古博,人工智能一直是業(yè)內(nèi)很熱的一個話題,為什么網(wǎng)絡(luò)安全領(lǐng)域也要應(yīng)用人工智能技術(shù)?
古亮:
實(shí)際上,全球正在經(jīng)歷一場由科技驅(qū)動的數(shù)字化轉(zhuǎn)型,傳統(tǒng)技術(shù)已經(jīng)不能適應(yīng)病毒瞬息萬變的發(fā)展態(tài)勢。網(wǎng)絡(luò)攻擊的成本不斷降低,導(dǎo)致網(wǎng)絡(luò)犯罪和黑客攻擊的規(guī)模和頻率不斷增加,造成的經(jīng)濟(jì)損失和社會影響也不斷擴(kuò)大。與此同時,網(wǎng)絡(luò)安全專業(yè)人員的需求量飛漲,但相關(guān)人才卻嚴(yán)重不足。因此,行業(yè)開始尋求面向未來、有效保護(hù)的自動化網(wǎng)絡(luò)安全解決方案,模式識別、機(jī)器學(xué)習(xí)等人工智能技術(shù)逐漸被應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。據(jù)Gartner 預(yù)測,到2020年,人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用比例,將從目前的10%增長到40%。
網(wǎng)絡(luò)安全領(lǐng)域都應(yīng)用人工智能技術(shù)都實(shí)現(xiàn)了哪些成果?
古亮:
從目前看,人工智能在網(wǎng)絡(luò)安全領(lǐng)域也有不少的應(yīng)用。
我們說現(xiàn)在安全需要面向未來,原因在于各種未知威脅越來越多,在學(xué)習(xí)和檢測威脅,尤其是未知威脅上人工智能技術(shù)是有很大的優(yōu)勢的。網(wǎng)絡(luò)攻擊日益復(fù)雜,黑客也總是試水新技術(shù)來進(jìn)行攻擊,因此單靠安全團(tuán)隊(duì)要學(xué)習(xí)到并檢測出所有的威脅幾乎不可能,而人工智能通過持續(xù)進(jìn)化不斷學(xué)習(xí)能夠快速掃描、解析并檢測出威脅。比如我們自研的基于人工智能技術(shù)的SAVE安全智能檢測引擎,使用深度學(xué)習(xí),在病毒的C&C通信檢測上,取得了99.7%的F值,比傳統(tǒng)的n-gram方法提升了10幾個百分點(diǎn)。
而在有效保護(hù)方面,人工智能可以幫助工程師理清如何處理攻擊并了解哪些方法奏效,以及如何將這些經(jīng)驗(yàn)應(yīng)用到未來的黑客攻擊中。這可以大大縮短安全響應(yīng)流程,并減少攻擊影響、降低用戶損失。
剛剛提到了深信服SAVE安全智能檢測引擎也應(yīng)用了人工智能,能否介紹下?
古亮:
相比業(yè)界其他廠商的殺毒引擎以及知名開源殺毒引擎,基于人工智能技術(shù)的SAVE引擎在未知病毒和已知病毒的新型變種上具有更強(qiáng)的查殺能力。傳統(tǒng)的病毒查殺,無論云端還是終端,引擎一般都是依賴病毒特征碼,這種方式對于未知病毒通常查殺效果不好。
SAVE通過人工智能技術(shù)進(jìn)行自我學(xué)習(xí)和進(jìn)化,能夠?qū)ξ粗《净蜃兎N進(jìn)行有效鑒定,且形成云端聯(lián)動,及時更新共享、人機(jī)共智,提高檢測的有效性。比如今年十分活躍的勒索家族Globelmposter 及GandCrab,前后出現(xiàn)幾次新變種,在沒有對相關(guān)新變種做任何分析的情況下,使用SAVE引擎,可以對他們的變種實(shí)現(xiàn)100%的精準(zhǔn)檢測和查殺。
深信服SAVE安全智能檢測引擎病毒查殺率
剛剛您提到SAVE引擎在未知病毒和已知病毒的新型變種上具有更強(qiáng)的查殺能力?
古亮:
是的,基于人工智能的惡意文件查殺引擎優(yōu)于傳統(tǒng)基于特征碼的查殺引擎,原因在于機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)等人工智能技術(shù)所具有的泛化能力,通過使用已知樣本進(jìn)行訓(xùn)練就可以在未知樣本集達(dá)到很好的效果,因此可以發(fā)現(xiàn)新型的惡意文件。例如,SAVE引擎在去年9月份訓(xùn)練得到的模型,在未經(jīng)修改的情況下,成功防御了去年十月下旬爆發(fā)的新型勒索病毒 BadRabbit。
看來SAVE引擎的檢測能力確實(shí)很強(qiáng),我們知道檢出率跟誤報率往往是相對立的,那么SAVE又是如何解決誤報率的問題的呢?
古亮:
目前業(yè)內(nèi)也存在一些基于機(jī)器學(xué)習(xí)的檢測引擎,而機(jī)器學(xué)習(xí)可能會把不存在訓(xùn)練集合中的白樣本判定為惡意文件,導(dǎo)致誤報率高。如果通過調(diào)高閾值或是其他簡單的方式來降低誤報率可能就會拖累原本具有的泛化能力,因此在技術(shù)上面臨很大的挑戰(zhàn)。我們的SAVE引擎通過監(jiān)測并發(fā)現(xiàn)惡意軟件在實(shí)際運(yùn)行時產(chǎn)生的動態(tài)特征來消除誤報,經(jīng)過實(shí)測可以做到低誤報的同時又具有強(qiáng)大的泛化能力。
看來SAVE引擎確實(shí)具備不錯的安全檢測能力,那它在市場端是否有廣泛的應(yīng)用?
古亮:
SAVE只是深信服安全領(lǐng)域的眾多安全檢測技術(shù)創(chuàng)新亮點(diǎn)之一。檢測技術(shù)將會是未來安全攻防對抗的核心。我們綜合利用了人工智能、規(guī)則、特征等多種方法,全面提升了在安全多個領(lǐng)域內(nèi)的檢測能力,包括比特幣挖礦病毒檢測、惡意URL檢測、異常行為檢測等,比如在僵尸網(wǎng)絡(luò)檢測上,我們把準(zhǔn)確度提升到了99.7%。
這些安全能力也已經(jīng)逐步嵌入到深信服智安全的下一代終端安全EDR、下一代防火墻、安全感知平臺、上網(wǎng)行為管理以及云眼、云盾等眾多安全產(chǎn)品和服務(wù)中,分布在攻擊鏈的每一個環(huán)節(jié)。深信服也將不斷研究創(chuàng)新,持續(xù)將最新科技成果轉(zhuǎn)化為安全保護(hù)能力,從而給用戶帶來面向未來、有效保護(hù)的安全。