虛擬黑客機器人實現(xiàn)安全控制檢測的應(yīng)用研究

張月紅

（上海電子信息職業(yè)技術(shù)學(xué)院， 上海 201411）

多數(shù)的企事業(yè)單位僅采用防火墻、系統(tǒng)加固和終端接入安全等技術(shù)手段保護企業(yè)信息資產(chǎn),沒有建立長期有效的風(fēng)險防控機制。尤其在互聯(lián)網(wǎng)公司,依賴網(wǎng)絡(luò)應(yīng)用對用戶提供服務(wù),需要不斷更新上線新業(yè)務(wù),經(jīng)常是針對新系統(tǒng)、新應(yīng)用的安全措施根本無法及時部署,導(dǎo)致系統(tǒng)漏洞沒有及時修補,因此遭受安全事件攻擊的頻率很高。為緩解這些現(xiàn)象,需要關(guān)注兩個問題。一是檢測評估安全控制有效性的方法,要求站在黑客角度,針對網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng),模擬網(wǎng)絡(luò)攻擊行為實施攻擊,以評估組織已采用安全控制措施是否達到控制風(fēng)險至可接受水平；二是持續(xù)安全檢測的策略,因為攻擊是持續(xù)存在的,那么安全檢測同樣是一個長期持續(xù)的過程。由于安全檢測與評估對組織而言也是成本,他們需要經(jīng)濟有效并高效持續(xù)的安全檢測方法。

應(yīng)對現(xiàn)今的網(wǎng)絡(luò)安全威脅所需的響應(yīng)速度已遠遠超過了人類決策所能達到的速度。鑒于惡意軟件攻擊的數(shù)量和頻率不斷增加,基于人工智能的網(wǎng)絡(luò)防御系統(tǒng)被越來越多地用來主動檢測和緩解威脅,這些智能設(shè)備從多組傳感器中收集數(shù)據(jù)。將網(wǎng)絡(luò)安全技術(shù)與人工智能技術(shù)結(jié)合,我們稱之為“虛擬黑客機器人技術(shù)”。［1］它運用人工智能技術(shù)模擬黑客入侵,以實現(xiàn)自動化安全驗證,為用戶提供持續(xù)性網(wǎng)絡(luò)安全驗證服務(wù),保障業(yè)務(wù)系統(tǒng)上線的“事前”安全,同時建立業(yè)務(wù)安全驗證體系。通過不斷進行深度學(xué)習(xí)算法訓(xùn)練,化被動防御為主動攻擊,站在黑客的角度進行持續(xù)驗證性分析,量化企業(yè)風(fēng)險,改善安全態(tài)勢,且全流程自動化,可以解決組織中網(wǎng)絡(luò)安全人才缺乏及能力不足的問題。［2］特別值得說明的是傳統(tǒng)的安全工具通常可以發(fā)現(xiàn)大行其道的已知威脅,而虛擬黑客機器人所具有的智能可以唯一地幫助發(fā)現(xiàn)未出現(xiàn)過網(wǎng)絡(luò)威脅的微小信號。隨著高級網(wǎng)絡(luò)罪犯不斷開發(fā)新穎的戰(zhàn)術(shù)、技術(shù)和流程來躲避已預(yù)置的包括已知攻擊特征的控制措施,這種發(fā)現(xiàn)未知威脅的能力已成為安全對抗中必備的需求。

一、傳統(tǒng)攻擊分析（Traditional attack analysis）

在網(wǎng)絡(luò)環(huán)境中發(fā)動網(wǎng)絡(luò)攻擊以破壞服務(wù),竊取個人或企業(yè)數(shù)據(jù)并獲得網(wǎng)絡(luò)情報。惡意攻擊者利用操作系統(tǒng)的弱點來獲取訪問權(quán)限并篡改操作系統(tǒng)的系統(tǒng)文件,執(zhí)行系統(tǒng)級命令來實現(xiàn)其惡意目標(biāo)。在表1中,根據(jù)攻擊目標(biāo)、預(yù)期的目標(biāo)設(shè)備或應(yīng)用程序、進行特定攻擊時可能暴露的數(shù)據(jù)和信息、發(fā)生特定攻擊時受影響的環(huán)境類型以及如何檢測到這些攻擊,對各種網(wǎng)絡(luò)攻擊進行分類。

表1 傳統(tǒng)的網(wǎng)絡(luò)攻擊分類

1.速率控制。針對系統(tǒng)可用性的攻擊包括拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊。速率控制技術(shù)可通過基本流量限制和重新定義權(quán)限列表來減少傳入網(wǎng)絡(luò)流量,從而最大程度地降低此類系統(tǒng)在受到攻擊時對其操作的影響。［3］

2.啟發(fā)式。防火墻和入侵檢測系統(tǒng)通常依靠啟發(fā)式規(guī)劃,識別并分類網(wǎng)絡(luò)流量為合法或異常。這種技術(shù)執(zhí)行包括子字符串匹配的一系列步驟,以識別可疑的網(wǎng)站地址。再結(jié)合像Virus Total應(yīng)用程序（一個可以提供網(wǎng)址并獲得有關(guān)輸入網(wǎng)站惡意程度的評分分析的網(wǎng)站）來掃描網(wǎng)址,如果得分低,考慮兩次檢測結(jié)果來決定是否讓數(shù)據(jù)包進入網(wǎng)絡(luò)。

3.基于簽名的入侵檢測。基于簽名的入侵檢測系統(tǒng)利用一個數(shù)據(jù)庫,該數(shù)據(jù)庫可以存儲與正常流量對應(yīng)的合法簽名或與惡意流量對應(yīng)的攻擊簽名。入侵檢測系統(tǒng)將傳入的網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容與存儲的簽名實時進行匹配。［4］該技術(shù)的缺點是:在沒有相關(guān)簽名的情況下,入侵檢測系統(tǒng)在準(zhǔn)確檢測進入網(wǎng)絡(luò)的惡意流量方面的能力是有限的。

4.基于異常的入侵檢測。它是一種可以視為規(guī)范的模型,這些模型可以是基于規(guī)則的策略、［5］數(shù)學(xué)模型和統(tǒng)計技術(shù),偏離規(guī)范的流量將被視為攻擊。當(dāng)與基于簽名的檢測相比時,此類技術(shù)的優(yōu)勢在于無需依賴于簽名模式,從而將收集簽名的管理工作刪除了。

5. 最終用戶安全控制。當(dāng)前的最終用戶設(shè)備,例如手機、智能便攜式設(shè)備和個人計算機,需要內(nèi)置安全性,而不是附加組件。［6］最終用戶可能不使用最新的安全補丁來更新其設(shè)備,而某些供應(yīng)商則試圖推送自動更新以安裝安全補丁。Wannacry勒索軟件攻擊是一個示例,其中,廠商提供的最新安全補丁未在所有最終用戶設(shè)備上應(yīng)用。大多數(shù)時候,用戶并不了解不應(yīng)用補丁的含義,建議自動更新并由供應(yīng)商直接推送到最終用戶設(shè)備,而無需用戶參與。但是,挑戰(zhàn)將是軟件供應(yīng)商必須確保安全更新可以防御新的攻擊（也稱為零日攻擊）,［7］并且可以與最終用戶設(shè)備上的所有現(xiàn)有軟件無縫地協(xié)同工作。

二、黑客機器人的必要性分析（Necessity analysis of hacker robot）

傳統(tǒng)的安全管理方法與防護手段中存在的問題:雖然安全管理類系統(tǒng)的開發(fā)到上市速度很快,但在敏捷開發(fā)模型下嵌入安全性的結(jié)果并不理想,傳統(tǒng)滲透測試的成本和價值遠超出相應(yīng)的商業(yè)回報,通常不熟悉安全設(shè)計的開發(fā)人員會被要求承擔(dān)在業(yè)務(wù)系統(tǒng)中實現(xiàn)安全這一責(zé)任,傳統(tǒng)的管理方法在重復(fù)的人工管理任務(wù)中使用太多時間和精力。

從攻防兩方來觀察當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀是這樣的:一方面,許多攻擊者都致力于在沒有休息日的情況下,以7×24小時的自動化方式攻擊用戶或企業(yè)的設(shè)備和系統(tǒng)；互聯(lián)網(wǎng)上每天都會發(fā)現(xiàn)零日漏洞,每天都有驗證性測試的測試攻擊代碼被發(fā)布到互聯(lián)網(wǎng)上,并直接可用。另一方面,我們的安全工程師只是在辦公時間來修補系統(tǒng)和應(yīng)用程序中的漏洞,企業(yè)一般沒有足夠的IT人員來支持運營網(wǎng)絡(luò)安全。同時業(yè)務(wù)需要的新應(yīng)用程序被開發(fā)出來,并根據(jù)市場需求不斷添加新的功能,這讓開發(fā)工程師一直處于疲勞對付的狀態(tài)。想要擺脫困境,考慮防護方應(yīng)建立使用人工智能技術(shù)的集成平臺,以自動化方式來加強威脅檢測和漏洞管理過程。

網(wǎng)絡(luò)安全研究人員已開始探索用人工智能方法來改善網(wǎng)絡(luò)安全。同樣,網(wǎng)絡(luò)罪犯也使用人工智能發(fā)起越來越復(fù)雜的網(wǎng)絡(luò)攻擊,同時隱藏了自己的蹤跡。在這項工作中,我們專注于基于人工智能的網(wǎng)絡(luò)安全檢測方案如何更好地發(fā)現(xiàn)攻擊者,并最小化或防止數(shù)據(jù)泄露。

虛擬黑客機器人替代人工服務(wù)提供持續(xù)安全驗證服務(wù),可以提供如傳統(tǒng)滲透測試類的安全檢測與評估類服務(wù),包括如下的六大功能:一是資產(chǎn)探測。基于智能爬取技術(shù)和指紋識別算法去確認(rèn)組織范圍內(nèi)的資產(chǎn),包括IP地址、域名、主機、操作系統(tǒng)、插件、網(wǎng)絡(luò)設(shè)備等資產(chǎn)。二是漏洞探測。對漏洞掃描工具、豐富的漏洞庫及安全攻擊事件知識、豐富的風(fēng)險模型和專家知識等的研究,保證能提供有力的漏洞挖掘能力。三是滲透驗證。使用智能沙箱技術(shù)去模擬攻擊環(huán)境,并檢驗漏洞的真實性,在攻擊后階段,基于特征字典的數(shù)據(jù)搜索,能收集支撐未來攻擊的數(shù)據(jù)。［8］四是漏洞利用與攻擊。支持多種攻擊模式,可快速滿足用戶的不同安全驗證需求；自動驗證漏洞結(jié)果的準(zhǔn)確性,確保輸出結(jié)果的真實、可靠、可用。五是風(fēng)險量化展示?；谡鎸嵐艚Y(jié)果（如獲取數(shù)據(jù)或授權(quán)）的風(fēng)險評估,自動化產(chǎn)生攻擊鏈圖,全景展示黑客腳本和攻擊過程。六是高級持續(xù)性攻擊。針對目標(biāo)系統(tǒng)的持續(xù)漏洞檢查,可被如知識庫更新、資產(chǎn)變動和漏洞知識迭代等多種類型的事件觸發(fā)喚醒。

表2 虛擬黑客機器人的角色

隨著互聯(lián)網(wǎng)應(yīng)用的不斷變革,人工智能技術(shù)在網(wǎng)絡(luò)安全中的角色不斷拓寬。不僅是人工智能技術(shù)被應(yīng)用去解決問題,同時也讓機器能像人一樣思考和工作。

三、優(yōu)勢分析（Analysis on the advantages）

虛擬黑客機器人在完成安全控制檢測的過程,可以采用標(biāo)準(zhǔn)化工作流程以簡化漏洞和安全管理流程；通過自動電子郵件通知、提醒和警報提高效率和減少溝通成本；通過不斷跟蹤、更新發(fā)現(xiàn)、補救和后續(xù)行動來減少人工錯誤；加快了漏洞評估過程,實現(xiàn)了從繁瑣低效、不斷重復(fù)的手動操作到對抗持續(xù)的網(wǎng)絡(luò)攻擊；通過移動儀表板顯示有關(guān)安全級別的即時情況,便于管理員了解當(dāng)前的安全態(tài)勢。

（一）兼容性和無縫集成

虛擬黑客機器人能與主流掃描工具兼容,并能集成和整合到企業(yè)的單一集中管理平臺中,還可以及時利用指定情報平臺收集的龐大知識數(shù)據(jù)。在龐大知識數(shù)據(jù)和情報的支撐下,虛擬黑客機器人具備更敏感的漏洞發(fā)現(xiàn)能力、更豐富的字典等,因此能夠為用戶提供更強大的風(fēng)險識別與安全驗證能力。

（二）機器人技術(shù)自動化

可以實現(xiàn)自動化掃描調(diào)度、合并結(jié)果、生成和共享漏洞報告。報告內(nèi)容包括任務(wù)信息、資產(chǎn)信息、漏洞信息、風(fēng)險評分、驗證快照、修復(fù)建議等一系列內(nèi)容,同時提供按不同資產(chǎn)屬性的各種統(tǒng)計圖表等信息。大大提高了掃描結(jié)果的準(zhǔn)確性,能消除常見的掃描錯誤:如SQL注入、中斷的身份驗證和跨站點腳本。最大的優(yōu)點在于,能大大節(jié)省企業(yè)的人工操作成本和時間。

（三）持續(xù)升級能力

虛擬黑客機器人不斷升級,在密碼破解能力、敏感文件搜索和網(wǎng)絡(luò)釣魚發(fā)現(xiàn)中能力不斷增加,它會根據(jù)最新的數(shù)據(jù)知識,不斷規(guī)劃攻擊路徑。在任務(wù)執(zhí)行過程中,當(dāng)虛擬黑客機器人成功利用漏洞,并獲取新的信息或知識的時候,將會觸發(fā)新的攻擊子任務(wù),自動利用新的數(shù)據(jù)知識進行迭代攻擊。通過自動迭代攻擊功能,虛擬黑客機器人為用戶提供了全面的、關(guān)聯(lián)性的安全驗證服務(wù),從而提高企業(yè)對不斷發(fā)展的網(wǎng)絡(luò)攻擊的安全防御能力。

（四）自動生成任務(wù)攻擊鏈圖

虛擬黑客機器人通過攻擊鏈圖可以直觀查看虛擬黑客機器人在攻擊過程中所發(fā)現(xiàn)資產(chǎn)、信息、漏洞以及這些流程的依賴步驟。［9］通過查看攻擊鏈圖,用戶可以簡單操作即可完成黑客腳本的描述,可在客戶組織的內(nèi)部溝通中提供便利。

（五）虛擬黑客機器人提供攻擊全景的實時展示界面

界面內(nèi)容包含多類可視化分析視圖、攻擊動態(tài)、攻擊拓撲、感染傳播、釣魚控制臺、全景合成、攻擊過程等信息,為用戶提供基于“視覺”的風(fēng)險感知和管理。

四、存在的挑戰(zhàn)（Existing challenges）

人工智能在網(wǎng)絡(luò)安全方面的最新進展推動了白帽（防御者）和黑帽（犯罪者）黑客之間的競爭。攻擊者可以利用人工智能模仿人類行為,以實現(xiàn)個人自豪感、權(quán)力或財務(wù)優(yōu)勢。人工智能在網(wǎng)絡(luò)安全中的使用影響了三個主要利益相關(guān)者:白帽黑客、黑帽黑客和最終用戶（人類）。白帽和黑帽黑客是共同促進人工智能技術(shù)發(fā)展的“同伙”。但是,由于一個人的進步追隨另一個人的進步,因此很難在兩組之間找到分界線來規(guī)范技術(shù)部署。因此,必須研究如何將人工智能應(yīng)用于人類的基本需求和發(fā)展網(wǎng)絡(luò)安全控制。

擁有最先進的計算基礎(chǔ)架構(gòu)將有助于有效、高效地解決人工智能問題。隨著計算設(shè)備數(shù)量的增加,業(yè)務(wù)量也將增加,有必要快速執(zhí)行數(shù)據(jù)分析。因此,使用人工智能技術(shù)分析數(shù)據(jù)需要高端計算平臺。為了應(yīng)對這一挑戰(zhàn),已經(jīng)采用了諸如Apache Spark和Hadoop之類的集群計算解決方案來分析網(wǎng)絡(luò)流量。［10］在未來,量子計算將是有助于解決復(fù)雜計算問題的突破性技術(shù)。

五、結(jié)束語（Conclusion）

本文對網(wǎng)絡(luò)威脅和解決方案進行了全面回顧,分析了如何在不同的網(wǎng)絡(luò)棧和應(yīng)用程序上發(fā)起網(wǎng)絡(luò)攻擊及其影響。虛擬黑客機器人技術(shù)作為人工智能與網(wǎng)絡(luò)安全的結(jié)合,顛覆性改變當(dāng)前網(wǎng)絡(luò)安全行業(yè)風(fēng)險驗證服務(wù)的方式,從當(dāng)前以人工服務(wù)為主逐漸轉(zhuǎn)變?yōu)橐詸C器人服務(wù)為主,為用戶提供一個智能化持續(xù)性網(wǎng)絡(luò)安全驗證服務(wù)平臺,為各行業(yè)用戶在云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等領(lǐng)域,打造新一代網(wǎng)絡(luò)安全驗證服務(wù)保障體系,幫助用戶在風(fēng)險控制及安全合規(guī)方面提供全新的技術(shù)手段。［11］虛擬黑客機器人技術(shù)必將發(fā)揮其更大的價值和能量,推動著網(wǎng)絡(luò)安全行業(yè)實現(xiàn)更大的進步。