人工智能+网络安全分析报告.docx
《人工智能+网络安全分析报告.docx》由会员分享,可在线阅读,更多相关《人工智能+网络安全分析报告.docx(31页珍藏版)》请在冰豆网上搜索。
人工智能+网络安全分析报告
(此文档为word格式,可任意修改编辑!
)
2017年3月
正文目录
人工智能需要网络安全保护和限制5
人工智能对网络安全需求程度高于互联网5
人工智能需要网络安全限制边界6
网络安全需要人工智能提升防护能力8
“人工智能+网络安全”出现频次急剧上升8
防护边界泛网络化9
UEBA用于网络安全10
EDR用于网络安全13
人工智能网络安全成为创投并购重点14
2017前2月已有5家AI网络安全企业被收购14
防止未知威胁的Invincea被Sophos收购14
UEBA技术的被惠普收购15
关键IP用户行为分析的Harvest.ai日被亚马逊收购16
值得关注的人工智能与网络安全公司17
政策驱动网络安全下游需求18
《网络安全法》实施将有法可依扩大市场空间18
《工控安全指南》指明方向19
工控信息安全是新增长点20
三大潜在风险20
工业控制系统潜在的风险20
两化融合"给工控系统带来的风险21
工控系统采用通用软硬件带来的风险21
工控安全漏洞数回升21
服务器系统和工控数据危害集中区22
启明星辰绿盟科技引领工控安全23
网络信息安全龙头启明星辰24
领航网络信息安全24
政府军队等客户的选择证明公司实力雄厚25
外延收购扩大网络安全服务领域26
安全产品是主力,数据安全是亮点28
受益于并表和内生增长28
相关建议31
风险提示31
图目录
图1:
级别越高安全保障要求越高5
图2:
无人机撞击电线7
图3:
《西部世界》剧照7
图4:
“网络安全”、“人工智能”和“机器学习”出现频率8
图5:
“网络安全”、“人工智能”和“机器学习”出现频率9
图6:
传统网络安全原理9
图7:
人工智能时代网络安全需求10
图8:
数据泄密渠道和方式11
图9:
UEBA工作原理12
图10:
传统安全产品与AI安全产品比较13
图11:
Invincea首页15
图12:
niara官网16
图13:
Harvest.ai官网17
图14:
投资机器学习与人工智能的网络安全公司列表18
图15:
《网络安全法》出台有法可依解决三大问题19
图16:
工控安全三大风险20
图17:
2000-2016年公开工控漏洞趋势图22
图18:
2000-2016年公开工控漏洞主要类型统计23
图19:
国内工控安全厂商比较24
图20:
启明星辰产品和服务25
图21:
启明星辰收入构成25
图22:
客户分布26
图23:
已完成的主要外延收购27
图24:
启明星辰收入构成变化28
图25:
启明星辰营业收入规模及增速29
图26:
启明星辰净利润规模及增速30
图27:
启明星辰历史PE(TTM)31
人工智能需要网络安全保护和限制
兵马未动,粮草先行。
人工智能是基于网络和大数据的,保护网络和数据安全是发展人工智能的前提,我们认为网络信息安全是人工智能的保镖。
人工智能对网络安全需求程度高于互联网
从产业周期角度看,科技从消费互联网到产业互联网,再到人工智能。
越来越深入经济和社会,从简单的信息传递、游戏娱乐到为生活、工作、经济做出决
策。
人工智能承担的角色从配角到主角,再到主演,对主演的保护要远胜配角。
图1:
级别越高安全保障要求越高
消费互联网时代,在用户获取信息、打游戏过程中网络被攻击后,用户基本上没什么损失。
顶多是重启电脑、杀毒、重打游戏。
产业互联网时代,用户利用互联网进行商品交易,用户的网络被攻击的后果,
可能是用户被导流到钓鱼网站,付款完成但是没有实际交易等。
用户损失的顶
多是小额资金。
人工智能时代,我们需要人工智能为患者诊断疾病。
当医院的数据库或患者的病历数据被攻击后,人工智能判断系统可能对患者疾病做出严重失误的判断,
例如把感冒诊断为重大疾病。
再例如,用人工智能为宏观经济做政策决策的时
候,国家统计局和人民银行的数据库、IT系统被攻击后,等基于人工智能做出
的国家层面的政策将导致巨大失误。
人工智能需要网络安全限制边界
随着人工智能逐步完善,发展人工智能可能是一个潜在的灾难性错误。
主要是考虑到机器虽然能够为人类造福,但如果若干年后机器发展得足够智能就将成为人类的心头大患。
人工智能一旦发展完全将终结人类这一物种,尤其是人类被缓慢的生物进化所束缚不能与之对抗就会被取而代之。
人工智能的AlphaGO赢了李世石、Master横扫人类围棋高手,现在我们需要考虑的是人工智能的边界在哪里。
如果人工智能的发展使得我们个人没有隐私、企业没有了商业秘密、股票的走势被完全预测、大规模的杀伤性武器被研发问世。
对于那些没有能力使用人工
智能或者这些超人类的控制力的人和组织来说是不公平的,也是灾难性的。
所以,人工智能需要网络安全来限制其边界,实行保护式发展。
最典型的案例就是无人机禁飞区,以北京为例,以前是5环内禁止无人机起飞,现在是以天安门为中心200公里以内禁飞。
2017年2月28日,北京市公安局发布了《关于加强北京地区“低慢小”航空器管理工作的通告》内容于今日开
始正式施行。
该通告要求3月1日零时至16日24时,在以天安门广场为中心的200公里半径范围内,禁止一切单位、组织和个人利用“低慢小”航空器进行各类体育广告娱乐性飞行活动。
这种禁飞除了行政手段外,最有效的还是技术手段,用网络安全限制无人机。
图2:
无人机撞击电线
图3:
《西部世界》剧照
另外,当人工智能发展到超级阶段,出现反抗人类的时候,也需要从网络安全技术的角度去限制人工智能。
例如2016年HBO发行的科幻类连续剧《西部世
界》刻画了人工智能的自主意识,出现了人工智能反抗人类的情景。
当现有法律、用户的隐私意识等还不足以匹配人工智能的时候,就需要网络安全技术手段来限制人工智能的应用,限制其边界。
网络安全需要人工智能提升防护能力
“人工智能+网络安全”出现频次急剧上升
CBInsights数据显示,网络安全公司逐渐开始使用人工智能技术,改善安全防御体系,开创网络防护新时代。
我们网络安全使用人工智能技术是有两大原因:
一是随着网络攻击增多,危害程度上升,网络安全专业人才严重不足。
二是“零
日攻击”等新型攻击形式增多。
图4:
“网络安全”、“人工智能”和“机器学习”出现频率
2016年,“网络安全”、“人工智能”和“机器学习”这三个词汇都很突出。
但是,这些都不是新词。
早在2012至2014年间,这三种技术在媒体文章中的出
现频率就已经开始增长了,而且三者的增长率基本相同。
随着各个领域开始应用更多技术,商界和大众也逐渐了解这些技术,这三个词开始出现在越来越多的文章中。
2016年末,它们的出现率更是急剧增长。
另外,我们再看“网络安全”与“人工智能”共同出现在文章中的频率增加了,表明媒体更加频繁地将两者联系在一起讨论。
2016年,网络安全与机器学习共同出现的频率也有所增加,但跟前者相比,增幅略小。
图5:
“网络安全”、“人工智能”和“机器学习”出现频率
防护边界泛网络化
传统网络安全方法的核心是对网络划分边界,但现在往往是通过内网大数据系统直接遥控终端,网络安全要利用人工智能技术应对网络泛化的数据安全。
图6:
传统网络安全原理
图7:
人工智能时代网络安全需求
以往内网外网等等都有个边界,现在网络泛化是趋势。
汽车可能在各种场合接入各种wifi。
比如说特斯拉,它除了接入wifi,在国内还能接入联通的3G/4G
网络。
这本身可能就有多个网络的接口,泛化的确是目前网络安全要面对的一
个新的挑战,尤其是在万物互联的大背景下。
越来越多的智能设备连接入网,客观上扩大了潜在的攻击点。
这是人工智能时代网络安全最大的矛盾,大数据、人工智能相关技术的运用可能成为被攻击点。
同时,这些新技术也能作为新的网络安全防御手段。
在整个网络安全的领域来说,人工智能相关技术的应用还是处于比较初级的阶段。
就大范围的应用来说,机器学习已经是很多领域常用的方法,但它在网络
安全这块,比如判定网络攻击的种类时,准确率还可以进一步提升。
UEBA用于网络安全
美国运营商巨头Verizon公司联合数十家企业机构发表了“2016数据泄密调查报告”。
该报告指出,内部人员(员工、合作伙伴)和权限滥用导致的数据泄密事件依然是主流。
图8:
数据泄密渠道和方式
所以,当内部人员变得不那么可靠的时候,一种有效的内部威胁防御技术正是解决之道。
UEBA技术应运而生。
用户和实体行为分析(UEBA)能够实现广泛的安全分析,就像是安全信息和事件管理(SIEM)能够实现广泛的安全监控一样。
UEBA提供了围绕用户行为
的、以用户为中心的分析,但是也围绕其他例如端点、网络和应用。
跨不同实体分析的相关性似的分析结果更加准确,让威胁检测更加有效。
UEBA解决方案收集网络多个节点产生的信息。
最好的解决方案会从网络设备、系统、应用、数据库和用户处收集数据。
利用这些数据,UEBA可以创建一条基线以确定各种不同情况下的正常状态是什么。
一旦基准线建立,UEBA解决
方案会跟进聚合数据,寻找被认为是非正常的模式。
这一确定过程仅评估新事件在上下文环境中是否不正常,以及不正常的程度有多深,并排序事件的重要性及可能的业务影响。
UEBA提供可视化录屏、用户行为数据化和基于大数据的智能行为分析。
UEBA帮助用户防范信息泄露、避免商业欺诈、增强服务质量、提高工作效率。
这其中涉及到用户行为数据的收集、存储和分析,用到人工智能的相关技术。
图9:
UEBA工作原理
UEBA技术将成为,事实上已经成为某个新兴市场的特征。
旧派和新派安全产品都在向着这个市场移动。
未来旧派SIEM厂商会在未来版本中简单将UEBA
引擎植入进去,使它们并行工作;同时SIEM把数据送到UEBA,UEBA的告警和附带数据被反馈给SIEM。
图10:
传统安全产品与AI安全产品比较
EDR用于网络安全
另外一种新的防御思想叫做EDR(End-pointDetectionResponse)和NDR
(NetworkDetectionResponse)。
传统安全防护是在网络边界上放个防火墙,把攻击拦在防火墙外面。
现在网络的防线越来越长,漏洞越来越多,要想继续把攻击阻挡在防火墙之外几乎是不可能的。
DR(DetectionResponse)的思想考虑在攻击发生时能不能及早地发现、检测以及进行对应处理,因为在攻击发生的一开始,并不一定会造成非常严重的破
坏,如果我们可以及时地阻断攻击,我们也能进行有效的管控。
DR主要分为EDR和NDR。
EDR是在终端进行检测与响应,比如像杀毒软件,
过去只是简单地杀病毒,现在实际上把功能扩大了,他能收集应用程序在用户
电脑中运行时的一些行为,在响应的过程中能对不合理的行为进行阻断。
NDR是在网络边界上进行检测与响应,比如现在常说的下一代防火墙在功能上已经不仅仅是包过滤,还要求可以检测用户通过网络访问到底干了什么,在网络上进行检测和响应。
那么EDR和NDR也是结合云的一种防御机制,用来应对目前防御战线越来越长的现状,由此可见,人们的防御思想也在不断革新。
人工智能网络安全成为创投并购重点
2017前2月已有5家AI网络安全企业被收购
2017年才过去两个月,就有三家AI网络安全创业企业被科技巨头重金收购。
在打击网络犯罪领域,人工智能技术正变得越来越重要。
2017年前2个月已经
有3家关注AI的网络安全创业企业已被收购。
这三家网络安全创业企业都针对机器学习技术,即一组用来训练机器从数据中学习并预测趋势和结果的算法。
包括利用机器学习算法来进行自然语言处理、预测分析、图像识别等种种功能。
CBInsights的数据库显示2017年前两个月中被大型科技公司收购的3家AI
网络安全创企。
另外,埃森哲于2月8日收购了AI网络安全公司Endgame的联邦服务部门。
LRRPartners于1月9日收购了BluVector。
BluVector是从国防承包商诺斯罗
普〃格鲁曼公司分离出的子公司,其使用机器学习算法来实时检测企业网络中
的安全威胁。
防止未知威胁的Invincea被Sophos收购
Invincea提供高级恶意软件威胁检测、网络漏洞预防和预漏洞法医情报。
公司的旗舰产品“XbyInvincea”是一个机器学习的终端解决方案,旨在防止新的、
未知的威胁类型。
Invincea拥有不少使用沙盒环境检测威胁的专利,沙盒环境可以让软件开发人员在为测试代码发布之前先将其孤立等等。
图11:
Invincea首页
Sophos以1亿美元现金收购了Invincea,同时还有2000万美元的盈利能力支付计划,绩效目标由Sophos设置。
公司的研发部门InvinceaLabs不再此收购
之列。
UEBA技术的被惠普收购
Niara提供的用户和实体行为分析(UEBA)技术,该技术使用监督和非监督机器学习技术来分析用户行为,发现可能导致安全问题的异常现象。
Niara的行为分析软件可以自动检测组织机构内的攻击和风险行为。
其UserandEntityBehavioralAnalytics(UEBA)软件依赖机器学习和大数据分析,增强安全
性以防止那些可能渗透传统防火墙和其他外围系统的威胁。
收购后,Niara将在HPEAruba下运营,并整合Aruba的ClearPass网络安全
产品组合用于有线和无线网络基础设施。
Aruba部门一直是HPE计划构建实现物联网服务平台的一部分。
而收购和整合Niara将会特别加强HPE针对物联网的网络安全产品组合。
当Niara发现安全事件后,客户可以利用ClearPass隔离或者断开用户或者设备与易受攻击网络的连接。
图12:
niara官网
关键IP用户行为分析的Harvest.ai日被亚马逊收购
Harvest.ai使用机器学习和AI围绕公司的关键IP分析用户行为,从而在客户重要数据被窃取之前识别并阻止针对性攻击。
Harvest.ai的旗舰产品是一个正在
等待专利审核通过的AI产品,名叫MACIEAnalytics,可以实时监测知识产权的访问情况。
根据媒体报道,亚马逊可能从2016年初就开始了针对Harvest.ai的收购流程,
只不过收购细节现在才公开。
有传言表示,亚马逊以2000万美元收购了该公司,让公司背后的唯一风投TrinityVentures大赚了一笔。
图13:
Harvest.ai官网
值得关注的人工智能与网络安全公司
国外已经有公司将机器学习或者人工智能融入安全技术,我们从CBInsights找出13家值得关注的公司,具体情况如下表所示。
图14:
投资机器学习与人工智能的网络安全公司列表
政策驱动网络安全下游需求
《网络安全发》和《工控安全指南》实施,从政策层面将刺激下游客户对网络安全产品和服务的需求。
《网络安全法》实施将有法可依扩大市场空间
2016年11月7日十二届全国人大常委会第二十四次会议正式的通过了《中华人民共和国网络安全法》。
网络安全法将于2017年6月1日起施行。
法律进一
步界定关键信息基础设施范围;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施;增加惩治网络诈骗等新型网络违法犯罪活动的规定等。
图15:
《网络安全法》出台有法可依解决三大问题
目前我国面临着三大网络安全突出问题:
国家网络主权和国家安全战略需求;企业数据、知识产权遭窃取难以维权;公民个人信息和隐私遭泄露、诈骗损失惨重。
而我国网络安全法律法规处于空白状态,在网络安全问题日益凸显的当
前,往往面临无法可依的窘境。
2017年6月1日,《网络安全法》正式实施后,网络安全工作将进入有法可依、有法必依的阶段。
这将催生一个不断扩大的网络安全市场空间,产业投入和建设也将步入持续稳定的发展轨道。
《工控安全指南》指明方向
2010年10月发生在伊朗核电站的"震网"(Stuxnet)病毒,为工业生产控制系统安全敲响了警钟。
现在,国内外生产企业都把工业控制系统安全防护建设提
上了日程。
工信部于2016年10月发布了《工业控制系统信息安全防护指南》(简称《指南》),指导工业企业开展工控信息安全防护工作。
《指南》从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面对工控信息安全建设内容进行了规定。
工控信息安全是新增长点
工业控制系统(IndustrialControlSystems,ICS),是由各种自动化控制组件和
实时数据采集、监测的过程控制组件共同构成。
其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。
图16:
工控安全三大风险
三大潜在风险
工业控制系统潜在的风险
1.由于考虑到工控软件与操作系统补丁兼容性的问题,系统开车后一般不会对Windows平台打补丁,导致系统带着风险运行。
2.杀毒软件安装及升级更新问
题:
用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑,通常不安装杀毒软件,给病毒与恶意代码传染与扩散留下了空间。
3.使用U盘、光盘导致的病毒传播问题:
由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理,导致外设的无序使用而引发的安全事件时有发生。
4.设备维修时笔记本电脑的随便接入问题:
工业控制系统的管理维护,没有到达一定安全基线的笔记本电脑接入工业控制系统,会对工业控制系统的安全造成很大的威胁。
5.工业控制系统控制终端、服务器、网络设备故障没有及时发现而响应延迟的问题:
对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础。
两化融合"给工控系统带来的风险
工业控制系统最早和企业管理系统是隔离的,但近年来为了实现实时的数据采集与生产控制,满足"两化融合"的需求和管理的方便,通过逻辑隔离的方式,使工业控制系统和企业管理系统可以直接进行通信,而企业管理系统一般直接连接Internet,在这种情况下,工业控制系统接入的范围不仅扩展到了企业网,而且面临着来自Internet的威胁。
同时,企业为了实现管理与控制的一体化,提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,引入了生产执行系统MES,对工业控制系统和管理信息系统进行了集成,管理信息网络与生产控制网络之间实现了数据
交换。
导致生产控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。
工控系统采用通用软硬件带来的风险
工业控制系统向工业以太网结构发展,开放性越来越强。
基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。
在工业控制系统中,由于工业系统集成和使用的便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时,也大量的使用了PC服务器和终端产品,操作系统和数据库也大量的使用了通用的系统,很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。
工控安全漏洞数回升
截至2016年底,根据中国国家信息安全漏洞共享平台[CNVD]所发布的
2016年新增工业控制系统漏洞信息,并经过匡恩网络的统计分析,2016年新
增公开工控漏洞数量达141个,而2015年只有108个。
图17:
2000-2016年公开工控漏洞趋势图
服务器系统和工控数据危害集中区
2000年以来新增漏洞危害性分析,缓冲区溢出、信息泄露、输入验证、跨站脚本等类型的工控漏洞数量居多,对工控系统的危害主要集中在服务器的系统
和数据中。
图18:
2000-2016年公开工控漏洞主要类型统计
从已公开的工控系统漏洞类型来看,缓冲区溢出类型的漏洞高居榜首,漏洞数量达到165个,其次分别为信息泄露、输入验证、跨站脚本、权限问题类型的漏洞,数量分别达到66、63、58、52个。
由于以上五种漏洞类型都能够造成
工控系统服务中断、系统停机、信息泄露,甚至是物理性破坏,因此常常被黑客、病毒及恶意程序所利用,危害性十分巨大。
利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果,甚至可以利用它执行非授权指令,对工业现场的智能设备下发非法指令(例如修改运行参数、关闭阀门开关等),以达到其攻击目的。
启明星辰绿盟科技引领工控安全
中国工控安全厂商,根据其历史背景可以分为三种类型:
自动化背景厂商、传统IT安全厂商、专业工控安全厂商。
随着工业4.0实施,物联网的普及之后,工控不再是相对独立的网络,而是完全融入互联网的一部分。
工控安全也不再是相对独立的一部分,而是和传统网
络安全融为一体,要从传统互联网的角度维护工控安全,而非工控系统。
所以我们认为,未来的工控安全领域,传统IT厂商启明星辰、绿盟科技等具有显著优势。
图19:
国内工控安全厂商比较
网络信息安全龙头启明星辰
领航网络信息安全
启明星辰1996年成立,是国内最具实力、拥有完全自主知识产权的综合性信息网络安全企业。
启明星辰是国家认定的企业级技术中心、国家规划布局内重点软件企业,拥有最高级别的涉及国家秘密的计算机信息系统集成资质。
公司主要产品大类为安全产品(安全网关、安全监测、平台工具、数据安全)、安全服务、硬件及其他。
2014年入侵检测系统市场占有率达到28%,全国第一。
图20:
启明星辰产品和服务
2015年年报中安全网关、检测贡献收入较高。
图21:
启明星辰收入构成
政府军队等客户的选择证明公司实力雄厚
公司的客户遍布政府、军队、金融、电信等国家安全级别非常高的领域,这些重要领域的客户选择公司的产品,证明了公司在网络安全的实力。
例如政府领域的全国人民代表大会、最高人民检察院、中央办公厅、国务院办公厅、中共中央组织部、中共中央宣传部、中央政府门户网站、国家发展和改革委员会、国家保密技术研究所、财政部、科学技术部、公安部、人事部、交通部、工业和信息化部等。
军工领域有人民解放军总参某部、人民解放军总装某部、人民解放军总后某部、人民解放军总政某部、人民解放军海军某部、人民解放军空军某部。
图22:
客户分布
外延收购扩大网络安全服务领域
2011年至今,启明星辰先后完成了对网御星云、赛贝卡、合众数据、安方高科、赛博兴安、书生电子等企业的部分或全部股权收购,使得公司在网络安全及数据处理等方面的技术得到突破,市场影响力及市场份额不断提高。
图23:
已完成的主要外延收购
通过外延收购的标的公司与原有启明星辰产品和客户形成互补和加强,例如偏重军队、电信的网御星云;数据加密的书生电子;电磁安全的安方高科等。
表1:
启明星辰收购标的详情
安全产品是主力,数据安全是亮点
2015年安全产品和服务占营业收入86%,随着网络安全需求的普及和多样化发展,公司业务收入构成日趋多元化。
除安全网关和安全检测构成公司收入的主要来源外,其余各业务收入占比逐渐均衡。
其中,安全监测、平台工具、硬件及其他业务多年保持相对稳定的收入占比;安全服务收入占比逐渐降低;随着互联网用户需求及网络安全隐患的增加,安全网关业务自2010年以来取得了快速增长;安全监管业务自2012年起不再构成公司业务收入来源。
相反地,随着大数据概念的兴起和发展,数据安全成为公司新兴业务,尤其是在公司收购合众数据和书生电子后,这一业务取得了快速增长。
图24:
启明星辰收入构成变化
升级会员 