信息安全與人工智能
1. 前言
人工智能(即Artificial Intelligence,簡(jiǎn)稱AI)是計(jì)算機(jī)科學(xué)研究領(lǐng)域的重要方向���,其起源直接可以追溯至現(xiàn)代計(jì)算機(jī)未正式誕生之前���,但其真正具有廣泛實(shí)用價(jià)值應(yīng)看作為21世紀(jì)的初葉���,可以預(yù)見(jiàn)在未來(lái)的若干年中���,隨著計(jì)算機(jī)硬件工藝極大的提高、網(wǎng)絡(luò)帶寬迅速增長(zhǎng)���,筆者認(rèn)為人工智能應(yīng)在計(jì)算機(jī)科學(xué)的若干細(xì)分領(lǐng)域中占有最為重要的作用���,它也會(huì)極為廣泛地被其它學(xué)科所應(yīng)用,可以認(rèn)為21世紀(jì)實(shí)際就是“泛人工智能”的時(shí)代���。
與人工智能相較���,計(jì)算機(jī)領(lǐng)域中的信息安全分支起源較遲���,應(yīng)該可以認(rèn)為是上世紀(jì)80年×××始興起,90年代至今都在不斷發(fā)展的一門(mén)多交叉���、邊緣性學(xué)科���;其從最初的、比較單一的殺毒軟件開(kāi)始(與數(shù)據(jù)加密一起可以認(rèn)為是當(dāng)代信息安全產(chǎn)業(yè)的濫觴���,當(dāng)然數(shù)據(jù)加解密實(shí)際上是信息安全最初的需要���,但殺毒軟件最為人們所熟知),其后又發(fā)展了防火墻���、***檢測(cè)系統(tǒng)���,它們與殺毒軟件一起被稱作信息安全產(chǎn)品的“老三樣”或者被稱為“三架馬車”;隨著信息安全地不斷發(fā)展���、嚴(yán)峻的信息安全形式以及客戶的要求���,單一的安全產(chǎn)品已然無(wú)法滿足現(xiàn)實(shí)情況���,筆者將信息安全的發(fā)展劃分為如下幾個(gè)階段:
第一階段:?jiǎn)我话踩a(chǎn)品階段,即各種信息安全產(chǎn)品各自為站���,每種安全產(chǎn)品各管一塊���,其形態(tài)也基本上為網(wǎng)關(guān)型、主機(jī)型等���;
第二階段:綜合安全產(chǎn)品階段(含解決方案),此類產(chǎn)品提供了單一安全產(chǎn)品所無(wú)法具備的一些功能���,比如UTM類產(chǎn)品(統(tǒng)一威脅網(wǎng)關(guān))���、安全管理中心等,此類產(chǎn)品可能包含若干種功能���,而且它們應(yīng)能將相關(guān)信息進(jìn)行相關(guān)關(guān)聯(lián)���,在一定范圍內(nèi)和一定深度內(nèi)進(jìn)行一般性的挖掘���,從而達(dá)到單一產(chǎn)品所無(wú)法完成的任務(wù),但其能力應(yīng)該也僅僅是在“一定”之內(nèi)���;
第三階段:此階段目前似乎沒(méi)有太多定論���,一般而言可能是指所謂的大數(shù)據(jù)安全、云安全���,但個(gè)人認(rèn)為無(wú)論是大數(shù)據(jù)還是云安全都沒(méi)法準(zhǔn)確刻畫(huà)���、描述和解決我們當(dāng)前面臨的各類復(fù)雜的安全問(wèn)題,例如零日漏洞���、社會(huì)工學(xué)(一般可指釣魚(yú)���,無(wú)論是短信方式還是郵件方式等)、海量的惡意軟件變種等等���,不一而足���,所以此階段應(yīng)該被稱為“人工智能安全產(chǎn)品”時(shí)代。因?yàn)槊鎸?duì)當(dāng)前如此復(fù)雜的信息安全形勢(shì)���、如此巨大的數(shù)據(jù)信息、如此“狡詐”的網(wǎng)絡(luò)犯罪手段���,僅僅依賴各類傳統(tǒng)方法(包括一般的關(guān)聯(lián)手段等)是無(wú)法解決的���。
當(dāng)然���,人工智能也是無(wú)法解決所有信息安全問(wèn)題,部分的問(wèn)題還是需要一些管理手段���,但竊以為以往提出的在信息安全領(lǐng)域中的“三分技術(shù)���,七分管理”是值得商榷的���,個(gè)人堅(jiān)持“七分技術(shù)���,三分管理”,因?yàn)闊o(wú)論何時(shí)���、何種場(chǎng)合���,“科學(xué)技術(shù)是第一生產(chǎn)力”���,如果技術(shù)手段都無(wú)解決,那么管理手段能解決的范圍和程度也是相當(dāng)有限的���;應(yīng)該強(qiáng)調(diào)的一點(diǎn)是,正確的���、適度的、合理的管理手段是必不可少的���,否則其結(jié)果不是增加安全運(yùn)維人員的負(fù)荷就是得到錯(cuò)誤的結(jié)論。
2. 人工智能和信息安全產(chǎn)品的關(guān)系
其實(shí)���,通過(guò)對(duì)過(guò)往安全產(chǎn)品的回溯,我們可以認(rèn)為人工智能應(yīng)早就***到各種類型產(chǎn)品的“血液”之中���,其程度或淺或深���,其效果或顯著或不甚明顯���。其中較為著名的如反垃圾郵件開(kāi)源系統(tǒng)——Spam Assassin,在其中使用了一些諸如樸素貝葉斯的方法���,它對(duì)可能今后未知的垃圾郵件進(jìn)行打分和分類,這個(gè)開(kāi)源項(xiàng)目目前仍被較好地維護(hù)���。通過(guò)實(shí)驗(yàn)���,現(xiàn)在看來(lái)其效果還是不錯(cuò)的(不過(guò)它使用的是Python進(jìn)行訓(xùn)練和識(shí)別���,速度略慢���,但在一般情況下處理郵件還是綽綽有余了)���。
通過(guò)上節(jié)的例子���,我們可以看出人工智能在信息安全上已經(jīng)有了不錯(cuò)的應(yīng)用,那么其還能解決哪些問(wèn)題���?
人工智能其實(shí)也包含若干個(gè)不同的用途,筆者以為包括:
1. 分類:如在上例中對(duì)于垃圾郵件���、釣魚(yú)郵件/短信的分類���,即區(qū)分安全和不安全問(wèn)題���;各種分類模型或算法是人工智能技術(shù)應(yīng)用于信息安全領(lǐng)域的最為重要的手段或方法���;
2. 聚類:目前還沒(méi)有看到在安全產(chǎn)品中有被廣泛地應(yīng)用���;
3. 回歸分析和預(yù)測(cè):這個(gè)已經(jīng)被廣泛地運(yùn)用于一些網(wǎng)絡(luò)類型的信息安全產(chǎn)品���;
4. 規(guī)則挖掘:在信息安全領(lǐng)域���,這種方法似乎沒(méi)有被大范圍使用���,難道用不到���?
5. 距離分析(其實(shí)聚類分析也是一種比較典型的距離分析):此類方法在一些網(wǎng)絡(luò)流量類產(chǎn)品中有比較好的應(yīng)用���,但安全也和網(wǎng)絡(luò)是密不可分的���;
6. 假設(shè)檢驗(yàn):可以對(duì)一些對(duì)象的行為進(jìn)行分類并建立基線���,使用假設(shè)檢驗(yàn)的方法來(lái)預(yù)測(cè)���。
綜上所述���,網(wǎng)絡(luò)安全與人工智能���,特別是“機(jī)器學(xué)習(xí)”具有密不可分的關(guān)系���,其中分類是最為重要的手段;只有通過(guò)對(duì)于不同數(shù)據(jù)的分類���,方可識(shí)別惡意行為和正常行為���,才能比較有效地處理安全問(wèn)題���,其它方法也是比較常用的手段���,它們共同組成安全產(chǎn)品的“智腦”。
當(dāng)然���,不是安全產(chǎn)品僅僅具備人工智能這一項(xiàng)裝備就萬(wàn)事大吉了���,還是要結(jié)合一些傳統(tǒng)的,諸如特征(如MD5等)���、一般性策略���、名譽(yù)技術(shù)(其實(shí)也就是各類黑白名單庫(kù))等方能充分發(fā)揮其效能。另外���,信息的收集���、處理(各類信息的元數(shù)據(jù)抽?��。⒆R(shí)別(如對(duì)于網(wǎng)絡(luò)包的深度識(shí)別技術(shù))���、基礎(chǔ)統(tǒng)計(jì)等也是必不可少的(因?yàn)?��,各類人工智能算法并不是處理大?shù)據(jù)的)���,這些步驟方是大數(shù)據(jù)安全的“前奏”���。
那么���,在一些信息安全產(chǎn)品中���,最需要通過(guò)人工智能技術(shù)解決哪些問(wèn)題���?答案應(yīng)是對(duì)各類未知威脅的檢測(cè)。可以想象,如果一款安全產(chǎn)品總是需要或僅僅依賴各類特征來(lái)發(fā)現(xiàn)問(wèn)題���,那么其時(shí)效性���、有效性均會(huì)存在巨大隱患,在某種程度而言���,它其實(shí)就是最大的“黑洞”���。另外,需要說(shuō)明一點(diǎn)的是���,經(jīng)過(guò)訓(xùn)練的數(shù)據(jù)特征是需要升級(jí)的,這個(gè)只靠單個(gè)結(jié)點(diǎn)可能是無(wú)法勝任的���。
3. 具備“智腦”的信息安全產(chǎn)品
既然人工智能與信息安全產(chǎn)品有如此深刻的關(guān)系,那么我們需要梳理下當(dāng)前信息安全信息形式下在哪些方面應(yīng)應(yīng)用哪些相關(guān)技術(shù)(包括已經(jīng)使用的和可能在未來(lái)需要使用的):
1. 關(guān)于動(dòng)態(tài)域名的識(shí)別:由于目前***已在各類惡意軟件中占有統(tǒng)治力的地位(純粹只具備破壞性的病毒���,由于利益問(wèn)題���,占比基本很小)���,而且***主要的行為就是利用遠(yuǎn)程控制方法來(lái)進(jìn)行操控���、***、重要信息的獲取和偷竊���,多數(shù)***會(huì)使用動(dòng)態(tài)域名的方法與遠(yuǎn)程服務(wù)器進(jìn)行交互以逃避靜態(tài)名單的檢測(cè)及阻斷���,故對(duì)于動(dòng)態(tài)域名的識(shí)別是防止***的重要一環(huán),這只能通過(guò)人工智能的方法并配合靜態(tài)名單來(lái)滿足要求���;
2. 釣魚(yú)行為的識(shí)別:在當(dāng)前階段���,利用社會(huì)工學(xué)的手段,使用短信(普通短信及彩信)���、郵件等途徑誘騙用戶點(diǎn)擊���、下載惡意軟件已經(jīng)成為社會(huì)信息安全的毒瘤���,而這些釣魚(yú)手段防不甚防,如文字具有非常的誘惑力且文字間插入很多特殊字符以迷惑識(shí)別軟件���、圖像中隱藏惡意鏈接等等���,隱蔽性很強(qiáng),一般受害者根本無(wú)法辨識(shí)���,故在很多場(chǎng)合亟需具備一定智能的軟件去不斷學(xué)習(xí)和識(shí)別這些問(wèn)題���;
3. 不斷演進(jìn)的惡意軟件形態(tài)識(shí)別:目前,由于惡意軟件的偽裝方法十分隱蔽���,如加殼甚至是私有殼���、分段組裝、延遲執(zhí)行���、反沙箱或反虛擬化等等���,雖然利用沙箱可以檢測(cè)出部分行為���,但存在兩個(gè)問(wèn)題:其一是沙箱的能力十分有限,而且可能產(chǎn)生比一些誤報(bào)���,在很多場(chǎng)合下還需進(jìn)行人工分析;其二是沙箱的性能十分有限���,運(yùn)行一個(gè)樣本���,在一般情況下可能需要若干分鐘,如果將同一個(gè)樣本放置在不同種類的沙箱中���,那么消耗的資源和時(shí)間都是十分驚人的���,故需要更好的靜態(tài)識(shí)別方法(不僅僅是特征碼),以減少沙箱運(yùn)行的次數(shù)���;
4. 對(duì)于異常流量的識(shí)別:如果企業(yè)對(duì)于自身的網(wǎng)絡(luò)連接行為約束得較好(不過(guò)這也不排除某些合法站點(diǎn)被掛馬)���,那么可能對(duì)于這個(gè)方面的防護(hù)要求并不是太高(但也未必不會(huì)產(chǎn)生問(wèn)題),但是從安全性的角度而言,非法的外聯(lián)���、內(nèi)聯(lián)永遠(yuǎn)也是企業(yè)安全的最大問(wèn)題來(lái)源���,這個(gè)也無(wú)法杜絕使用“擺渡”方式來(lái)偷竊企業(yè)敏感信息的手段,故對(duì)于不斷增長(zhǎng)的網(wǎng)絡(luò)連接行為的檢視和審計(jì)就成為可能“阻斷”企業(yè)信息泄密的最后方法���,但如何有效刻畫(huà)網(wǎng)絡(luò)連接���、通訊的各類特征、內(nèi)網(wǎng)各個(gè)結(jié)點(diǎn)的網(wǎng)絡(luò)行為���、用戶網(wǎng)絡(luò)行為就成為非常重要的一環(huán)���,但這里仍需要使用一些人工智能及統(tǒng)計(jì)學(xué)的方法。
以上闡述的幾個(gè)方面可能不過(guò)是信息安全產(chǎn)品所需要解決的眾多問(wèn)題中的幾個(gè)重要方面���,但具體而言���,特別是在目前大數(shù)據(jù)、云計(jì)算環(huán)境下���,一個(gè)具備“智腦”的信息安全產(chǎn)品應(yīng)具有如下幾項(xiàng)特點(diǎn):
第一���,至少具備分布式的產(chǎn)品架構(gòu)���,能多個(gè)抓取點(diǎn)所獲取的不同種類的數(shù)據(jù)有分析、特征提取的能力���;
第二���,具備一定能力以提供對(duì)數(shù)據(jù)建模的功能���,當(dāng)然���,提供建模的方法或接口最好有用戶自定義模塊;
第三���,也是最重要的一環(huán)是���,應(yīng)提供較為豐富的人工智能應(yīng)用,比如集成如樸素貝葉斯方法���、貝葉斯網(wǎng)絡(luò)���、Hopfield/BP神經(jīng)網(wǎng)絡(luò)���、卷積神經(jīng)網(wǎng)絡(luò)、波爾茲曼神經(jīng)網(wǎng)絡(luò)���、深度置信神經(jīng)網(wǎng)絡(luò)���、n-gram方法(參見(jiàn)文獻(xiàn)[4])、遺傳算法���、模擬退火���、支持向量機(jī)(Support Vector Machine,簡(jiǎn)稱SVM)���、k-means���、LDA、Apriori等等���,為此應(yīng)還需要集成各類向量/矩陣運(yùn)算(能支持上百個(gè)維度)���、空間距離運(yùn)算(如歐氏距離���、馬氏距離等)、統(tǒng)計(jì)數(shù)字特征分析���、假設(shè)檢驗(yàn)分析等���,方可在面對(duì)處理不同問(wèn)題時(shí)“游刃有余”。比較好的一點(diǎn)是���,很多開(kāi)源庫(kù)已經(jīng)提供了這些功能,如R���、Octave���、libsvm等,一般所要做的工作不過(guò)是恰當(dāng)?shù)爻槿√卣骱秃线m地模型建立���。
總之���,對(duì)于一個(gè)不具備“智腦”的信息安全產(chǎn)品而僅僅依賴靜態(tài)特征運(yùn)作���,其在識(shí)別、防御“未知威脅”上肯定會(huì)存在這樣或那樣的問(wèn)題���,也無(wú)法應(yīng)對(duì)日益復(fù)雜的信息安全問(wèn)題���。
4. 未來(lái)的展望
通過(guò)上面的論述,可以看出當(dāng)前信息安全類產(chǎn)品(無(wú)論是防御類還是主動(dòng)發(fā)現(xiàn)類)所使用的人工智能技術(shù)主要是基于一般機(jī)器學(xué)習(xí)方法的���,而且此類機(jī)器學(xué)習(xí)方法還是比較集中在所謂“有師類(即有監(jiān)督)”學(xué)習(xí)���,而隨著技術(shù)的不斷發(fā)展和演進(jìn),信息安全類產(chǎn)品應(yīng)及時(shí)將新的人工智能技術(shù)和手段不斷集中進(jìn)來(lái)���,更多地使用“無(wú)師類(即無(wú)監(jiān)督)”的學(xué)習(xí)方法方可應(yīng)對(duì)不斷惡化的信息安全形勢(shì)���,即更大地提高產(chǎn)品的智能化水平,從而在應(yīng)對(duì)各類問(wèn)題的時(shí)效性和有效性上更進(jìn)一步���。
俗話說(shuō):“道高一尺���,魔高一丈”���,信息安全(無(wú)論是互聯(lián)網(wǎng)安全、內(nèi)網(wǎng)安全還是其它方面的安全)永遠(yuǎn)是一場(chǎng)“沒(méi)有硝煙的戰(zhàn)爭(zhēng)”���,***兩端的理論���、實(shí)踐(包括各種技術(shù)、手段���、方法等)也不斷在發(fā)展���,可以預(yù)見(jiàn)未來(lái)的信息安全戰(zhàn)爭(zhēng)就是:“人工智能對(duì)抗人工智能、機(jī)器學(xué)習(xí)對(duì)抗機(jī)器學(xué)習(xí)���,甚至是機(jī)器人對(duì)抗機(jī)器人!���?��!?/span>
