李愛生， 張素宏， 武 偉

(1. 上海市行政管理學(xué)校， 上海 201803； 2. 上海市寶山職業(yè)技術(shù)學(xué)校， 上海 200441；3. 上海應(yīng)用技術(shù)大學(xué) 計(jì)算機(jī)科學(xué)與信息工程學(xué)院， 上海 201418)

2018年8月2日，全球芯片頭號(hào)代工廠臺(tái)灣積體電路制造股份有限公司(Taiwan semiconductor manufacturing company，TSMC)遭遇勒索病毒W(wǎng)annacry入侵，預(yù)計(jì)造成約87億元新臺(tái)幣(約合人民幣17.6億元)損失。近幾年類似這樣的信息安全問題，在我國乃至全球頻頻發(fā)生,各行業(yè)逐漸重視并加強(qiáng)部署自身信息安全網(wǎng)絡(luò)。在我國各行業(yè)中信息安全的基礎(chǔ)還是比較薄弱，大多數(shù)用戶基本沒有網(wǎng)絡(luò)安全架構(gòu)，而且缺乏專業(yè)網(wǎng)絡(luò)安全人員，長期處于“一個(gè)人的安全團(tuán)隊(duì)”狀態(tài)。即使一些大型的企業(yè)、政府、醫(yī)療等建立信息安全網(wǎng)絡(luò)的單位，也主要采用主動(dòng)掃描、滲透測試，以及被動(dòng)的防火墻、軟件加固等手段，并沒有建立長期有效的抵御安全風(fēng)險(xiǎn)機(jī)制，而且還會(huì)經(jīng)常遇到信息安全人員自身素質(zhì)及工作穩(wěn)定性問題。在一些互聯(lián)網(wǎng)公司，需要依靠互聯(lián)網(wǎng)對(duì)用戶提供服務(wù)，其自身的業(yè)務(wù)系統(tǒng)迭代更新速度快，需要不斷地將新業(yè)務(wù)更新上線，而且上線時(shí)間緊迫，往往遇到的問題是，針對(duì)新系統(tǒng)、新應(yīng)用的安全措施根本無法及時(shí)部署，導(dǎo)致面臨的系統(tǒng)漏洞未能及時(shí)修補(bǔ)，遭攻擊頻率高。

我國信息安全目前主要存在四方面問題：一是網(wǎng)絡(luò)安全基礎(chǔ)薄弱；二是網(wǎng)絡(luò)安全人才缺乏；三是被動(dòng)式信息安全體系沒有建立長期有效的安全抵御機(jī)制；四是業(yè)務(wù)系統(tǒng)上線快，安全措施部署不及時(shí)。特別是進(jìn)入互聯(lián)網(wǎng)+時(shí)代，新的攻擊方法和漏洞類型呈爆發(fā)式增長，層出不窮，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)很難檢測到隨著時(shí)間推移而演變的新一代惡意軟件和網(wǎng)絡(luò)攻擊，因此傳統(tǒng)以人工為主的漏洞發(fā)現(xiàn)、安全驗(yàn)證等方法已經(jīng)逐漸跟不上形勢，無法滿足互聯(lián)網(wǎng)時(shí)代企業(yè)的安全驗(yàn)證服務(wù)要求，無法滿足他們的網(wǎng)絡(luò)安全建設(shè)需求。

1 虛擬黑客機(jī)器人技術(shù)

隨著大數(shù)據(jù)技術(shù)的不斷應(yīng)用，人工智能[2]技術(shù)已經(jīng)越來越多地進(jìn)入到諸多領(lǐng)域。在網(wǎng)絡(luò)安全方面，網(wǎng)絡(luò)安全技術(shù)與人工智能技術(shù)的結(jié)合，為用戶提供新的網(wǎng)絡(luò)安全建設(shè)方案。使用人工智能來加強(qiáng)網(wǎng)絡(luò)安全，建立動(dòng)態(tài)網(wǎng)絡(luò)安全體系，利用之前的網(wǎng)絡(luò)攻擊數(shù)據(jù)來應(yīng)對(duì)更新相似的風(fēng)險(xiǎn)，為用戶系統(tǒng)提供更多的保護(hù)，通過自動(dòng)化復(fù)雜流程來檢測攻擊，并對(duì)違規(guī)行為做出反應(yīng)等。

將人工智能與黑客攻擊[3，9]技術(shù)相結(jié)合，稱之為“虛擬黑客機(jī)器人技術(shù)”。運(yùn)用人工智能技術(shù)模擬黑客入侵，實(shí)現(xiàn)自動(dòng)化安全驗(yàn)證，為用戶提供持續(xù)性網(wǎng)絡(luò)安全驗(yàn)證服務(wù)，這樣即保障了業(yè)務(wù)系統(tǒng)上線“事前”的安全，同時(shí)又建立業(yè)務(wù)安全驗(yàn)證體系。人工智能與黑客攻擊技術(shù)也能夠提供解決信息安全問題的方法和復(fù)測接口，全流程自動(dòng)化。同樣解決了用戶網(wǎng)絡(luò)安全人才缺乏及能力不足問題。虛擬黑客機(jī)器人技術(shù)改變了信息安全交付方式、提升了工作效率、提供了信息安全標(biāo)準(zhǔn)化程度、加強(qiáng)了數(shù)據(jù)可控性。

虛擬黑客機(jī)器人通過不斷學(xué)習(xí)大數(shù)據(jù)，對(duì)其進(jìn)行深度學(xué)習(xí)[5]算法訓(xùn)練，化被動(dòng)防御為主動(dòng)攻擊，從黑客的角度進(jìn)行持續(xù)性驗(yàn)證分析，量化企業(yè)安全風(fēng)險(xiǎn)，改善企業(yè)安全態(tài)勢。虛擬黑客機(jī)器人革新傳統(tǒng)的網(wǎng)絡(luò)安全業(yè)務(wù)模式，顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全服務(wù)，促進(jìn)了網(wǎng)絡(luò)安全行業(yè)的進(jìn)步和發(fā)展。

虛擬黑客機(jī)器人幫助用戶在風(fēng)險(xiǎn)控制和安全合規(guī)方面提供全新的技術(shù)手段，協(xié)助用戶提升業(yè)務(wù)系統(tǒng)的安全系數(shù)，從而避免網(wǎng)絡(luò)攻擊給企業(yè)造成嚴(yán)重的損失。而且在用戶使用虛擬黑客機(jī)器人前臺(tái)集成界面，隨時(shí)根據(jù)業(yè)務(wù)需求，使用虛擬黑客機(jī)器人的安全驗(yàn)證服務(wù)，虛擬黑客機(jī)器人前臺(tái)集成界面通過互聯(lián)網(wǎng)對(duì)用戶業(yè)務(wù)系統(tǒng)進(jìn)行安全驗(yàn)證，全流程由用戶主控發(fā)起、跟蹤、查看以及終結(jié)任務(wù)。

目前，虛擬黑客機(jī)器人技術(shù)已經(jīng)在信息安全領(lǐng)域得到應(yīng)用，墨云科技公司Vackbot虛擬黑客機(jī)器人，已經(jīng)廣泛應(yīng)用在惡意代碼的檢測方面。Vackbot虛擬黑客機(jī)器人可以深度學(xué)習(xí)算法訓(xùn)練，并創(chuàng)造出智能攻擊，處理人類所不能完成的任務(wù)。Vackbot虛擬黑客機(jī)器人可以進(jìn)行虛擬向量驗(yàn)證性攻擊，在用戶被攻擊前提前確認(rèn)修復(fù)方案。Vackbot虛擬黑客機(jī)器人通過提升對(duì)安全大數(shù)據(jù)的處理能力，極大地提高安全事件處理的響應(yīng)速度，最大限度地減少損失。

2 虛擬黑客機(jī)器人構(gòu)想

2.1 軟件架構(gòu)設(shè)計(jì)

在虛擬黑客機(jī)器人軟件架構(gòu)的設(shè)計(jì)中，按“任務(wù)流”進(jìn)行多層次的劃分與設(shè)計(jì)，大致可分為6大層次，從下往上分別為收集層、數(shù)據(jù)層、算法層、萃取層、認(rèn)知層和服務(wù)層，如圖1所示。每個(gè)層次都依次為上面的層次進(jìn)行服務(wù)。

圖1 軟件架構(gòu)圖Fig.1 Software architecture

(1) 收集層：負(fù)責(zé)提取情報(bào)數(shù)據(jù)，及時(shí)更新虛擬黑客機(jī)器人的知識(shí)庫和漏洞庫等。

(2) 數(shù)據(jù)層：對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)采集，同時(shí)通過與情報(bào)知識(shí)的匹配，對(duì)數(shù)據(jù)進(jìn)行分析與標(biāo)注。

(3) 算法層：提供多類人工智能算法，對(duì)采集的數(shù)據(jù)進(jìn)行資產(chǎn)建模、威脅建模、攻擊建模等。

(4) 萃取層：建立各種模型知識(shí)，識(shí)別對(duì)象指紋、漏洞，并通過與專家經(jīng)驗(yàn)知識(shí)進(jìn)行匹配，規(guī)劃攻擊方法、漏洞利用方法[5]和檢測方法等。

(5) 認(rèn)知層：對(duì)萃取層獲得的攻擊成果進(jìn)行新一輪的識(shí)別、添加到知識(shí)圖譜以及目標(biāo)系統(tǒng)畫像，豐富虛擬黑客機(jī)器人知識(shí)庫數(shù)據(jù)，促進(jìn)虛擬黑客機(jī)器人的進(jìn)化。

(6) 服務(wù)層：對(duì)攻擊流程獲得的成果進(jìn)行用戶友好展示，如風(fēng)險(xiǎn)量化展示可以協(xié)助用戶優(yōu)先處理更緊急的問題；安全合規(guī)展示可以幫助用戶完成合規(guī)整改等。持續(xù)安全驗(yàn)證將會(huì)使虛擬黑客機(jī)器人根據(jù)實(shí)際情況決策是否需要對(duì)目標(biāo)業(yè)務(wù)系統(tǒng)進(jìn)行重復(fù)的、迭代的安全驗(yàn)證服務(wù)，在滿足觸發(fā)條件的前提下，將會(huì)調(diào)度線程從收集層工作模塊開始重新運(yùn)行任務(wù)。

2.2 為用戶提供的服務(wù)設(shè)計(jì)

虛擬黑客機(jī)器人主要依靠其智能引擎為用戶提升服務(wù)。智能引擎是虛擬黑客機(jī)器人的安全大腦，是其工作的核心，負(fù)責(zé)為虛擬黑客機(jī)器人提供規(guī)劃、識(shí)別、決策、向量拼接等工作的智能支持。在智能引擎的設(shè)計(jì)上，主要依據(jù)2種主要因素：①數(shù)據(jù)知識(shí)。虛擬黑客機(jī)器人需要具備全球安全情況網(wǎng)絡(luò)收集功能，收集全球情報(bào)并構(gòu)建即時(shí)情報(bào)系統(tǒng)，虛擬黑客機(jī)器人可以對(duì)情報(bào)平臺(tái)收集信息進(jìn)行深度學(xué)習(xí)、歸類，構(gòu)建多維多態(tài)知識(shí)圖譜，對(duì)虛擬黑客機(jī)器人進(jìn)行知識(shí)輸出。虛擬黑客機(jī)器人的智能引擎依托虛擬黑客機(jī)器人安全大腦的知識(shí)，構(gòu)建智能虛擬黑客服務(wù)體系，最終為客戶網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)提供安全驗(yàn)證服務(wù)。②智能算法。虛擬黑客機(jī)器人的智能引擎包含多類智能算法，包括圖像識(shí)別類算法(如CNN，KNN等)、特征識(shí)別與分類類算法(如NB，CNN，A3C，KM等)、決策類算法(如NB，DNN等)等類型的算法，能為不同場景的人工智能需求提供合適的算法組合支持。

依靠智能引擎，虛擬黑客機(jī)器人可在用戶資產(chǎn)探測、漏洞管理與探測、攻擊利用、風(fēng)險(xiǎn)量化等方面提供服務(wù)。在資產(chǎn)探測方面，虛擬黑客機(jī)器人通過各種掃描器、爬蟲程序，對(duì)目標(biāo)以及相關(guān)資產(chǎn)進(jìn)行探測、識(shí)別與分類。對(duì)于探測進(jìn)程，虛擬黑客機(jī)器人提供豐富的控制選項(xiàng)，細(xì)粒度的環(huán)境配置項(xiàng)，適應(yīng)不同需求的控制算法等，結(jié)合內(nèi)置指紋庫，實(shí)現(xiàn)對(duì)廣泛類型的資產(chǎn)的探測、識(shí)別以及信息收集功能。在漏洞管理與探測方面，虛擬黑客機(jī)器人可以對(duì)各種已知特征漏洞，及已知類型未知特征漏洞進(jìn)行探測、識(shí)別、驗(yàn)證等一系列行為。在攻擊利用方面，虛擬黑客機(jī)器人可根據(jù)不同用戶場景需求開展攻擊任務(wù)，可以完全模擬黑客行為，提供最大廣度和深度上的風(fēng)險(xiǎn)發(fā)現(xiàn)和安全驗(yàn)證服務(wù)。在風(fēng)險(xiǎn)量化方面，虛擬黑客機(jī)器人以可視化形式展現(xiàn)風(fēng)險(xiǎn)數(shù)據(jù)、敏感數(shù)據(jù)、攻擊鏈圖以及攻擊全景，為用戶提供基于“視覺”的風(fēng)險(xiǎn)感知。

3 虛擬黑客機(jī)器人技術(shù)優(yōu)勢和難點(diǎn)

3.1 虛擬黑客機(jī)器人技術(shù)優(yōu)勢

虛擬黑客機(jī)器人對(duì)應(yīng)每個(gè)任務(wù)階段有不同的人工智能建模，使安全驗(yàn)證流程以資深安全專家的服務(wù)水平提供服務(wù)輸出。在如下幾方面具備優(yōu)勢：

(1) 在收集層情報(bào)平臺(tái)及時(shí)收集到的龐大數(shù)據(jù)知識(shí)和情報(bào)支撐下，虛擬黑客機(jī)器人具備敏感的薄弱點(diǎn)發(fā)現(xiàn)能力，能為用戶提供強(qiáng)大的風(fēng)險(xiǎn)識(shí)別和安全驗(yàn)證能力。

(2) 虛擬黑客機(jī)器人可以根據(jù)最新的數(shù)據(jù)情報(bào)，規(guī)劃攻擊路徑。當(dāng)虛擬黑客機(jī)器人利用漏洞成功，并獲取新的數(shù)據(jù)信息時(shí)，就會(huì)觸發(fā)新的攻擊子任務(wù)，自動(dòng)利用新的數(shù)據(jù)信息進(jìn)行迭代攻擊。通過自動(dòng)迭代攻擊，虛擬黑客機(jī)器人能夠?yàn)橛脩籼峁┤娴?、關(guān)聯(lián)性[7]的安全驗(yàn)證服務(wù)。

(3) 虛擬黑客機(jī)器人能夠自動(dòng)生成詳細(xì)的任務(wù)報(bào)告，包括任務(wù)信息、漏洞信息、資產(chǎn)信息、風(fēng)險(xiǎn)評(píng)分、修復(fù)建議等內(nèi)容，提供不同資產(chǎn)屬性的統(tǒng)計(jì)圖表信息。

(4) 通過虛擬黑客機(jī)器人自動(dòng)生成的攻擊鏈圖能直觀地查看攻擊過程中所發(fā)現(xiàn)的資產(chǎn)、信息、漏洞以及這些流程的依賴步驟，用戶通過簡單操作即可完成黑客劇本的描述。

(5) 虛擬黑客機(jī)器人提供攻擊全景實(shí)時(shí)界面，包括多類可視化分析視圖、攻擊實(shí)時(shí)動(dòng)態(tài)圖、攻擊拓?fù)浣Y(jié)構(gòu)、病毒感染傳播、全景合成圖、攻擊全過程等，為用戶提供基于“視覺”的風(fēng)險(xiǎn)感知和管理。

(6) 虛擬黑客機(jī)器人主要的目的是改變傳統(tǒng)滲透測試服務(wù)以人工服務(wù)為主的模式，使其逐漸轉(zhuǎn)變?yōu)橐詸C(jī)器人服務(wù)為主，人工服務(wù)為輔的模式，以緩解當(dāng)前安全專業(yè)人才短缺問題。因此虛擬黑客機(jī)器人與傳統(tǒng)人工安全服務(wù)對(duì)比，具有以下優(yōu)勢見表1。

3.2 虛擬黑客機(jī)器人技術(shù)難點(diǎn)

雖然與傳統(tǒng)的人工安全服務(wù)相比，虛擬黑客機(jī)器人擁有諸多的優(yōu)勢，它能夠依靠其智能引擎構(gòu)建智能虛擬黑客服務(wù)體系，為客戶網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)提供安全驗(yàn)證等服務(wù)，但在實(shí)際的應(yīng)用中依然存在很多技術(shù)難點(diǎn)。

3.2.1 “黑客劇本”編寫的合理性

虛擬黑客機(jī)器人模擬黑客入侵的“黑客劇本”是事先人為編寫的，劇本的編寫是否合理，是否能夠編出一個(gè)以假亂真的“黑客劇本”，模擬出黑客入侵事件發(fā)生時(shí)，客戶的漏洞到底在哪里。虛擬黑客機(jī)器人對(duì)應(yīng)的每個(gè)任務(wù)階段的人工智能建模，是否能夠達(dá)到資深安全專家的服務(wù)水平提供服務(wù)輸出。

表1 虛擬黑客機(jī)器人與傳統(tǒng)人工安全服務(wù)的對(duì)比[10]Tab.1 Comparison between virtual hacker robot and traditional artificial security service[10]

3.2.2 漏洞庫更新的及時(shí)性

在真實(shí)的環(huán)境中，虛擬黑客機(jī)器人要利用事先編寫好的“黑客劇本”主動(dòng)、持續(xù)地模擬黑客入侵，生成動(dòng)態(tài)攻擊路徑鏈，在黑客入侵之前發(fā)現(xiàn)漏洞及攻擊手法，并把這些最新的漏洞和處理方法及時(shí)補(bǔ)充到漏洞庫中，同時(shí)更新黑客劇本，為新的模擬攻擊做好準(zhǔn)備。但想在真實(shí)的環(huán)境中，通過模擬攻擊獲取第一手資料，必須得到用戶的授權(quán)，否則就是違法行為，而且在檢測和掃描過程中可能存在許多誤報(bào)的漏洞，需要大量的時(shí)間對(duì)這些漏洞進(jìn)行驗(yàn)證。

3.2.3 虛擬黑客機(jī)器人訓(xùn)練的復(fù)雜性

虛擬黑客機(jī)器人作為一種安全領(lǐng)域的工具，怎樣才能把它訓(xùn)練成為一名厲害的黑客高手，這是一個(gè)技術(shù)難題。

(1) 教給虛擬黑客機(jī)器人較完善的知識(shí)點(diǎn)，根據(jù)腳本，組合規(guī)則，把攻擊套路和手法組合到一起，生成一個(gè)完整的攻擊。

(2) 訓(xùn)練虛擬黑客機(jī)器人學(xué)習(xí)，需要把它布在某個(gè)節(jié)點(diǎn)上，模擬真實(shí)的黑客用不同的策略來對(duì)目標(biāo)進(jìn)行攻擊。但是，目前許多智能安全產(chǎn)品，都是對(duì)開源代碼的二次開發(fā)，使得這些底層代碼不能與具體的人工智能建模相匹配。

(3) 訓(xùn)練虛擬黑客機(jī)器人融入不同的工作環(huán)境。不同的客戶有不同的需求，虛擬黑客機(jī)器人需要掌握多種攻擊方法，才能實(shí)現(xiàn)真實(shí)的安全滲透效果。

3.2.4 滲透過程的可控性

虛擬黑客機(jī)器人所用的滲透測試策略可自由地進(jìn)行配置，但并不能完全取代人工安全服務(wù)，一些重要的決策還是需要由人工進(jìn)行研判，以進(jìn)一步保障滲透過程的可控性。在滲透過程中，虛擬黑客機(jī)器人需要找到那些會(huì)被黑客利用，并借此進(jìn)一步入侵的關(guān)鍵漏洞，將這些漏洞進(jìn)行識(shí)別和利用，通過人工智能攻擊圖譜，尋找、利用與實(shí)際場景相匹配的攻擊手段，進(jìn)一步做更深層次的滲透測試。

3.2.5 虛擬黑客機(jī)器人技術(shù)的局限性

虛擬黑客機(jī)器人技術(shù)是一把雙刃劍，一旦被非法組織掌握，將會(huì)對(duì)日趨嚴(yán)重的信息安全增加更多不安全的因素。但是虛擬黑客機(jī)器人技術(shù)是以算法模型為基礎(chǔ)，以海量漏洞庫作為支撐的，如果缺乏海量的、持續(xù)更新的漏洞庫，多樣化場景腳本，以及信息安全人員主觀能動(dòng)配合，虛擬黑客機(jī)器人技術(shù)將難以得到持續(xù)的進(jìn)化和高效的利用。

4 結(jié) 語

虛擬黑客機(jī)器人技術(shù)作為人工智能與網(wǎng)絡(luò)安全的結(jié)合，是人類面對(duì)將來安全領(lǐng)域的一個(gè)有力武器，是下一代互聯(lián)網(wǎng)安全終極防御，必將大大提高安全防御效率。它顛覆性地改變當(dāng)前網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)驗(yàn)證服務(wù)的方式，從當(dāng)前以人工服務(wù)為主逐漸轉(zhuǎn)變?yōu)橐詸C(jī)器人服務(wù)為主，為用戶提供一個(gè)智能化持續(xù)性網(wǎng)絡(luò)安全驗(yàn)證服務(wù)平臺(tái)。為各行業(yè)用戶在云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等領(lǐng)域，打造新一代網(wǎng)絡(luò)安全驗(yàn)證服務(wù)保障體系，幫助用戶在風(fēng)險(xiǎn)控制及安全合規(guī)方面提供全新的技術(shù)手段。虛擬黑客機(jī)器人技術(shù)必將發(fā)揮其更大的價(jià)值和能量，推動(dòng)著網(wǎng)絡(luò)安全行業(yè)實(shí)現(xiàn)更大的進(jìn)步和發(fā)展！