网络安全市场的发展和ICT市场的发展是紧密相连的，网络安全的成熟度也随着ICT市场发展逐渐成熟。全球权威咨询机构IDC在2007年提出以云计算、大数据、社交和移动四大支柱技术为依托的“第三平台” 概念，以第三平台为基础，将全球ICT市场发展分为三个阶段：试点创新、倍增创新、智能创新。

　　今天，第三平台技术已经进入到倍增创新的阶段，成为企业IT系统的基础。人工智能技术开始被行业所关注，并且越来越广泛的被应用于各行各业。未来，进入“智能创新”阶段，在超复杂性规模化环境中，人工智能的成熟度将呈现指数级增长，人工智能在网络安全的领域也将会产生更多的创新。

　　在过去的两年里，伴随着ICT的高速发展，全球的恶意移动软件攻击的数量增加了将近一倍；在我国，漏洞的数量也逐年递增。究其原因，其主要在于数字化转型带来了IT资产价值的大幅提升，导致黑产为获利而加大各种网络攻击行为。根据IDC在亚太地区的一项调研，当网络攻击发生时，只有17%企业可以使用自动化工具，实时的进行威胁处理，而其他的绝大多数的企业难以高效处理网络攻击事件。因此，未来企业需要的是自动化的处理、快速的检测、快速的响应，人工智能技术和机器学习技术将会在此间发挥巨大的作用。

　　新技术推动数字化转型的同时，也会为黑产所利用。近些年来，随着云计算、物联网、人工智能的快速发展，使得这些技术和基础设施可以作为企业业务系统的资源，极大的提高企业的生产效率。但是，它们也为黑产进行网络攻击提供了技术支撑，例如，云计算的大量运算能力可能会被用来发起DDoS攻击；会有一定比例的海量物联网终端可能被黑客控制做为“肉鸡”；人工智能技术也可能被用于自动化攻击工具的开发，形成AI黑客机器人。在这种情况下，依赖人工去处理大量的攻击事件是不现实的。因此，未来网络安全技术与人工智能技术结合，制造AI防御机器人对抗AI黑客机器人进行防御将是一种必然的趋势。

　　20年前，由于IT架构极简，企业进行网络安全建设往往是简单选择一些合规产品，如防火墙、入侵检测、日志分析等。今天，企业的IT系统已经广泛的部署在云计算环境中，基础设施环境越发复杂，仅仅依靠这些产品已经不足以识别、发现、处置复杂的安全风险。根据IDC研究，未来，企业所选择的网络安全技术将向大数据分析、AI、认知方向发展，具体包括：自动响应、开发安全计划、调查、探索、威胁诱捕等等新的安全技术。

　　根据IDC的调研，全球网络安全市场需求仍然不断快速增长。IDC预测，到2022年，60%的安全运营中心的初级分析师，将利用人工智能和机器学习持续提高其工作效率，并提升其运营的安全水平。未来将会有更多的安全技术与人工智能技术紧密结合，互相处促进，逐渐成熟。人工智能也将成为网络安全产业未来发展必备的关键技术。

　　AI无疑是当前最热的一个词汇，它在智能安防、语音识别、互联网智能推荐方面得到了普遍的应用，在ICT基础设施、云基础设施运维等方面也得到很好的应用。但是在网络安全方面，目前的应用还处于初级阶段。

　　首先，网络安全防御体系与物理世界防御有着相似之处，可以用二战时法国马奇诺防御体系来做一个比喻。马奇诺防御体系是法国基于堑壕战思维修建的一条防线。从设计来讲，马奇诺防御体系设计科学，设施完备，纵深防御各方面都做得非常好。但是它的缺陷也非常明显。首先，它是一个静态的防御体系，无法适应变化，反应速度不够快；其次，在对敌防御时识别不够准确，只能从自己视角识别敌人的进攻方式，没有考虑此之外的漏洞，因此是不完善的；另外，一战的堑壕战思维应对二战的闪电战，战略战术思维差距大，也不够聪明。

　　在网络安全领域，目前的威胁防御也面对类似的情况。网络防御的目标，目前已经从已知威胁防御开始向未知威胁防御转变。对于已知的威胁，防御技术是相对成熟的。但是针对未知威胁以及变种，特别是针对一些未知的漏洞，0-day的漏洞，目前缺乏有效应对的手段。

　　为了应对海量未知威胁，安全防御体系逐步开始向基于AI的自动化对抗演进。安全防御可以看做是从人工到智能转换的过程。人工专家从最初的执行工作，慢慢演进到更高级的安全规划、策略制定、对抗策略等方面。一些简单的重复的工作，逐渐交给机器智能去完成。

　　这个过程可以分为三个阶段。首先，对于人们已知的威胁，通过安全防御设备加上人工处理对抗威胁。其次，对于人们已经理解的未知威胁，可以逐渐演进为低度的自主对抗，通过AI技术的加持，从单点防御方面进行一些检测能力的增强，从而能够覆盖未知威胁进攻。可以针对某个具体业务场景，从预防、检测、到威胁处置进行完全闭环的操作，实现一定程度智能、自动化。最后，对于未来的未知威胁，能完全做到这种机器自主对抗，实现在全领域、全方位对抗安全威胁。这将是一个逐步演进的过程。

　　那么，采用AI技术加持的网络安全防御架构应该如何实现呢？

　　首先，在网络边界，基于NGFW的防御体系已经有10年历史了。这个防御体系在应用识别基础上，增加了对签名库硬件加速的支持，可以满足PC互联网时代的防御要求。然而在近10年来，互联网已经从PC互联网时代转变成移动互联网时代，人们的生产生活完全基于互联网这个基础设施展开。人们面临的威胁面在扩大，威胁的种类在增多，威胁也变得立体化。网络边界防御是整个安全防御体系的第一道门，通过AI能力加持，通过数学建模对一些未知威胁进行行为分析。分析结果可以直接在网络边界设备上处理，做到威胁防御能力既快速又准确。

　　其次，网络边界受限于部署位置，无法了解整个网络的全局，因此需要在网络中构建一个安全大脑。安全大脑通过知识驱动，AI技术可以帮助获取这些知识。安全大脑是企业安全运维人员的一个操作平台，它可以理解安全规章制度，网络流量信息，了解资产漏洞，调度各类防御设施，把这些单点防御结合在一起形成整体协同防御，从检测到根治形成闭环，给出快速合理的处置方案。

　　第三，除了网络边界和本地安全大脑之外，还需要借助云端平台，及时获取最新的知识。云端会基于AI技术对每天数百万级的样本进行自动化的安全威胁分析，把安全数据加工成信息，最后形成知识，不断进化，适应新的变化，应对日新月异的网络的攻击，让网络边界和本地安全大脑的效率提升百倍。

　　总之，AI加持的安全防御体系的三层架构，突破了单点和局部防御，走向全局的全球化的安全能力集成。从最初静态防御体系到新的AI加持的这种防御体系，从被动到主动，从人类专家手工到机器智能自动化转变的过程。在整个安全防御体系里，AI加持也表明现在人工智能应用也还处于初级阶段。未来AI会成为安全防御的基础材料，成为整个安全长城的城砖，各厂家在垂直领域做出自己的这种安全能力贡献，建设真生态，协力完成数字世界的安全守护。