網(wǎng)絡(luò )安全市場(chǎng)的發(fā)展和ICT市場(chǎng)的發(fā)展是緊密相連的，網(wǎng)絡(luò )安全的成熟度也隨著(zhù)ICT市場(chǎng)發(fā)展逐漸成熟。全球權威咨詢(xún)機構IDC在2007年提出以云計算、大數據、社交和移動(dòng)四大支柱技術(shù)為依托的“第三平臺” 概念，以第三平臺為基礎，將全球ICT市場(chǎng)發(fā)展分為三個(gè)階段：試點(diǎn)創(chuàng )新、倍增創(chuàng )新、智能創(chuàng )新。

　　今天，第三平臺技術(shù)已經(jīng)進(jìn)入到倍增創(chuàng )新的階段，成為企業(yè)IT系統的基礎。人工智能技術(shù)開(kāi)始被行業(yè)所關(guān)注，并且越來(lái)越廣泛的被應用于各行各業(yè)。未來(lái)，進(jìn)入“智能創(chuàng )新”階段，在超復雜性規模化環(huán)境中，人工智能的成熟度將呈現指數級增長(cháng)，人工智能在網(wǎng)絡(luò )安全的領(lǐng)域也將會(huì )產(chǎn)生更多的創(chuàng )新。

　　在過(guò)去的兩年里，伴隨著(zhù)ICT的高速發(fā)展，全球的惡意移動(dòng)軟件攻擊的數量增加了將近一倍；在我國，漏洞的數量也逐年遞增。究其原因，其主要在于數字化轉型帶來(lái)了IT資產(chǎn)價(jià)值的大幅提升，導致黑產(chǎn)為獲利而加大各種網(wǎng)絡(luò )攻擊行為。根據IDC在亞太地區的一項調研，當網(wǎng)絡(luò )攻擊發(fā)生時(shí)，只有17%企業(yè)可以使用自動(dòng)化工具，實(shí)時(shí)的進(jìn)行威脅處理，而其他的絕大多數的企業(yè)難以高效處理網(wǎng)絡(luò )攻擊事件。因此，未來(lái)企業(yè)需要的是自動(dòng)化的處理、快速的檢測、快速的響應，人工智能技術(shù)和機器學(xué)習技術(shù)將會(huì )在此間發(fā)揮巨大的作用。

　　新技術(shù)推動(dòng)數字化轉型的同時(shí)，也會(huì )為黑產(chǎn)所利用。近些年來(lái)，隨著(zhù)云計算、物聯(lián)網(wǎng)、人工智能的快速發(fā)展，使得這些技術(shù)和基礎設施可以作為企業(yè)業(yè)務(wù)系統的資源，極大的提高企業(yè)的生產(chǎn)效率。但是，它們也為黑產(chǎn)進(jìn)行網(wǎng)絡(luò )攻擊提供了技術(shù)支撐，例如，云計算的大量運算能力可能會(huì )被用來(lái)發(fā)起DDoS攻擊；會(huì )有一定比例的海量物聯(lián)網(wǎng)終端可能被黑客控制做為“肉雞”；人工智能技術(shù)也可能被用于自動(dòng)化攻擊工具的開(kāi)發(fā)，形成AI黑客機器人。在這種情況下，依賴(lài)人工去處理大量的攻擊事件是不現實(shí)的。因此，未來(lái)網(wǎng)絡(luò )安全技術(shù)與人工智能技術(shù)結合，制造AI防御機器人對抗AI黑客機器人進(jìn)行防御將是一種必然的趨勢。

　　20年前，由于IT架構極簡(jiǎn)，企業(yè)進(jìn)行網(wǎng)絡(luò )安全建設往往是簡(jiǎn)單選擇一些合規產(chǎn)品，如防火墻、入侵檢測、日志分析等。今天，企業(yè)的IT系統已經(jīng)廣泛的部署在云計算環(huán)境中，基礎設施環(huán)境越發(fā)復雜，僅僅依靠這些產(chǎn)品已經(jīng)不足以識別、發(fā)現、處置復雜的安全風(fēng)險。根據IDC研究，未來(lái)，企業(yè)所選擇的網(wǎng)絡(luò )安全技術(shù)將向大數據分析、AI、認知方向發(fā)展，具體包括：自動(dòng)響應、開(kāi)發(fā)安全計劃、調查、探索、威脅誘捕等等新的安全技術(shù)。

　　根據IDC的調研，全球網(wǎng)絡(luò )安全市場(chǎng)需求仍然不斷快速增長(cháng)。IDC預測，到2022年，60%的安全運營(yíng)中心的初級分析師，將利用人工智能和機器學(xué)習持續提高其工作效率，并提升其運營(yíng)的安全水平。未來(lái)將會(huì )有更多的安全技術(shù)與人工智能技術(shù)緊密結合，互相處促進(jìn)，逐漸成熟。人工智能也將成為網(wǎng)絡(luò )安全產(chǎn)業(yè)未來(lái)發(fā)展必備的關(guān)鍵技術(shù)。

　　AI無(wú)疑是當前最熱的一個(gè)詞匯，它在智能安防、語(yǔ)音識別、互聯(lián)網(wǎng)智能推薦方面得到了普遍的應用，在ICT基礎設施、云基礎設施運維等方面也得到很好的應用。但是在網(wǎng)絡(luò )安全方面，目前的應用還處于初級階段。

　　首先，網(wǎng)絡(luò )安全防御體系與物理世界防御有著(zhù)相似之處，可以用二戰時(shí)法國馬奇諾防御體系來(lái)做一個(gè)比喻。馬奇諾防御體系是法國基于塹壕戰思維修建的一條防線(xiàn)。從設計來(lái)講，馬奇諾防御體系設計科學(xué)，設施完備，縱深防御各方面都做得非常好。但是它的缺陷也非常明顯。首先，它是一個(gè)靜態(tài)的防御體系，無(wú)法適應變化，反應速度不夠快；其次，在對敵防御時(shí)識別不夠準確，只能從自己視角識別敵人的進(jìn)攻方式，沒(méi)有考慮此之外的漏洞，因此是不完善的；另外，一戰的塹壕戰思維應對二戰的閃電戰，戰略戰術(shù)思維差距大，也不夠聰明。

　　在網(wǎng)絡(luò )安全領(lǐng)域，目前的威脅防御也面對類(lèi)似的情況。網(wǎng)絡(luò )防御的目標，目前已經(jīng)從已知威脅防御開(kāi)始向未知威脅防御轉變。對于已知的威脅，防御技術(shù)是相對成熟的。但是針對未知威脅以及變種，特別是針對一些未知的漏洞，0-day的漏洞，目前缺乏有效應對的手段。

　　為了應對海量未知威脅，安全防御體系逐步開(kāi)始向基于A(yíng)I的自動(dòng)化對抗演進(jìn)。安全防御可以看做是從人工到智能轉換的過(guò)程。人工專(zhuān)家從最初的執行工作，慢慢演進(jìn)到更高級的安全規劃、策略制定、對抗策略等方面。一些簡(jiǎn)單的重復的工作，逐漸交給機器智能去完成。

　　這個(gè)過(guò)程可以分為三個(gè)階段。首先，對于人們已知的威脅，通過(guò)安全防御設備加上人工處理對抗威脅。其次，對于人們已經(jīng)理解的未知威脅，可以逐漸演進(jìn)為低度的自主對抗，通過(guò)AI技術(shù)的加持，從單點(diǎn)防御方面進(jìn)行一些檢測能力的增強，從而能夠覆蓋未知威脅進(jìn)攻。可以針對某個(gè)具體業(yè)務(wù)場(chǎng)景，從預防、檢測、到威脅處置進(jìn)行完全閉環(huán)的操作，實(shí)現一定程度智能、自動(dòng)化。最后，對于未來(lái)的未知威脅，能完全做到這種機器自主對抗，實(shí)現在全領(lǐng)域、全方位對抗安全威脅。這將是一個(gè)逐步演進(jìn)的過(guò)程。

　　那么，采用AI技術(shù)加持的網(wǎng)絡(luò )安全防御架構應該如何實(shí)現呢？

　　首先，在網(wǎng)絡(luò )邊界，基于NGFW的防御體系已經(jīng)有10年歷史了。這個(gè)防御體系在應用識別基礎上，增加了對簽名庫硬件加速的支持，可以滿(mǎn)足PC互聯(lián)網(wǎng)時(shí)代的防御要求。然而在近10年來(lái)，互聯(lián)網(wǎng)已經(jīng)從PC互聯(lián)網(wǎng)時(shí)代轉變成移動(dòng)互聯(lián)網(wǎng)時(shí)代，人們的生產(chǎn)生活完全基于互聯(lián)網(wǎng)這個(gè)基礎設施展開(kāi)。人們面臨的威脅面在擴大，威脅的種類(lèi)在增多，威脅也變得立體化。網(wǎng)絡(luò )邊界防御是整個(gè)安全防御體系的第一道門(mén)，通過(guò)AI能力加持，通過(guò)數學(xué)建模對一些未知威脅進(jìn)行行為分析。分析結果可以直接在網(wǎng)絡(luò )邊界設備上處理，做到威脅防御能力既快速又準確。

　　其次，網(wǎng)絡(luò )邊界受限于部署位置，無(wú)法了解整個(gè)網(wǎng)絡(luò )的全局，因此需要在網(wǎng)絡(luò )中構建一個(gè)安全大腦。安全大腦通過(guò)知識驅動(dòng)，AI技術(shù)可以幫助獲取這些知識。安全大腦是企業(yè)安全運維人員的一個(gè)操作平臺，它可以理解安全規章制度，網(wǎng)絡(luò )流量信息，了解資產(chǎn)漏洞，調度各類(lèi)防御設施，把這些單點(diǎn)防御結合在一起形成整體協(xié)同防御，從檢測到根治形成閉環(huán)，給出快速合理的處置方案。

　　第三，除了網(wǎng)絡(luò )邊界和本地安全大腦之外，還需要借助云端平臺，及時(shí)獲取最新的知識。云端會(huì )基于A(yíng)I技術(shù)對每天數百萬(wàn)級的樣本進(jìn)行自動(dòng)化的安全威脅分析，把安全數據加工成信息，最后形成知識，不斷進(jìn)化，適應新的變化，應對日新月異的網(wǎng)絡(luò )的攻擊，讓網(wǎng)絡(luò )邊界和本地安全大腦的效率提升百倍。

　　總之，AI加持的安全防御體系的三層架構，突破了單點(diǎn)和局部防御，走向全局的全球化的安全能力集成。從最初靜態(tài)防御體系到新的AI加持的這種防御體系，從被動(dòng)到主動(dòng)，從人類(lèi)專(zhuān)家手工到機器智能自動(dòng)化轉變的過(guò)程。在整個(gè)安全防御體系里，AI加持也表明現在人工智能應用也還處于初級階段。未來(lái)AI會(huì )成為安全防御的基礎材料，成為整個(gè)安全長(cháng)城的城磚，各廠(chǎng)家在垂直領(lǐng)域做出自己的這種安全能力貢獻，建設真生態(tài)，協(xié)力完成數字世界的安全守護。