走向體系智能的網絡空間安全自動化研究

陳劍鋒， 陳天瑩

走向體系智能的網絡空間安全自動化研究

陳劍鋒1，2，3， 陳天瑩3

(1.保密通信重點實驗室，四川成都610041)
(2.中國電科網絡空間安全技術重點實驗室，四川成都610041)
(3.中國電子科技網絡信息安全有限公司，四川成都610041)

隨著網絡空間安全問題的不斷復雜深化，傳統信息安全機制手段無論是在應對系統規模的非線性擴張或者人類的主觀化缺陷方面都缺乏有效的解決辦法，迫切需要革命性的機制手段來將人力從重復性、事務性、易出錯的信息安全工作中解放出來。在系統論、控制論和智能技術長足發展的促進下，安全防護管理由人工化向機器自動化、智能化的重心轉移是技術的趨勢也是歷史的必然。對網絡空間安全自動化的概念、原理、作用和局限性進行了介紹，對自動化與智能化的區別點和銜接關系給出了說明，提出了智能化用于安全的關鍵問題，前瞻了安全智能化融合帶來的廣闊應用潛力。

網絡空間；信息安全；安全自動化；安全智能化

0　引言

近年來，隨著網絡空間規模的不斷拓展，以傳感器、控制器、存儲和計算單元為代表的節點同衍生的連接數呈現爆炸式增長，不斷深化的網絡復雜性削減了整體的可保障性。一個典型的企業網可能由成千上萬的服務器、終端和安全設備構成，為了有效防御已知的威脅，即便是簡單的防火墻也有可能包含成百上千的規則、配置和參數，這些規則是“經驗化”或“模式化”的，彼此之間互補而又可能存在沖突:對于富有經驗的安全管理員而言，正確無誤的配置所有參數仍然是糾結而艱巨的任務。信息安全運維和管理成本呈指數級攀升。

與規模化帶來的問題并存的另一大信息安全挑戰是“人”的歸因。據IBM 2014年發布的賽博信息安全情報報告披露，上一年中95%的信息安全事件都與人為造成的疏忽或錯誤有關。通常用戶被認為是信息安全防護鏈上最薄弱的一環，因為在他們在知識受限、判斷失誤、漫不經心或盲目樂觀的情況下極有可能錯誤使用了信息安全機制。報告稱，就算在安全領域投入再多資金，也難以防止工程師在配置防火墻時心不在焉，或者未給新安裝的服務器安裝所有必要的補丁[1]。經驗證明，只要是人為的工作就會引入風險，系統中的用戶是攻擊者的重要突破點。

傳統的信息安全機制手段無論是在應對巨系統的復雜性或者人類的主觀化缺陷方面都缺乏有效的解決辦法，安全迫切需要通過技術革命帶來新的轉機。所幸，隨著信息化與工業化的持續融合，試圖模仿并超越人類智慧的智能產業蓬勃興起并很快成為現代科技創新的一個重要標志。21世紀以來，互聯網和大數據推動人工智能技術進入了新的春天，專用人工智能即面向特定領域的人工智能取得了突破性的進展。如何將智能化領域的前沿成果與網絡空間安全的構建目標有機融合，著力提升其賦能和保障效果，是當前安全產業潛力巨大但亟待解決的課題。

無論是自動化還是智能化，其設計目標都是通過利用自主感知、決策和控制的機制方法來代替人的體力、腦力勞動。以這種方式節省下來的精力投入、時間耗費可以通過注意力轉移的方式讓有限的人工資源聚焦到人腦更擅長的創造性、直觀性、靈感性工作中去。在網絡空間安全語境中，面向日趨復雜、不斷深化的入侵和威脅，防御者可以借助智能化方法，以安全知識為手段和工具，基于對資源分布、業務運行、攻擊狀態和防御力量的認知，依托大數據帶來的海量信息組織管理、深度分析和演化推理能力來高效調節網絡空間各類主體的狀態、配置和關系，填補網絡空間監測、防御、治理與運維多類型問題的不斷深化復雜與解決方案實現水平的能力差距，達到網絡空間更有效開發、利用、掌控的戰略目標。

余下部分將首先介紹安全自動化的需求和現狀，如面臨的安全挑戰、自動化的觀點和局限性等；第三部分敘述了安全從自動化到智能化的轉變過程，涉及必然性、智能的體系特征和關鍵問題等；第四部分給出了安全智能化在推進過程中于標準化、應用示范方面的一些進展；最后一部分總結全文。

1　安全自動化需求和現狀

1.1不斷增長的安全挑戰

云計算、大數據、量子通信及物聯網等新一代信息技術的高度集成和綜合運用重塑了網絡空間的面貌，傳統意義上相關性有限的傳感器、控制器、用戶和操作環境通過新的方式緊密連接在一起，使網絡空間走入萬物互聯時代。不斷增強的聯系帶來了系統的變化和重組，也帶來了信息化生產力的飛躍。

需要重視的是，這種泛在互聯也把攻擊者和利益目標聯結在了一起，攻擊者因而具備了“從傳感器到射手”的能力，能夠便捷地在任何時間、場所、針對任何目標發起猛烈攻擊。當連接無處不在，數據無處不在時，攻擊無處不在也成為危險但無奈的現實[2]。

當前，黑色產業鏈的合作和建設已經形成了一定規模。網絡攻擊的組織形式越來越呈現出專業化和團隊化的趨勢，黑客們聯手出擊使攻擊手段更加多樣，高級持續性威脅(APT)的攻擊范圍已能涵蓋各種目標和領域。更為可怕的是，攻擊者看來比防御者更能靈活運用自動化技術，他們管理著數量龐大的漏洞和工具，類似目標對象掃描、攻擊載體生成、攻擊進程發起和攻擊效果評估等流程性工作都已經能夠自動完成。在進行了自動化武裝后，攻擊者發起入侵的頻繁和破壞程度都得到了顯著提升，憑借高速傳輸、瞬發到達的信息網絡，惡意程序能夠對企業、組織甚至國家進行“外科手術”式的猝發、精準打擊，網絡空間威脅從未如此嚴峻的展現在世人面前。

1.2安全自動化的原動力

安全自動化源于防御技術發展的迫切需求。首先，攻擊面增長得太快、太復雜。與現實世界中的軍事行動受物理、地理因素制約不同，網絡空間中自動化攻擊工具的出現能夠使得入侵幾乎不受限制地并行發起，這種網絡空間對抗以機器速度而非人工速度進行，如果防御方不大量采用自動化手段，就無法有效地及時遏制網絡威脅；其次是信息基礎設施的規模化、虛擬化和軟件定義化為安全管理人員帶來了新的負荷，他們的精力被進一步分散，迫切需要通過構建安全機制和流程，力圖在更少的時間、更少的人力參與下做更多的事情。

在自動化手段的幫助下，所有流程性的安全事務都將以最少人工干預的方式部署運行，安全人員僅參與計算機難以完成的任務。這種設計方法從整體上提升了防御的時效性，避免了人員的流程性錯誤，從而能夠改進安全防御組織和管理的效能。

1.3安全自動化的視角

安全自動化是一種活動，使用戶從繁瑣、易錯的信息安全配置與決策任務中解脫出來。安全自動化可以從層次、流程和組織三個角度等進行理解。

(1)層次角度的安全自動化(見圖1)

圖1　安全自動化的層次化視

如圖1所示，作為一種空間/尺度維的劃分，層次角度的安全自動化可以分為組件級、系統級和全局級三個規模遞進的層次。組件級的自動化是自動化的最小單元，著眼于在微觀/個體層面上確保安全功能的自我運行；系統級的自動化在中觀/局域層面實現相較組件更高級別的自動機制；全局自動化在宏觀、整體層面上實現最高級安全任務的按需執行，將網絡的所有資源和要素納入自動化范疇。例如在大型分布式企業信息系統中，部門網絡、地區網絡和企業網絡自然地構成了三個自動化層次。

(2)流程角度的安全自動化(見圖2)

圖2　安全自動化的流程化視圖

如圖2所示，流程角度的自動化作為一種時間/序列維的劃分，通過安全生命周期中監測、防御、響應和評估環節的分別自動化，實現功能間的自然銜接和閉環增效。例如，監測為防御提供有關攻擊者和攻擊機制信息，防御為響應提供防護狀態和受損程度信息，響應為評估提供修復目標和任務進度信息，評估又反過來為監測指定更精確的關注點范圍。

(3)組織角度的安全自動化(見圖3)

圖3　安全自動化的組織化視

如圖3所示，組織角度的自動化作為一種群體/系統維的劃分，在組織的各組成部分、以及組織之間按照層次和流程角度的自動化機制進行配置和演化。各組織可以擁有相同或不同的既定目標，于彼此的分工協作中在時間和空間約束下逐步完成調整，實現個體利益與全局利益的均衡與優化改進。例如，安全防護強度與系統可用性的動態平衡，多智能體式松散安全自治系統的選舉、角色分派、協作和競爭等行為等。

1.4安全自動化的局限性

安全自動化并不是嶄新的概念，入侵檢測與防火墻的協同就是安全協作的典型示例[3]。盡管經過精心設計的自動化能夠在一定程度上提升安全設備功能互補、快速部署和節能管理水平，但在更廣泛的場合中，安全防御的多樣性、異構性和不可預知性等因素使自動化過于復雜從而難以實施。其局限性來自:

●自動化的核心是位于操作和執行層面的自動控制理論，其功能類似于根據外界輸入改變系統狀態并選擇輸出的自動機。但由于其狀態空間難以完全描述和檢驗，在某些情況下可能會失控。

●單純的自動化是盲目和被動的。對于知悉內部機制的攻擊者而言，自動化反而提供了一條通向入侵的捷徑。自動化既定模式策略與不斷推陳出新的攻擊手法間的鴻溝不斷加深。

●自動化的應用場景受限。自動化基于明確的規則，針對已知、可預料的情形做出程序化的既定響應，多用于重復性、流程性或事務性的工作中。而事實上，不確定性和隨機性才是網絡空間安全防御的常態，對不可知事件的判斷和決策無法以規則清晰表述，也就無法通過自動化的方式處理。

從當前自動化的實踐中可以看出，其固定、靜態的模式策略難以適應網絡空間時代涌現的多元安全需求，自動化無法識別未知威脅，無法對多變的情景做出判斷，也無法給出有用的決策建議，甚至有時會錯誤解讀數據，給用戶帶來安全假象。如果只是盲目跟風，自動化手段的誤用和濫用可能導致安全風險更快擴散。安全運維人員急切需要能夠一種超越自動化的技術，能夠通過系統內外信息的感知、提煉、匯集和分析來認知自我及復雜環境，針對威脅迅速、準確地反應，將人們從重復和容易誤導的任務中解放出來，將有限的注意力和主觀能動性聚焦在更能發揮人類價值的領域[4]。

2　安全智能化的轉變

2.1從自動化到智能化

安全智能化是將人工智能技術與網絡信息工程、信息安全、心理學、行為學等理論交織融合的產物。其主要位于判斷、選擇層面，核心是人工智能理論，作用機制是知識加機器思維，使得通常認為需要人工參與發揮主觀能動性的思考、反應或決策能力的信息安全關鍵操作、決策等行為能夠由計算機代理。例如從數據或經驗中推理出新知識、得出邏輯思維推論，對觀察到的現象提供解釋等。

安全智能化反映了安全實施方式、手段和機制的變化，它是現代信息技術和智能技術進步的產物，預期能夠顯著提升安全防護、組織和管理的效能。智能化體現了靈活運用知識分析并解決問題的能力，多用于環境變化性強、不確定性突出、決策能力要求高的場景中，使得一般情況下難以歸納、利用的隱性安全知識能夠轉換為相關系統可識別和理解的顯性安全知識，這種安全知識能夠被使用者更方便地理解、交互和使用。

綠盟科技將安全由自動化到智能化的過渡分為基本智能、通用智能和超級智能三個階段，在基本智能階段中運維人員通過腳本和工具等，逐步將手工操作自動化，安全決策活動仍由“專家”進行，因而是一種“人工化”的智能；在通用智能階段中“專家”建立并訓練模型、設置和校正參數來實現安全系統決策、反饋、行動等的部分智能化；在超級智能階段，安全系統能夠自主觀察系統行為和估計環境影響，根據管理者設定的安全價值取向實現自我調整。

安全系統智能化水平在提升過程中，原始數據轉化為信息再升華為知識，并在各安全組件間溝通、理解和最優化利用。信息服務走向知識服務，信息處理走向知識挖掘，安全防護管理機制由人工化向機器化的重心轉移是歷史的必然和時代的期待。

2.2智能化安全的體系特征

安全智能化在運作方式、屬性、理論原型等諸多方面都與自動化存在著顯著差異，即通過對環境的準確感知和辨析，通過統一協調和決策機制實現反作用于現實空間的導向性控制，其本質是安全知識的匯聚、洞察與應用，在運作方式、主要屬性、理論原型、計算模型等方面都具有嶄新的特點，如表1所示。

表1　安全自動化與智能化體系特征對比

可以看出，安全智能化系統的核心是知識。在傳統的DIKW即數據、信息、知識和智慧模型中，數據直接來源于傳感器，是變量的測量值的記錄；信息是經過組織或結構化的數據，在一定的環境中有特定的涵義，代表了系統的歷史和現狀；而知識則深刻地反映了事物的本質，是信息、價值、經驗和規律的有機綜合，是指導實踐、形成智慧的必要前提，具有更加深遠的價值意義。信息安全論域的知識涵蓋了信息安全科學原理、判斷準則和歷史經驗，它與應用場景強相關，通過在實踐中不斷累積和拓展，能夠適應使用者、使用目標和使用環境的變化，是防御者進行決策、響應和控制的依據。

安全智能化來自知識并走向知識的意義主要體現在知識的聯系、反饋和生成之中:

(1)網絡空間基礎設施高度互聯，全域到達。這種互聯不僅是網絡意義上的連通，更多的是系統在功能、語義層面的無縫配合，智能化系統因此實現知識的聯系和承載；

(2)智能化系統基于實時決策和控制來積極作用于現實世界，這一過程是通過對系統行為及其效果的持續精確感知和調整實現的，實現知識的反饋作用。

(3)智能化系統具有學習和交互能力。安全不是靜態不變的，而是在繼承和演化中不斷進化完善。安全系統不斷積累經驗，使功能迭代提升、適應性持續增強，實現知識的生成作用。

2.3智能化安全的關鍵問題

在信息安全領域，一個著名的瓶頸性問題即是，正確的設計未必能正確的實現，正確的實現未必能正確地運用。通過安全智能在人與機、機與機、以及機內部的補償作用，能夠回填安全期望與安全實現、安全實現與安全能力之間存在的，制約安全體系效能發揮的的二元鴻溝。智能化安全的關鍵問題即是處理好人、機、數據與環境之間的關系。

人:基于哥德爾不完備定理，任何完整的系統，總存在其自身無法解決的問題。智能化的現代設計原則也不是完全的、無差別的、盲目的智能化，而是適當考慮“人”的因素的地位的，“恰當”的智能化。這種智能化提倡將人的能力和獨特性作用在最合適的環節發揮出來，以人機結合的方式，克服人或機器各自具備的功能缺陷。

機:機器是安全智能的載體，可以以個體或群落形式存在，并和其作用對象發生密切的依存-寄生關系，體現直接性與間接性的統一。依附機器、環境的安全智能直接作用于網絡與安全邏輯，間接作用和影響網絡空間、物理空間的運行和表現。

數據:信息流是攻防對抗的本原，是威脅也是安全價值的載體。信息流的駕馭一方面需借助傳統感知技術，實現數據的有效搜集和整理；另一方面需借助智能，自海量信息中提煉知識、正確運作。占有足量的數據是安全智能系統認知、決策和進化的前提。

環境:安全智能無法孤立存在，其在運行中既受環境深刻影響，也顯著地影響著環境:智能計算依賴的信息來自于環境、計算結果反饋于環境、是否有效也必須借助于對環境觀測來完成。只有將智能與環境融合考慮、合理設計，才能促進智能水平的不斷提升。

在人、機、數據與環境合理分工、協調運行的理想環境中，智能系統預期將進入結構自主組織、信息按需流動、策略動態變化、能力迭代提升的良性循環，體現智能時代安全機制自主優化配置、部署、運行的全新景觀組態。

3　安全智能化的應用推進

安全與智能化的融合交匯代表了更先進的防護理念和應用潛力。從當前基礎較好的領域來看，安全智能化的全面推進有賴于理論體系的成熟、標準規范的制訂和典型應用的示范效應。理論體系方面數據挖掘、深度學習、智能體理論、知識工程等領域經過多年的研究在各個細分方向均已經取得長足發展，成果豐富，可以認為安全智能化前置技術的研究已較為充分，下面主要從標準化和典型應用方面進行探討。

3.1標準化嘗試

目前，與安全智能發展關聯的標準主要是安全自動化標準和威脅情報標準。

(1)安全自動化標準

安全自動化當前的主要標準是SCAP(Security Content Automation Protocol:安全內容自動化協議)，它是由美國國家標準與技術研究院(NIST)提出的，用于提升安全自動化能力的標準協議群[5]。SCAP提出的初衷首先是實現高層政策法規(如FISMA，ISO27000系列)等到底層實施的落地；其次是將信息安全所涉及的各個要素標準化(如統一漏洞的命名及嚴重性度量)；最后是將復雜的系統配置核查工作自動化。SCAP提供了一種自動、標準化的方法來維護企業系統的安全，如實現安全配置基線，驗證當前的補丁程序，進行系統安全配置設置的持續性監測，檢查系統的攻陷指標(Sign of compromise)等，試圖在任意設定時刻給出系統的安全狀態。其標準化、自動化的思想對信息安全行業產生了深遠的影響。

(2)威脅情報標準

威脅情報(Threat Intelligence)是一類有效的網絡空間安全風險應對機制。情報的本質是減少信息沖突的不確定性，Gartner定義網絡空間威脅情報為一種基于證據的知識，它包括了情境、機制、指標、暗示和可供操作的建議，通過描述正在發生或者即將出現的針對網絡空間資產的威脅或危險，能夠被用于通知相關主體對這些威脅或危險做出響應決策。

威脅情報具有信息和知識的雙重屬性，因而是安全智能的重要組成部分。威脅情報以集體智慧應對復雜威脅，以先知先覺構建穩固防線。在此過程中，標準化是安全威脅情報在多個發布者、使用者間交互和共享的必要前提。使用標準化的方式定義情報格式能夠在最大程度上減少信息語義損失和歧義，同樣也可以避免日后因為接口和規范不同而造成較大的改動和不必要的資源浪費。目前在威脅情報交換方面較有影響力的框架、協議和語言包括IODEF、CIF、STIX、OpenIOC和Veris等，其中STIX(Structured Threat Information Expression，結構化威脅信息描述語言)更為流行，它是為威脅情報采集、分析和交流而設計的一種語言，以結構化的方式來支持更有效的網絡威脅管理流程化和應用自動化，許多企業已經支持通過STIX進行威脅情報和安全知識的共享。

3.2典型應用樣例

智能化與安全在體系層面是橫向支撐、縱向貫穿的關系，通過嵌入或融合方式覆蓋安全防護體系的多個層次。智能化的典型應用場景包括云安全快速自主部署、威脅情報綜合管理、自動化漏洞挖掘、用戶實體行為分析、實時應用程序自我保護等。

云安全快速自主部署:在數據中心，為了達到釋放云計算潛力、降低準備時間、增強敏捷性的目的，需要一種能夠快速部署云環境中的相關網絡安全服務的方法，使得安全能力與業務能力的輸出相同步，在計算平臺、網絡和安全機制方面實現完全的協同和可編程能力。多家安全公司2016年在云安全快速自主部署方面發力，使安全服務在業務流程的自動嵌入、自動配置和智能監測成為可能。

威脅情報綜合管理:威脅情報綜合管理是與威脅情報與安全防護系統結合的切入點，可以扮演情報生產、情報傳遞或情報消費三類要素中的一個或多個角色，服務于威脅情報的形成、封裝、傳輸、中轉、解讀或呈現等各環節[6]。威脅情報綜合管理除用攻擊檢測和安全響應方面外的巨大價值外，還可用于安全設備功能提升、自適應風險管理和決策輔助等目的。系統的自動化、智能化水平越高，威脅情報也就能得到更充分的利用，使安全防御能力能夠在外界源源不斷有益信息的支持下穩步提升。

自動化漏洞挖掘:系統的漏洞挖掘是攻擊者和防御者都關心的問題，目前并行模糊測試、污點分析或符號執行等方法已經能夠高效地發現大量的程序錯誤，但存在效率不高、需要熟悉目標系統、對經驗依賴度較高、技術復雜等缺點[7-8]，使得快速分析、評價這些潛在的漏洞仍然需要大量的人工參與和判斷。美國國防部先進技術研究局(DARPA)2016年發起的CGC網絡超級挑戰賽的主題為自動化漏洞挖掘及防護，在無人干預的情況下從給定的目標地址獲取應用程序、分析代碼、給出攻擊向量并生成補丁，從目前主辦方預留的590個漏洞均已被參賽隊伍發現并修補，可以預期這一領域即將在智能化的助力下取得更加豐碩的成果。

用戶實體行為分析:即UEBA(User Entity Behavior Analysis)，是Gartner認為2016年十大信息安全技術之一，它通過收集網絡中設備、系統、應用、數據庫和用戶等多個節點產生的信息創建基準狀態，并在后續的運行過程中不斷尋找“異常”的模式，評估新發生的事件在環境上下文中是否異常，以及異常的程度有多深，進而排序事件的重要性及可能產生的業務影響，適時發出告警。為了更精確地識別威脅，UEBA產品中通常采用改進的機器學習機制，允許在不依賴于預先制訂規則的前提下就能良好的運作，充分體現出了智能化的零配置、冷啟動特點。

實時應用程序自我保護:即RASP(Realtime Application Self Protection)，它是一種新型應用安全保護技術，其基本思想是以智能化的方式將安全無縫嵌入應用之中，使用類似疫苗的方式將保護能力與被保護對象融為一體。RASP在程序運行的整個階段實現有效的自我監控和有害輸入、行為的識別，使得當應用程序面臨漏洞攻擊時，不需要人工干預就能夠自動重新配置和運作以阻斷入侵者。RASP顯著的優點在于無需對應用本身做出任何改動，而且防護能力會隨著智能化水平的提升而不斷增強。

3.3安全智能展望

世界正處于新科技革命和產業革命的交匯點上，科學技術在廣泛交叉和深度融合中不斷創新，智能產業蓬勃興起，成為安全領域取得顛覆性突破的契機。

(1)智能是一場安全的革命。智能帶給用戶的意義、價值在于能夠顯著減少為達到同等安全水平需要投入的人力、物力和注意力，并且這種安全防護能力是自組織、自生長的。泛在網、云服務和大數據為安全智能的傳播和流行提供了堅實的平臺，安全智能模式將快速復制并傳播。

(2)人的關鍵性參與難以動搖。人和智能都無法單獨在網絡安全任務中取得壓倒性優勢，智能與人類協同工作必然取得更好效果。通過人腦的知識、經驗與機器的模型庫、方法庫、規則庫等在分析、推理方面優勢互補，完成復雜決策過程，形成人機融合的決策力，指導系統未來運作。例如用機器從海量數據中識別概率最高的攻擊事件，再交給人類專家進一步處理以提高精確率等。

(3)智能終將成為安全的內在屬性。當前智能與安全的協同機制以外圍嵌入、流程聚合的方式為主導，存在感知不全面、認知不深入、控制不到位的缺點。可以預期智能將進一步和安全深度交織，使智能成為安全的一個必選項并與之無縫融合，減少溝通的損耗，實現更佳的匹配能力。

4　結語

安全智能是人工智能與安全的深度融合，著眼于獲取網絡空間安全的決策、行動和成本優勢，其預期能力將覆蓋網絡空間信息安全感知、認知、處置、防御、決策、交互的各個所需層次和環節。當前安全智能化已經成為安全技術創新的重要方向，傳統的依賴于邊界防御的靜態安全控制措施將逐漸被基于知識共享和大數據分析的高級、智能安全手段所取代，系統將具備多樣化風險感知、精準響應處置和未知威脅抵御的全鏈條能力，實現安全價值的非線性涌現爆發。

[1] Montesino，Raydel，and Stefan Fenz.Information Security Automation:How Far can we go[C]//Availability，Reliability and Security(ARES)，2011 Sixth International Conference，IEEE，2011:280-285.

[2] Edwards W K，Poole E S，and Stoll J.Security Automation Considered Harmful[C]//Proceedings of the 2007 Workshop on New Security Paradigms.ACM.2007:33-42.

[3] 黃子中，韓偉紅，賈焰.基于攻擊流量的網絡安全規則自動生成系統NSRAG[J].電腦知識與技術，2015，11(35): 14-16.

[4] Montesino R，Fenz S，and Baluja W.SIEM-based Framework for Security Controls Automation[J].Information Management＆Computer Security，2012，20(4):248-263.

[5] Radack S，and Kuhn，R.Managing Security:The Security Content Automation Protocol[J].IT Professional，2011，13 (1):9-11.

[6] Kampanakis P.Security Automation and Threat Information-sharing Options[J].IEEE Security＆Privacy，2014，12(5):42-51.

[7] BlackburnMark，Robert Busser，Aaron Nauman，and Ramaswamy Chandramouli.Model-based approach to security test automation [C]//Proceeding of Quality Week，2001:46-54.

[8] 邵林，張小松，蘇恩標.一種基于fuzzing技術的漏洞發掘新思路[J].計算機應用研究，2009，26(03):1086-1088.

Evolutionary Approaches of Cyberspace Security Automation Technologies to Systematic Self-Intelligence

CHEN Jian-feng1，2，3，CHEN Tian-ying3
(1Science and Technology on Communication Security Laboratory，Chengdu Sichuan 610041，China)
(2Cyberspace Security Technology Laboratory of CETC，Chengdu Sichuan 610041，China)
(3China Electronic Technology Cyber Security Co.，Ltd，Chengdu Sichuan 610041，China)

As cyberspace security issues gradually fall into severe and complex situations，traditional information security mechanisms inevitably become outdated while lack efficient solutions to tackle problems brought by the nonlinear expanding scale of information systems，or by the inherent defect of humans for being subjective and arbitrary.A revolutionary innovation is urgently needed to disengage people of information security operation from practicing repetitive，routine and error-prone work daily.Thanks to the great progress of system theory，controlling theory and artificial intelligence，human burden of security management could be substituted by automated or intelligent machine workforces，which is also definitely the trend of technology evolvement.The concept，principle，usage and constrain of cyberspace automation are introduced in the paper，together with main difference and concatenating relations between automation and intelligence are given，key problems for incorporating appropriate intelligence，and present forward-looking visions of application potential of security and intelligence fusion.

cyberspace；information security；security automation；security intelligence

TN915

A

1009-8054(2016)08-0111-06

?2016-03-09

陳劍鋒(1983—)，男，博士，高級工程師，主要研究方向為信息安全、人工智能；

陳天瑩(1982—)，女，博士，高級工程師，主要研究方向為信息安全、大數據。■