前言

隨著近些年科技高速發(fā)展，人工智能、5G、大數(shù)據(jù)、云計算、區(qū)塊鏈等詞成為當今的熱搜詞匯。人工智能可謂是其中的最炙手可熱的技術(shù)，無論是國內(nèi)還是國外，都得到了相當高的關(guān)注，并且人工智能在越來越多領(lǐng)域扮演著舉足輕重的地位。人工智能是否能應(yīng)用在工業(yè)互聯(lián)網(wǎng)安全？這是一個非常值得思考的問題

2012年，美國通用電氣公司在提出“工業(yè)互聯(lián)網(wǎng)”概念時，這么形容：“工業(yè)互聯(lián)網(wǎng)，就是把人、數(shù)據(jù)和機器連接起來”。也就是說，工業(yè)互聯(lián)網(wǎng)的三要素，是人、數(shù)據(jù)、機器。因此，工業(yè)互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)的特點不同，它是工業(yè)數(shù)字化、網(wǎng)絡(luò)化和智能化發(fā)展的基礎(chǔ)，是互聯(lián)網(wǎng)的“下半場”，需要滿足企業(yè)應(yīng)用的高安全性、超可靠、低時延、大連接、個性化以及IT跟OT兼容的要求，如果在做工業(yè)互聯(lián)網(wǎng)安全過程中完全照搬傳統(tǒng)網(wǎng)絡(luò)安全思維是肯定行不通的，但是在借鑒傳統(tǒng)網(wǎng)絡(luò)安全思維的基礎(chǔ)上，同時結(jié)合新的思路和技術(shù)，做好工業(yè)互聯(lián)網(wǎng)安全就指日可待了。

人工智能作為新一輪產(chǎn)業(yè)變革的核心驅(qū)動力，在工業(yè)互聯(lián)網(wǎng)可解決哪些問題？

傳統(tǒng)安全檢查手段對惡意軟件變種的失效

目前惡意代碼呈現(xiàn)出快速發(fā)展的趨勢，主要表現(xiàn)為變種數(shù)量多、傳播速度快、影響范圍廣。在這種形勢下，傳統(tǒng)的惡意代碼檢測方法已經(jīng)無法滿足人們對惡意代碼檢測的要求。

針對這種惡意軟件變種，文件基因圖譜檢測是行之有效的安全檢測技術(shù)。文件基因圖譜檢測是一種結(jié)合機器學習/深度學習、圖像分析的技術(shù)，將惡意代碼映射為灰度圖像，通過惡意代碼家族灰度圖像集合訓練卷積神經(jīng)元網(wǎng)絡(luò)（CNN）深度學習模型，建立檢測模型，利用檢測模型對惡意代碼及其變種進行家族檢測?；诨叶葓D像映射的方法可以有效地避免反追蹤、反逆向邏輯以及其他常用的代碼混淆策略。而且，該方法能夠有效地檢測使用特定封裝工具打包（加殼）的惡意代碼。

惡意流量偽裝逃避傳統(tǒng)安全設(shè)備的檢測

為了確保通信和隱私安全以及應(yīng)對各種竊聽和中間人攻擊，HTTPS逐漸全面普及，越來越多的網(wǎng)絡(luò)流量也被加密，然而，攻擊者也可以利用這種方式來隱藏自己的信息和行蹤，通過給惡意流量封裝上一層名為TLS/SSL的加密協(xié)議來將其偽裝成正常流量進行傳輸，逃避傳統(tǒng)安全設(shè)備的檢測。

依據(jù)惡意加密流量及合法加密流量有不同的流量行為特點，通過對惡意加密流量的分析，提取惡意加密流量與合法加密流量的SPL數(shù)據(jù)（數(shù)據(jù)包長度與數(shù)據(jù)包到達間隔時間順序）、流量相關(guān)的DNS元數(shù)據(jù)、TLS元數(shù)據(jù)、HTTP元數(shù)據(jù)，構(gòu)造用于識別惡意加密流量模式的向量，采用集成學習算法學習流量向量建立相應(yīng)的加密流量檢測模型，實現(xiàn)對惡意加密流量的識別，有效發(fā)現(xiàn)高級威脅的相關(guān)線索。

攻擊溯源差，還原攻擊路徑困難

在網(wǎng)絡(luò)空間對抗中，攻擊者的行為是復雜多變的。對于安全運營人員來說在網(wǎng)絡(luò)攻擊事件發(fā)生后，溯源攻擊者的攻擊路徑是十分必要的。溯源如同大海撈針，困難重重，其中最大的挑戰(zhàn)在于溯源圖過于龐大，難以找到攻擊者關(guān)鍵的攻擊路徑。

針對這種攻擊模式，結(jié)合網(wǎng)絡(luò)側(cè)與終端側(cè)數(shù)據(jù)構(gòu)建有效的溯源圖是進行攻擊溯源的關(guān)鍵。針對溯源取證，一方面需要多源威脅情報庫，提供攻擊和惡意代碼家族相關(guān)的背景信息的檢索和分析，另一方面需要從監(jiān)控整體威脅事件態(tài)勢，最終結(jié)合多種檢測技術(shù)及威脅情報實現(xiàn)對網(wǎng)絡(luò)威脅的交叉檢測和驗證、關(guān)聯(lián)分析、溯源取證等。

基于人工智能的防護技術(shù)，屬于一種新型的網(wǎng)絡(luò)安全技術(shù)，將在工業(yè)網(wǎng)絡(luò)安全防御工作中起著重要的作用，它可以有效地解決了傳統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)存在的不足。

安盟信息作為國內(nèi)領(lǐng)先的新一代網(wǎng)絡(luò)邊界安全、工業(yè)互聯(lián)網(wǎng)安全和商用密碼應(yīng)用整體解決方案供應(yīng)商。旗下網(wǎng)絡(luò)安全態(tài)勢感知平臺應(yīng)用多項人工智能技術(shù)以大數(shù)據(jù)、機器學習、深度分析、威脅情報、數(shù)據(jù)可視化為基礎(chǔ)，融合網(wǎng)絡(luò)空間資產(chǎn)測繪、漏洞分析識別、全流量分析、日志數(shù)據(jù)挖掘和安全風險度量。實現(xiàn)對整體網(wǎng)絡(luò)安全態(tài)勢的監(jiān)測、評估、預(yù)警、可視化和集中響應(yīng)，幫助用戶從態(tài)勢理解、態(tài)勢評估、態(tài)勢預(yù)測三個維度建立起一套可度量的網(wǎng)絡(luò)安全管理和響應(yīng)系統(tǒng)，將技術(shù)、管理和人員深度融合。