人工知能技術はセキュリティ上の脅威を発見するための新たなツールとなる

1. サイバーセキュリティにおける人工知能の応用

1. 応用

人工知能は、ネットワーク セキュリティにおいて幅広い応用の可能性があります。まず、AI にはビッグデータを分析およびマイニングする機能があり、ネットワーク脅威の検出機能とレベルを効果的に向上させることができます。第二に、AI は既知のものに基づいて未知のものを検出する能力を備えているため、既存の検出方法や手段の適応性の問題を効果的に解決できます。繰り返しになりますが、AI には自律的に学習して更新する能力があり、既存のモデルの老朽化の問題を効果的に解決できます。最後に、AI は推論し、認知を構築する能力を備えており、幅広い時間と空間の次元からサイバー脅威を分析し、追跡することができます。

人工知能技術を利用することで、数千のネットワークログ/トラフィック、脅威情報などの情報を自動的に分析・処理し、膨大なデータから真に有用な情報を抽出し、ネットワークのセキュリティ状態を分析・評価し、ネットワーク内の異常なイベントや全体的なセキュリティ状況を感知し、ネットワーク全体の発展傾向を予測・警告し、ネットワークセキュリティ保護における技術革新のための新しいアイデアを提供することができます。現在、AIの主な応用方向としては、異常検知と警報、未知の脅威の発見、潜在的なリスクの予測、適応型連携対応などが挙げられます。具体的な方向性としては、異常なアラームの検出、未知の脅威の発見、潜在的なリスクの予測、適応型リンクの対応などが挙げられます。

2. モデルフレームワーク

人工知能をベースにした「セキュリティ ブレイン」を構築し、特定の時間と空間で広範囲のサンプル データをインテリジェントに分析し、脅威のリスクを発見し、ベースラインやモデルに基づいて傾向を予測します。

実際のネットワークにおけるセキュリティ データの膨大さ、多様な形式、多様な粒度特性を考慮して、人工知能ベースのセキュリティ ブレインは、まずデータの前処理を実行し、さまざまなデータ ソースやさまざまな形式のデータを統一された形式に正規化し、冗長なデータやノイズの多いデータを削除します。次に、インテリジェント分析を実行し、さまざまな機械学習アルゴリズムを使用して、対応するネットワーク トラフィック分類、異常トラフィック検出、脅威動作分析、トラフィック傾向予測モデルをトレーニングし、トレーニングされたモデルに基づいて結果を出力します。最後に、評価と最適化が行われます。知識ベース内の安全性定量指標システムに従って、分析出力結果を定量的に評価し、モデルとアルゴリズムパラメータを改善して、モデルの精度を継続的に向上させます。

II. サイバーセキュリティにおける人工知能の革新的な実践

1. セキュリティAIフルスタックアーキテクチャ

ガートナーは、2020 年のトップ 10 戦略的テクノロジ トレンド レポートで、AI セキュリティが将来の重要な戦略的テクノロジ トレンドの 1 つになると明確に指摘しました。ますます高度化、複雑化する攻撃手法に効果的に対応するためには、ネットワークセキュリティ保護の分野に人工知能を応用し、リアルタイム、インテリジェント、俊敏性、メンテナンス性に優れた「クラウド・ネットワーク・エッジ」統合セキュリティ保護システムを構築し、各防御ポイントの利用価値を最大化し、インテリジェント分析と脅威認識、インテリジェント自動保護、インテリジェントクローズドループ管理の体系的なセキュリティ機能を形成する必要があります。これにより、ネットワークセキュリティの脅威への対応能力が全面的に強化され、事後修復からセキュリティ事前配置、受動セキュリティから能動セキュリティへの変革が実現します。これには、安全な AI フルスタック アーキテクチャの構築が必要です。

このアーキテクチャは、セキュリティ ログ、端末の動作、ネットワーク トラフィック、ビジネス データ、脅威インテリジェンス、資産管理、障害診断情報などのマルチソース データの収集から始まり、リスク状態、攻撃の傾向、異常なトラフィック、異常な動作、異常な資産の多次元インテリジェント分析と視覚化を実行します。また、リアルタイムのシナリオに基づいて適応的な決定を下し、緊急計画を迅速に生成し、ネットワーク全体の主要な機器にセキュリティ ポリシーを積極的にプッシュし、セキュリティ インシデントにリアルタイムで警告して対応します。

2. 安全なAIアプリケーションの実践

（１）DNSプロトコルに基づくC&Cアウトバウンド接続検出

DNS プロトコルは、攻撃者が C&C (コマンド アンド コントロール) 通信によく使用するインフラストラクチャ ネットワーク プロトコルです。ネットワーク セキュリティ デバイスによる監視と分析を回避するために、攻撃者は通常、C&C 通信に DNS プロトコルを使用する際に、Fast-flux および Domain-flux テクノロジを使用して DNS サーバーの IP アドレスとドメイン名を頻繁に変更します。ディープラーニング畳み込みニューラルネットワーク (CNN) に基づいて、ネットワークトラフィック内の C&C 通信を検出し、最適化により検出確率を 98% まで高めることができます。

（２）AIによる暗号化トラフィック解析

攻撃者は、攻撃トラフィックを通常の暗号化トラフィック内に隠すために、暗号化されたプロトコルを使用して通信するケースが増えています。暗号化されたトラフィックの分析プロセスは、暗号化されたアプリケーションの識別と暗号化された脅威の検出に分けられます。暗号化アプリケーションの識別では、暗号化プロトコルの鍵交換フェーズにおける暗号スイートや証明書などの平文特徴、暗号文伝送フェーズにおけるトラフィックパターン、通信パターン、動作パターンなどの統計的特徴、さらにRNNやCNNによって抽出された時間的特徴や時空間的特徴を抽出し、教師あり機械学習手法を用いて暗号化アプリケーションを識別します。暗号化された脅威検出では、アプリケーション識別に必要なさまざまな特徴を抽出するだけでなく、https/http トラフィック情報や DNS トラフィック情報など、トラフィックのコンテキスト情報を抽出する必要があります。

（３）クラウド、ネットワーク、エッジ、エンド間のAI連携

「クラウド、ネットワーク、エッジ、端末」を統合した統合セキュリティ防御システムを構築するため、AIファイアウォールをセキュリティクラウド、状況認識、エッジコンピューティングなどのシステムと組み合わせ、インテリジェンス共有、コンピューティングパワー強化、相関分析、連携連携などの機能を実現します。 AI ファイアウォールは、クラウドの脅威状況の共有、分析、サービスを通じて、あらゆるソースからの脅威インテリジェンスを共有し、さまざまな脆弱性や脅威に迅速に対応し、さまざまな攻撃行動の拡散を迅速に防止できます。同時に、すべての AI ファイアウォールは導入戦略を共有できます。クラウドでのインテリジェントなポリシー分析を通じて、あらゆる業界の顧客に最適な導入戦略の推奨を提供できるため、導入と運用および保守が大幅に簡素化されます。さらに、ローカル ファイアウォールは潜在的な脅威データをクラウドにアップロードし、クラウド ビッグ データ分析を通じて機械学習モデルを取得し、モデル パラメータをローカル領域に委任してローカルでのインテリジェントな検出と分析を行い、統合されたクラウドベースのインテリジェントな連携を実現します。

3. セキュリティAIの今後の発展展望

AI技術がセキュリティ分野に完全に統合されると、さまざまな種類の未知のマルウェアを迅速に識別し、ゼロデイ脅威をタイムリーに検出して迅速に対応できるようになります。また、データマイニングとパターン認識をより正確に実行して、分析結果をより正確にすることができます。さらに、これらの反復的で機械的な検出と識別のタスクを継続的に実行できるようになります。続いて、次の 3 つの側面をさらに深く掘り下げていきます。

1. ナレッジグラフ

セキュリティデバイスによって生成されたセキュリティイベントに基づいて、脅威ナレッジグラフが構築され、ネットワークの全体的な脅威状況を分析します。端末セキュリティ対応システム（EDR）では、端末の動作と操作ログに基づいてトレーサビリティナレッジグラフを構築し、端末の既知および未知の脅威を分析できます。ネットワーク脅威検出および対応（NDR）/ユーザーエンティティ動作分析（UEBA）では、完全なネットワークトラフィックデータとアプリケーションシステムログに基づいてユーザー動作ナレッジグラフを構築し、疑わしいまたは悪意のあるユーザー動作を検出できます。

2. 混乱の対決

インジェクション攻撃や悪意のあるコードは、難読化、エンコード、圧縮などによって形式を変更し、WAF、IPS、ウイルス検出エンジンなどのデバイスによる検出を回避できます。複雑な難読化方法は一方向です。難読化されたコードと元のコードは同じ機能を実行しますが、元のコードに完全に復元することはできず、部分的にしか復元できません。したがって、難読化された悪意のあるコードの検出では、AI アルゴリズムを使用して難読化されたコードを復元してから悪意のあるコードの検出を行うことができます。元のコードへの復元の程度によって、悪意のあるコードの検出効果が決まります。

3. フェデレーテッドラーニング

セキュリティ分野では、ラベル付けされたデータが非常に少なく、企業間でデータが共有されていないため、AIモデルの有効性を大幅に向上させることが困難です。フェデレーテッドラーニングアーキテクチャを採用することで、複数の企業のデータを組み合わせて、より強力なモデルをトレーニングできます。モデルのトレーニングプロセスでは、準同型暗号化や差分プライバシーなどのプライバシー保護技術を使用して、ネットワークで送信されるデータやモデルパラメータを保護し、各企業内のデータが漏洩しないようにすることができます。