随着云计算、大数据、物联网等产业不断发展，内网和外网的边界逐渐模糊，摄像头、智能家居等更多设备接入网络意味着更多潜在攻击点，全球威胁不断增长。面临新挑战，需要用新的方式来应对越来越艰巨的战斗。

人工智能为提升网络安全带来新可能

在利益的驱动下黑色产业不断壮大，攻击手段层出不穷。在防御过程中经常需要面临先前未知类型的恶意软件，而人工智能能够凭借其强大的自我学习记忆能力及数据分析运算能力，迅速排查筛选数千万次事件，从而快速发现异常、风险和未来威胁。也正是人工智能在防御领域的这个天然优势，使得AI+网络安全成为当红炸子鸡。尤其是在检测未知威胁、阻止恶意软件与文件执行等方面的应用，让以前被动的防御变成了主动预防，这将大大提升网络安全能力，提高防护效率。

下图为CBInsights给出的人工智能和网络安全的热度曲线。可以看出，从2012年开始，人工智能在网络安全领域就逐渐成为了一个热门的词语，尤其是从2016年开始，以机器学习为代表的人工智能，已经成为这个领域的最热点。

Gartner也表示，到2020年，人工智能在网络安全领域的份额，将从现在的10%增长到40%。

人工智能如何在网络安全中有效落地

纵观全球，们看到像Vectra、Darktrace等国外网络安全厂商一直在宣传自己的安全能力是基于AI的。那么，是不是说AI就可以搞定一切网络安全问题？实际上，国内外的安全厂商大环境存在一定差异：国外的厂商倾向于“小而精”、而国内的厂商倾向于“大而全”。国外厂商之间的接口一般都是公开的，所以即使专注于少数功能也可以和其他厂商的产品联动起来，用户能够获得整体的安全能力。但国内的情况并非如此，安全厂商需要为企业提供一整套的网络安全解决方案。单凭一家厂商之力，想要在整套网络安全方案的每个环节都用AI做好，当下并不现实。

因此，深信服认为，AI要在网络安全领域落地，就需要以一种理论与实际相结合的方式。这种AI理念要先于具体采用哪种人工智能算法，例如针对流量检测，可以采用SVM、逻辑回归、决策树、LSTM等等，这种算法有太多，但算法本身并不是最重要的，而是从传统的基于规则的解决问题思路转换为基于AI的解决问题思路。深信服通过长期的实践总结出，网络安全的AI实践有三方面需要考虑：

1. 人工智能要与其他算法相融合

传统的基于规则的方法在某些场景仍然十分有效，而人工智能算法并非适用于所有场景。在这样的情况下，基于规则、特征、统计的方法要和AI形成互补的关系，有些场景下使用AI、有些场景下使用其他方法、有些场景下AI和其他方法相结合，只有这样才能做出实用的安全产品。

2. 人工智能要有持续进化的能力

传统基于规则、特征、统计的方法是“死”的，一条规则写出来，能匹配上就能检测出来，匹配不上就要重新设计。而AI是依赖数据的，数据是米，人工智能算法是锅，攻防专家像做饭的厨师。没有米和厨师是做不成饭的。人工智能算法要能够持续的检测新型威胁，需要不断被训练，靠的是不断的加入新的数据，以及攻防专家也不断对算法和模型进行调优。而拥有持续进化的能力，才是网络安全领域人工智能的灵魂。

3. 人工智能应当和人来协作分工，实现人机共智

其实这一条在上一条已经有所体现，在实践当中，攻防专家、数据科学家、安全服务专家应当与AI进行通力合作。攻防专家识别出安全问题，例如根据最新的恶意行为提出解决问题的新思路，数据科学家对问题进行建模，例如特征工程、模型构建，安全服务专家对AI识别的结果进行过滤和反馈。只有这样AI才可以真正的落地。

基于上述思想，深信服已经在AI领域取得了令人振奋的效果。

例如使用深度学习进行僵尸网络检测，二分类效果取得了99.7%以的F值，25分类取得了90.3%的F值，在业界处于领先地位。在黑链检测方面，深信服使用自然语言处理与规则相融合的方法，取得了很好的效果：在选取的112位用户中，7个月共检测出132626条黑链，最高的一个月50786，最低的一个月6214，平均18946。

在其他方面，如http检测、DNS检测、WebShell检测、扫描工具检测等方面也很好的应用了人工智能技术。

作者：深信服智安全