AI 在安全领域到底有哪些“不水”的实践？｜权威报告

雷锋网注：以下内容摘自中国信通院发布的《 中国网络安全产业白皮书 (2019 年) 》。

人工智能技术在数据分析、知识提取、智能决策等方面的优势为应对动态多变、复杂交织网络安全问题提供了新思路，网络安全已经成为人工智能应用的重要方向之一。

根据法国咨询机构凯捷 2019 年 7 月发布的《以人工智能重塑网络安全》报告，超过半数的被调研企业认为实施基于人工智能的网络安全措施势在必行。美国咨询机构 CB Insights 统计数据显示，2018 年至 2019 年 6 月间，与网络安全 相关的人工智能投融资活动超过 180 笔。

以大数据分析、机器学习、 深度学习、人机协同为代表的人工智能与网络安全融合实践日益增多。

在异常流量检测方面，人工智能为加密流量分析提供新方案。 思科已将 AI 驱动的加密流量分析应用于交换机等产品，基于初始数据包特征以及后续数据包长度与时序等，通过机器学习算法识别异常流量，提供加密流量检测能力；Darktrace 基于无监督学习算法构建核心异常检测算法体系，为网络中用户和设备建立行为模型以区分正常模式和攻击行为，并对攻击进行标记和阻止，在此基础上提供企业免疫系统、工业免疫系统等产品；观成科技推出针对恶意加密流量的 AI 检测引擎，通过人工智能算法训练加密流量检测模型，支持 SSL、 SSH、RDP等多种加密协议分析。

在恶意软件防御方面，针对特定场景人工智能应用取得积极进展。

Agari 面向电子邮件业务开发了智能检测功能，防范针对邮箱的钓鱼攻击和恶意访问；Cylance 利用机器学习算法基于文件特征识别恶意软件，在勒索病毒防御方面效果突出；芯盾时代针对金融反欺诈场景推出智能行为认证产品，基于异常检测及样本标注、欺诈关联图谱等持续发掘欺诈新模式。

在异常行为分析方面，人工智能正成为模式识别的有效补充。

Exabeam 的核心产品安全信息和事件管理(SIEM)平台，通过分析公司的日志数据创建异常检测模型，实现异常活动识别和风险评估；Securonix 的 下一代 SIEM 产品基于 Hadoop 构建可扩展的大数据分析架构，提供日志管理、用户和实体行为分析功能，通过人工智能算法检测高级攻击并实现应急响应；启明星辰的 UEBA 产品在对多源异构数据归一处理基础上，利用机器学习等技术建立用户和实体对象行为正常基线并监测与基线的偏离；瀚思科技的 UEBA 解决方案聚焦于对企业内部员工的异常行为进行定位，结合审计、溯源、DLP 等企业原有安全能力，提高检测效果。

在敏感数据保护方面，人工智能助力数据识别和保护能力提升。

亚马逊推出 Amazon Macie Analytics 服务，可通 过机器学习技术自动识别重要数据访问、复制、移动等可疑行为，并实施准实时的修复措施，防范重要数据暴露及共享业务中的数据安全风险；德国 Neokami 推出了 CyberV ault 产品，可利用人工智能发现、 保护和管理云端和本地的敏感数据；亚信安全的数据分类分级发现系统在数据块维度多任务并行处理，利用机器学习+语义分析生成训练模型提高数据分类速度和精度，提供数据特性及变化趋势展示。

在安全运营管理方面，安全编排与自动化响应(SORA)逐渐兴起。

IBM 推出 Resilient 事件响应平台，可提供响应流程定制功能，灵活编排响应活动并自动审计跟踪，实现对威胁事件的快速响应；Palo Alto Networks 于 2019 年 2 月收购了 Demisto，并随即于 3 月推出人工 智能安全平台 Cortex，Cortex 数据湖致力于打破网络、云端、终端数 据孤岛，并支持对海量数据分析、威胁发现及响应策略快速编排，目前 PwC、Critical Start、On2it、TrustWave 等厂商已通过 API 方式接入该平台并提供安全能力；安恒信息的 AiLPHA 大数据智能安全平台结合智能关联分析引擎，构建规则模型、统计模型、机器学习模型和无监督的聚类分析，并通过“AI 安全大脑”对企业安全要素进 行智能编排，实现威胁管理流程的自动化建模。

国内企业应用人工智 能赋能网络安全主要实践如表所示：

目前，人工智能在网络安全领域的应用仍处于初级阶段。

随着研 究探索的不断推进、技术算法的不断成熟，人工智能技术或将打破传统安全的瓶颈与所能解决问题的边界，为网络安全带来全新范式。

一是攻防演练为人工智能应用训练提供了有效途径。 人工智能算法需要足量、高质量的数据持续训练，网络攻击长尾性、情报链不完整、数据共享不充分等成为制约人工智能成熟应用的瓶颈。

随着国内攻防演练对抗实战化、场景多样化、参与方多元化发展，网络攻击路线方式等完整攻击链信息逐渐积累，设备系统联动日益紧密，将为人工智能算法训练和模型建立提供了有力支撑。

二是机器学习依然是智能安全的主攻方向。 相对于卷积神经网络等深度学习技术，机器学习技术研究起步早、实践应用多，且多建立在专家智慧基础上，在可解释性、 检测分析效率等方面具有一定优势，预计在未来一段时间机器学习技术仍然是人工智能在网络安全领域应用的主要方向。

三是自动化编排和响应的探索应用前景可期。

SOAR 在汇集海量网络设备、终端、流 量、数据等情报基础上，构建自动化编排、部署与响应为一体的解决 方案，可大幅降低安全人力投入，更好应对网络结构日趋复杂、安全 威胁持续多样、防御手段整合度低等挑战。

四是人工智能自身和应用安全问题不容忽视。

人工智能技术在为网络安全提供新理念、新手段的同时，也带来了新的安全风险和挑战。

一方面数据样本污染、识 别系统混乱、软件漏洞等安全问题日益显现，人工智能数据样本、算法模型、框架平台等技术自身安全亟待加强。另一方面，人工智能与 经济社会各领域的深入融合也会引发新的安全风险，需要前瞻研究安 全措施、标准和手段等，确保人工智能安全发展、可靠应用。

雷锋网 (公众号：雷锋网) 注：以下内容摘自中国信通院发布的《中国网络安全产业白皮书(2019 年)》。

雷锋网。

雷锋网版权文章，未经授权禁止转载。详情见 转载须知 。