虛擬黑客機器人技術及應用

李愛生， 張素宏， 武 偉

(1. 上海市行政管理學校， 上海 201803； 2. 上海市寶山職業技術學校， 上海 200441；3. 上海應用技術大學 計算機科學與信息工程學院， 上海 201418)

2018年8月2日，全球芯片頭號代工廠臺灣積體電路制造股份有限公司(Taiwan semiconductor manufacturing company，TSMC)遭遇勒索病毒Wannacry入侵，預計造成約87億元新臺幣(約合人民幣17.6億元)損失。近幾年類似這樣的信息安全問題，在我國乃至全球頻頻發生,各行業逐漸重視并加強部署自身信息安全網絡。在我國各行業中信息安全的基礎還是比較薄弱，大多數用戶基本沒有網絡安全架構，而且缺乏專業網絡安全人員，長期處于“一個人的安全團隊”狀態。即使一些大型的企業、政府、醫療等建立信息安全網絡的單位，也主要采用主動掃描、滲透測試，以及被動的防火墻、軟件加固等手段，并沒有建立長期有效的抵御安全風險機制，而且還會經常遇到信息安全人員自身素質及工作穩定性問題。在一些互聯網公司，需要依靠互聯網對用戶提供服務，其自身的業務系統迭代更新速度快，需要不斷地將新業務更新上線，而且上線時間緊迫，往往遇到的問題是，針對新系統、新應用的安全措施根本無法及時部署，導致面臨的系統漏洞未能及時修補，遭攻擊頻率高。

我國信息安全目前主要存在四方面問題：一是網絡安全基礎薄弱；二是網絡安全人才缺乏；三是被動式信息安全體系沒有建立長期有效的安全抵御機制；四是業務系統上線快，安全措施部署不及時。特別是進入互聯網+時代，新的攻擊方法和漏洞類型呈爆發式增長，層出不窮，傳統的網絡安全技術很難檢測到隨著時間推移而演變的新一代惡意軟件和網絡攻擊，因此傳統以人工為主的漏洞發現、安全驗證等方法已經逐漸跟不上形勢，無法滿足互聯網時代企業的安全驗證服務要求，無法滿足他們的網絡安全建設需求。

1 虛擬黑客機器人技術

隨著大數據技術的不斷應用，人工智能[2]技術已經越來越多地進入到諸多領域。在網絡安全方面，網絡安全技術與人工智能技術的結合，為用戶提供新的網絡安全建設方案。使用人工智能來加強網絡安全，建立動態網絡安全體系，利用之前的網絡攻擊數據來應對更新相似的風險，為用戶系統提供更多的保護，通過自動化復雜流程來檢測攻擊，并對違規行為做出反應等。

將人工智能與黑客攻擊[3，9]技術相結合，稱之為“虛擬黑客機器人技術”。運用人工智能技術模擬黑客入侵，實現自動化安全驗證，為用戶提供持續性網絡安全驗證服務，這樣即保障了業務系統上線“事前”的安全，同時又建立業務安全驗證體系。人工智能與黑客攻擊技術也能夠提供解決信息安全問題的方法和復測接口，全流程自動化。同樣解決了用戶網絡安全人才缺乏及能力不足問題。虛擬黑客機器人技術改變了信息安全交付方式、提升了工作效率、提供了信息安全標準化程度、加強了數據可控性。

虛擬黑客機器人通過不斷學習大數據，對其進行深度學習[5]算法訓練，化被動防御為主動攻擊，從黑客的角度進行持續性驗證分析，量化企業安全風險，改善企業安全態勢。虛擬黑客機器人革新傳統的網絡安全業務模式，顛覆了傳統的網絡安全服務，促進了網絡安全行業的進步和發展。

虛擬黑客機器人幫助用戶在風險控制和安全合規方面提供全新的技術手段，協助用戶提升業務系統的安全系數，從而避免網絡攻擊給企業造成嚴重的損失。而且在用戶使用虛擬黑客機器人前臺集成界面，隨時根據業務需求，使用虛擬黑客機器人的安全驗證服務，虛擬黑客機器人前臺集成界面通過互聯網對用戶業務系統進行安全驗證，全流程由用戶主控發起、跟蹤、查看以及終結任務。

目前，虛擬黑客機器人技術已經在信息安全領域得到應用，墨云科技公司Vackbot虛擬黑客機器人，已經廣泛應用在惡意代碼的檢測方面。Vackbot虛擬黑客機器人可以深度學習算法訓練，并創造出智能攻擊，處理人類所不能完成的任務。Vackbot虛擬黑客機器人可以進行虛擬向量驗證性攻擊，在用戶被攻擊前提前確認修復方案。Vackbot虛擬黑客機器人通過提升對安全大數據的處理能力，極大地提高安全事件處理的響應速度，最大限度地減少損失。

2 虛擬黑客機器人構想

2.1 軟件架構設計

在虛擬黑客機器人軟件架構的設計中，按“任務流”進行多層次的劃分與設計，大致可分為6大層次，從下往上分別為收集層、數據層、算法層、萃取層、認知層和服務層，如圖1所示。每個層次都依次為上面的層次進行服務。

圖1 軟件架構圖Fig.1 Software architecture

(1) 收集層：負責提取情報數據，及時更新虛擬黑客機器人的知識庫和漏洞庫等。

(2) 數據層：對業務系統進行數據采集，同時通過與情報知識的匹配，對數據進行分析與標注。

(3) 算法層：提供多類人工智能算法，對采集的數據進行資產建模、威脅建模、攻擊建模等。

(4) 萃取層：建立各種模型知識，識別對象指紋、漏洞，并通過與專家經驗知識進行匹配，規劃攻擊方法、漏洞利用方法[5]和檢測方法等。

(5) 認知層：對萃取層獲得的攻擊成果進行新一輪的識別、添加到知識圖譜以及目標系統畫像，豐富虛擬黑客機器人知識庫數據，促進虛擬黑客機器人的進化。

(6) 服務層：對攻擊流程獲得的成果進行用戶友好展示，如風險量化展示可以協助用戶優先處理更緊急的問題；安全合規展示可以幫助用戶完成合規整改等。持續安全驗證將會使虛擬黑客機器人根據實際情況決策是否需要對目標業務系統進行重復的、迭代的安全驗證服務，在滿足觸發條件的前提下，將會調度線程從收集層工作模塊開始重新運行任務。

2.2 為用戶提供的服務設計

虛擬黑客機器人主要依靠其智能引擎為用戶提升服務。智能引擎是虛擬黑客機器人的安全大腦，是其工作的核心，負責為虛擬黑客機器人提供規劃、識別、決策、向量拼接等工作的智能支持。在智能引擎的設計上，主要依據2種主要因素：①數據知識。虛擬黑客機器人需要具備全球安全情況網絡收集功能，收集全球情報并構建即時情報系統，虛擬黑客機器人可以對情報平臺收集信息進行深度學習、歸類，構建多維多態知識圖譜，對虛擬黑客機器人進行知識輸出。虛擬黑客機器人的智能引擎依托虛擬黑客機器人安全大腦的知識，構建智能虛擬黑客服務體系，最終為客戶網絡及業務系統提供安全驗證服務。②智能算法。虛擬黑客機器人的智能引擎包含多類智能算法，包括圖像識別類算法(如CNN，KNN等)、特征識別與分類類算法(如NB，CNN，A3C，KM等)、決策類算法(如NB，DNN等)等類型的算法，能為不同場景的人工智能需求提供合適的算法組合支持。

依靠智能引擎，虛擬黑客機器人可在用戶資產探測、漏洞管理與探測、攻擊利用、風險量化等方面提供服務。在資產探測方面，虛擬黑客機器人通過各種掃描器、爬蟲程序，對目標以及相關資產進行探測、識別與分類。對于探測進程，虛擬黑客機器人提供豐富的控制選項，細粒度的環境配置項，適應不同需求的控制算法等，結合內置指紋庫，實現對廣泛類型的資產的探測、識別以及信息收集功能。在漏洞管理與探測方面，虛擬黑客機器人可以對各種已知特征漏洞，及已知類型未知特征漏洞進行探測、識別、驗證等一系列行為。在攻擊利用方面，虛擬黑客機器人可根據不同用戶場景需求開展攻擊任務，可以完全模擬黑客行為，提供最大廣度和深度上的風險發現和安全驗證服務。在風險量化方面，虛擬黑客機器人以可視化形式展現風險數據、敏感數據、攻擊鏈圖以及攻擊全景，為用戶提供基于“視覺”的風險感知。

3 虛擬黑客機器人技術優勢和難點

3.1 虛擬黑客機器人技術優勢

虛擬黑客機器人對應每個任務階段有不同的人工智能建模，使安全驗證流程以資深安全專家的服務水平提供服務輸出。在如下幾方面具備優勢：

(1) 在收集層情報平臺及時收集到的龐大數據知識和情報支撐下，虛擬黑客機器人具備敏感的薄弱點發現能力，能為用戶提供強大的風險識別和安全驗證能力。

(2) 虛擬黑客機器人可以根據最新的數據情報，規劃攻擊路徑。當虛擬黑客機器人利用漏洞成功，并獲取新的數據信息時，就會觸發新的攻擊子任務，自動利用新的數據信息進行迭代攻擊。通過自動迭代攻擊，虛擬黑客機器人能夠為用戶提供全面的、關聯性[7]的安全驗證服務。

(3) 虛擬黑客機器人能夠自動生成詳細的任務報告，包括任務信息、漏洞信息、資產信息、風險評分、修復建議等內容，提供不同資產屬性的統計圖表信息。

(4) 通過虛擬黑客機器人自動生成的攻擊鏈圖能直觀地查看攻擊過程中所發現的資產、信息、漏洞以及這些流程的依賴步驟，用戶通過簡單操作即可完成黑客劇本的描述。

(5) 虛擬黑客機器人提供攻擊全景實時界面，包括多類可視化分析視圖、攻擊實時動態圖、攻擊拓撲結構、病毒感染傳播、全景合成圖、攻擊全過程等，為用戶提供基于“視覺”的風險感知和管理。

(6) 虛擬黑客機器人主要的目的是改變傳統滲透測試服務以人工服務為主的模式，使其逐漸轉變為以機器人服務為主，人工服務為輔的模式，以緩解當前安全專業人才短缺問題。因此虛擬黑客機器人與傳統人工安全服務對比，具有以下優勢見表1。

3.2 虛擬黑客機器人技術難點

雖然與傳統的人工安全服務相比，虛擬黑客機器人擁有諸多的優勢，它能夠依靠其智能引擎構建智能虛擬黑客服務體系，為客戶網絡及業務系統提供安全驗證等服務，但在實際的應用中依然存在很多技術難點。

3.2.1 “黑客劇本”編寫的合理性

虛擬黑客機器人模擬黑客入侵的“黑客劇本”是事先人為編寫的，劇本的編寫是否合理，是否能夠編出一個以假亂真的“黑客劇本”，模擬出黑客入侵事件發生時，客戶的漏洞到底在哪里。虛擬黑客機器人對應的每個任務階段的人工智能建模，是否能夠達到資深安全專家的服務水平提供服務輸出。

表1 虛擬黑客機器人與傳統人工安全服務的對比[10]Tab.1 Comparison between virtual hacker robot and traditional artificial security service[10]

3.2.2 漏洞庫更新的及時性

在真實的環境中，虛擬黑客機器人要利用事先編寫好的“黑客劇本”主動、持續地模擬黑客入侵，生成動態攻擊路徑鏈，在黑客入侵之前發現漏洞及攻擊手法，并把這些最新的漏洞和處理方法及時補充到漏洞庫中，同時更新黑客劇本，為新的模擬攻擊做好準備。但想在真實的環境中，通過模擬攻擊獲取第一手資料，必須得到用戶的授權，否則就是違法行為，而且在檢測和掃描過程中可能存在許多誤報的漏洞，需要大量的時間對這些漏洞進行驗證。

3.2.3 虛擬黑客機器人訓練的復雜性

虛擬黑客機器人作為一種安全領域的工具，怎樣才能把它訓練成為一名厲害的黑客高手，這是一個技術難題。

(1) 教給虛擬黑客機器人較完善的知識點，根據腳本，組合規則，把攻擊套路和手法組合到一起，生成一個完整的攻擊。

(2) 訓練虛擬黑客機器人學習，需要把它布在某個節點上，模擬真實的黑客用不同的策略來對目標進行攻擊。但是，目前許多智能安全產品，都是對開源代碼的二次開發，使得這些底層代碼不能與具體的人工智能建模相匹配。

(3) 訓練虛擬黑客機器人融入不同的工作環境。不同的客戶有不同的需求，虛擬黑客機器人需要掌握多種攻擊方法，才能實現真實的安全滲透效果。

3.2.4 滲透過程的可控性

虛擬黑客機器人所用的滲透測試策略可自由地進行配置，但并不能完全取代人工安全服務，一些重要的決策還是需要由人工進行研判，以進一步保障滲透過程的可控性。在滲透過程中，虛擬黑客機器人需要找到那些會被黑客利用，并借此進一步入侵的關鍵漏洞，將這些漏洞進行識別和利用，通過人工智能攻擊圖譜，尋找、利用與實際場景相匹配的攻擊手段，進一步做更深層次的滲透測試。

3.2.5 虛擬黑客機器人技術的局限性

虛擬黑客機器人技術是一把雙刃劍，一旦被非法組織掌握，將會對日趨嚴重的信息安全增加更多不安全的因素。但是虛擬黑客機器人技術是以算法模型為基礎，以海量漏洞庫作為支撐的，如果缺乏海量的、持續更新的漏洞庫，多樣化場景腳本，以及信息安全人員主觀能動配合，虛擬黑客機器人技術將難以得到持續的進化和高效的利用。

4 結 語

虛擬黑客機器人技術作為人工智能與網絡安全的結合，是人類面對將來安全領域的一個有力武器，是下一代互聯網安全終極防御，必將大大提高安全防御效率。它顛覆性地改變當前網絡安全行業風險驗證服務的方式，從當前以人工服務為主逐漸轉變為以機器人服務為主，為用戶提供一個智能化持續性網絡安全驗證服務平臺。為各行業用戶在云計算、大數據、移動互聯網、物聯網、人工智能、區塊鏈等領域，打造新一代網絡安全驗證服務保障體系，幫助用戶在風險控制及安全合規方面提供全新的技術手段。虛擬黑客機器人技術必將發揮其更大的價值和能量，推動著網絡安全行業實現更大的進步和發展！