古博,人工智能一直是業(yè)內(nèi)很熱的一個(gè)話(huà)題,為什么網(wǎng)絡(luò)安全領(lǐng)域也要應(yīng)用人工智能技術(shù)?
古亮:
實(shí)際上,全球正在經(jīng)歷一場(chǎng)由科技驅(qū)動(dòng)的數(shù)字化轉(zhuǎn)型,傳統(tǒng)技術(shù)已經(jīng)不能適應(yīng)病毒瞬息萬(wàn)變的發(fā)展態(tài)勢(shì)。網(wǎng)絡(luò)攻擊的成本不斷降低,導(dǎo)致網(wǎng)絡(luò)犯罪和黑客攻擊的規(guī)模和頻率不斷增加,造成的經(jīng)濟(jì)損失和社會(huì)影響也不斷擴(kuò)大。與此同時(shí),網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的需求量飛漲,但相關(guān)人才卻嚴(yán)重不足。因此,行業(yè)開(kāi)始尋求面向未來(lái)、有效保護(hù)的自動(dòng)化網(wǎng)絡(luò)安全解決方案,模式識(shí)別、機(jī)器學(xué)習(xí)等人工智能技術(shù)逐漸被應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。據(jù)Gartner 預(yù)測(cè),到2020年,人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用比例,將從目前的10%增長(zhǎng)到40%。
網(wǎng)絡(luò)安全領(lǐng)域都應(yīng)用人工智能技術(shù)都實(shí)現(xiàn)了哪些成果?
古亮:
從目前看,人工智能在網(wǎng)絡(luò)安全領(lǐng)域也有不少的應(yīng)用。
我們說(shuō)現(xiàn)在安全需要面向未來(lái),原因在于各種未知威脅越來(lái)越多,在學(xué)習(xí)和檢測(cè)威脅,尤其是未知威脅上人工智能技術(shù)是有很大的優(yōu)勢(shì)的。網(wǎng)絡(luò)攻擊日益復(fù)雜,黑客也總是試水新技術(shù)來(lái)進(jìn)行攻擊,因此單靠安全團(tuán)隊(duì)要學(xué)習(xí)到并檢測(cè)出所有的威脅幾乎不可能,而人工智能通過(guò)持續(xù)進(jìn)化不斷學(xué)習(xí)能夠快速掃描、解析并檢測(cè)出威脅。比如我們自研的基于人工智能技術(shù)的SAVE安全智能檢測(cè)引擎,使用深度學(xué)習(xí),在病毒的C&C通信檢測(cè)上,取得了99.7%的F值,比傳統(tǒng)的n-gram方法提升了10幾個(gè)百分點(diǎn)。
而在有效保護(hù)方面,人工智能可以幫助工程師理清如何處理攻擊并了解哪些方法奏效,以及如何將這些經(jīng)驗(yàn)應(yīng)用到未來(lái)的黑客攻擊中。這可以大大縮短安全響應(yīng)流程,并減少攻擊影響、降低用戶(hù)損失。
剛剛提到了深信服SAVE安全智能檢測(cè)引擎也應(yīng)用了人工智能,能否介紹下?
古亮:
相比業(yè)界其他廠(chǎng)商的殺毒引擎以及知名開(kāi)源殺毒引擎,基于人工智能技術(shù)的SAVE引擎在未知病毒和已知病毒的新型變種上具有更強(qiáng)的查殺能力。傳統(tǒng)的病毒查殺,無(wú)論云端還是終端,引擎一般都是依賴(lài)病毒特征碼,這種方式對(duì)于未知病毒通常查殺效果不好。
SAVE通過(guò)人工智能技術(shù)進(jìn)行自我學(xué)習(xí)和進(jìn)化,能夠?qū)ξ粗《净蜃兎N進(jìn)行有效鑒定,且形成云端聯(lián)動(dòng),及時(shí)更新共享、人機(jī)共智,提高檢測(cè)的有效性。比如今年十分活躍的勒索家族Globelmposter 及GandCrab,前后出現(xiàn)幾次新變種,在沒(méi)有對(duì)相關(guān)新變種做任何分析的情況下,使用SAVE引擎,可以對(duì)他們的變種實(shí)現(xiàn)100%的精準(zhǔn)檢測(cè)和查殺。
深信服SAVE安全智能檢測(cè)引擎病毒查殺率
剛剛您提到SAVE引擎在未知病毒和已知病毒的新型變種上具有更強(qiáng)的查殺能力?
古亮:
是的,基于人工智能的惡意文件查殺引擎優(yōu)于傳統(tǒng)基于特征碼的查殺引擎,原因在于機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)等人工智能技術(shù)所具有的泛化能力,通過(guò)使用已知樣本進(jìn)行訓(xùn)練就可以在未知樣本集達(dá)到很好的效果,因此可以發(fā)現(xiàn)新型的惡意文件。例如,SAVE引擎在去年9月份訓(xùn)練得到的模型,在未經(jīng)修改的情況下,成功防御了去年十月下旬爆發(fā)的新型勒索病毒 BadRabbit。
看來(lái)SAVE引擎的檢測(cè)能力確實(shí)很強(qiáng),我們知道檢出率跟誤報(bào)率往往是相對(duì)立的,那么SAVE又是如何解決誤報(bào)率的問(wèn)題的呢?
古亮:
目前業(yè)內(nèi)也存在一些基于機(jī)器學(xué)習(xí)的檢測(cè)引擎,而機(jī)器學(xué)習(xí)可能會(huì)把不存在訓(xùn)練集合中的白樣本判定為惡意文件,導(dǎo)致誤報(bào)率高。如果通過(guò)調(diào)高閾值或是其他簡(jiǎn)單的方式來(lái)降低誤報(bào)率可能就會(huì)拖累原本具有的泛化能力,因此在技術(shù)上面臨很大的挑戰(zhàn)。我們的SAVE引擎通過(guò)監(jiān)測(cè)并發(fā)現(xiàn)惡意軟件在實(shí)際運(yùn)行時(shí)產(chǎn)生的動(dòng)態(tài)特征來(lái)消除誤報(bào),經(jīng)過(guò)實(shí)測(cè)可以做到低誤報(bào)的同時(shí)又具有強(qiáng)大的泛化能力。
看來(lái)SAVE引擎確實(shí)具備不錯(cuò)的安全檢測(cè)能力,那它在市場(chǎng)端是否有廣泛的應(yīng)用?
古亮:
SAVE只是深信服安全領(lǐng)域的眾多安全檢測(cè)技術(shù)創(chuàng)新亮點(diǎn)之一。檢測(cè)技術(shù)將會(huì)是未來(lái)安全攻防對(duì)抗的核心。我們綜合利用了人工智能、規(guī)則、特征等多種方法,全面提升了在安全多個(gè)領(lǐng)域內(nèi)的檢測(cè)能力,包括比特幣挖礦病毒檢測(cè)、惡意URL檢測(cè)、異常行為檢測(cè)等,比如在僵尸網(wǎng)絡(luò)檢測(cè)上,我們把準(zhǔn)確度提升到了99.7%。
這些安全能力也已經(jīng)逐步嵌入到深信服智安全的下一代終端安全EDR、下一代防火墻、安全感知平臺(tái)、上網(wǎng)行為管理以及云眼、云盾等眾多安全產(chǎn)品和服務(wù)中,分布在攻擊鏈的每一個(gè)環(huán)節(jié)。深信服也將不斷研究創(chuàng)新,持續(xù)將最新科技成果轉(zhuǎn)化為安全保護(hù)能力,從而給用戶(hù)帶來(lái)面向未來(lái)、有效保護(hù)的安全。
