人工智能技術(shù)可以保護網(wǎng)絡(luò)的安全嗎

1956年，在由達特茅斯學(xué)院舉辦的一次會議上，計算機專家約翰·麥卡錫首次提出了“人工智能”一詞，這也被人們看作是人工智能正式誕生的標(biāo)志。此后的人工智能發(fā)展歷程經(jīng)歷了多次波折：

人工智能的第一次高峰就是達特茅斯會議之后長達十幾年的時間里，計算機被廣泛應(yīng)用于數(shù)學(xué)和自然語言領(lǐng)域，用來解決代數(shù)、幾何和英語問題，有很多學(xué)者認(rèn)為“20年內(nèi)，機器將能完成人能做到的一切”。但很快人工智能發(fā)展遇到了技術(shù)瓶頸：一是計算機性能不足，很多程序無法在人工智能領(lǐng)域運行；二是用于深度學(xué)習(xí)的數(shù)據(jù)嚴(yán)重缺乏，無法支撐智能訓(xùn)練；三是人工智能程序處理復(fù)雜問題不堪重負(fù)。由于以上原因，上個世紀(jì)70年代人工智能發(fā)展陷入低谷。

人工智能的第二次高峰是以卡內(nèi)基梅隆大學(xué)設(shè)計的一套名為XCON的“專家系統(tǒng)”為代表，這是一套具有完整專業(yè)知識和經(jīng)驗的計算機智能系統(tǒng)。在這個時期，僅專家系統(tǒng)產(chǎn)業(yè)的價值就高達5億美元，衍生出了像Symbolics、Lisp Machines和IntelliCorp、Aion這樣的軟硬件公司。但到1987年時，蘋果和IBM公司生產(chǎn)的臺式機性能都超過了Symbolics等廠商生產(chǎn)的通用計算機，從此，專家系統(tǒng)風(fēng)光不再。

人工智能再次崛起是以IBM的計算機系統(tǒng)“深藍”戰(zhàn)勝了國際象棋世界冠軍卡斯帕羅夫事件為代表，這是人工智能發(fā)展的一個重要里程碑。而2016年AlphaGo戰(zhàn)勝圍棋冠軍李世石則把人工智能推上了一個新的頂峰。在最近3年人工智能則引發(fā)了一場商業(yè)革命，谷歌、微軟、百度等互聯(lián)網(wǎng)巨頭以及眾多的初創(chuàng)科技公司，紛紛加入人工智能戰(zhàn)場，掀起一輪又一輪的智能化狂潮，人工智能技術(shù)已經(jīng)開始應(yīng)用在各行各業(yè)，在網(wǎng)絡(luò)和安全領(lǐng)域的研究和應(yīng)用也得到了各科技公司的重視，其應(yīng)用價值開始浮現(xiàn)。

人工智能在網(wǎng)絡(luò)領(lǐng)域的應(yīng)用

人工智能在網(wǎng)絡(luò)最重要的應(yīng)用包括智能運維、網(wǎng)絡(luò)加速和網(wǎng)絡(luò)優(yōu)化三部分。

1. 智能運維

智能運維目前是人工智能發(fā)展最好、價值最高的應(yīng)用，受到了各大公司的重視。傳統(tǒng)的運維方式在監(jiān)控、問題發(fā)現(xiàn)、告警以及故障處理等各個環(huán)節(jié)均存在明顯不足，需要大量依賴人的經(jīng)驗，工作效率低下，并且在數(shù)據(jù)采集、異常診斷分析、告警事件以及故障處理的效率等方面都有待提高，而人工智能結(jié)合大數(shù)據(jù)分析技術(shù)，可以在智能監(jiān)控、智能問題發(fā)現(xiàn)和預(yù)警、智能故障處理等方面最小化人為干預(yù)程度、降低人力成本以及提高運維管理效能。

1） 智能監(jiān)控

隨著企業(yè)IT系統(tǒng)規(guī)模的擴大、運維環(huán)境的復(fù)雜化，使得運維人員從海量的數(shù)據(jù)中發(fā)現(xiàn)問題的難度也越來越大。智能運維可以通過智能異常檢測、故障關(guān)聯(lián)分析、故障根因分析和智能異常預(yù)測等能力，幫助運維人員快速定位問題、追溯故障根源，并實現(xiàn)故障的預(yù)測預(yù)警。以智能異常檢測為例，通過歷史數(shù)據(jù)模型的異常檢測等方法并結(jié)合AI技術(shù)，能夠自動、實時、準(zhǔn)確地從監(jiān)控數(shù)據(jù)中發(fā)現(xiàn)異常，為后續(xù)故障的分析與處理提供基礎(chǔ)。

2） 智能問題發(fā)現(xiàn)和預(yù)警

對故障進行根源分析是在眾多可能引起故障的因素中，追溯到導(dǎo)致故障發(fā)生的癥結(jié)所在，并找出根本性的解決方案。利用機器學(xué)習(xí)或者深度學(xué)習(xí)的方法可以找出不同因素之間的強相關(guān)關(guān)系，并利用這些關(guān)系，推斷出哪些因素是根本性的因素，幫助用戶快速診斷問題、提高故障的定位速度以及修復(fù)效率。

在告警方面，傳統(tǒng)的告警管理一般使用固定閾值并且需要運維人員手動設(shè)置，這種方式不僅工作量巨大且十分依賴運維人員的經(jīng)驗，閾值設(shè)置不當(dāng)可能導(dǎo)致告警風(fēng)暴或者告警漏報等后果。當(dāng)監(jiān)控環(huán)境發(fā)生變化時，原先的固定閾值無法滿足告警管理的要求。而智能運維采用動態(tài)基線告警方式，智能分析數(shù)據(jù)的動態(tài)極限，彌補了以往人為設(shè)置固定閾值的缺陷，智能地分析數(shù)據(jù)的發(fā)展趨勢以及分析數(shù)據(jù)動態(tài)極限，從而對告警做出智能的判斷，也就有更大靈活性和適用性。

3） 智能故障處理

在智能故障處理方面，傳統(tǒng)運維管理中對故障的處理非常依賴運維人員的經(jīng)驗，但人的經(jīng)驗無法覆蓋所有故障范圍，運維人員經(jīng)驗不足可能會使運維效率低下或者產(chǎn)生錯誤決策。智能運維將實時監(jiān)測結(jié)果或者預(yù)測結(jié)果引入智能專家決策系統(tǒng)，智能生成決策建議，根據(jù)實際結(jié)果及趨勢判斷采用的處理策略，可以是人工處理或者自動處理，有效減少問題排查的時間、大幅提升問題解決的效率，提升企業(yè)運維的標(biāo)準(zhǔn)化程度。

2. 網(wǎng)絡(luò)加速

人工智能在網(wǎng)絡(luò)加速最重要的應(yīng)用是利用強化學(xué)習(xí)的思想，深度參與網(wǎng)絡(luò)協(xié)議擁塞控制算法，加速各個應(yīng)用的傳輸速率，提高網(wǎng)絡(luò)的帶寬利用率和減小網(wǎng)絡(luò)時延，其典型應(yīng)用是用強化學(xué)習(xí)改進TCP的網(wǎng)絡(luò)擁塞算法。TCP具有慢啟動、快恢復(fù)的特點，但是其快恢復(fù)是以擁塞窗口直接減半為代價，這就導(dǎo)致TCP傳輸帶寬是一個鋸齒形的形狀，傳輸帶寬不穩(wěn)定。而強化學(xué)習(xí)則通過丟包預(yù)測自適應(yīng)地調(diào)整擁塞窗口，使擁塞窗口穩(wěn)定在一個較小的范圍內(nèi)波動，從而保證了TCP傳輸?shù)目値捄蜁r延。國外有相關(guān)論文指出，跟傳統(tǒng)的TCP擁塞算法相比，基于強化學(xué)習(xí)的方法可以使傳輸?shù)膸捥岣?0％以上，端到端時延減小7％，圖1是測試效果圖。

圖1 基于強化學(xué)習(xí)和普通TCP擁塞算法測試對比圖

在圖1中，紅色是采用普通NewReno算法的測試效果，綠色則是采用強化學(xué)習(xí)的LP-TCP測試效果，從圖1中可以清楚看到，基于強化學(xué)習(xí)的TCP擁塞窗口非常穩(wěn)定，這也是為什么能提高網(wǎng)絡(luò)帶寬利用率的原因，同時因為擁塞窗口的穩(wěn)定，設(shè)備的隊列深度也維持在一個穩(wěn)定的水平，端到端時延也同時減少了。

3. 網(wǎng)絡(luò)優(yōu)化

人工智能在網(wǎng)絡(luò)優(yōu)化上的應(yīng)用主要是轉(zhuǎn)發(fā)路徑優(yōu)化、資源優(yōu)化和流量優(yōu)化。傳統(tǒng)的ECMP算法一般是基于五元組原則進行Hash計算，在大象流都Hash到同一個路徑的情況下，很容易引起路徑流量的不對稱，起不到流量均衡的作用，而引入人工智能技術(shù)，則可以考慮鏈路實時帶寬，動態(tài)計算每一個流的轉(zhuǎn)發(fā)路徑，從而保證在任何流量情況下均可以實現(xiàn)鏈路的流量均衡，避免了傳統(tǒng)Hash算法的不足。國外有一些學(xué)者和專家也在研究通過強化學(xué)習(xí)的方法來進行路由的計算，以替代傳統(tǒng)的路由協(xié)議（如OSPF）等。在資源優(yōu)化方面，人工智能在無線核心網(wǎng)資源分配、無線信道利用率、轉(zhuǎn)發(fā)芯片包緩存動態(tài)調(diào)整方面均有良好的表現(xiàn)，其可以有效提高資源的利用率，根據(jù)環(huán)境和壓力自動調(diào)節(jié)資源分配，以保證資源利用總是處于最佳的一個狀態(tài)。

人工智能在安全的應(yīng)用

人工智能在安全領(lǐng)域的應(yīng)用十分廣泛，并且有其獨特的價值和優(yōu)勢，比如加密流量的威脅識別問題和APT（高級持續(xù)性威脅）識別問題，傳統(tǒng)的基于規(guī)則和特征匹配的方法完全失效，必須依賴人工智能的方法來加以甄別。同時，人工智能在欺詐檢測、惡意軟件檢測、入侵檢測、網(wǎng)絡(luò)風(fēng)險評分和用戶/機器行為分析等方面也有重要的應(yīng)用價值，下面介紹人工智能在安全領(lǐng)域的兩個典型應(yīng)用。

1. 加密流量威脅檢測

目前網(wǎng)絡(luò)上50%以上是加密流量，加密是保護隱私的一個重要手段，能夠保護我們的數(shù)據(jù)不被窺探，但同時也讓不法分子有了可乘之機，加密能夠像隱藏其他信息一樣隱藏惡意軟件，從而帶來一系列安全問題。而傳統(tǒng)DPI（深度報文檢測）需要解密原始報文，這是不可能完成的任務(wù)。而人工智能基于特征提取和行為分析的方法，可以在不解密報文的情況下，提煉出惡意軟件的特性，從而識別出有害威脅。以HTTPS流量為例，通過提取TLS聯(lián)接的初始數(shù)據(jù)包信息、數(shù)據(jù)包長度和時間的順序、有效載荷上的字節(jié)分布等特征數(shù)據(jù)，經(jīng)過人工智能模型推理，可以檢測出加密流量中的惡意流量，如圖2所示。

圖2 用人工智能對提取的TLS聯(lián)接的數(shù)據(jù)包進行分析

2. APT防攻擊檢測

APT攻擊具有不同于傳統(tǒng)網(wǎng)絡(luò)攻擊的5個顯著特征：針對性強、組織嚴(yán)密、持續(xù)時間長、高隱蔽性和間接攻擊，攻擊者能適應(yīng)防御者的入侵檢測能力，不斷更換和改進入侵方法，具有較強的隱藏能力，攻擊入口、途徑、時間都是不確定和不可預(yù)見的，使得基于特征匹配的傳統(tǒng)檢測防御技術(shù)很難有效檢測出攻擊，必須要引入新的檢測技術(shù)。人工智能則可以在這方面發(fā)揮特有的優(yōu)勢，通過特征提取和行為分析、結(jié)合沙箱和大數(shù)據(jù)分析技術(shù)，準(zhǔn)確判定C&C異常、Web異常、隱蔽通道、郵件和流量異常檢測等，可以有效識別并阻斷勒索病毒、海蓮花、震網(wǎng)、BlackEnergy、Google Aurora等APT攻擊。

此外，借助于人工智能增強學(xué)習(xí)的優(yōu)勢，可以構(gòu)建并完善一套主動式安全防御系統(tǒng)。如今的網(wǎng)絡(luò)攻擊和病毒具有易變性的特點，被動防御已經(jīng)不能滿足當(dāng)前網(wǎng)絡(luò)安全的要求，主動防御成為趨勢和必須，借助人工智能的學(xué)習(xí)和進化能力，可以針對即將發(fā)生或者未知的攻擊行為，與安全策略和威脅情報有機結(jié)合，最終實現(xiàn)智慧型、主動型的安全防御系統(tǒng)。

結(jié)束語

當(dāng)然，我們同時也要意識到人工智能并非是萬能的，甚至發(fā)展到某些時候還可能帶來負(fù)面的效果。人工智能作為一門當(dāng)前最熱的技術(shù)之一，其在網(wǎng)絡(luò)和安全的應(yīng)用和探索仍然還在進行當(dāng)中，但網(wǎng)絡(luò)智能化和安全智能化的趨勢不可阻擋，人工智能在其中也扮演著不可或缺的角色。