天翼安全专家解读：AI如何重塑网络安全

天翼安全专家解读：AI如何重塑网络安全

引用

CSDN

等

8

来源

1.

https://blog.csdn.net/liguangyao213/article/details/139495459

2.

https://www.secrss.com/articles/74462

3.

https://www.secrss.com/articles/64444

4.

https://www.gptsecurity.info/2024/09/27/AI+Security-%E7%B3%BB%E5%88%97%E7%AC%AC3%E6%9C%9F-%E4%BA%94-AI%E6%8A%80%E6%9C%AF%E5%9C%A8%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E9%A2%86%E5%9F%9F%E7%9A%84%E6%9C%AC%E5%9C%B0%E5%8C%96%E5%BA%94%E7%94%A8%E4%B8%8E%E6%8C%91%E6%88%98/

5.

https://www.forwardpathway.com/169722

6.

https://www.aryaka.com/zh-hans/blog/network-security-trends-2024-ai-observability-simplicity/

7.

https://www.blackberry.com/cn/zh/solutions/endpoint-security/cybersecurity-ai

8.

https://www.forwardpathway.com/169511

近日，在由安全极客、Wisemodel 社区、InForSec 网络安全研究国际学术论坛和海升集团联合主办的“AI + Security”系列第3期技术沙龙上，天翼安全高级安全算法专家杨刚发表了题为 “AI 技术在网络安全领域的本地化应用与挑战” 的主题演讲。他详细介绍了AI技术在网络安全中的应用及其面临的挑战，并展望了未来的发展方向。通过AI技术的应用，网络安全正逐步从传统的规则和情报驱动模式向智能化转变，能够更高效地应对复杂多变的网络攻击。然而，数据质量、模型训练以及解释性等问题仍需进一步解决。杨刚先生的分享为我们提供了对智能浪潮时代AI赋能网络安全的深刻理解和认知。

AI技术正在深刻改变网络安全的面貌，其应用已经渗透到多个关键领域。以下是几个典型的应用场景：

1. 恶意代码检测

传统的恶意代码检测主要依赖于特征码匹配，但这种方式容易被新型病毒绕过。AI技术，特别是机器学习算法，能够自动化提取恶意代码特征并进行分析检测。例如，基于机器学习的PE二进制恶意代码分析检测方案，可以有效识别未知威胁。

2. 恶意域名识别

恶意域名是网络攻击的重要载体。AI技术通过数据增强和注意力机制，可以精准识别基于DGA（域名生成算法）生成的恶意域名。这种智能检测方案能够从海量活跃域名中发现潜在威胁，保护用户免受网络诈骗的侵害。

3. 流量分析与异常检测

AI技术能够实时监测网络流量，识别异常行为。例如，Webshell通信流量智能检测系统利用决策树算法，自动化采集样本并提取特征，有效检测隐藏的Webshell后门。

4. 智能安全运维

AI技术正在改变传统的安全运维模式。通过集成人工智能技术，安全系统能够实现自动化分析研判和响应处置，显著提高效率，降低误报和漏报率。

5. 零信任架构下的身份认证

基于零信任思想，AI技术实现了动态访问信任和身份为中心的访问控制。这种智能身份认证系统能够根据用户行为和环境因素动态调整访问权限，提供更精细的安全防护。

尽管AI技术在网络安全领域展现出巨大潜力，但其应用也面临诸多挑战。

1. 数据挑战

• 格式挑战：AI技术擅长处理非结构化数据，而网络安全数据通常具有高度结构化的特点，且数据维度差异较大。这种数据格式上的差异，使得AI算法在应用于网络安全时遇到障碍。
• 体量挑战：网络安全数据种类繁多，难以涵盖所有可能的攻击类型。模型训练数据的不足会导致AI模型的泛化能力不足，即模型只能对特定场景表现良好，无法有效识别未见过的攻击行为。
• 定义模糊挑战：网络安全中关于概念和技术的定义往往不够明确。例如，病毒、木马和蠕虫等恶意软件的定义存在交叉，而高级持续性威胁（APT）的识别标准也不统一。这种定义上的模糊性导致数据标注时容易出现偏差，进而影响模型的训练效果和准确性。

2. 模型训练与标注挑战

• 动态标注：网络安全环境复杂多变，传统的静态数据标注方式难以适应实际需求。为提升数据标注的准确性和有效性，需采用精细化切分、规则过滤和弱监督聚类等动态标注方法。这些方法能够根据不同场景和需求灵活调整标注策略，使模型在处理复杂数据时具有更高的精准度。
• 算力瓶颈：AI模型在运行时通常需要大量的计算资源，但网络安全产品的硬件性能往往难以满足这一需求，安全产品部署到实际环境中时无法支持复杂模型的高效运行。因此，在有限算力条件下，如何优化模型性能，如何将AI模型的能力有效应用在当前安全产品中，成为AI技术在网络安全领域应用的关键挑战。

3. 解释性与运维挑战

AI模型的“黑箱”特性使得其决策过程难以解释，这对安全事件的因果分析和模型决策的可解释性提出了挑战。为了提升AI模型的透明度和信任度，可引入三种解释性机制：

• 全局解释：通过全局数据集中的特征交互关系，解析模型的整体决策逻辑，使用户能够了解模型的决策依据。
• 因果解释：对模型中特定决策进行局部解释，分析单个样本或样本组的具体行为及其影响因素。
• 增强认知：利用AI模型对数据进行深度分析与归纳，帮助安全人员更好地理解安全事件，提高对模型的信心和信任。

面对这些挑战，专家们提出了相应的解决方案：

1. 数据层面的处理：根据网络安全数据的特性，采取适当的解析策略，提取完整且具备代表性的样本特征。在此过程中，需特别关注非字符化特征，如流量模式和通信行为，从而保证数据在AI模型训练中的有效性和准确性。

2. 模型层面的优化：为应对算力不足的问题，将AI模型具体化为情报和规则，便于在实际环境中部署和应用。这种优化策略能够在低算力场景中保持模型性能的同时，提升其对复杂安全事件的应对能力。

3. 部署层面的分布式设计：构建分布式探针与智能引擎相结合的安全防御体系。通过将流量探针、终端探针、蜜罐和测绘系统联动部署，形成集中调度的安全防御网络，从而提升安全事件响应的及时性和防御的整体性。

4. 运维层面的解释性提升：通过引入多种解释性机制，提升对AI模型决策过程的理解，确保模型输出结果的透明性和可解释性。这不仅有助于提升安全人员对模型的信任度，还能满足安全监管和合规审计的需求，为企业安全运维提供更加可靠的保障。

随着技术的不断进步，AI与网络安全的融合将更加紧密。未来的安全系统将更加智能化、自动化，能够实时监测和响应各类威胁。同时，AI技术也将推动安全运维模式的变革，实现更高效的威胁管理和事件响应。

然而，我们也需要清醒地认识到，AI技术并非万能的。在追求技术创新的同时，我们也要关注其带来的潜在风险。例如，AI技术也可能被恶意利用，成为新的攻击手段。因此，我们在推进AI技术应用的同时，也要建立相应的防护机制，确保技术的安全可控。

总体而言，AI技术正在为网络安全领域带来革命性的变化。虽然面临诸多挑战，但其带来的机遇远大于风险。随着技术的不断成熟和应用的深入，AI必将成为网络安全防护的重要支柱，为构建更加安全可靠的网络环境提供强大支持。