信息化觀察網(wǎng)

人工智能網(wǎng)絡(luò)安全市場(chǎng)增長(zhǎng)的主要驅(qū)動(dòng)力是新的攻擊面和攻擊矢量往往超出傳統(tǒng)安全防御體系的感知范圍、處理能力和響應(yīng)速度，例如云計(jì)算、移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)環(huán)境的DDoS檢測(cè)、大數(shù)據(jù)隱私保護(hù)（差分隱私）等。

根據(jù)MarketsandMarkets人工智能網(wǎng)絡(luò)安全預(yù)測(cè)報(bào)告，到2026年，人工智能網(wǎng)絡(luò)安全市場(chǎng)規(guī)模預(yù)計(jì)將從2019年的88億美元增長(zhǎng)到382億美元，年復(fù)合增長(zhǎng)率高達(dá)23.3％。國(guó)內(nèi)方面，全國(guó)政協(xié)委員、啟明星辰信息技術(shù)集團(tuán)股份有限公司首席執(zhí)行官嚴(yán)望佳在兩會(huì)期間提出了推動(dòng)人工智能賦能工業(yè)互聯(lián)網(wǎng)安全發(fā)展的提案。在全球數(shù)字化轉(zhuǎn)型一枝獨(dú)秀的當(dāng)下，人工智能網(wǎng)絡(luò)安全技術(shù)市場(chǎng)正進(jìn)入高速發(fā)展階段，各熱門(mén)領(lǐng)域的技術(shù)突破可謂日新月異。

近日，來(lái)自美國(guó)、中國(guó)和沙特阿拉伯的研究人員演示了如何用AI人工智能算法檢測(cè)用傳統(tǒng)安全工具無(wú)法檢測(cè)的DDoS分布式拒絕服務(wù)攻擊。

隨著聯(lián)網(wǎng)設(shè)備數(shù)量呈指數(shù)級(jí)增長(zhǎng)，并且網(wǎng)絡(luò)攻擊方法越來(lái)越復(fù)雜，查找和過(guò)濾針對(duì)Web服務(wù)器的有害DDoS流量正成為日益嚴(yán)峻的挑戰(zhàn)。

根據(jù)研究者們發(fā)表在開(kāi)放科學(xué)平臺(tái)Europe PMC上的一篇論文“SDN-OpenFlow環(huán)境中基于深度學(xué)習(xí)的DDoS攻擊檢測(cè)方法”，該方法使用深度學(xué)習(xí)來(lái)確定網(wǎng)絡(luò)流量是否屬于惡意DDoS攻擊。

研究人員的發(fā)現(xiàn)表明，對(duì)于小規(guī)模數(shù)據(jù)，該深度學(xué)習(xí)方法的性能一般。然而，在大規(guī)模數(shù)據(jù)的情況下，此方法的檢測(cè)準(zhǔn)確性、誤報(bào)率（FAR）和測(cè)試時(shí)間都非常出色。與其他攻擊檢測(cè)方法相比，該方法在各個(gè)方面都有一定的優(yōu)勢(shì)。

該研究成果表明，基于深度學(xué)習(xí)的DDoS攻擊檢測(cè)方法可以有效地檢測(cè)攻擊狀態(tài)，為研究攻擊檢測(cè)提供了重要的理論依據(jù)。這項(xiàng)工作的重點(diǎn)是軟件定義網(wǎng)絡(luò)（SDN），這是近年來(lái)流行的一種網(wǎng)絡(luò)模式。

SDN提供靈活的虛擬化功能，能夠滿足云計(jì)算、移動(dòng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)（IoT）不斷增長(zhǎng)的需求。

但是，正如許多研究人員發(fā)現(xiàn)的那樣，作為SDN控制器與網(wǎng)絡(luò)設(shè)備（如交換機(jī)和路由器）之間進(jìn)行通信的常用協(xié)議，SDN和OpenFlow容易受到DDoS攻擊。

基于規(guī)則的檢測(cè)失效

檢測(cè)DDoS流量的經(jīng)典方法是將傳入的網(wǎng)絡(luò)流量與區(qū)分正常流量與攻擊流量的預(yù)定義規(guī)則進(jìn)行比較。

但是，由于DDoS攻擊方法的多樣性以及在正常流量和惡意流量之間定義閾值的難度，都導(dǎo)致為DDoS檢測(cè)設(shè)置規(guī)則非常困難。

該論文的作者說(shuō)：“在實(shí)踐中，正常流量和攻擊流量之間沒(méi)有明顯的區(qū)別。”他補(bǔ)充說(shuō)，“人們很難通過(guò)分析網(wǎng)絡(luò)中的海量數(shù)據(jù)來(lái)找到正確的規(guī)則。”

通過(guò)深度學(xué)習(xí)抗擊DDoS

論文作者建議不要使用人工處理數(shù)據(jù)，而是使用深度神經(jīng)網(wǎng)絡(luò)（DNN）對(duì)其進(jìn)行分析。

DNN采用生物神經(jīng)網(wǎng)絡(luò)的仿生工作原理，可以處理大量數(shù)據(jù)并找到相關(guān)的模式，然后將其轉(zhuǎn)換為復(fù)雜的數(shù)學(xué)表示形式。

然后，人們可以使用此模型對(duì)新輸入的數(shù)據(jù)進(jìn)行分類或預(yù)測(cè)序列中的下一條信息。

對(duì)于DDoS檢測(cè)，研究人員將其視為分類問(wèn)題。算法的目標(biāo)是確定0、1比值，判定來(lái)自網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)的傳入流量有多大可能是惡意的，正如研究人員所說(shuō)的那樣，“判斷OpenFlow流表的特征數(shù)據(jù)是否為惡意數(shù)據(jù)”。

通過(guò)分析大量數(shù)據(jù)，訓(xùn)練有素的深度學(xué)習(xí)模型將能夠采集正常和惡意流量的復(fù)雜特征，而這些特征過(guò)去不會(huì)被人類分析師發(fā)現(xiàn)。

研究者在包含正常和惡意數(shù)據(jù)條目的大型數(shù)據(jù)集上對(duì)神經(jīng)網(wǎng)絡(luò)進(jìn)行了訓(xùn)練，然后針對(duì)五種不同類型的DDoS攻擊進(jìn)行了測(cè)試，其中包括各種流量泛洪攻擊和慢速連接HTTP攻擊，后一種方法是攻擊者發(fā)送非常冗長(zhǎng)的請(qǐng)求來(lái)破壞服務(wù)器。

正如大多數(shù)深度學(xué)習(xí)模型的進(jìn)化類似，開(kāi)發(fā)可靠的DDoS檢測(cè)模型很大程度上取決于收集足夠質(zhì)量的訓(xùn)練數(shù)據(jù)。

正如作者所述：

在數(shù)據(jù)規(guī)模較小的情況下，面對(duì)洪泛攻擊，深度學(xué)習(xí)模型的相關(guān)度（與傳統(tǒng)檢測(cè)方法相比）略有優(yōu)勢(shì)，但在其他方面則沒(méi)有顯示出其檢測(cè)優(yōu)勢(shì)，檢測(cè)性能并不出色。

但是，隨著系統(tǒng)規(guī)模擴(kuò)大到更大的數(shù)據(jù)集，研究人員發(fā)現(xiàn)，深度學(xué)習(xí)模型最終變得比其他已有DDoS檢測(cè)工具（包括基于其他機(jī)器學(xué)習(xí)算法以及支持向量機(jī)SVM和決策樹(shù)方法的工具）。

需要人工干預(yù)

深度學(xué)習(xí)系統(tǒng)非常擅長(zhǎng)處理分類和預(yù)測(cè)任務(wù)，前提是所要處理的數(shù)據(jù)與訓(xùn)練數(shù)據(jù)存在統(tǒng)計(jì)上的相似性。

但是，一旦遇到前所未見(jiàn)的新情況，深度學(xué)習(xí)算法的表現(xiàn)就變得難以預(yù)測(cè)。

該論文的作者說(shuō)：“盡管在這項(xiàng)研究中取得了一些成就，但仍然存在一些不足。”“這項(xiàng)研究的深度學(xué)習(xí)模型還需要一定程度的人工調(diào)整，并且不能完全智能化。”

目前這篇論文尚未經(jīng)過(guò)同行評(píng)審，作者也沒(méi)有發(fā)布代碼和數(shù)據(jù)供行業(yè)專家檢查，因此很難獨(dú)立驗(yàn)證其模型的準(zhǔn)確性。

但是，使用機(jī)器學(xué)習(xí)算法來(lái)應(yīng)對(duì)日益嚴(yán)重的DDoS攻擊威脅已成為人們?nèi)找骊P(guān)注的領(lǐng)域，并且一些研究項(xiàng)目已經(jīng)給出了出令人鼓舞的結(jié)果。

目前，在人工智能抗D領(lǐng)域,還有的其他值得關(guān)注的研究，包括檢測(cè)網(wǎng)絡(luò)中受損的IoT設(shè)備的簡(jiǎn)單機(jī)器學(xué)習(xí)模型，以及分析OpenFlow表中是否存在惡意行為的SVM模型。