵攻擊的難度，提高系統的安全性。

2.網絡空間的主動信息探測

可以通過在網絡的各個關鍵節點處（包括安全防護設備、流量采集設備、關鍵資源服務器、交換路由設備等）部署傳感器，或通過數據采集接口，實時采集各節點的運行數據，包括系統告警、資源占用等，將其發送到系統的全局監控中心，進行實時分析、感知系統的當前安全態勢。

以提供運行環境的動態性、非確定性、異構性和非持續性為目的，通過網絡系統中的環境、軟件、數據等主動重構或遷移實現動態環境，以防御者可控的方式進行主動變化，對攻擊者則表現為難以觀察和預測的動態目標，從而大幅增加攻擊難度和成本，大幅降低系統安全風險。

3.人工智能技術安全智能分析

網絡安全態勢感知技術利用數據融合、數據挖掘、智能分析和可視化等技術，直觀顯示、預測網絡安全態勢，為網絡安全預警防護提供保護，可在不斷的自學習過程中提高系統的防御水平。人工智能技術基于統計學習模型、文本分析的機器學習模型、單分類模型、聚類模型等幾種建模思想，對各種網絡安全要素和百千級維度的安全風險數據進行歸并融合、關聯分析，再經過深度學習的綜合理解、評估后對安全威脅的發展趨勢做出預測，自主設立安全基線并達到精細度量網絡安全性的效果，從而構建立體、動態、精準和自適應的網絡安全威脅態勢感知體系。

例如，如果遇到突發大流量的情況，人工智能系統可以推測網絡中存在DDoS 攻擊，并立即分析軟件包特性，然后協調探針協作任務，將具有同類特征的所有軟件包丟棄，從而最大限度地避免對其他網絡業務造成損失。

4.安全態勢的可視化呈現

設備的網絡應用情況和安全事件信息進行準確的定位和實時跟蹤，包括對歷史精確還原與對各種數據智能的統計分析，使得管理者清晰的認知網絡運行狀態。從應用和用戶視角多層面地將網絡應用的狀態展現出來，對于全網產生的海量安全事件信息內容，通過深入的數據挖掘，能夠形成安全趨勢的分析與各種圖形化的統計分析報告。

從一系列安全事件來看，從植入沒有明顯惡意特征的代碼到服務器，以及利用各種機會下發病毒軟件，再到利用現有的網絡端口進行外部遠程控制通信，單獨看每一個步驟可能無法準確判斷單個行為是否是惡意攻擊，但是如果將整個路徑上的行為串起來看是很有可能發現異常行為的。所以必須建立一種基于外部連接的異常分析模型，當發現用戶主機與外部通訊時，分析通訊的進程、相關程序文件的安裝時間、來源以及傳播路徑，檢查用戶主機通訊流量情況，并通過可視化手段可以直觀的還原出，可以及時發現用戶主機的異常連接。

當然，這一方面需要大量的信息安全日志數據作為支撐，包括內外網邊界及關鍵路徑上的網絡流量情況、服務器設備的異常行為檢測情況、惡意遠程通訊IP 地址等外部威脅情報等，另一方面需要有實時快速處理海量數據和建模關聯分析的能力，以及可視化展現能力，畢竟可疑事件最終還是需要人工準確判斷。

結語

攻擊與防御將是伴隨網絡發展得必然產物，世界上不存在絕對安全的網絡系統。隨著計算機網絡技術的進一步發展，網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規等，才能在網絡的對抗中取得先機。