当人工智能遇上网络安全

来源：百度安全实验室

作者：百度安全韦韬

2017年7月15日，第一届CISO赋能安全峰会暨CISO发展中心启动大会在北京成功举办。CISO发展中心理事长、百度首席安全科学家、百度安全实验室负责人韦韬博士出席峰会并致辞，带来了主题为《当人工智能遇上网络安全》的演讲，就当前人工智能在网络安全的执行层、感知层、任务层和战略层的应用做了评述。

以下是演讲的具体内容。

大家好，非常感谢大家来参加第一届CISO赋能安全峰会。很高兴有机会给大家介绍一下目前人工智能在网络安全中的应用。

目前网络安全已经进入了一个崭新的时代，我们也进入了一个新的战场。在这个战场里，我们需要新的架构、新的方法、新的编程语言来支撑我们应对越来越艰巨的战斗。

新战场以黑产对抗、反勒索软件、反Insider-based APT、物联网/车联网这些新方向为代表。黑产之前我已经讲过多次，而勒索软件为黑产提供了一个高效的商业模式。前一阵闹得沸沸扬扬的 Wannacry 从获利角度来看在几个知名勒索软件中算是失败的，不过其引发的股市变化或许会进一步刺激黑产对金融衍生品市场的研究和利用。我们在实战中通过情报分析发现，目前针对企业的 APT 已经不像几年前的安全分析报告中所强调的那样——主要通过技术手段对企业进行渗透。而是会先去收买对企业心怀不满的员工，从而能够直接进入企业网络进行核心数据和信息的获取。业界已经有多个知名的大企业遭受了这样的攻击。

此外，就是物联网和车联网，很多摄像头、智能门锁、儿童手表，都是成批次的被攻破，车联网与智能车的安全问题也引起业界的严重关注和顾虑。众所周知，在移动互联网时代，谷歌对安卓的碎片化生态几乎已经失控了。不少手机厂商对某些低版本的手机系统都不再进行升级，尽管还有很多用户在用。因为「碎片化」的大量存在，不同的品牌、版本、驱动和配置，都会给漏洞修复带来巨大成本，而不修复则会带来严重的安全隐患，恶意代码可以轻易的通过攻击几年前的安卓漏洞来获利。进入物联网时代，「碎片化」会比移动时代还要严重。很多硬件厂商在开发产品的时候，在生命周期中完全没有考虑引入专业安全服务，最终面临严峻的安全漏洞时却难以应对。这些安全隐患必然会带来强大的网络攻击，就像今天的很多摄像头带来的危险一样。

正如我一直所说，安全的核心是对抗。没有对抗和威慑的防守，是注定失败的防守，而对抗是多维度的、持续的。为了进行有威慑力的对抗，最大的挑战还是缺少高素质安全专业人才。在这种情况下，我们只能靠AI，也就是靠人工智能来填补人才空缺。

对于人工智能的看法，人们很多时候会出现两极分化，一种观点认为AI可以帮人类完成一切工作，还有一种就是AI会毁灭人类。事实上，没有绝对的黑白，AI的作用也远远没有这么极端。人们也经常对安全存在着很多认知误区，比如很多非安全界的企业，刚进入安全行业时，觉得凭借一些新技术能完全解决以前存在的安全问题，最近常有新闻报道说依靠量子技术，就能把安全问题彻底解决。这些都是对安全的片面认知，安全没有silver bullet。

今天的AI能做什么？吴恩达教授给出了很好的解释。一方面，正常人类1秒内能做出的判断，AI也能做的很好。比如说开车，无人驾驶时代已经悄然来临。还有人脸识别、语音识别，现在机器也能够做到很高的准确率。但并不意味着这些事很容易做到，它背后需要有非常强大的数据基础和AI技术支持。今年小度在最强大脑比赛中的表现就是最好的展示。另一方面，通过大量已经发生过的具体重复事件，AI能很好的预测即将发生的事情。

当AI遇到网络安全时，又会发生什么样的化学反应呢？网络安全是一个非常复杂的体系，它里面可以分为执行层，感知层，以及任务层和战略层。现在AI已经可以在执行层和感知层有不错的应用，同时在任务层和战略层已经开始摸索，但还处于比较初期的阶段。

执行层

在执行层，AI可以显著提升安全工具的规则运维效率。规则体系的触角在整个安全网络体系里面的延伸非常广泛，包括像杀毒、WAF、反SPAM、反欺诈等。这些领域在传统模式中需要大量的人力来维护，比如像反欺诈系统里面可能有上千条规则，这些规则之间存在着很多的冲突，某些规则组合甚至超出了人的理解能力，人在维护这些规则的时候也常常会出现问题。

而依靠AI，就可以很好的解决这些情况，机器学习已经展示出非常强大的价值，它可以自动生成规则，不用依靠庞大的人力资源来维护。而且安全事件通常是大量发生的，所以AI能够比较好的识别判断下一次事件，不论是杀毒，还是反欺诈，都是很好的应用场景。

近两年深度学习开始爆发，打破了大家对人工智能的认知。机器学习能自动生成规则，但是其中的学习深度还是有一定的区分。“浅”学习以SVM、Random Forrest、GBDT等算法为代表，它还需要很多的人工特征工程来准备特征向量，然后由算法自动完成分类识别。在风控领域，运用最广泛的是GBDT（很多比赛的冠军都是用GBDT），但是当特征维度上升到数千维后，深度学习的优势就开始慢慢展现出来。深度学习和“浅”学习存在一个很大的区别，就是深度学习对特征工程的依赖减弱很多，它能比较好的自动提取特征，可以生成深度学习模型，比如CNN(卷积神经网络)和RNN(循环神经网络)技术等。

下面举两个实例，第一个是AI在移动杀毒引擎的应用。众所周知，现在病毒种类的变形越来越多，大多数黑产都会进行不同的尝试。如果用人工来构建那些恶意代码的识别特征，就需要构建一套非常庞大的体系，不仅慢而且难以维护。百度利用深度学习技术在这方面取得了非常出色的成果，在历次AV Test测试中长期保持第一。去年我们在顶级安全工业界会议 Blackhat Europe 上就此成果做了专题报告，也是目前全球安全工业界第一个有实质性进展的深度学习应用技术报告。

第二个实例就是网页安全，目前网页安全的威胁主要包括三类：第一种欺诈类网站，包括虚假高校、虚假药品、假冒贷款、仿冒火车票、虚假金融证券、仿冒飞机票、虚假中奖、仿冒登录、虚假招聘等；第二类是存在风险的网站，主要包括网页挂马、恶意代码、隐私窃取、恶意跳转、僵尸网络通信、木马下载主机等；还有一种就是违法网站，包括色情和博彩等。

百度每天爬取索引的数据中，有1%~5%的URL包含不同程度的恶意信息，如果不加防护将会对网民带来巨大的伤害。百度安全通过规则体系、机器学习（浅层模型）、深度学习（文本）、深度学习（图片）以及威胁情报挖掘等网址安全复合检测算法来保障网站的安全。目前，百度安全利用机器学习进行网页检测，对恶意信息的防护已经取得了很好的成果。单条样本检测时延已经小于10ms，对非法网站的识别准确率已经超过99%。百度安全团队也受国际安全学术泰斗 UC Berkley Prof. Dawn Song 邀请在 Singapore Cyber security Consortium (SGCSC) 上就此成果做了专题报告。

感知层

在感知层，当下最重要的应用就是生物特征认证。人脸认证是目前AI在安全领域最成功的一个应用。整个认证流程看起来简单，其实里面的技术相当复杂。首先需要在各种环境下准确追踪人脸，如果有偏差能够给予及时有效的提示；其次要在最小用户打扰的情况下完成可靠的活体识别，而不被虚假照片或化妆欺骗，能高速完成可信人脸数据对比。同时，设备和应用的安全状态也需要可靠的保障，一旦发现恶意攻击可以即时进行取证；此外，还必须要在云端对用户隐私信息有着严格的保护。要实现顺滑的人脸认证体验，必须要有AI技术和系统化安全技术做全面支撑。百度的人脸认证已经能够在秒级内完成超过90%的高可信验证比率，显著高于业界平均水平，且已经在实战中积累了很多活体识别对抗的经验和能力。除此之外，我们也在声纹识别、用户行为识别等领域做了很多应用探索和尝试。

为什么要在安全过程中用AI感知来做人脸识别？因为银行或者运营商对于客户的实名认证环节 40 33399 40 13553 0 0 6393 0 0:00:05 0:00:02 0:00:03 6395，传统上是要靠人来完成的。但是人其实是在整个安全过程中最容易被攻破的一环，攻击者可以找到很多理由，比如最近胖了/瘦了/病了等来蒙混过关，这些都是有实际犯罪案例的。如果是AI来做这件事，反而铁面无私，能够把这个体系构建的更加标准化，并随着技术的进步不断完善。

任务层/战略层

任务层在国际大赛上已经开始尝试，但目前还只是封闭空间的自动对抗。其中最著名的就是 DARPA 主办的 CGC 大赛，比赛让7个顶级团队构建自动化系统，对有缺陷的服务程序做自动加固，然后相互攻击，不仅要抵抗外来攻击，同时还要反击对手。但是，这个还不能说是人工智能，因为所有的逻辑都是人预先设定好的。也就是说，目前仍然停留在自动化阶段，还在向AI方向摸索。在任务层和战略层要真正达到人工智能的高级阶段，首先要解决人工智能对开放空间的认知问题，包括世界认知、人性弱点、创造力、跨维打击等方面，其实还有很长一段距离。

最后总结一下，人工智能在网络安全领域的应用，执行层上面已经实用化，可以显著的提升规则化安全工作的效率，弥补专业人员人手的不足；在感知层面，可以把原本依赖于人（不可靠）的安全体系标准化，现在已经开始实现大规模的推广，包括人脸识别和图象识别等等；而AI在任务层上的摸索还刚刚开始，在战略层上还比较遥远，再次感谢大家。

AI型网络攻击即将到来

对未来网络安全意味着什么？

来源：E安全（ID:EAQapp）

E安全9月3日讯 下一波重大网络攻击很可能涉及人工智能系统，而且攻击活动可能将很快发生：在最近召开的一次网络安全会议上，100位受访行业专家中的62位认为，首轮AI强化型网络攻击很可能在接下来12个月内出现。

这并不是说机器人将很快成为网络攻击活动中的主体。相反，人工智能将继续遵循现有网络攻击的套路（例如身份窃取、拒绝服务攻击以及密码破解），只是具备更为强大的能力与执行效率。但凭这一点，足以造成经济损失、情感伤害甚至人身威胁等危险后果。规模更大的攻击活动甚至有可能导致数十万人陷入无电可用的境地，关闭医院甚至影响到国家安全。

AI决策制定的研究者警告称，AI仍然很难解释人类行为，而人类也并不真正相信AI系统作出的重大决策。因此与电影桥段有所不同，AI能够为网络攻击以及网络防御带来的并非由计算机选定目标并自动施以攻击。人们仍然需要自行创建AI攻击系统，并设定特定目标再将其启动。但尽管如此，AI的介入仍然会进一步升级目前的网络犯罪与网络安全体系，进而成为攻击者与防御者之间军备竞赛的核心支柱之一。

除了不需要进食与休息之外，计算机相较于人类黑客团队还拥有另一大根本性优势，以自动化方式提升复杂攻击的速度与执行效率。

截至目前，自动化的实际效果仍然存在局限。几十年以来，病毒程序自动复制等能力已经属于非常基本的AI型功能，其能够在无需人类指令操纵的前提下完成在计算机之间的传播。

另外，程序员还会利用自有技能对不同黑客元素进行自动化升级。举例来说，分布式攻击利用多台计算机或设备上的远程程序将服务器吞没。

2016年10月导致部分互联网体系瘫痪的攻击活动就采用了这种实现方式。在某些情况下，普通攻击亦可通过脚本形式起效，从而允许技术水平较低的用户选定目标并发动攻击。

不过AI能够帮助人类网络犯罪分子定制攻击手段。举例来说，鱼叉式钓鱼攻击要求攻击者获取潜在目标的个人信息以及其它详细资料，具体包括银行帐户或者其选择的医疗保险公司。AI系统能够帮助攻击者快速收集、组织并处理大型数据库，从而对信息进行关联与识别，最终简化攻击实施门槛并加快攻击执行速度。另外，工作量的降低将使得网络犯罪分子能够发动大量小规模攻击。由于单次攻击的影响较为有限，因此这类活动即使被检测到也往往会受到忽视。

AI系统甚至可被用于从多个来源处同时提取信息，从而发现那些易受攻击活动影响的目标。举例来说，住院的病患或者身处疗养院的老人可能不会注意到自己的帐户余额已经被恶意人士所窃取。

提升适应能力

AI支持型攻击者在遇到阻力，或者网络安全专家修复了原有漏洞时将能够快速作出反应。在这种情况下，AI可能会在无需人为指示的前提下转而利用另一项漏洞，或者对系统进行扫描以找到新的可行入侵方式。

这可能意味着人类应急工作者及防御者将无法跟上AI方案的进攻速度。这极有可能引发新一轮编程与技术性军备竞赛，其中防御者开发出AI助手以发现并抵御攻击活动，甚至打造出拥有报复性攻击能力的AI方案。

AI同样可能带来的危险

自主操作可能导致AI系统攻击其本不应攻击，甚至可能造成意外损失的系统。

举例来说，原本只打算窃取资金的攻击者在运行AI软件后，其也许会决定将目标指向医院计算机，这极易导致人身伤害甚至是死亡等严重后果。无人机的自主运行能力也存在类似的问题：人类仍需要负责做出关于目标选取的决定。

尽管后果与影响如此重要，但大多数在遭遇第一次AI攻击时并不会注意到此类重大变化。对于大多数受影响群体，其面临的结果与人为触发的攻击将基本相同。但随着我们不断利用互联网机器人系统改进自身家庭环境、工厂、办公室乃至交通运输系统，人工智能引发的潜在威胁必将不断提升。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/106140886.shtml

“远望智库”聚焦前沿科技领域，着眼科技未来发展，围绕军民融合、科技创新、管理创新、科技安全、知识产权等主题，开展情报挖掘、发展战略研究、规划论证、评估评价、项目筛选，以及成果转化等工作，为管理决策、产业规划、企业发展、机构投资提供情报、咨询、培训等服务，为推动国家创新驱动发展和军民融合深度发展提供智力支撑。