智能化网络防御“智”在哪?背后大有门道
··
●据资料显示,网络作战约85%的行动为防御行动,针对对手网络作战力量开展的进攻行动仅占15%。
●利用人工智能技术实施智能化网络防御,自动化程度和响应效率高,可以大幅缩短从发现到响应的间隔并降低误报率,实现网络自主监测、自主防护和自主反击。
网络防御是网络作战的主要行动,是组织实施联合作战需重点关注的防御行动之一,贯穿联合作战的全过程,对联合作战起着非常重要的支撑和保障作用。传统网络防御,大量的信号源数据和碎片化的报警规则,需要烦琐的手工分析或构建复杂模型,耗时较长且误报或漏报的比例高,传统防御机制和手段已不能适应恶意代码的迭代升级和进化的速度。利用人工智能技术实施智能化网络防御,自动化程度和响应效率高,可以大幅缩短从发现到响应的间隔并降低误报率,实现网络自主监测、自主防护和自主反击,有效提高网络防御的速度和效能。
基于数据融合的自动态势分析
对网络态势特别是网络风险的分析,是进行网络防御的重要和关键环节。通过对网络资源的识别、设施运行状态的监测、对抗性攻防事件的分析,查找各种潜在威胁和安全隐患,检验防护措施的有效性,研判风险程度,预测评估整个网络空间各种行动的影响效果和发展趋势,可为网络防御和网络攻击提供决策支撑。
智能化网络态势分析,利用智能网络态势分析与评估系统,通过对其他网络系统检测到的网络数据信息进行智能化的统计、过滤、融合,能够自动对敌方网络攻击和己方网络安全进行全面的分析、预测、检验和评估,并快速生成网络防御和反击策略,为行动决策提供参考建议。近年来,美国国防高级研究计划局展开了一系列在智能化网络态势分析方面的项目和活动。比如,2012年启动的“X计划”项目,其目的是利用人工智能技术的统计分析方法,建立一个确保美军能在大规模实时、动态的网络环境中理解、计划和管理网络作战的端到端系统。其主要任务之一就是网络作战空间分析,通过自动分析技术以帮助理解网络作战空间,支持网络战战略的研究,并建立行动效果评估模型,协助军方网络作战人员规划并制定战略上合理、战术上可行的网络作战计划。
基于程序行为的自主入侵检测
网络入侵检测,是一种主动而积极的网络安全防护手段,通过对异常网络流量等数据进行收集、筛选、处理并生成安全报告,为网络防御提供支持,是有效进行网络防御的前提。
智能化网络攻击入侵检测,通过先进算法模型、自学习能力和云计算技术,对网络上关联数据包进行检测,并利用攻击程序的行为特征,结合以往知识和经验,判断各类程序动机,及时发现网络攻击行为以及系统中可以被利用的漏洞,提前发现非法或异常行为,并根据系统策略主动进行告警、阻断连接、记录事件日志等操作,自动生成安全报告,为应对外部攻击提供实时防御建议,有效提升了恶意代码检测效率、精度和响应速度。2016年4月,麻省理工学院计算机科学与人工智能实验室和人工智能初创企业联合开发了名为AI2的网络安全系统,能够高精度地预测、检测网络攻击,每天检查数百万次登录,能够过滤数据并将其传递给人类分析师,从而将警报降低至每天大约100次。通过对360亿条安全相关数据的分析挖掘实验表明,AI2系统使攻击检测率比之前提高了近3倍,误报率降低了5倍。研究人员表示,由于AI2系统具有较强的自学习能力,其检测的攻击行为和接收分析人员反馈的结果越多,检测能力会越强,预测未来发生的网络攻击行为的准确率也会越高。
基于攻击特性的动态网络阻截
网络阻截主要是利用防火墙对病毒或攻击程序等进行拦截、清除。防火墙是实施网络阻截的重要技术手段,能够发现和屏蔽各类安全隐患,进而实现计算机设备、武器系统及终端的有效防护。
基于人工智能的防火墙技术,具有更高的智能化思维、决策能力和较强的适应性、自学习性等特点,能够根据网络攻击方式及强度的不同,自适应地调整自身的先验过滤规则和运行参数,以最少的系统资源取得最佳的防御效果;具有学习和积累“经验”的能力,不必事先确切了解和掌握网络环境特性,而是在网络运行过程中不断地搜集网络流量特征参数,实时、动态更新防御知识库,且能够不断修正和改善过滤规则,实现最优控制。比如,其智能过滤模块,能够对网络层当中的数据包进行监测,智能地对网络所面临的各种安全隐患进行统计和分析,按照预先设计的逻辑,或是学习后生成的逻辑,判断数据包的安全性,或是根据数据包的目标地址、源地址,来决定是不是允许其通过,对未经许可与授权的访问进行限制和拦截。它不是简单地执行过滤策略,而是基于对行为特性的识别即可以根据不同的人、时间、地点、行为来执行访问控制,大大增强了防火墙的安全性和适应性。智能防火墙系统在面临恶意攻击过程中,还会进行自我更新和修复,以规避网络安全上的明显漏洞,进而实现网络安全与防御效果的提升。
基于防护机制的主动系统修复
系统修复是在网络遭到破坏后,采取各种措施,使网络系统迅速恢复到原来的状态,或者比原来更安全的状态。传统的系统修复主要通过人工完成,通常是被动反应,且存在工作量大、耗时长、修复不及时等问题。
智能网络防御系统,不仅能够预防性地对己方网络漏洞或其他异常进行扫描,发现问题并主动对其进行修复和完善,而且还能够在遭到攻击后,自动且迅速地查明攻击方式或原理,并对损毁情况进行评估,在网络防护机制和策略的范围内,有针对性地自主进行系统修复,而且能够通过多种方案实施,确保修复的有效性。比如,其系统漏洞的智能修补,通常可有多种修补方案。首先是系统漏洞修补模块根据“漏洞唯一ID”在修补方案库中查找对应的修补方案,自动安装针对漏洞的更新补丁,完成对系统漏洞的修补;同时,根据实际情况自动使用插件停止软件的某些功能等,或关闭相应服务,停止存在漏洞的某种功能,或者阻止和切断存在漏洞的端口等,主动性、及时性更强。