互联网+ 电子商务 智能家居 地理信息 智能制造 信息安全 3D打印 工业4.0 人工智能 光伏 新能源汽车 消费品 集成电路 移动支付 汽车 数据中心
全国首届中小微企业云服务大会
当前位置:首页 > 产业动态 > 战新 > 高端装备 > 正文

启明星辰助理总裁周涛:人工智能技术在安全中的能力表现

发布时间: 2018-03-27 14:02     来源: 满天星

  2018年3月22日,“2018中国IT市场年会——网络安全高峰论坛”在北京香格里拉酒店隆重举行。启明星辰助理总裁、核心研究院院长周涛在大会上发表了主题演讲。
启明星辰助理总裁、核心研究院院长 周涛
  以下为演讲实录:
  各位专家,大家下午好!今年赛迪年会的主题是人工智能开启数字经济新时代。我个人来自于公司研究院,作为公司研究线一员,如果在这个会上不讲点人工智能,好象跟大会主题不太合拍。我今天介绍一下目前我们业界对人工智能的应用现状,现在应用当中存在着什么问题,以及我个人觉得今后的发展应该往什么方向发展,我个人的一些看法,可能不太成熟。
  现在进入了一个智能时代,看到了各种各样的智能应用,比如说无人驾驶,机器翻译,智能音响逐渐走进生活当中。上周微软还说机器翻译的水平已经超过了我们普通人类专业翻译水平,这样可能再过几年是不是学外语就不是一个必须要学的学科,每个人带一个翻译机可以走遍天下了。每个人都会从人工智能浪潮中受益。
  回到每个人最关心的,我们在座的都是安全圈的人,我们来看一看安全圈通过人工智能,对我们带来什么提升。去掉对概念的炒作,去掉为了技术而技术的做法,为什么我们搞安全也要去用人工智能,无外乎本质上两个诉求。第一,我们希望对各种入侵有一个更准的检测能力。就像阿法狗和人类棋手一样,他可以战胜顶尖人类棋手,我们安全圈为什么不能做人工智能应用,他比人类最牛安全分析师还牛呢。
  第二,更高的分析效率。现在确实有一种说法机器翻译可以比人更牛,我觉得现在最顶尖人的翻译还是机器翻译比不了的,比如说总理两会的中英文互译,现在还不可能找一个机器翻译代替总理。但是有一点,虽然最顶尖比不了,但是机器翻译80%可以赶上人类翻译水平,这样普通的应用马马虎虎也可以用,毕竟比人的成本低很多,我们现在想安全领域能不能有这个东西,他检测能力和分析能力比人类顶尖分析师差一点,但是不要紧,他成本低,可以打规模用,这样可以提高效率,这也是安全圈里面寻求人工智能的一个诉求之一。
  针对这两个诉求,我们也看到了很多应用场景都说号陈背后用了AI技术,我总结了四类,第一类是未知威胁的检测。第二,针对攻击的溯源。第三,智能安全运维。第四,自动化攻防。
  我下面介绍一下里面什么有AI成分或者AI到了哪一步。
  未知威胁检测,这是一个主战场,也是用AI最根本的诉求。我们知道现在很多的检测手段是基于特征的检测,所谓的防范已知,很自然的会想到,我们能不能找到一种AI方法,可以自己学,自己提特征。这个过程不需要人的参与,我AI相当于可以跟着攻击手段提升,可以自动学到攻击特征,我就是具备对未知威胁的检测能力,这还带来分析效率提升,我们知道人分析样本工作量很大。
  现在这一块有很多的研究都是集中在这个领域里面,我们看到一些针对样本文件分析的深度学习系统,针对这种源代码,主要是网页级文件,比如说查检测,有一些深度学习方法检测。还有针对流量做深度分析,用的一些技术就是连接主义,比如说RNCN技术,我们看到这种技术虽然有很多出现了,但是有很大的不足,包括可解释性和攻击躲避都有很大不足,我后面会解释。
  做攻击溯源,所谓溯源就是要识别攻击是从哪儿来,干了什么,,对我破坏到什么程度,包括意图是什么,这是我们做攻击溯源的最本质的诉求。
  我们用AI来做这些事,要提升分析的效率。我们现在溯源这个事要靠人来做,有一些分析师拿一些事件再拿一些情报碰撞。我们看到目前有一些开源的工具,包括商业化工具都号称背后有AI技术,主要用的AI技术起了一个名字,这个技术路线分类应该来自于符号主义,一些本体建模的技术,我们也适用了这样产品和工具,发现现在一个最大的不足知识抽取,本体建模国家对人的依赖非常中。其实还有很大程度没有用到人工智能的方法。
  第三,安全运维的职能化,目标是提升安全事件的处置效率。国外有一种统计,整个从入侵开始到我们意识到自己被入侵的时间窗口有多长呢,前两天说142天,去年降到99天,国内没有这样统计,国内比这个只长不短。
  为什么入侵开始到未检测有这么长空档期,就是报警太多来不及看,只是到后面发现更严重的现象,再往前反查,查到之前已经有报警出现了,只是我们没有来得及跟踪。大家想我用一些人工智能的算法,来帮助我处理报警,来提升我的分析效率,是不是可以把这个时间窗大大缩短了,这也是我们现在用AI处理安全运维方面的诉求。
  我要用程序自动帮助我处理事件,帮助我产生运维的动作。用到方法目前看到的还是一些符号主义,基于预定义的响应。上个月安全圈一个很知名的并购,做大数据安全平台的领导厂商收购了一家做智能安全运维厂商,在圈里面反应有很大。目前虽然有商业智能运维平台的出现,真正用的时候会发现智能化水平并不高,我们写过翻唱规则,这下一个包,在包里去写一些IF语句。
  自动化攻防,我要实现漏洞挖掘,利用和修复过程的自动化。这个东西真的实现,我们知道现在系统线之前要做渗透测试,如果有自动化工具,这对于我们工作效率提升也非常明显。我目前看到了一些资料,大部分的技术还是在讲漏洞的挖掘,包括控制流程的分析等等。真正里面说什么用到了AI,其实没有看到特别明显的AI技术应用。在这一块无论是国内还是国外都有一些自动化攻防比赛,国外最出名是2016年第一次在CTF比赛出现机器人战队,国内也举办了机器人攻防比赛,这一块国内也会慢慢热起来。我们对四个场景做一个总结,我们号称有很多基于AI安全场景出现了,这还面临很大的挑战。我们从检测应用来看,面临着最主要的挑战,我们在安全场景里面很重要的特征就是攻防、对抗,对抗会导致通过一些加密和混淆手段,让我检测对象发生变化。现在很多深度学习拿样本来学,我拿正常的样本和攻击文件,就是木马文件做了一些加壳,你会发现整个文件的统计特征完全发生了变化。其实现在所谓深度学习毕竟还是基于统计的学习方法,你统计特征已经变了,你学习肯定学不出好的结果,至少现在深度学习的方法,对于检测混淆或者加密的能力是存在明显的不足。
  可解释性,安全很多时候并不是说报一个警就完事了,这个文件是坏的是好的,不能只给一个简单的结论,我们要给出一个理由来,为什么说这个文件是好的,为什么是坏的,我们要结果可解释性了。你要用学习力算法,最后得到是什么呢?学到的是分类器,这里面有几千万甚至上亿系数,我去算这是好的,这和算命没有什么区别,我们把这个结论告诉用户,别人是不信服的。
  我们对分析类应用,我们对运维和溯源都是分析类应用,这面临的挑战知识获取困难,另外推理规则很难写,而且写的时候很严重依赖于写这个人的经验。
  最后是结果的支持,我的规则、响应,将来要作用到具体的设备上,这个设备能不能接受AI调度,这也是真正在大范围应用AI的时候首先要考虑的问题。
  有了这些挑战如何做呢?还是要回顾一下到底什么是AI。现在圈里面都在讲深度学习,好象学习就是AI了。整个AI有四个最主要的研究领域,叫搜索、推理、规划和学习。我面向问题空间的搜索,基于知识的推理,基于规则的规划和从数据当中学习,这都是AI的一些研究领域。我们来回顾一些典型的AI应用,比如说阿法狗下围棋,这绝对不仅仅是算法。还有问答,还有对于知识提取作为本体构建,这也是支持系统很重要的手段。一个好的应用绝对不能仅仅靠一个学习的算法就可以搞定。
  安全领域也是这样的,我们在真正学习之前还要先回答两个问题。我们现在都在讲深度学习,深度学习干什么,是产生一个分类器,这是一个关于能不能识别正常和异常的支持,我们通过学习产生新知识之前,我们有没有对现在已有的知识做了充分的利用。如果说大家对这个问题的回答是否定的,就是有第二个问题,如果没有利用好,我们有没有好的方法,把我们现在已经有的安全知识利用好,这是要回答的第二个问题。
  知识图谱用于安全分析。做问答系统,推理或者微软小冰等等背后都在提知识图谱,去年参加很多人工智能的会,大家都在说这个技术。我们安全圈有没有把这个技术用好,我们看安全数据,大家想一想对安全数据的表达,用什么样的数据结构最合适,其实是图。我举了一个例子,我分析安全事件,从里面提安全要素,可能要知道这个攻击源和攻击目标,这是地址,要知道有什么攻击手法,这个能不能生效要取决于这个有没有漏洞描述,这个攻击源是不是一个可以来源,我还需要外部威胁情报数据。我判断目标的损失,还要知道这个目标主题重要性,它上面承载的服务。如果还要再评估威胁有多大,到底有没有中招,可能还需要目标主攻击之后的连接信息等等,这些数据来了之后如何分析,如果依照他们关联关系组成一张图,很多事件组成知识突袭,在这上面做分析,我们分析的交互性也好,可解释性也好,都要远远好于从一张表到一张表做关联查询,把知识图谱用到安全分析当中,至少有三个地方可以强迫我们把安全知识沉淀到知识图谱里面。首先是做十几个关键梳理,我们知道图是有节点和篇组成的,什么东西放到节点,什么放到编里面,这和后面息息相关,为了把系统设计好,你在设计图的时候要考虑好知识怎么样组织。这时候在生成图的过程中已经对安全知识做了抽象。
  做推理。我们有了图之后认为什么节点和什么节点之间关联之间是完整的场景,我将来要写出图上查询规则,你写规则又是进行一次沉淀。
  基于这个图做交互式分析,我有了图,从一个节点开始做前后之间的连接关系的梳理,这又会对我们安全背景知识做一次沉淀,这样有了知识图谱,就解决了我前面提到的,已经有的安全知识怎么用的问题。我们现在也做一些研究,也只是刚刚开始,我希望后面如果有机会可以把研究成果给大家做一次汇报,谢谢大家。

收藏