網(wǎng)絡(luò)自動(dòng)化攻防AI智能

隨著全球網(wǎng)絡(luò)信息化技術(shù)的快速發(fā)展，先進(jìn)的攻擊與防御技術(shù)助漲了新型犯罪，對(duì)國家穩(wěn)定、社會(huì)治安及百姓正常生活造成了較為惡劣的影響。而應(yīng)對(duì)新型犯罪技術(shù)的方法、技術(shù)工具裝備呈現(xiàn)匱乏狀態(tài)。

新型犯罪伴隨著先進(jìn)技術(shù)態(tài)勢(shì)猛烈且無休眠，違法分子、恐怖主義，甚至帶有國家標(biāo)簽屬性的組織通過先進(jìn)網(wǎng)絡(luò)技術(shù)的利用與實(shí)施，進(jìn)行竊密控制、入侵破壞、非法傳播、恐怖活動(dòng)等違法行為，甚至組建僵尸網(wǎng)絡(luò)干預(yù)輿論，并逃避公安機(jī)關(guān)的打擊。這些違法犯罪活動(dòng)呈現(xiàn)無邊界、無疆域、無法有效快速追根溯源的特性，結(jié)合其隱蔽性高，技術(shù)變種快，破壞力大，難以察覺，擴(kuò)散效應(yīng)惡劣的特點(diǎn)，給目前的維穩(wěn)、反恐、犯罪打擊取證工作造成了諸多阻礙。

趨勢(shì)：人工智能已經(jīng)日漸趨勢(shì)化，它是研究、開發(fā)用于模擬、延伸和擴(kuò)展人的智能的理論、方法、技術(shù)及應(yīng)用系統(tǒng)的一門新的技術(shù)科學(xué)。如何在網(wǎng)絡(luò)安全保障工作中使用人工智能，應(yīng)對(duì)各種技術(shù)難點(diǎn)，充分發(fā)揮人工智能優(yōu)勢(shì)，是未來網(wǎng)絡(luò)安全領(lǐng)域的趨勢(shì)。

技術(shù)：網(wǎng)絡(luò)自動(dòng)化攻防AI智能（人工智能攻防機(jī)器人），通過學(xué)習(xí)人的攻防習(xí)性、流程、手法及漏洞利用方式執(zhí)行復(fù)雜化網(wǎng)絡(luò)任務(wù)，主要為智能化攻擊與防御兩個(gè)方向。

人工智能攻防機(jī)器人主要作用于滲透作業(yè)和執(zhí)行任務(wù)，通過前期大量的對(duì)攻擊數(shù)據(jù)以及防御數(shù)據(jù)分析和利用算法整合以及深度學(xué)習(xí)，能夠讓機(jī)器人能夠自主去識(shí)別目標(biāo)應(yīng)用的潛在威脅并加以利用，識(shí)別攻擊源和行為并加以防御。

攻擊機(jī)器人

通過攻擊行為數(shù)據(jù)搜集和數(shù)據(jù)抓取，對(duì)其進(jìn)行有效行為分析后入庫，在數(shù)據(jù)庫中可以隨時(shí)被機(jī)器人調(diào)用，通過長(zhǎng)時(shí)間的算法學(xué)習(xí)測(cè)試，可以讓機(jī)器人自主辨別目標(biāo)系統(tǒng)環(huán)境。另加上系統(tǒng)掃描減少識(shí)別難度后，機(jī)器人可以根據(jù)掃描的結(jié)果自主選擇數(shù)據(jù)庫中相對(duì)應(yīng)的類型并執(zhí)行攻擊動(dòng)作。完成一次任務(wù)后，這些動(dòng)作將被收錄在數(shù)據(jù)庫中以便于機(jī)器在更多的數(shù)據(jù)中進(jìn)行學(xué)習(xí)。

攻擊數(shù)據(jù)抓取

數(shù)據(jù)抓取分為四部分，分別是：文件操作，腳本操作，后臺(tái)操作以及數(shù)據(jù)協(xié)議的抓取。其中，文件操作分為：對(duì)文件夾的增、刪、查、改動(dòng)作，對(duì)各類文件的增、刪、查、改動(dòng)作（包括但不限于txt，office，python，php，c）；程序的操作分為：程序動(dòng)作、程序內(nèi)輸入的內(nèi)容、程序運(yùn)行時(shí)間以及結(jié)束時(shí)間等；后臺(tái)的操作分為：任務(wù)管理器內(nèi)增刪查改的項(xiàng)，注冊(cè)表中增刪查改的項(xiàng)以及靜默安裝程序后任務(wù)管理器和注冊(cè)表內(nèi)變動(dòng)的項(xiàng)；數(shù)據(jù)協(xié)議分為：常規(guī)協(xié)議分析（包括但不限于ARP、TCP/IP、SNMP、DHCP、RDP、 FTP、HTTP/s、ICMP、POP3、SMTP、TELNET、TFTP以及UDP）。

攻擊行為分析

在數(shù)據(jù)抓取后，需要對(duì)抓取內(nèi)容進(jìn)行篩選，哪些是機(jī)器人需要?jiǎng)t保留，如果不需要?jiǎng)t丟棄，從而形成數(shù)據(jù)格式化，以便于機(jī)器人能夠快速讀取和學(xué)習(xí)。在過程中，可以對(duì)有效操作進(jìn)行摘取，假設(shè)在開文件夾后又關(guān)閉了該文件夾且在操作以及后臺(tái)程序未對(duì)該文件夾進(jìn)行操作，則判定為無效操作。

深度學(xué)習(xí)

在深度學(xué)習(xí)攻擊模塊中涉及到的有7點(diǎn)：1）采集海量攻擊數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫中，并且對(duì)其進(jìn)行數(shù)據(jù)分析。2）將其中不小于二維的文本數(shù)據(jù)隨時(shí)間與空間的變化值與對(duì)應(yīng)的數(shù)據(jù)關(guān)聯(lián)并匯總成一條單元訓(xùn)練數(shù)據(jù)。3）經(jīng)過數(shù)據(jù)庫的整理之后格式化成計(jì)算機(jī)可理解的結(jié)構(gòu)化數(shù)據(jù)陣矩并從每個(gè)單元數(shù)據(jù)中提取特征。4）將成型的數(shù)據(jù)設(shè)置到計(jì)算機(jī)內(nèi)對(duì)應(yīng)的深度學(xué)習(xí)模型的存儲(chǔ)模塊中。5）通過計(jì)算機(jī)對(duì)深度學(xué)習(xí)模型進(jìn)行優(yōu)化運(yùn)算。6）將獲取成型的結(jié)構(gòu)化數(shù)據(jù)導(dǎo)入到深度學(xué)習(xí)模型中進(jìn)行分析。7）通過該模型進(jìn)行結(jié)果輸出。

模型示例：

入侵視角復(fù)現(xiàn)關(guān)鍵要素（見表1）。

系統(tǒng)掃描、漏洞分析以及漏洞利用

掃描工具包括但不限于基于網(wǎng)絡(luò)、主機(jī)以及應(yīng)用的掃描器。將掃描結(jié)果格式化輸出到數(shù)據(jù)庫中并且和機(jī)器學(xué)習(xí)的庫進(jìn)行關(guān)聯(lián)，通過AI的匹配關(guān)聯(lián)能夠迅速找到相應(yīng)的攻擊辦法，從而進(jìn)行相應(yīng)方法的攻擊重放，最后輸出攻擊結(jié)果。

防御機(jī)器人

防御機(jī)器人通過攻擊數(shù)據(jù)搜集和數(shù)據(jù)抓取，對(duì)其進(jìn)行有效行為分析后入庫，在數(shù)據(jù)庫中可以隨時(shí)被機(jī)器人調(diào)用，通過長(zhǎng)時(shí)間的算法學(xué)習(xí)測(cè)試，可以讓機(jī)器人通過入侵檢測(cè)系統(tǒng)檢測(cè)出的危險(xiǎn)行為自主去進(jìn)行防御，例如修補(bǔ)漏洞或升級(jí)補(bǔ)丁。完成一次任務(wù)后這些動(dòng)作將被收錄在數(shù)據(jù)庫中以便于機(jī)器人在更多的數(shù)據(jù)中進(jìn)行學(xué)習(xí)。

防御數(shù)據(jù)抓取

主動(dòng)數(shù)據(jù)抓取分為四部分，分別是，文件操作，腳本操作，后臺(tái)操作以及數(shù)據(jù)協(xié)議的抓取。其中，文件操作分為：對(duì)文件夾的增、刪、查、改動(dòng)作，對(duì)各類文件的增、刪、查、改動(dòng)作（包括但不限于txt，office，python，php，c）；程序的操作分為：程序動(dòng)作、程序內(nèi)輸入的內(nèi)容、程序運(yùn)行時(shí)間以及結(jié)束時(shí)間等；后臺(tái)的操作分為：任務(wù)管理器內(nèi)增刪查改的項(xiàng)，注冊(cè)表中增刪查改的項(xiàng)以及靜默安裝程序后任務(wù)管理器和注冊(cè)表內(nèi)變動(dòng)的項(xiàng)；數(shù)據(jù)協(xié)議分為：常規(guī)協(xié)議分析（包括但不限于ARP、TCP/IP、SNMP、DHCP、RDP、FTP、HTTP/s、ICMP、POP3、SMTP、TELNET、TFTP以及UDP）。補(bǔ)丁數(shù)據(jù)抓取目前分為三部分，但是不限于此三項(xiàng)，分別是：對(duì)應(yīng)系統(tǒng)的版本信息、補(bǔ)丁號(hào)以及打補(bǔ)丁的相關(guān)操作以及相關(guān)命令。

防御行為分析

在數(shù)據(jù)抓取后，需要對(duì)抓取內(nèi)容進(jìn)行篩選，哪些是機(jī)器人需要?jiǎng)t保留，如果不需要?jiǎng)t丟棄，從而形成數(shù)據(jù)格式化，以便于機(jī)器人能夠快速讀取和學(xué)習(xí)。在過程中，可以對(duì)有效操作進(jìn)行摘取，假設(shè)在對(duì)某應(yīng)用進(jìn)行命令行打補(bǔ)丁時(shí)，該命令未對(duì)任何文件夾以及注冊(cè)表后臺(tái)等進(jìn)行改變，則判定為無效操作。

入侵行為檢測(cè)、入侵行為分析以及防御分析和漏洞防御

IDS包括但不限于基于網(wǎng)絡(luò)、主機(jī)以及應(yīng)用的檢測(cè)系統(tǒng)。將檢測(cè)結(jié)果格式化輸出到數(shù)據(jù)庫中并且和機(jī)器學(xué)習(xí)的庫進(jìn)行關(guān)聯(lián)，通過AI的匹配關(guān)聯(lián)能夠迅速找到相應(yīng)的防御辦法，從而進(jìn)行相應(yīng)防御方法的重放，最后輸出防御結(jié)果。

網(wǎng)絡(luò)自動(dòng)化攻防AI智能

網(wǎng)絡(luò)空間目標(biāo)因其復(fù)雜的設(shè)備部署、基礎(chǔ)操作系統(tǒng)部署、服務(wù)器部署、數(shù)據(jù)庫部署、應(yīng)用軟件部署、內(nèi)外網(wǎng)組合部署、跨地域組合部署、各種形式的交換部署、防御識(shí)別部署、先進(jìn)技術(shù)更迭、加密傳輸隔離部署等，對(duì)網(wǎng)絡(luò)技術(shù)偵查、深度延展等工作造成了巨大的困難。未來，智能化攻防機(jī)器人的應(yīng)用將大幅度增加。

（作者簡(jiǎn)介：高建斌，江西省公安廳網(wǎng)絡(luò)安全總隊(duì)。）endprint