虚拟黑客机器人技术及应用

李爱生， 张素宏， 武 伟

(1. 上海市行政管理学校， 上海 201803； 2. 上海市宝山职业技术学校， 上海 200441；3. 上海应用技术大学 计算机科学与信息工程学院， 上海 201418)

2018年8月2日，全球芯片头号代工厂台湾积体电路制造股份有限公司(Taiwan semiconductor manufacturing company，TSMC)遭遇勒索病毒Wannacry入侵，预计造成约87亿元新台币(约合人民币17.6亿元)损失。近几年类似这样的信息安全问题，在我国乃至全球频频发生,各行业逐渐重视并加强部署自身信息安全网络。在我国各行业中信息安全的基础还是比较薄弱，大多数用户基本没有网络安全架构，而且缺乏专业网络安全人员，长期处于“一个人的安全团队”状态。即使一些大型的企业、政府、医疗等建立信息安全网络的单位，也主要采用主动扫描、渗透测试，以及被动的防火墙、软件加固等手段，并没有建立长期有效的抵御安全风险机制，而且还会经常遇到信息安全人员自身素质及工作稳定性问题。在一些互联网公司，需要依靠互联网对用户提供服务，其自身的业务系统迭代更新速度快，需要不断地将新业务更新上线，而且上线时间紧迫，往往遇到的问题是，针对新系统、新应用的安全措施根本无法及时部署，导致面临的系统漏洞未能及时修补，遭攻击频率高。

我国信息安全目前主要存在四方面问题：一是网络安全基础薄弱；二是网络安全人才缺乏；三是被动式信息安全体系没有建立长期有效的安全抵御机制；四是业务系统上线快，安全措施部署不及时。特别是进入互联网+时代，新的攻击方法和漏洞类型呈爆发式增长，层出不穷，传统的网络安全技术很难检测到随着时间推移而演变的新一代恶意软件和网络攻击，因此传统以人工为主的漏洞发现、安全验证等方法已经逐渐跟不上形势，无法满足互联网时代企业的安全验证服务要求，无法满足他们的网络安全建设需求。

1 虚拟黑客机器人技术

随着大数据技术的不断应用，人工智能[2]技术已经越来越多地进入到诸多领域。在网络安全方面，网络安全技术与人工智能技术的结合，为用户提供新的网络安全建设方案。使用人工智能来加强网络安全，建立动态网络安全体系，利用之前的网络攻击数据来应对更新相似的风险，为用户系统提供更多的保护，通过自动化复杂流程来检测攻击，并对违规行为做出反应等。

将人工智能与黑客攻击[3，9]技术相结合，称之为“虚拟黑客机器人技术”。运用人工智能技术模拟黑客入侵，实现自动化安全验证，为用户提供持续性网络安全验证服务，这样即保障了业务系统上线“事前”的安全，同时又建立业务安全验证体系。人工智能与黑客攻击技术也能够提供解决信息安全问题的方法和复测接口，全流程自动化。同样解决了用户网络安全人才缺乏及能力不足问题。虚拟黑客机器人技术改变了信息安全交付方式、提升了工作效率、提供了信息安全标准化程度、加强了数据可控性。

虚拟黑客机器人通过不断学习大数据，对其进行深度学习[5]算法训练，化被动防御为主动攻击，从黑客的角度进行持续性验证分析，量化企业安全风险，改善企业安全态势。虚拟黑客机器人革新传统的网络安全业务模式，颠覆了传统的网络安全服务，促进了网络安全行业的进步和发展。

虚拟黑客机器人帮助用户在风险控制和安全合规方面提供全新的技术手段，协助用户提升业务系统的安全系数，从而避免网络攻击给企业造成严重的损失。而且在用户使用虚拟黑客机器人前台集成界面，随时根据业务需求，使用虚拟黑客机器人的安全验证服务，虚拟黑客机器人前台集成界面通过互联网对用户业务系统进行安全验证，全流程由用户主控发起、跟踪、查看以及终结任务。

目前，虚拟黑客机器人技术已经在信息安全领域得到应用，墨云科技公司Vackbot虚拟黑客机器人，已经广泛应用在恶意代码的检测方面。Vackbot虚拟黑客机器人可以深度学习算法训练，并创造出智能攻击，处理人类所不能完成的任务。Vackbot虚拟黑客机器人可以进行虚拟向量验证性攻击，在用户被攻击前提前确认修复方案。Vackbot虚拟黑客机器人通过提升对安全大数据的处理能力，极大地提高安全事件处理的响应速度，最大限度地减少损失。

2 虚拟黑客机器人构想

2.1 软件架构设计

在虚拟黑客机器人软件架构的设计中，按“任务流”进行多层次的划分与设计，大致可分为6大层次，从下往上分别为收集层、数据层、算法层、萃取层、认知层和服务层，如图1所示。每个层次都依次为上面的层次进行服务。

图1 软件架构图Fig.1 Software architecture

(1) 收集层：负责提取情报数据，及时更新虚拟黑客机器人的知识库和漏洞库等。

(2) 数据层：对业务系统进行数据采集，同时通过与情报知识的匹配，对数据进行分析与标注。

(3) 算法层：提供多类人工智能算法，对采集的数据进行资产建模、威胁建模、攻击建模等。

(4) 萃取层：建立各种模型知识，识别对象指纹、漏洞，并通过与专家经验知识进行匹配，规划攻击方法、漏洞利用方法[5]和检测方法等。

(5) 认知层：对萃取层获得的攻击成果进行新一轮的识别、添加到知识图谱以及目标系统画像，丰富虚拟黑客机器人知识库数据，促进虚拟黑客机器人的进化。

(6) 服务层：对攻击流程获得的成果进行用户友好展示，如风险量化展示可以协助用户优先处理更紧急的问题；安全合规展示可以帮助用户完成合规整改等。持续安全验证将会使虚拟黑客机器人根据实际情况决策是否需要对目标业务系统进行重复的、迭代的安全验证服务，在满足触发条件的前提下，将会调度线程从收集层工作模块开始重新运行任务。

2.2 为用户提供的服务设计

虚拟黑客机器人主要依靠其智能引擎为用户提升服务。智能引擎是虚拟黑客机器人的安全大脑，是其工作的核心，负责为虚拟黑客机器人提供规划、识别、决策、向量拼接等工作的智能支持。在智能引擎的设计上，主要依据2种主要因素：①数据知识。虚拟黑客机器人需要具备全球安全情况网络收集功能，收集全球情报并构建即时情报系统，虚拟黑客机器人可以对情报平台收集信息进行深度学习、归类，构建多维多态知识图谱，对虚拟黑客机器人进行知识输出。虚拟黑客机器人的智能引擎依托虚拟黑客机器人安全大脑的知识，构建智能虚拟黑客服务体系，最终为客户网络及业务系统提供安全验证服务。②智能算法。虚拟黑客机器人的智能引擎包含多类智能算法，包括图像识别类算法(如CNN，KNN等)、特征识别与分类类算法(如NB，CNN，A3C，KM等)、决策类算法(如NB，DNN等)等类型的算法，能为不同场景的人工智能需求提供合适的算法组合支持。

依靠智能引擎，虚拟黑客机器人可在用户资产探测、漏洞管理与探测、攻击利用、风险量化等方面提供服务。在资产探测方面，虚拟黑客机器人通过各种扫描器、爬虫程序，对目标以及相关资产进行探测、识别与分类。对于探测进程，虚拟黑客机器人提供丰富的控制选项，细粒度的环境配置项，适应不同需求的控制算法等，结合内置指纹库，实现对广泛类型的资产的探测、识别以及信息收集功能。在漏洞管理与探测方面，虚拟黑客机器人可以对各种已知特征漏洞，及已知类型未知特征漏洞进行探测、识别、验证等一系列行为。在攻击利用方面，虚拟黑客机器人可根据不同用户场景需求开展攻击任务，可以完全模拟黑客行为，提供最大广度和深度上的风险发现和安全验证服务。在风险量化方面，虚拟黑客机器人以可视化形式展现风险数据、敏感数据、攻击链图以及攻击全景，为用户提供基于“视觉”的风险感知。

3 虚拟黑客机器人技术优势和难点

3.1 虚拟黑客机器人技术优势

虚拟黑客机器人对应每个任务阶段有不同的人工智能建模，使安全验证流程以资深安全专家的服务水平提供服务输出。在如下几方面具备优势：

(1) 在收集层情报平台及时收集到的庞大数据知识和情报支撑下，虚拟黑客机器人具备敏感的薄弱点发现能力，能为用户提供强大的风险识别和安全验证能力。

(2) 虚拟黑客机器人可以根据最新的数据情报，规划攻击路径。当虚拟黑客机器人利用漏洞成功，并获取新的数据信息时，就会触发新的攻击子任务，自动利用新的数据信息进行迭代攻击。通过自动迭代攻击，虚拟黑客机器人能够为用户提供全面的、关联性[7]的安全验证服务。

(3) 虚拟黑客机器人能够自动生成详细的任务报告，包括任务信息、漏洞信息、资产信息、风险评分、修复建议等内容，提供不同资产属性的统计图表信息。

(4) 通过虚拟黑客机器人自动生成的攻击链图能直观地查看攻击过程中所发现的资产、信息、漏洞以及这些流程的依赖步骤，用户通过简单操作即可完成黑客剧本的描述。

(5) 虚拟黑客机器人提供攻击全景实时界面，包括多类可视化分析视图、攻击实时动态图、攻击拓扑结构、病毒感染传播、全景合成图、攻击全过程等，为用户提供基于“视觉”的风险感知和管理。

(6) 虚拟黑客机器人主要的目的是改变传统渗透测试服务以人工服务为主的模式，使其逐渐转变为以机器人服务为主，人工服务为辅的模式，以缓解当前安全专业人才短缺问题。因此虚拟黑客机器人与传统人工安全服务对比，具有以下优势见表1。

3.2 虚拟黑客机器人技术难点

虽然与传统的人工安全服务相比，虚拟黑客机器人拥有诸多的优势，它能够依靠其智能引擎构建智能虚拟黑客服务体系，为客户网络及业务系统提供安全验证等服务，但在实际的应用中依然存在很多技术难点。

3.2.1 “黑客剧本”编写的合理性

虚拟黑客机器人模拟黑客入侵的“黑客剧本”是事先人为编写的，剧本的编写是否合理，是否能够编出一个以假乱真的“黑客剧本”，模拟出黑客入侵事件发生时，客户的漏洞到底在哪里。虚拟黑客机器人对应的每个任务阶段的人工智能建模，是否能够达到资深安全专家的服务水平提供服务输出。

表1 虚拟黑客机器人与传统人工安全服务的对比[10]Tab.1 Comparison between virtual hacker robot and traditional artificial security service[10]

3.2.2 漏洞库更新的及时性

在真实的环境中，虚拟黑客机器人要利用事先编写好的“黑客剧本”主动、持续地模拟黑客入侵，生成动态攻击路径链，在黑客入侵之前发现漏洞及攻击手法，并把这些最新的漏洞和处理方法及时补充到漏洞库中，同时更新黑客剧本，为新的模拟攻击做好准备。但想在真实的环境中，通过模拟攻击获取第一手资料，必须得到用户的授权，否则就是违法行为，而且在检测和扫描过程中可能存在许多误报的漏洞，需要大量的时间对这些漏洞进行验证。

3.2.3 虚拟黑客机器人训练的复杂性

虚拟黑客机器人作为一种安全领域的工具，怎样才能把它训练成为一名厉害的黑客高手，这是一个技术难题。

(1) 教给虚拟黑客机器人较完善的知识点，根据脚本，组合规则，把攻击套路和手法组合到一起，生成一个完整的攻击。

(2) 训练虚拟黑客机器人学习，需要把它布在某个节点上，模拟真实的黑客用不同的策略来对目标进行攻击。但是，目前许多智能安全产品，都是对开源代码的二次开发，使得这些底层代码不能与具体的人工智能建模相匹配。

(3) 训练虚拟黑客机器人融入不同的工作环境。不同的客户有不同的需求，虚拟黑客机器人需要掌握多种攻击方法，才能实现真实的安全渗透效果。

3.2.4 渗透过程的可控性

虚拟黑客机器人所用的渗透测试策略可自由地进行配置，但并不能完全取代人工安全服务，一些重要的决策还是需要由人工进行研判，以进一步保障渗透过程的可控性。在渗透过程中，虚拟黑客机器人需要找到那些会被黑客利用，并借此进一步入侵的关键漏洞，将这些漏洞进行识别和利用，通过人工智能攻击图谱，寻找、利用与实际场景相匹配的攻击手段，进一步做更深层次的渗透测试。

3.2.5 虚拟黑客机器人技术的局限性

虚拟黑客机器人技术是一把双刃剑，一旦被非法组织掌握，将会对日趋严重的信息安全增加更多不安全的因素。但是虚拟黑客机器人技术是以算法模型为基础，以海量漏洞库作为支撑的，如果缺乏海量的、持续更新的漏洞库，多样化场景脚本，以及信息安全人员主观能动配合，虚拟黑客机器人技术将难以得到持续的进化和高效的利用。

4 结 语

虚拟黑客机器人技术作为人工智能与网络安全的结合，是人类面对将来安全领域的一个有力武器，是下一代互联网安全终极防御，必将大大提高安全防御效率。它颠覆性地改变当前网络安全行业风险验证服务的方式，从当前以人工服务为主逐渐转变为以机器人服务为主，为用户提供一个智能化持续性网络安全验证服务平台。为各行业用户在云计算、大数据、移动互联网、物联网、人工智能、区块链等领域，打造新一代网络安全验证服务保障体系，帮助用户在风险控制及安全合规方面提供全新的技术手段。虚拟黑客机器人技术必将发挥其更大的价值和能量，推动着网络安全行业实现更大的进步和发展！