工业互联网安全防护技术之人工智能技术应用

前言

随着近些年科技高速发展，人工智能、5G、大数据、云计算、区块链等词成为当今的热搜词汇。人工智能可谓是其中的最炙手可热的技术，无论是国内还是国外，都得到了相当高的关注，并且人工智能在越来越多领域扮演着举足轻重的地位。人工智能是否能应用在工业互联网安全？这是一个非常值得思考的问题

2012年，美国通用电气公司在提出“工业互联网”概念时，这么形容：“工业互联网，就是把人、数据和机器连接起来”。也就是说，工业互联网的三要素，是人、数据、机器。因此，工业互联网与传统互联网的特点不同，它是工业数字化、网络化和智能化发展的基础，是互联网的“下半场”，需要满足企业应用的高安全性、超可靠、低时延、大连接、个性化以及IT跟OT兼容的要求，如果在做工业互联网安全过程中完全照搬传统网络安全思维是肯定行不通的，但是在借鉴传统网络安全思维的基础上，同时结合新的思路和技术，做好工业互联网安全就指日可待了。

人工智能作为新一轮产业变革的核心驱动力，在工业互联网可解决哪些问题？

传统安全检查手段对恶意软件变种的失效

目前恶意代码呈现出快速发展的趋势，主要表现为变种数量多、传播速度快、影响范围广。在这种形势下，传统的恶意代码检测方法已经无法满足人们对恶意代码检测的要求。

针对这种恶意软件变种，文件基因图谱检测是行之有效的安全检测技术。文件基因图谱检测是一种结合机器学习/深度学习、图像分析的技术，将恶意代码映射为灰度图像，通过恶意代码家族灰度图像集合训练卷积神经元网络（CNN）深度学习模型，建立检测模型，利用检测模型对恶意代码及其变种进行家族检测。基于灰度图像映射的方法可以有效地避免反追踪、反逆向逻辑以及其他常用的代码混淆策略。而且，该方法能够有效地检测使用特定封装工具打包（加壳）的恶意代码。

恶意流量伪装逃避传统安全设备的检测

为了确保通信和隐私安全以及应对各种窃听和中间人攻击，HTTPS逐渐全面普及，越来越多的网络流量也被加密，然而，攻击者也可以利用这种方式来隐藏自己的信息和行踪，通过给恶意流量封装上一层名为TLS/SSL的加密协议来将其伪装成正常流量进行传输，逃避传统安全设备的检测。

依据恶意加密流量及合法加密流量有不同的流量行为特点，通过对恶意加密流量的分析，提取恶意加密流量与合法加密流量的SPL数据（数据包长度与数据包到达间隔时间顺序）、流量相关的DNS元数据、TLS元数据、HTTP元数据，构造用于识别恶意加密流量模式的向量，采用集成学习算法学习流量向量建立相应的加密流量检测模型，实现对恶意加密流量的识别，有效发现高级威胁的相关线索。

攻击溯源差，还原攻击路径困难

在网络空间对抗中，攻击者的行为是复杂多变的。对于安全运营人员来说在网络攻击事件发生后，溯源攻击者的攻击路径是十分必要的。溯源如同大海捞针，困难重重，其中最大的挑战在于溯源图过于庞大，难以找到攻击者关键的攻击路径。

针对这种攻击模式，结合网络侧与终端侧数据构建有效的溯源图是进行攻击溯源的关键。针对溯源取证，一方面需要多源威胁情报库，提供攻击和恶意代码家族相关的背景信息的检索和分析，另一方面需要从监控整体威胁事件态势，最终结合多种检测技术及威胁情报实现对网络威胁的交叉检测和验证、关联分析、溯源取证等。

基于人工智能的防护技术，属于一种新型的网络安全技术，将在工业网络安全防御工作中起着重要的作用，它可以有效地解决了传统网络安全防护技术存在的不足。

安盟信息作为国内领先的新一代网络边界安全、工业互联网安全和商用密码应用整体解决方案供应商。旗下网络安全态势感知平台应用多项人工智能技术以大数据、机器学习、深度分析、威胁情报、数据可视化为基础，融合网络空间资产测绘、漏洞分析识别、全流量分析、日志数据挖掘和安全风险度量。实现对整体网络安全态势的监测、评估、预警、可视化和集中响应，帮助用户从态势理解、态势评估、态势预测三个维度建立起一套可度量的网络安全管理和响应系统，将技术、管理和人员深度融合。