人工智能技術在數據分析、知識提取、智能決策等方面的優(yōu)勢為應對動態(tài)多變、復雜交織網絡安全問題提供了新思路，網絡安全已經成為人工智能應用的重要方向之一。

根據法國咨詢機構凱捷 2019 年 7 月發(fā)布的《以人工智能重塑網絡安全》報告，超過半數的被調研企業(yè)認為實施基于人工智能的網絡安全措施勢在必行。美國咨詢機構 CB Insights 統計數據顯示，2018 年至 2019 年 6 月間，與網絡安全相關的人工智能投融資活動超過 180 筆。

以大數據分析、機器學習、 深度學習、人機協同為代表的人工智能與網絡安全融合實踐日益增多。

在異常流量檢測方面，人工智能為加密流量分析提供新方案。思科已將 AI 驅動的加密流量分析應用于交換機等產品，基于初始數據包特征以及后續(xù)數據包長度與時序等，通過機器學習算法識別異常流量，提供加密流量檢測能力；Darktrace 基于無監(jiān)督學習算法構建核心異常檢測算法體系，為網絡中用戶和設備建立行為模型以區(qū)分正常模式和攻擊行為，并對攻擊進行標記和阻止，在此基礎上提供企業(yè)免疫系統、工業(yè)免疫系統等產品；觀成科技推出針對惡意加密流量的 AI 檢測引擎，通過人工智能算法訓練加密流量檢測模型，支持 SSL、SSH、RDP等多種加密協議分析。

在惡意軟件防御方面，針對特定場景人工智能應用取得積極進展。

Agari 面向電子郵件業(yè)務開發(fā)了智能檢測功能，防范針對郵箱的釣魚攻擊和惡意訪問；Cylance 利用機器學習算法基于文件特征識別惡意軟件，在勒索病毒防御方面效果突出；芯盾時代針對金融反欺詐場景推出智能行為認證產品，基于異常檢測及樣本標注、欺詐關聯圖譜等持續(xù)發(fā)掘欺詐新模式。

在異常行為分析方面，人工智能正成為模式識別的有效補充。

Exabeam 的核心產品安全信息和事件管理（SIEM）平臺，通過分析公司的日志數據創(chuàng)建異常檢測模型，實現異?；顒幼R別和風險評估；Securonix 的 下一代 SIEM 產品基于 Hadoop 構建可擴展的大數據分析架構，提供日志管理、用戶和實體行為分析功能，通過人工智能算法檢測高級攻擊并實現應急響應；啟明星辰的 UEBA 產品在對多源異構數據歸一處理基礎上，利用機器學習等技術建立用戶和實體對象行為正?；€并監(jiān)測與基線的偏離；瀚思科技的 UEBA 解決方案聚焦于對企業(yè)內部員工的異常行為進行定位，結合審計、溯源、DLP 等企業(yè)原有安全能力，提高檢測效果。

在敏感數據保護方面，人工智能助力數據識別和保護能力提升。

亞馬遜推出 Amazon Macie Analytics 服務，可通過機器學習技術自動識別重要數據訪問、復制、移動等可疑行為，并實施準實時的修復措施，防范重要數據暴露及共享業(yè)務中的數據安全風險；德國 Neokami 推出了 CyberV ault 產品，可利用人工智能發(fā)現、 保護和管理云端和本地的敏感數據；亞信安全的數據分類分級發(fā)現系統在數據塊維度多任務并行處理，利用機器學習+語義分析生成訓練模型提高數據分類速度和精度，提供數據特性及變化趨勢展示。

在安全運營管理方面，安全編排與自動化響應（SORA）逐漸興起。

IBM 推出 Resilient 事件響應平臺，可提供響應流程定制功能，靈活編排響應活動并自動審計跟蹤，實現對威脅事件的快速響應；Palo Alto Networks 于 2019 年 2 月收購了 Demisto，并隨即于 3 月推出人工 智能安全平臺 Cortex，Cortex 數據湖致力于打破網絡、云端、終端數 據孤島，并支持對海量數據分析、威脅發(fā)現及響應策略快速編排，目前 PwC、Critical Start、On2it、TrustWave 等廠商已通過 API 方式接入該平臺并提供安全能力；安恒信息的 AiLPHA 大數據智能安全平臺結合智能關聯分析引擎，構建規(guī)則模型、統計模型、機器學習模型和無監(jiān)督的聚類分析，并通過“AI 安全大腦”對企業(yè)安全要素進 行智能編排，實現威脅管理流程的自動化建模。

國內企業(yè)應用人工智能賦能網絡安全主要實踐如表所示：

目前，人工智能在網絡安全領域的應用仍處于初級階段。

隨著研究探索的不斷推進、技術算法的不斷成熟，人工智能技術或將打破傳統安全的瓶頸與所能解決問題的邊界，為網絡安全帶來全新范式。

一是攻防演練為人工智能應用訓練提供了有效途徑。人工智能算法需要足量、高質量的數據持續(xù)訓練，網絡攻擊長尾性、情報鏈不完整、數據共享不充分等成為制約人工智能成熟應用的瓶頸。

隨著國內攻防演練對抗實戰(zhàn)化、場景多樣化、參與方多元化發(fā)展，網絡攻擊路線方式等完整攻擊鏈信息逐漸積累，設備系統聯動日益緊密，將為人工智能算法訓練和模型建立提供了有力支撐。

二是機器學習依然是智能安全的主攻方向。相對于卷積神經網絡等深度學習技術，機器學習技術研究起步早、實踐應用多，且多建立在專家智慧基礎上，在可解釋性、 檢測分析效率等方面具有一定優(yōu)勢，預計在未來一段時間機器學習技術仍然是人工智能在網絡安全領域應用的主要方向。

三是自動化編排和響應的探索應用前景可期。

SOAR 在匯集海量網絡設備、終端、流 量、數據等情報基礎上，構建自動化編排、部署與響應為一體的解決 方案，可大幅降低安全人力投入，更好應對網絡結構日趨復雜、安全 威脅持續(xù)多樣、防御手段整合度低等挑戰(zhàn)。

四是人工智能自身和應用安全問題不容忽視。

人工智能技術在為網絡安全提供新理念、新手段的同時，也帶來了新的安全風險和挑戰(zhàn)。

一方面數據樣本污染、識 別系統混亂、軟件漏洞等安全問題日益顯現，人工智能數據樣本、算法模型、框架平臺等技術自身安全亟待加強。另一方面，人工智能與經濟社會各領域的深入融合也會引發(fā)新的安全風險，需要前瞻研究安全措施、標準和手段等，確保人工智能安全發(fā)展、可靠應用。

來源：中國信通院