古博,人工智能一直是業(yè)內很熱的一個(gè)話(huà)題,為什么網(wǎng)絡(luò )安全領(lǐng)域也要應用人工智能技術(shù)?
古亮:
實(shí)際上,全球正在經(jīng)歷一場(chǎng)由科技驅動(dòng)的數字化轉型,傳統技術(shù)已經(jīng)不能適應病毒瞬息萬(wàn)變的發(fā)展態(tài)勢。網(wǎng)絡(luò )攻擊的成本不斷降低,導致網(wǎng)絡(luò )犯罪和黑客攻擊的規模和頻率不斷增加,造成的經(jīng)濟損失和社會(huì )影響也不斷擴大。與此同時(shí),網(wǎng)絡(luò )安全專(zhuān)業(yè)人員的需求量飛漲,但相關(guān)人才卻嚴重不足。因此,行業(yè)開(kāi)始尋求面向未來(lái)、有效保護的自動(dòng)化網(wǎng)絡(luò )安全解決方案,模式識別、機器學(xué)習等人工智能技術(shù)逐漸被應用于網(wǎng)絡(luò )安全領(lǐng)域。據Gartner 預測,到2020年,人工智能在網(wǎng)絡(luò )安全領(lǐng)域的應用比例,將從目前的10%增長(cháng)到40%。
網(wǎng)絡(luò )安全領(lǐng)域都應用人工智能技術(shù)都實(shí)現了哪些成果?
古亮:
從目前看,人工智能在網(wǎng)絡(luò )安全領(lǐng)域也有不少的應用。
我們說(shuō)現在安全需要面向未來(lái),原因在于各種未知威脅越來(lái)越多,在學(xué)習和檢測威脅,尤其是未知威脅上人工智能技術(shù)是有很大的優(yōu)勢的。網(wǎng)絡(luò )攻擊日益復雜,黑客也總是試水新技術(shù)來(lái)進(jìn)行攻擊,因此單靠安全團隊要學(xué)習到并檢測出所有的威脅幾乎不可能,而人工智能通過(guò)持續進(jìn)化不斷學(xué)習能夠快速掃描、解析并檢測出威脅。比如我們自研的基于人工智能技術(shù)的SAVE安全智能檢測引擎,使用深度學(xué)習,在病毒的C&C通信檢測上,取得了99.7%的F值,比傳統的n-gram方法提升了10幾個(gè)百分點(diǎn)。
而在有效保護方面,人工智能可以幫助工程師理清如何處理攻擊并了解哪些方法奏效,以及如何將這些經(jīng)驗應用到未來(lái)的黑客攻擊中。這可以大大縮短安全響應流程,并減少攻擊影響、降低用戶(hù)損失。
剛剛提到了深信服SAVE安全智能檢測引擎也應用了人工智能,能否介紹下?
古亮:
相比業(yè)界其他廠(chǎng)商的殺毒引擎以及知名開(kāi)源殺毒引擎,基于人工智能技術(shù)的SAVE引擎在未知病毒和已知病毒的新型變種上具有更強的查殺能力。傳統的病毒查殺,無(wú)論云端還是終端,引擎一般都是依賴(lài)病毒特征碼,這種方式對于未知病毒通常查殺效果不好。
SAVE通過(guò)人工智能技術(shù)進(jìn)行自我學(xué)習和進(jìn)化,能夠對未知病毒或變種進(jìn)行有效鑒定,且形成云端聯(lián)動(dòng),及時(shí)更新共享、人機共智,提高檢測的有效性。比如今年十分活躍的勒索家族Globelmposter 及GandCrab,前后出現幾次新變種,在沒(méi)有對相關(guān)新變種做任何分析的情況下,使用SAVE引擎,可以對他們的變種實(shí)現100%的精準檢測和查殺。
深信服SAVE安全智能檢測引擎病毒查殺率
剛剛您提到SAVE引擎在未知病毒和已知病毒的新型變種上具有更強的查殺能力?
古亮:
是的,基于人工智能的惡意文件查殺引擎優(yōu)于傳統基于特征碼的查殺引擎,原因在于機器學(xué)習、神經(jīng)網(wǎng)絡(luò )等人工智能技術(shù)所具有的泛化能力,通過(guò)使用已知樣本進(jìn)行訓練就可以在未知樣本集達到很好的效果,因此可以發(fā)現新型的惡意文件。例如,SAVE引擎在去年9月份訓練得到的模型,在未經(jīng)修改的情況下,成功防御了去年十月下旬爆發(fā)的新型勒索病毒 BadRabbit。
看來(lái)SAVE引擎的檢測能力確實(shí)很強,我們知道檢出率跟誤報率往往是相對立的,那么SAVE又是如何解決誤報率的問(wèn)題的呢?
古亮:
目前業(yè)內也存在一些基于機器學(xué)習的檢測引擎,而機器學(xué)習可能會(huì )把不存在訓練集合中的白樣本判定為惡意文件,導致誤報率高。如果通過(guò)調高閾值或是其他簡(jiǎn)單的方式來(lái)降低誤報率可能就會(huì )拖累原本具有的泛化能力,因此在技術(shù)上面臨很大的挑戰。我們的SAVE引擎通過(guò)監測并發(fā)現惡意軟件在實(shí)際運行時(shí)產(chǎn)生的動(dòng)態(tài)特征來(lái)消除誤報,經(jīng)過(guò)實(shí)測可以做到低誤報的同時(shí)又具有強大的泛化能力。
看來(lái)SAVE引擎確實(shí)具備不錯的安全檢測能力,那它在市場(chǎng)端是否有廣泛的應用?
古亮:
SAVE只是深信服安全領(lǐng)域的眾多安全檢測技術(shù)創(chuàng )新亮點(diǎn)之一。檢測技術(shù)將會(huì )是未來(lái)安全攻防對抗的核心。我們綜合利用了人工智能、規則、特征等多種方法,全面提升了在安全多個(gè)領(lǐng)域內的檢測能力,包括比特幣挖礦病毒檢測、惡意URL檢測、異常行為檢測等,比如在僵尸網(wǎng)絡(luò )檢測上,我們把準確度提升到了99.7%。
這些安全能力也已經(jīng)逐步嵌入到深信服智安全的下一代終端安全EDR、下一代防火墻、安全感知平臺、上網(wǎng)行為管理以及云眼、云盾等眾多安全產(chǎn)品和服務(wù)中,分布在攻擊鏈的每一個(gè)環(huán)節。深信服也將不斷研究創(chuàng )新,持續將最新科技成果轉化為安全保護能力,從而給用戶(hù)帶來(lái)面向未來(lái)、有效保護的安全。
