文 | 中国工程院院士 吴世忠
今年8月,《国务院关于深入实施“人工智能+”行动计划的意见》发布,为我国未来的智能化发展谋划了广阔天地,也必将给网络安全行业的转型升级提供强劲动力。根据权威专业报告,过去一年,全球平均每39秒发生一次网络攻击,而目前的安全团队需要平均数小时甚至几天才能完成一次威胁研判。当攻击速度以“秒”计,而防御效率却停留在“小时级”甚至“天级”时,我们靠什么守住智能时代的安全底线?答案就明确写在国务院的文件里,也隐含在今天论坛的主题里——“网数迭代,智引未来”。因此,必须深入拥抱人工智能,推进网络安全新发展,更需要打开人工智能的“+”,用好智慧运算,让网络安全从“人力密集型”转型升级到“智能驱动型”。基于一年多来人工智能在网络安全行业的发展与应用,我将从“加、减、乘、除”四个维度简要分析人工智能如何全面重构网络安全行业的底层逻辑。
一、做“加法”:强化赋能
人工智能为网络安全注入“动能”,不断拓展能力边界。网络安全的本质是攻防对抗,而人工智能的第一重价值,就是通过“技术叠加”为防御方增加“感知力”“判断力”和“协同力”,让安全能力从“被动响应”转向“主动进化”。
第一,人工智能增加了威胁检测的“广度”与“深度”。传统规则引擎依赖已知特征库,面对0Day漏洞、高级持续性威胁(APT)时往往“失明”。人工智能通过机器学习对海量日志、流量、行为数据建模,能识别出“看似正常却暗藏风险”的异常模式。例如,微软的Security Copilot整合了超过70个安全数据源,利用深度学习分析全球终端的数十亿条行为日志,可以在攻击发生的分钟级内发现异常。当前,国内头部安全企业都在积极利用人工智能转化自身的安全经验,开发出智能化安全检测新手段。例如,2023年,某金融机构通过人工智能模型检测到一起隐蔽的数据泄露攻击。攻击者利用合法API接口分批次窃取客户信息,单次流量仅几百KB,远低于传统阈值,但人工智能通过分析“访问时间规律性”“目标字段关联性”等非显性特征,成功在3天内定位并阻断了攻击链。
第二,人工智能增加了威胁研判的“精度”与“速度”。过去,安全分析人员需要手动关联多个系统的告警信息,如防火墙拦截记录、EDR进程日志、邮件网关附件分析等,不仅耗时而且容易遗漏关键线索。如今,人工智能大模型能快速整合多源数据,生成“攻击事件线”。例如,智能化的态势感知平台能够利用人工智能将分散在云、网络、终端的告警自动聚合成“攻击事件”,并标注“攻击阶段”“潜在影响范围”和“处置优先级”,使威胁研判效率迅速提升。原本需要多名分析师花费几天甚至几周才能理出头绪的复杂攻击,现在凭借人工智能可以在10多分钟内输出包含“攻击路径图”“受影响资产清单”和“修复建议”等内容的完整报告。
第三,人工智能增加了网络防御的“方式”和“方法”。通过预测模型,人工智能能模拟攻击者的行为路径,提前布防。例如,国内安全公司推出的“自适应免疫系统”,利用无监督学习,建立企业网络的“正常行为基线”。当检测到某台服务器开始扫描内网其他设备的开放端口(类似攻击前的侦察行为)时,系统会自动触发“微隔离”策略,限制其网络访问权限,甚至在攻击者尚未发起实质性破坏前,阻断其行动。这种“预测—拦截”的闭环,让安全防御从“马后炮”变成了“先手棋”。
二、做“减法”:着力减负
人工智能为网络安全卸下“重担”,释放人力与资源。网络安全行业长期面临“人才缺口大、运营成本高”的痛点。企业每年在安全设备运维、日志分析、应急响应上的投入占IT预算的10%-15%。人工智能的加入,正可以减去这些“不必要的负担”。
第一,减少人力:从“人海战术”到“人机协同”。 过去,安全运营中心(SOC)需要大量分析师7×24小时关注告警信息,但80%的告警是误报或低优先级事件(业内称“告警疲劳”)。人工智能通过自动化分类与优先级排序,让分析师聚焦真正的高危威胁。例如,国内的头部企业积极投入的人工智能威胁情报平台,能自动过滤掉90%以上的低价值告警,将分析师从“查日志”的重复劳动中解放出来,专注于“分析攻击意图”和“制定反制策略”等高价值工作。
第二,减少财力与物力:从“硬件堆砌”到“智能优化”。传统安全防护依赖大量硬件设备如防火墙、IDS/IPS、WAF等,不仅采购成本高,还需持续投入运维。人工智能通过软件定义安全(SDS)和智能流量调度,能动态调整资源分配。例如,某公司研发的“安全大脑”利用人工智能预测业务高峰期的攻击风险,能够在流量激增前提前扩容防护节点;当检测到某区域流量异常时,能够自动将防护策略从“全量检测”切换为“精准拦截”,减少不必要的计算资源消耗。
第三,减少时间:从“小时级响应”到“分钟级闭环”。安全应急响应的速度直接决定损失大小。特别是在应对勒索攻击之类的复杂威胁时,时间就是金钱。人工智能通过自动化剧本的执行,能快速完成“检测—分析—处置”全流程。例如,网络安全行业开发的综合防御平台,通过人工智能助手可以在发现勒索软件加密文件后,自动隔离受感染主机、阻断恶意进程通信、恢复备份数据,并同步通知相关责任人。
三、做“乘法”:快速提质
人工智能为网络安全叠加“倍增效应”,重塑技术与服务。人工智能的真正威力在于通过“技术乘法”放大安全能力的价值。它不仅解决“有没有”的问题,还推动“好不好”“精不精”的跨越式升级。
第一,技术能力的“精准化乘法”。人工智能让威胁情报从“模糊描述”变为“精准画像”。例如,威胁情报平台利用自然语言处理(NLP)分析全球暗网论坛、黑客工具代码、社交媒体讨论,不仅能识别攻击组织的常用手法,如APT组织偏好利用哪种类型的漏洞;还能预测其下一步攻击目标,如针对医疗行业的患者数据窃取。这种“情报+预测”的精准化,让防御方从“被动挨打”变为“精准布防”。
第二,服务模式的“个性化乘法”。不同企业的安全需求差异巨大。金融机构重数据防泄露,制造业重工控系统防护,而人工智能能通过用户行为分析提供“千企千面”的解决方案。例如,某企业开发的“安全GPT”可以根据企业历史攻击记录、资产分布、业务流程,自动生成定制化的安全策略建议,如“加强研发部门的代码仓库访问控制”“针对供应链合作方增加邮件钓鱼演练”。某车企使用后,安全策略与业务场景的匹配度提升了90%,同时因策略误配导致的业务中断事件减少了80%。一增一减,效果立见。
第三,生态协同的“网络化乘法”。人工智能可以打破安全厂商之间的数据孤岛。例如,国内多家安全企业联合打造“安全大模型联盟”,通过共享威胁情报训练数据,让人工智能模型能更快识别新型攻击手法。当某厂商检测到一种利用供应链漏洞的攻击时,其他厂商的人工智能模型可通过联邦学习同步更新特征库,实现“一家发现、全网免疫”。这种协同效应,不仅让整个行业的安全水位共同提升,还能有力支撑国家的网络安全协同治理。
四、做“除法”:反向增效
人工智能为网络安全降低“成本损耗”,放大投入产出比。人工智能的核心价值之一是通过“效率除法”降低安全运营的综合成本,同时提升安全效益。这不是简单的“省钱”,而是用更少的投入获得更大的安全回报。
第一,降低直接成本:从“高投入低回报”到“精准投入高产出”。传统安全建设往往“重硬件轻运维”。企业花大价钱购买设备,却因运维能力不足导致防护效果打折扣。人工智能通过智能优化资源分配,让每一分钱都花在刀刃上。例如,某金融机构过去每年投入数千万采购防火墙和终端防护软件,但仍有20%的漏洞不能及时修复;引入人工智能漏洞管理平台后,系统自动评估漏洞的利用难度、业务关联性和修复优先级,将有限的修复资源集中在“高危且易被利用”的漏洞上,漏洞修复率从70%提升至95%,同时年度安全预算减少了15%。
第二,提升间接效益:从“安全成本”到“业务赋能”。安全不再是业务的“绊脚石”,而是数字化转型的“加速器”。国内安全界的头部企业研发人工智能驱动的零信任架构,力求根据用户身份、设备状态、访问场景动态授权。例如,当员工在家办公时,人工智能会根据网络环境风险自动调整权限,如禁止访问核心数据库;当检测到异常登录行为时,人工智能会要求二次认证而非直接阻断,避免误伤正常业务。
第三,更关键的是,安全能力的提升增强了客户信任。例如,国内一家大型电商平台公司,由于连续多年未发生重大数据泄露事件,平台用户的复购率提高了12%。这正是“安全不是成本,而是价值”的最好体现。
五、结 语
深入实施“人工智能+”行动,不能停留在简单地“拥抱”层面,而是要全面地“融入”,做到精打细算。当我们用“加法”为防御叠加能力,用“减法”为运营卸下包袱,用“乘法”为技术注入精准,用“除法”为效益放大价值,网络安全便不再是“被动防守的游戏”,而是一场“主动进化的智慧革命”。这就是网络安全行业底层逻辑正在发生的根本性转变。
当然,我们也要清醒认识到,人工智能不是万能钥匙,更不可能完全替代人类。未来的网络安全,一定是“人类智慧+机器智能”的协同战场。何德全院士反复告诫,要深刻体会钱学森老前辈的一句话:“人机结合、以人为主”。人工智能是让安全防护更高效、更敏捷、更智能的关键变量,而人永远是让安全事业更有方向、更有目的、更有意义的决定力量。
(本文系作者在第四届北外滩网络安全论坛暨网数智安全前沿科技与装备展上的讲话)
声明:本文来自风起江河,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
