信息化觀察網(wǎng)

本文來自微信公眾號“中國保密協(xié)會科學技術分會”，作者/劉元。

一、應用背景

隨著互聯(lián)網(wǎng)的迅速發(fā)展和廣泛應用，網(wǎng)絡安全成為當今世界不可忽視的重要議題。網(wǎng)絡安全的主要目標是維護信息的機密性、完整性和可用性，以保護網(wǎng)絡、設備和數(shù)據(jù)免受未經(jīng)授權的訪問和非法使用。然而，隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡攻擊和威脅也日益增多和復雜化，給個人、社會和國家?guī)砹司薮蟮娘L險和損失。數(shù)據(jù)顯示，截至2021年12月，全球互聯(lián)網(wǎng)行業(yè)用戶數(shù)達49.5億人，而全球網(wǎng)絡攻擊也增加了38%。去年，“國防七子”之一的西北工業(yè)大學遭到了美國國家安全局的網(wǎng)絡攻擊，威脅到了我國的國家安全。因此，必須建立穩(wěn)定、安全的網(wǎng)絡和計算機系統(tǒng)以保證網(wǎng)絡安全。

在應對日益復雜的網(wǎng)絡安全威脅的相關技術中，人工智能正逐漸成為網(wǎng)絡安全領域的重要技術。人工智能是一種模擬和模仿人類智能的技術，它通過學習和自主決策來處理和解決各種問題。在網(wǎng)絡安全中，人工智能能夠自動化、智能化地檢測、分析和應對安全威脅，提供一種更高效、準確和實時的防御機制。

與傳統(tǒng)的網(wǎng)絡安全方法相比，人工智能在網(wǎng)絡安全中具有獨特的優(yōu)勢。傳統(tǒng)方法往往基于規(guī)則和模式匹配，無法應對新型和未知的安全威脅。而人工智能能夠通過機器學習和深度學習技術，從大量數(shù)據(jù)中學習和識別模式，發(fā)現(xiàn)隱藏的關聯(lián)性和異常行為。它能夠快速適應新的威脅，并提供實時的響應和防御。因此，需要繼續(xù)研究和發(fā)展人工智能技術，加強其在網(wǎng)絡安全中的應用和創(chuàng)新，以確保網(wǎng)絡空間的安全可信。

二、具體應用

人工智能通過機器學習和深度學習技術，在網(wǎng)絡安全相關的身份識別與認證、社會工程學防御、無線安全、Web安全、入侵檢測等方面都有重要應用。

（一）身份識別與認證

身份認證與訪問控制在網(wǎng)絡安全領域扮演著至關重要的角色。隨著互聯(lián)網(wǎng)的發(fā)展，確保只有合法用戶能夠訪問敏感數(shù)據(jù)和資源變得至關重要。身份認證和訪問控制技術通過驗證用戶的身份信息，并限制其訪問權限，確保只有經(jīng)過授權的用戶能夠訪問特定的系統(tǒng)、網(wǎng)絡或數(shù)據(jù)。為了增強身份認證的安全性，人工智能技術被引入到身份認證中。主要體現(xiàn)在人臉識別技術、聲紋識別技術、行為分析等。

人臉識別技術通過分析和比對用戶的面部特征識別用戶的身份。該技術首先用CNN等面部檢測算法進行面部檢測定位，并對檢測到的人臉進行面部對齊；然后用PCA等特征提取方法提取人臉圖像中的關鍵特征信息，生成特征向量；特征提取后，使用余弦相似度等相似度度量方法將特征向量與已存儲的參考特征進行匹配，當待識別特征向量與參考特征的相似度超過某一閾值時，身份認證成功。為了防止被攻擊者使用照片進行欺騙，人臉識別系統(tǒng)經(jīng)常會使用紅外線進行活體檢測。

聲紋識別技術通過分析用戶的聲音特征，系統(tǒng)可以驗證用戶的身份。聲紋識別的方法與人臉識別技術類似，主要步驟是特征提取、特征匹配和認證。聲紋識別技術可以應用于語音指令認證。

除了生物特征的應用，行為分析也是人工智能在身份認證中的關鍵技術之一。通過對用戶的行為模式進行建模和分析，系統(tǒng)可以檢測出異常活動并進行進一步驗證。例如，系統(tǒng)可以分析用戶的登錄時間、位置、使用習慣等信息，來確定是否為合法用戶。在進行惡意用戶識別時，主要有以下幾個方面：依靠技術手段進行大數(shù)據(jù)分析，對異常流量進行監(jiān)控和識別，比如利用算法判斷賬號的自動化程度、行為規(guī)律的聚類；利用人工智能技術進行惡意賬戶判別，比如由計算機模擬人腦神經(jīng)網(wǎng)絡的深度學習、機器學習等模型聚類、挖掘特征來進行惡意賬戶識別；借助風控系統(tǒng)，設立實名認證和信用評級體系，增加惡意用戶注冊的難度。

此外，機器學習和深度學習技術可以用于構建復雜的身份認證模型。通過訓練算法和大量的數(shù)據(jù)，系統(tǒng)可以學習和識別出不同用戶的特征和行為模式，提供更精確和智能的身份認證。

（二）社會工程學防御

社會工程學是黑客米特尼克在《反欺騙的藝術》中所提出的，是一種通過利用受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱，對受害者進行欺騙、傷害等手段。在網(wǎng)絡安全領域表現(xiàn)為，以人的因素攻擊信息安全鏈中最薄弱的環(huán)節(jié)，通過欺騙的手段，入侵被騙者的計算機系統(tǒng)進行攻擊。

基于機器學習的社會工程學攻擊檢測是一種利用機器學習算法和模式識別技術來識別和防御社會工程學攻擊的方法。該方法首先需要收集并準備包含各種社會工程學攻擊實例的數(shù)據(jù)集，例如欺詐性電子郵件、釣魚網(wǎng)站、惡意短信等。之后從原始數(shù)據(jù)中提取有用的特征以供機器學習算法使用，這些特征可以包括文本特征（如詞頻、句法結構）、語言特征（如情感分析、語義關系）和行為特征（如用戶點擊、操作模式）等。選擇合適的機器學習算法和模型架構來訓練社會工程學攻擊檢測模型。常用的算法包括支持向量機（SVM）、決策樹、隨機森林、神經(jīng)網(wǎng)絡等。在模型訓練過程中，最大程度地準確分類攻擊和非攻擊實例。谷歌公司Gmail使用的垃圾郵件檢測系統(tǒng)能夠?qū)崿F(xiàn)99%以上的識別率，這說明利用人工智能的手段成功檢測釣魚郵件規(guī)避魚叉式網(wǎng)絡釣魚的攻擊是可行的。

盡管人工智能在社會工程學防御中提供了許多潛在的優(yōu)勢，但也存在一些挑戰(zhàn)和風險。例如，攻擊者可能利用人工智能技術來精確模擬和欺騙用戶，使社會工程學攻擊更加隱蔽和有效。此外，保護用戶隱私和數(shù)據(jù)安全也是一個重要問題，因為人工智能系統(tǒng)需要大量的個人數(shù)據(jù)來進行分析和訓練。因此，確保人工智能系統(tǒng)的安全性和可信度，以及合理管理用戶數(shù)據(jù)變得至關重要。

（三）無線安全

無線安全是人工智能在網(wǎng)絡安全領域的重要應用之一，它專注于保護無線網(wǎng)絡和無線通信設備免受未經(jīng)授權的訪問、數(shù)據(jù)泄露和惡意攻擊，包括詐騙短信和偽基站的識別、詐騙電話識別。隨著無線網(wǎng)絡的普及和便捷性，無線安全變得越來越關鍵，因為攻擊者可以利用無線信號的特性來進行各種形式的攻擊。

基于機器學習的WiFi入侵檢測是網(wǎng)絡安全領域中的重要應用之一。隨著無線網(wǎng)絡的廣泛應用，WiFi網(wǎng)絡成為攻擊者入侵的目標之一，因此有效地檢測和應對WiFi網(wǎng)絡的入侵行為至關重要?；跈C器學習的WiFi入侵檢測通過分析無線信號和網(wǎng)絡流量數(shù)據(jù)，自動識別和分類不同類型的入侵行為，幫助網(wǎng)絡管理員及時發(fā)現(xiàn)并應對潛在的安全威脅。要實現(xiàn)準確的入侵檢測，需要充分考慮數(shù)據(jù)質(zhì)量、特征選擇、模型優(yōu)化等方面，并與傳統(tǒng)的網(wǎng)絡安全方法相結合，以建立更強大和可靠的WiFi入侵檢測系統(tǒng)。

偽基站檢測是一種用于識別和防御偽造的移動通信基站的技術。偽基站是指惡意攻擊者部署的非法基站設備，它們冒充合法的移動網(wǎng)絡基站，以竊取用戶通信數(shù)據(jù)、進行位置跟蹤、進行釣魚攻擊等惡意行為。360公司致力于研究和開發(fā)先進的偽基站檢測技術，保護用戶免受偽基站攻擊。360公司在偽基站檢測的方面有硬件設備識別、信號特征分析、網(wǎng)絡流量檢測等成果，其研發(fā)的偽基站追蹤系統(tǒng)中的偽基站詐騙短信識別功能，攔截準確度達98%。

（四）Web安全

隨著Web2.0和社交網(wǎng)絡等新型互聯(lián)網(wǎng)應用的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應用越來越廣泛，企業(yè)信息化的過程中各種應用都架設在Web平臺上，Web業(yè)務的迅速發(fā)展也吸引了越來越多攻擊者進行攻擊，Web安全威脅凸顯。黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web應用程序的漏洞等獲取Web服務器的控制權限，篡改網(wǎng)頁內(nèi)容或者竊取內(nèi)部數(shù)據(jù)，或者在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到攻擊。

基于機器學習的惡意網(wǎng)站檢測是網(wǎng)絡安全領域中的重要應用之一。惡意網(wǎng)站是指那些用于進行網(wǎng)絡攻擊、傳播惡意軟件或欺騙用戶的網(wǎng)站。這些網(wǎng)站通常通過偽裝成合法網(wǎng)站或利用漏洞進行欺詐活動，對用戶的隱私和數(shù)據(jù)安全構成威脅。惡意網(wǎng)站檢測的數(shù)據(jù)集應當包含與網(wǎng)站相關的各種特征，例如URL、域名、頁面內(nèi)容等。而提取特征涉及到對URL的解析、域名分析、文本處理等技術，常用的特征包括URL長度、域名注冊信息、頁面關鍵字等。模型經(jīng)常用到支持向量機（SVM）、決策樹、隨機森林、深度神經(jīng)網(wǎng)絡等算法。

（五）入侵檢測

入侵檢測即對入侵行為的發(fā)現(xiàn)，也是防火墻的補充，能夠幫助系統(tǒng)應對網(wǎng)絡攻擊，并提高系統(tǒng)整體的安全性。從系統(tǒng)中的關鍵點收集并分析信息，對網(wǎng)絡中違反安全策略的行為和遭受的襲擊進行識別，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡環(huán)境進行監(jiān)測并提供相應的保護。

APT攻擊也稱為定向威脅攻擊，指某組織對特定對象展開的持續(xù)有效的攻擊活動。攻擊者通常會偵查目標、制作和傳遞攻擊工具、利用漏洞對受害者實施威脅和攻擊并長期遠程利用攻擊工具進行控制。威脅情報是基于證據(jù)的描述威脅的一組關聯(lián)的信息，包括威脅相關的環(huán)境信息，如具體的攻擊組織、惡意域名、遠控的IOC、惡意文件的HASH和URL以及威脅指標之間的關聯(lián)性，攻擊手法隨時間的變化。利用機器學習來處理威脅情報，檢測并識別出APT攻擊中的惡意載荷，可以提高APT攻擊威脅感知系統(tǒng)的效率與精確性，讓安全研究人員更快實現(xiàn)APT攻擊的發(fā)現(xiàn)和溯源。

三、總結

隨著技術的快速發(fā)展，網(wǎng)絡攻擊問題逐漸增多，人工智能已成為應對網(wǎng)絡攻擊問題的有效解決方案。人工智能使我們能夠開發(fā)適應其使用環(huán)境的自主計算機解決方案，使用自我管理、自我調(diào)整和自我配置、自我診斷和自我修復。在未來的網(wǎng)絡安全領域，人工智能是一個非常有前景的研究方向，其重點是改進網(wǎng)絡空間安全措施。這種跨學科的嘗試帶來了更高效更有用的解決問題的模式，由此出現(xiàn)了不同領域相互結合提升實際效益的新常態(tài)。

參考文獻

[1]Zeadally,Sherali,et al."Harnessing artificial intelligence capabilities to improve cybersecurity."Ieee Access 8(2020):23817-23837.

[2]Truong,Thanh Cong,et al."Artificial intelligence and cybersecurity:Past,presence,and future."Artificial intelligence and evolutionary computations in engineering systems.Singapore:Springer Singapore,2020.351-363.