人工智能在網絡安全運維服務中的應用*

周利均

（中國電子科技網絡信息安全有限公司，四川 成都 610041）

0 引 言

習近平總書記在“4.19”講話中明確指出，“要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系”“我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護”。等級保護2.0也從保護對象、保護內容、標準體系等方面進行了相應升級，契合我國網絡安全形勢的不斷發展[1]。

數字經濟的飛速發展，大數據技術的深化應用，促使數字資產成為企業乃至國家新的增長引擎，也成為世界各國“兵家必爭之地”。網安安全保障將是數字經濟的“基石”，“基石”搭建是否可靠對網絡安全整體運維服務提出了新的需求。

隨著人工智能、云計算、大數據以及邊緣計算等新技術的不斷發展和應用，網絡攻擊方式多樣，呈現智能化、自動化等特點，且攻擊目標已從純粹的個人“秀技術肌肉”轉變成謀取經濟利益和政治利益。這對傳統“交付產品”模式提出了挑戰，對“購買安全目標”提出了新的需求。

隨著5G應用，萬物互聯成為現實，網絡入侵不僅影響數字世界，而且對萬物互聯的設備、媒體社交平臺等均有深入影響。企業信息化系統強關聯性、耦合性導致網絡入侵由點及面地快速擴散影響。因此，從單點防護擴展到點面結合以及全面防護十分緊迫。

以上從數字驅動重要性、技術發展多樣性、關聯影響廣泛性等方面進行分析，傳統以交付產品完成建設的線下模式已不足以支撐高速發展的信息化社會，適應新時期以交付能力和目標為主的整體運維服務模式成為趨勢，只有搭建全方位、多層次、全維度的網絡安全運維服務體系[2]，才能保護企業的網絡安全。

1 網絡安全運維服務存在的隱患

網絡安全運維服務及能力建設以系統全生命周期為主線，以業務安全需求為起點，前端根據企業安全需求開展安全規劃設計，同步根據規劃開展安全開發、建設、測試以及測評等。測評通過進入實際運維服務階段，進行安全事件監測、安全事件處理、安全事件分析預測以及安全審計追蹤等，同時對企業安全技術人員開展安全技術認證培訓，提升其安全技能和安全意識。

上述網絡安全運維服務體系架構中，運營維護階段會有大量需要人為處理的工作，且海量安全數據需要及時進行分析處理。如果純粹依靠技術人員進行人工分析、處理，會錯失最佳的防御時機，攻防博弈的天平會全面倒向入侵者一方，導致企業關鍵信息基礎設施遭受嚴重威脅[3]。

以下從3方面分析網絡安全運維服務面臨的一些挑戰。

（1）傳統網絡安全保護模式是購買網絡安全產品，安全廠商完成建設交付即可，主要使用單點的網絡安全設備在線下實現安全防護，安全策略配置、系統升級、故障排查等過多依賴安全廠商技術人員，用戶技術人員因設備自適應程度較低、過于機械，無法及時做出相應處置。在面對日趨復雜的安全環境，不僅是面對未知威脅，面對已知威脅也難以做到有效的及時防御[4]。

（2）企業有自己的主責主業，安全一般歸屬信息化部門，專業安全人才只占信息化維護人員的很小一部分，企業也難以投入進行全方位安全人才隊伍建設。因此，企業的安全技術人員數量和水平有限，只能解決一些具體到某點的安全問題，系統性的由點及面顯得力不從心，達不到全生命周期、全維度的運維管理。

（3）內外部海量流量數據隱藏了大量有用的安全信息，人工數據分析顯然不現實，還未待完成數據特征提取，一波新的攻擊可能就來了。由此可見，攻防博弈爭分奪秒，缺乏對安全數據高效挖掘、分析、利用環節，不能敏銳抓住數據流量中的異常，從而不能有效預測、評估、預警和防御安全風險。

總結來看，一是技術人員的過渡依賴性問題；二是橫向和縱向運維的全覆蓋問題；三是處理動態變化的威脅時效性問題；四是對海量安全數據的分析利用問題。

人工智能彌補人的不足，以模仿人類思維開展自我優化學習，相比人為操作，可以以秒為單位處理很多數據問題。本文研究人工智能賦能網絡安全運維服務，打開智慧運營新局面[5-6]。

2 人工智能賦能網絡安全運維服務

人工智能技術架構如圖1所示，分為基礎、技術、應用3層。基礎層包含計算能力和數據資源，是整個人工智能的核心；技術層包含算法、模型、知識庫、特征庫等；應用層為人工智能結合網絡安全服務，不局限于某個具體應用場景，重點解決運維服務中人為因素等不足造成的問題。

一個大型集團包含很多下級單位，如何縱向延伸，以中心化運維為思路，以公有或私有云加載計算單元，充分實現全域運維[7]。

下面具體分析網絡安全運維服務事前檢測、事中運維、事后分析3個階段需要做的重點工作，并以此為重點，研究人工智能如何在這些工作中發揮作用，從而實現智慧化運營，如圖2所示。

圖1 人工智能架構

圖2 網絡安全運維服務體系架構

2.1 數據資產態勢感知

企業的數據資產是其核心資產，利用人工智能搭建企業安全數據的學習系統，自動采集企業各類設備、軟硬件系統、應用系統、業務系統以及管理系統等數據，以多種維度關聯數據，打造企業安全數據資產的態勢感知平臺，實時動態展現企業相關資產的使用情況，根據安全態勢對安全產品和安全流程進行動態部署，強化安全控制流程，提升網絡彈性，并對安全數據進行實時動態分析，對相關安全警報進行優先級排序及建議處理，自動生成企業全維度安全報告，供安全負責領導參考決策。

2.2 軟件模塊自動化走查

隨著軟件工程化的發展和開源社區代碼的豐富，企業級模塊化開發提高效率的同時，也帶來了潛在風險。開源代碼存在邏輯性、完整性等問題，而非專業公司并沒有精力和能力去分析動輒幾萬行甚至幾十萬行的代碼。利用人工智能技術可幫助識別和分析代碼中的錯誤，降低未被發現的漏洞，以提高現有軟硬件的防御水平。

2.3 應對APT高級持續威脅

企業面對嚴重的威脅就是有組織、有目的、經過精心策劃實施的APT攻擊。針對已知漏洞，已有防火墻、IDS等成熟產品應對；針對未知漏洞威脅，顯然不能依靠人工進行數據分析。APT攻擊的復雜性結合攻擊者的隱蔽性，需要獲取海量的內外部流量數據，并對數據進行挖掘和關聯分析，發現攻擊者線索并進行追蹤溯源。同時，網絡安全運維工程師可利用人工智能技術，利用逆向工程改進系統，防止再次發生類似事件。

2.4 系統動態加固

信息化程度越高的基礎設施，遭受攻擊的面更寬，面臨人員短缺、技術局限的窘境。利用人工智能的自動識別技術，檢測信息系統、軟件等運行過程中的漏洞、缺陷等，設計、生成、運行補丁程序，對漏洞進行實時修復，實現真正意義上的自動防御功能，實現系統動態加固。

2.5 異常動態檢測，快速響應攻擊

攻防博弈是一個動態過程，網絡攻擊方式日趨多樣化，安全運維團隊只有以不斷優化調整相關技術來應對持續不斷的異常和威脅。但是，攻擊者猶如潛伏在黑暗中的劍客，不知他什么時間以什么“招式”攻擊，充滿了不確定性，而攻防雙方從時間上就已失衡。利用人工智能和機器學習，通過算法和歷史數據搭建合理化模型，以一種可靠的方法解析各類異常事件，通過不斷學習、訓練知道運維者最想要的信息是什么，就能在攻擊發生時及時提供相關重要情報來阻擊攻擊，并給運維工程師響應異常事件提供解決參考，大大縮短了攻擊的響應流程，將損失減少到最小。

2.6 自動化故障排查

以一個大型集團公司為例，總部各部門、各分子公司等下屬機構每天會產生大量業務數據和安全數據，各類故障頻發。通用性故障若大量耗費維護人員進行分析處理，既不利于運維中心化，也沒有諸多的人力物力來支撐。此時，可將企業每天產生的各類型網絡安全方面的故障數據及解決措施數據進行分析存儲，建立故障事件特征庫，形成規則庫和知識庫，針對網絡告警數據自動選擇最優解決方案，保障通信網絡和業務系統的正常運轉。利用人工智能技術進行邏輯推理，分析研判潛在安全威脅，從而提前預警。

2.7 安全整體態勢持續呈現及預測

企業的通信網絡、硬件、軟件、系統應用、業務應用以及安全應用等，產生大量數據結構不一致且具備相關關聯性的安全數據。安全運維專家經驗再豐富也不可能實現安全數據的持續分析呈現，以及發現安全數據之間的關系。利用人工智能算法對安全數據進行關聯分析，生成當前狀態的綜合評估和趨勢預判，可實現持續態勢監控，并預測未知漏洞風險等。

3 結 語

本文從數據資產重要性、新技術多樣性、系統耦合脆弱性出發，分析網絡安全運維服務的重要性和必要性，站在社會工程學角度，分析了人在運維服務中的局限性，創新性地探索人工智能在運維服務中的應用，形成了智能高效的網絡安全運維新思路，改變攻防博弈中被動防御的不利局面，保護重要行業關鍵基礎設施安全。下一步工作將重點研究算法和搭建模型，分析解決具體的問題。