古博,人工智能一直是业内很热的一个话题,为什么网络安全领域也要应用人工智能技术?
古亮:
实际上,全球正在经历一场由科技驱动的数字化转型,传统技术已经不能适应病毒瞬息万变的发展态势。网络攻击的成本不断降低,导致网络犯罪和黑客攻击的规模和频率不断增加,造成的经济损失和社会影响也不断扩大。与此同时,网络安全专业人员的需求量飞涨,但相关人才却严重不足。因此,行业开始寻求面向未来、有效保护的自动化网络安全解决方案,模式识别、机器学习等人工智能技术逐渐被应用于网络安全领域。据Gartner 预测,到2020年,人工智能在网络安全领域的应用比例,将从目前的10%增长到40%。
网络安全领域都应用人工智能技术都实现了哪些成果?
古亮:
从目前看,人工智能在网络安全领域也有不少的应用。
我们说现在安全需要面向未来,原因在于各种未知威胁越来越多,在学习和检测威胁,尤其是未知威胁上人工智能技术是有很大的优势的。网络攻击日益复杂,黑客也总是试水新技术来进行攻击,因此单靠安全团队要学习到并检测出所有的威胁几乎不可能,而人工智能通过持续进化不断学习能够快速扫描、解析并检测出威胁。比如我们自研的基于人工智能技术的SAVE安全智能检测引擎,使用深度学习,在病毒的C&C通信检测上,取得了99.7%的F值,比传统的n-gram方法提升了10几个百分点。
而在有效保护方面,人工智能可以帮助工程师理清如何处理攻击并了解哪些方法奏效,以及如何将这些经验应用到未来的黑客攻击中。这可以大大缩短安全响应流程,并减少攻击影响、降低用户损失。
刚刚提到了深信服SAVE安全智能检测引擎也应用了人工智能,能否介绍下?
古亮:
相比业界其他厂商的杀毒引擎以及知名开源杀毒引擎,基于人工智能技术的SAVE引擎在未知病毒和已知病毒的新型变种上具有更强的查杀能力。传统的病毒查杀,无论云端还是终端,引擎一般都是依赖病毒特征码,这种方式对于未知病毒通常查杀效果不好。
SAVE通过人工智能技术进行自我学习和进化,能够对未知病毒或变种进行有效鉴定,且形成云端联动,及时更新共享、人机共智,提高检测的有效性。比如今年十分活跃的勒索家族Globelmposter 及GandCrab,前后出现几次新变种,在没有对相关新变种做任何分析的情况下,使用SAVE引擎,可以对他们的变种实现100%的精准检测和查杀。
深信服SAVE安全智能检测引擎病毒查杀率
刚刚您提到SAVE引擎在未知病毒和已知病毒的新型变种上具有更强的查杀能力?
古亮:
是的,基于人工智能的恶意文件查杀引擎优于传统基于特征码的查杀引擎,原因在于机器学习、神经网络等人工智能技术所具有的泛化能力,通过使用已知样本进行训练就可以在未知样本集达到很好的效果,因此可以发现新型的恶意文件。例如,SAVE引擎在去年9月份训练得到的模型,在未经修改的情况下,成功防御了去年十月下旬爆发的新型勒索病毒 BadRabbit。
看来SAVE引擎的检测能力确实很强,我们知道检出率跟误报率往往是相对立的,那么SAVE又是如何解决误报率的问题的呢?
古亮:
目前业内也存在一些基于机器学习的检测引擎,而机器学习可能会把不存在训练集合中的白样本判定为恶意文件,导致误报率高。如果通过调高阈值或是其他简单的方式来降低误报率可能就会拖累原本具有的泛化能力,因此在技术上面临很大的挑战。我们的SAVE引擎通过监测并发现恶意软件在实际运行时产生的动态特征来消除误报,经过实测可以做到低误报的同时又具有强大的泛化能力。
看来SAVE引擎确实具备不错的安全检测能力,那它在市场端是否有广泛的应用?
古亮:
SAVE只是深信服安全领域的众多安全检测技术创新亮点之一。检测技术将会是未来安全攻防对抗的核心。我们综合利用了人工智能、规则、特征等多种方法,全面提升了在安全多个领域内的检测能力,包括比特币挖矿病毒检测、恶意URL检测、异常行为检测等,比如在僵尸网络检测上,我们把准确度提升到了99.7%。
这些安全能力也已经逐步嵌入到深信服智安全的下一代终端安全EDR、下一代防火墙、安全感知平台、上网行为管理以及云眼、云盾等众多安全产品和服务中,分布在攻击链的每一个环节。深信服也将不断研究创新,持续将最新科技成果转化为安全保护能力,从而给用户带来面向未来、有效保护的安全。
