智能化網(wǎng)絡(luò)防御“智”在哪？背后大有門道

●據(jù)資料顯示，網(wǎng)絡(luò)作戰(zhàn)約85%的行動為防御行動，針對對手網(wǎng)絡(luò)作戰(zhàn)力量開展的進(jìn)攻行動僅占15%。

●利用人工智能技術(shù)實施智能化網(wǎng)絡(luò)防御，自動化程度和響應(yīng)效率高，可以大幅縮短從發(fā)現(xiàn)到響應(yīng)的間隔并降低誤報率，實現(xiàn)網(wǎng)絡(luò)自主監(jiān)測、自主防護(hù)和自主反擊。

網(wǎng)絡(luò)防御是網(wǎng)絡(luò)作戰(zhàn)的主要行動，是組織實施聯(lián)合作戰(zhàn)需重點關(guān)注的防御行動之一，貫穿聯(lián)合作戰(zhàn)的全過程，對聯(lián)合作戰(zhàn)起著非常重要的支撐和保障作用。傳統(tǒng)網(wǎng)絡(luò)防御，大量的信號源數(shù)據(jù)和碎片化的報警規(guī)則，需要煩瑣的手工分析或構(gòu)建復(fù)雜模型，耗時較長且誤報或漏報的比例高，傳統(tǒng)防御機(jī)制和手段已不能適應(yīng)惡意代碼的迭代升級和進(jìn)化的速度。利用人工智能技術(shù)實施智能化網(wǎng)絡(luò)防御，自動化程度和響應(yīng)效率高，可以大幅縮短從發(fā)現(xiàn)到響應(yīng)的間隔并降低誤報率，實現(xiàn)網(wǎng)絡(luò)自主監(jiān)測、自主防護(hù)和自主反擊，有效提高網(wǎng)絡(luò)防御的速度和效能。

基于數(shù)據(jù)融合的自動態(tài)勢分析

對網(wǎng)絡(luò)態(tài)勢特別是網(wǎng)絡(luò)風(fēng)險的分析，是進(jìn)行網(wǎng)絡(luò)防御的重要和關(guān)鍵環(huán)節(jié)。通過對網(wǎng)絡(luò)資源的識別、設(shè)施運行狀態(tài)的監(jiān)測、對抗性攻防事件的分析，查找各種潛在威脅和安全隱患，檢驗防護(hù)措施的有效性，研判風(fēng)險程度，預(yù)測評估整個網(wǎng)絡(luò)空間各種行動的影響效果和發(fā)展趨勢，可為網(wǎng)絡(luò)防御和網(wǎng)絡(luò)攻擊提供決策支撐。

智能化網(wǎng)絡(luò)態(tài)勢分析，利用智能網(wǎng)絡(luò)態(tài)勢分析與評估系統(tǒng)，通過對其他網(wǎng)絡(luò)系統(tǒng)檢測到的網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行智能化的統(tǒng)計、過濾、融合，能夠自動對敵方網(wǎng)絡(luò)攻擊和己方網(wǎng)絡(luò)安全進(jìn)行全面的分析、預(yù)測、檢驗和評估，并快速生成網(wǎng)絡(luò)防御和反擊策略，為行動決策提供參考建議。近年來，美國國防高級研究計劃局展開了一系列在智能化網(wǎng)絡(luò)態(tài)勢分析方面的項目和活動。比如，2012年啟動的“X計劃”項目，其目的是利用人工智能技術(shù)的統(tǒng)計分析方法，建立一個確保美軍能在大規(guī)模實時、動態(tài)的網(wǎng)絡(luò)環(huán)境中理解、計劃和管理網(wǎng)絡(luò)作戰(zhàn)的端到端系統(tǒng)。其主要任務(wù)之一就是網(wǎng)絡(luò)作戰(zhàn)空間分析，通過自動分析技術(shù)以幫助理解網(wǎng)絡(luò)作戰(zhàn)空間，支持網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略的研究，并建立行動效果評估模型，協(xié)助軍方網(wǎng)絡(luò)作戰(zhàn)人員規(guī)劃并制定戰(zhàn)略上合理、戰(zhàn)術(shù)上可行的網(wǎng)絡(luò)作戰(zhàn)計劃。

基于程序行為的自主入侵檢測

網(wǎng)絡(luò)入侵檢測，是一種主動而積極的網(wǎng)絡(luò)安全防護(hù)手段，通過對異常網(wǎng)絡(luò)流量等數(shù)據(jù)進(jìn)行收集、篩選、處理并生成安全報告，為網(wǎng)絡(luò)防御提供支持，是有效進(jìn)行網(wǎng)絡(luò)防御的前提。

智能化網(wǎng)絡(luò)攻擊入侵檢測，通過先進(jìn)算法模型、自學(xué)習(xí)能力和云計算技術(shù)，對網(wǎng)絡(luò)上關(guān)聯(lián)數(shù)據(jù)包進(jìn)行檢測，并利用攻擊程序的行為特征，結(jié)合以往知識和經(jīng)驗，判斷各類程序動機(jī)，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為以及系統(tǒng)中可以被利用的漏洞，提前發(fā)現(xiàn)非法或異常行為，并根據(jù)系統(tǒng)策略主動進(jìn)行告警、阻斷連接、記錄事件日志等操作，自動生成安全報告，為應(yīng)對外部攻擊提供實時防御建議，有效提升了惡意代碼檢測效率、精度和響應(yīng)速度。2016年4月，麻省理工學(xué)院計算機(jī)科學(xué)與人工智能實驗室和人工智能初創(chuàng)企業(yè)聯(lián)合開發(fā)了名為AI2的網(wǎng)絡(luò)安全系統(tǒng)，能夠高精度地預(yù)測、檢測網(wǎng)絡(luò)攻擊，每天檢查數(shù)百萬次登錄，能夠過濾數(shù)據(jù)并將其傳遞給人類分析師，從而將警報降低至每天大約100次。通過對360億條安全相關(guān)數(shù)據(jù)的分析挖掘?qū)嶒灡砻�，AI2系統(tǒng)使攻擊檢測率比之前提高了近3倍，誤報率降低了5倍。研究人員表示，由于AI2系統(tǒng)具有較強(qiáng)的自學(xué)習(xí)能力，其檢測的攻擊行為和接收分析人員反饋的結(jié)果越多，檢測能力會越強(qiáng)，預(yù)測未來發(fā)生的網(wǎng)絡(luò)攻擊行為的準(zhǔn)確率也會越高。

基于攻擊特性的動態(tài)網(wǎng)絡(luò)阻截

網(wǎng)絡(luò)阻截主要是利用防火墻對病毒或攻擊程序等進(jìn)行攔截、清除。防火墻是實施網(wǎng)絡(luò)阻截的重要技術(shù)手段，能夠發(fā)現(xiàn)和屏蔽各類安全隱患，進(jìn)而實現(xiàn)計算機(jī)設(shè)備、武器系統(tǒng)及終端的有效防護(hù)。

基于人工智能的防火墻技術(shù)，具有更高的智能化思維、決策能力和較強(qiáng)的適應(yīng)性、自學(xué)習(xí)性等特點，能夠根據(jù)網(wǎng)絡(luò)攻擊方式及強(qiáng)度的不同，自適應(yīng)地調(diào)整自身的先驗過濾規(guī)則和運行參數(shù)，以最少的系統(tǒng)資源取得最佳的防御效果；具有學(xué)習(xí)和積累“經(jīng)驗”的能力，不必事先確切了解和掌握網(wǎng)絡(luò)環(huán)境特性，而是在網(wǎng)絡(luò)運行過程中不斷地搜集網(wǎng)絡(luò)流量特征參數(shù)，實時、動態(tài)更新防御知識庫，且能夠不斷修正和改善過濾規(guī)則，實現(xiàn)最優(yōu)控制。比如，其智能過濾模塊，能夠?qū)�網(wǎng)絡(luò)層當(dāng)中的數(shù)據(jù)包進(jìn)行監(jiān)測，智能地對網(wǎng)絡(luò)所面臨的各種安全隱患進(jìn)行統(tǒng)計和分析，按照預(yù)先設(shè)計的邏輯，或是學(xué)習(xí)后生成的邏輯，判斷數(shù)據(jù)包的安全性，或是根據(jù)數(shù)據(jù)包的目標(biāo)地址、源地址，來決定是不是允許其通過，對未經(jīng)許可與授權(quán)的訪問進(jìn)行限制和攔截。它不是簡單地執(zhí)行過濾策略，而是基于對行為特性的識別即可以根據(jù)不同的人、時間、地點、行為來執(zhí)行訪問控制，大大增強(qiáng)了防火墻的安全性和適應(yīng)性。智能防火墻系統(tǒng)在面臨惡意攻擊過程中，還會進(jìn)行自我更新和修復(fù)，以規(guī)避網(wǎng)絡(luò)安全上的明顯漏洞，進(jìn)而實現(xiàn)網(wǎng)絡(luò)安全與防御效果的提升。

基于防護(hù)機(jī)制的主動系統(tǒng)修復(fù)

系統(tǒng)修復(fù)是在網(wǎng)絡(luò)遭到破壞后，采取各種措施，使網(wǎng)絡(luò)系統(tǒng)迅速恢復(fù)到原來的狀態(tài)，或者比原來更安全的狀態(tài)。傳統(tǒng)的系統(tǒng)修復(fù)主要通過人工完成，通常是被動反應(yīng)，且存在工作量大、耗時長、修復(fù)不及時等問題。

智能網(wǎng)絡(luò)防御系統(tǒng)，不僅能夠預(yù)防性地對己方網(wǎng)絡(luò)漏洞或其他異常進(jìn)行掃描，發(fā)現(xiàn)問題并主動對其進(jìn)行修復(fù)和完善，而且還能夠在遭到攻擊后，自動且迅速地查明攻擊方式或原理，并對損毀情況進(jìn)行評估，在網(wǎng)絡(luò)防護(hù)機(jī)制和策略的范圍內(nèi)，有針對性地自主進(jìn)行系統(tǒng)修復(fù)，而且能夠通過多種方案實施，確保修復(fù)的有效性。比如，其系統(tǒng)漏洞的智能修補(bǔ)，通常可有多種修補(bǔ)方案。首先是系統(tǒng)漏洞修補(bǔ)模塊根據(jù)“漏洞唯一ID”在修補(bǔ)方案庫中查找對應(yīng)的修補(bǔ)方案，自動安裝針對漏洞的更新補(bǔ)丁，完成對系統(tǒng)漏洞的修補(bǔ)；同時，根據(jù)實際情況自動使用插件停止軟件的某些功能等，或關(guān)閉相應(yīng)服務(wù)，停止存在漏洞的某種功能，或者阻止和切斷存在漏洞的端口等，主動性、及時性更強(qiáng)。