+AI，構建數字世界主動防御體系網絡安全領域需要AI技術GLOBEIMPOSTERWANNACRYTESLACRYPTARCHIVERDIRTYBATCHCONINVULTCRITRONIBITCRYPTTORRENTLOCKERLOCKERCRYPTOGRAPNICPAYCRYPTVIRRANSOMFILEDECRYPTVAULTCRYPTTROLDESHGRADCRABCRYPTOLOCKERCRYPTOWALLVIRLOCKPETYAV1.0V2.0V5.1V5.2V5.0V4.4V4.3V4.2V4.1V4.0V3.0免殺偽裝偽造簽名加殼反調試混淆平均每11秒就會發生1次勒索軟件攻擊*在RaaS環境下，勒索軟件種類繁多，且自身不斷變種變種版本之間代碼變化差異大，難以通過“指紋”來跟蹤、檢測*Cybersecuritytrends2018:Yearofregulationsandbreaches但AI在網絡安全領域應用還存在很多挑戰威脅數據難收集、難處理檢測模型難解釋、高誤報深度學習過分依賴數據數據收集涉及用戶隱私問題威脅數據異構化嚴重AI難以深度關聯各種數據，理解攻擊者意圖，從而構建關聯邏輯進行事件收斂，復盤攻擊鏈為了解決這些問題，華為在AI使能安全方面做了很多探索數據池蠕蟲傳播內部掃描隱蔽通道加密流量檢測惡意C&C檢測將AI應用在單點威脅檢測場景，提升檢測準確率非監督ML非監督ML統計和非監督ML監督ML監督MLWebShell檢測監督MLDGA46家族加密攻擊

11萬樣本35家族非加密攻擊9萬樣本37家族優點：單點威脅，黑白樣本相對容易獲取和判定，可以快速建立檢測模型，某些攻擊的檢測準確率高于傳統模式問題：局限于單類攻擊場景，存在片面性，容易造成誤報優選模型：不同的檢測模塊采用不同的模型專家輔助：100+頂級安全專家暴力破解隨機森林Netflow/MetadataADLogs/IPSLogs/ProxyLogs…資產信息、組織架構等AI應用進階：基于攻擊鏈關聯檢測，精準防御WebShell檢測蠕蟲傳播內部掃描隱蔽通道加密流量檢測惡意C&C檢測邊界滲透遠程控制內部傳播數據外發用戶行為主機漏洞關聯關聯關聯通過孤立森林聚類算法和圖計算，關聯單點威脅檢測結果基于時間序列的行為路徑學習（例如，同一用戶的多IP事件合并：賬號切換，合并同一用戶兩個或以上賬號行為）結合不同異常點權重和邏輯關系，計算主機綜合風險值數據湖“本地”AI安全中心優點：關聯各個單點威脅判斷，復盤攻擊鏈，檢測準確率高，誤報率低問題：針對復雜的黑客組織的攻擊活動難以自動判定，需由安全專家進行輔助。只能事后處理，難以提前預防AI的高級應用：構筑全球安全AI大腦，防患未然數據海洋云端AI模型訓練基于聯邦學習技術，AI防火墻貢獻本地學習的模型，并與云端AI中心交互AI檢測模型，不涉及用戶數據，天然保護客戶隱私價值：借助“云端”AI安全中心，判定本地異常行為是否是某個黑客組織的慣用伎倆，主動防御，防患于未然“云端”AI安全中心知識圖譜針對復雜異構環境的網絡安全數據和領域知識進行知識圖譜的構建信息抽取|知識融合|知識加工+AI，構建數字世界主動防御體系設備AI設備AI設備AI設備AI本地AI云端AIHiSec安全解決方案聚類