工業互聯網安全防護技術之人工智能技術應用

前言

隨著近些年科技高速發展，人工智能、5G、大數據、云計算、區塊鏈等詞成為當今的熱搜詞匯。人工智能可謂是其中的最炙手可熱的技術，無論是國內還是國外，都得到了相當高的關注，并且人工智能在越來越多領域扮演著舉足輕重的地位。人工智能是否能應用在工業互聯網安全？這是一個非常值得思考的問題

2012年，美國通用電氣公司在提出“工業互聯網”概念時，這么形容：“工業互聯網，就是把人、數據和機器連接起來”。也就是說，工業互聯網的三要素，是人、數據、機器。因此，工業互聯網與傳統互聯網的特點不同，它是工業數字化、網絡化和智能化發展的基礎，是互聯網的“下半場”，需要滿足企業應用的高安全性、超可靠、低時延、大連接、個性化以及IT跟OT兼容的要求，如果在做工業互聯網安全過程中完全照搬傳統網絡安全思維是肯定行不通的，但是在借鑒傳統網絡安全思維的基礎上，同時結合新的思路和技術，做好工業互聯網安全就指日可待了。

人工智能作為新一輪產業變革的核心驅動力，在工業互聯網可解決哪些問題？

傳統安全檢查手段對惡意軟件變種的失效

目前惡意代碼呈現出快速發展的趨勢，主要表現為變種數量多、傳播速度快、影響范圍廣。在這種形勢下，傳統的惡意代碼檢測方法已經無法滿足人們對惡意代碼檢測的要求。

針對這種惡意軟件變種，文件基因圖譜檢測是行之有效的安全檢測技術。文件基因圖譜檢測是一種結合機器學習/深度學習、圖像分析的技術，將惡意代碼映射為灰度圖像，通過惡意代碼家族灰度圖像集合訓練卷積神經元網絡（CNN）深度學習模型，建立檢測模型，利用檢測模型對惡意代碼及其變種進行家族檢測。基于灰度圖像映射的方法可以有效地避免反追蹤、反逆向邏輯以及其他常用的代碼混淆策略。而且，該方法能夠有效地檢測使用特定封裝工具打包（加殼）的惡意代碼。

惡意流量偽裝逃避傳統安全設備的檢測

為了確保通信和隱私安全以及應對各種竊聽和中間人攻擊，HTTPS逐漸全面普及，越來越多的網絡流量也被加密，然而，攻擊者也可以利用這種方式來隱藏自己的信息和行蹤，通過給惡意流量封裝上一層名為TLS/SSL的加密協議來將其偽裝成正常流量進行傳輸，逃避傳統安全設備的檢測。

依據惡意加密流量及合法加密流量有不同的流量行為特點，通過對惡意加密流量的分析，提取惡意加密流量與合法加密流量的SPL數據（數據包長度與數據包到達間隔時間順序）、流量相關的DNS元數據、TLS元數據、HTTP元數據，構造用于識別惡意加密流量模式的向量，采用集成學習算法學習流量向量建立相應的加密流量檢測模型，實現對惡意加密流量的識別，有效發現高級威脅的相關線索。

攻擊溯源差，還原攻擊路徑困難

在網絡空間對抗中，攻擊者的行為是復雜多變的。對于安全運營人員來說在網絡攻擊事件發生后，溯源攻擊者的攻擊路徑是十分必要的。溯源如同大海撈針，困難重重，其中最大的挑戰在于溯源圖過于龐大，難以找到攻擊者關鍵的攻擊路徑。

針對這種攻擊模式，結合網絡側與終端側數據構建有效的溯源圖是進行攻擊溯源的關鍵。針對溯源取證，一方面需要多源威脅情報庫，提供攻擊和惡意代碼家族相關的背景信息的檢索和分析，另一方面需要從監控整體威脅事件態勢，最終結合多種檢測技術及威脅情報實現對網絡威脅的交叉檢測和驗證、關聯分析、溯源取證等。

基于人工智能的防護技術，屬于一種新型的網絡安全技術，將在工業網絡安全防御工作中起著重要的作用，它可以有效地解決了傳統網絡安全防護技術存在的不足。

安盟信息作為國內領先的新一代網絡邊界安全、工業互聯網安全和商用密碼應用整體解決方案供應商。旗下網絡安全態勢感知平臺應用多項人工智能技術以大數據、機器學習、深度分析、威脅情報、數據可視化為基礎，融合網絡空間資產測繪、漏洞分析識別、全流量分析、日志數據挖掘和安全風險度量。實現對整體網絡安全態勢的監測、評估、預警、可視化和集中響應，幫助用戶從態勢理解、態勢評估、態勢預測三個維度建立起一套可度量的網絡安全管理和響應系統，將技術、管理和人員深度融合。