+AI，構(gòu)建數(shù)字世界主動防御體系網(wǎng)絡(luò)安全領(lǐng)域需要AI技術(shù)GLOBEIMPOSTERWANNACRYTESLACRYPTDIRTYBATCHCONINVULTCRITRONIBITCRYPTTORRENTLOCKERLOCKERPAYCRYPTVAULTCRYPTTROLDESHGRADCRABCRYPTOWALLVIRLOCKPETYAV2.0V5.1V5.2V5.0V4.4V4.3V4.2V4.1V4.0免殺偽裝偽造簽名加殼反調(diào)試混淆平均每11秒就會發(fā)生1次勒索軟件攻擊*在RaaS環(huán)境下，勒索軟件種類繁多，且自身不斷變種變種版本之間代碼變化差異大，難以通過“指紋”來跟蹤、檢測*Cybersecuritytrends2018:Yearofregulationsandbreaches但AI在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用還存在很多挑戰(zhàn)威脅數(shù)據(jù)難收集、難處理檢測模型難解釋、高誤報深度學(xué)習(xí)過分依賴數(shù)據(jù)數(shù)據(jù)收集涉及用戶隱私問題威脅數(shù)據(jù)異構(gòu)化嚴(yán)重AI難以深度關(guān)聯(lián)各種數(shù)據(jù)，理解攻擊者意圖，從而構(gòu)建關(guān)聯(lián)邏輯進(jìn)行事件收斂，復(fù)盤攻擊鏈為了解決這些問題，華為在AI使能安全方面做了很多探索數(shù)據(jù)池蠕蟲傳播掃描隱蔽通道加密流量檢測將AI應(yīng)用在單點威脅檢測場景，提升檢測準(zhǔn)確率非監(jiān)督ML非監(jiān)督ML統(tǒng)計和非監(jiān)督ML監(jiān)督ML監(jiān)督MLWebShell檢測監(jiān)督MLDGA46家族加密攻擊

11萬樣本35家族非加密攻擊9萬樣本37家族優(yōu)點：單點威脅，黑白樣本相對容和判定，可以快速建立檢測模型，某些攻擊的檢測準(zhǔn)確率高于傳統(tǒng)模式問題：局限于單類攻擊場景，存在片面性，容誤報優(yōu)選模型：不同的檢測模塊采用不同的模型專家輔助：100+頂級安全專家暴力破解隨機(jī)森林Netflow/MetadataADLogs/IPSLogs/ProxyLogs…資產(chǎn)信息、組織架構(gòu)等AI應(yīng)用進(jìn)階：基于攻擊鏈關(guān)聯(lián)檢測，精準(zhǔn)防御WebShell檢測蠕蟲傳播掃描隱蔽通道加密流量檢測惡意C&C檢測遠(yuǎn)程控制傳播數(shù)據(jù)外發(fā)用戶行為主機(jī)漏洞關(guān)聯(lián)關(guān)聯(lián)通過孤立森林聚類算法和圖計算，關(guān)聯(lián)單點威脅檢測結(jié)果基于時間序列的行為路徑學(xué)習(xí)（例如，同一用戶的多IP事件合并：賬號切換，合并同一用戶兩個或以上賬號行為）結(jié)合不同異常點權(quán)重和邏輯關(guān)系，計算主機(jī)綜合風(fēng)險值數(shù)據(jù)湖優(yōu)點：關(guān)聯(lián)各個單點威脅判斷，復(fù)盤攻擊鏈，檢測準(zhǔn)確率高，誤報率低問題：針對復(fù)雜的黑客組織的攻擊活動難以自動判定，需由安全專家進(jìn)行輔助。只能事后處理，難以提前預(yù)防AI的高級應(yīng)用：構(gòu)筑全球安全AI大腦，防患未然數(shù)據(jù)海洋云端AI模型訓(xùn)練基于聯(lián)邦學(xué)習(xí)技術(shù)，AI防火墻貢獻(xiàn)本地學(xué)習(xí)的模型，并與云端AI中心交互AI檢測模型，不涉及用戶數(shù)據(jù)，天然保護(hù)客戶隱私價值：借助“云端”AI安全中心，判定本地異常行為是否是某個黑客組織的慣用伎倆，主動防御，防患于未然“云端”AI安全中心知識圖譜針對復(fù)雜異構(gòu)環(huán)境的網(wǎng)絡(luò)安全數(shù)據(jù)和領(lǐng)域知識進(jìn)行知識圖譜的構(gòu)建信息抽取|知識融合|知識加工+AI，構(gòu)建數(shù)字世界主動防御體系設(shè)備AI設(shè)備AI設(shè)備AI設(shè)備AI本地AI云端AIHiSec安全解決方案聚類、關(guān)聯(lián)分