📖 ZKIZ Archives

人工智能需要網絡安全保護和限制

兵馬未動，糧草先行。人工智能是基於網絡和大數據的，保護網絡和數據安全是發展人工智能的前提，我們認為網絡信息安全是人工智能的保鏢。

人工智能對網絡安全需求程度高於互聯網

從產業周期角度看，科技從消費互聯網到產業互聯網，再到人工智能。越來越深入經濟和社會，從簡單的信息傳遞、遊戲娛樂到為生活、工作、經濟做出決策。人工智能承擔的角色從配角到主角，再到主演，對主演的保護要遠勝配角。

消費互聯網時代，在用戶獲取信息、打遊戲過程中網絡被攻擊後，用戶基本上沒什麽損失。頂多是重啟電腦、殺毒、重打遊戲。

產業互聯網時代，用戶利用互聯網進行商品交易，用戶的網絡被攻擊的後果，可能是用戶被導流到釣魚網站，付款完成但是沒有實際交易等。用戶損失的頂多是小額資金。

人工智能時代，我們需要人工智能為患者診斷疾病。當醫院的數據庫或患者的病歷數據被攻擊後，人工智能判斷系統可能對患者疾病做出嚴重失誤的判斷，例如把感冒診斷為重大疾病。再例如，用人工智能為宏觀經濟做政策決策的時候，國家統計局和人民銀行的數據庫、IT系統被攻擊後，等基於人工智能做出的國家層面的政策將導致巨大失誤。

人工智能需要網絡安全限制邊界

隨著人工智能逐步完善，發展人工智能可能是一個潛在的災難性錯誤。

主要是考慮到機器雖然能夠為人類造福，但如果若幹年後機器發展得足夠智能就將成為人類的心頭大患。人工智能一旦發展完全將終結人類這一物種，尤其是人類被緩慢的生物進化所束縛不能與之對抗就會被取而代之。

人工智能的AlphaGO贏了李世石、Master橫掃人類圍棋高手，現在我們需要考慮的是人工智能的邊界在哪里。

如果人工智能的發展使得我們個人沒有隱私、企業沒有了商業秘密、股票的走勢被完全預測、大規模的殺傷性武器被研發問世。對於那些沒有能力使用人工智能或者這些超人類的控制力的人和組織來說是不公平的，也是災難性的。

所以，人工智能需要網絡安全來限制其邊界，實行保護式發展。

最典型的案例就是無人機禁飛區，以北京為例，以前是5環內禁止無人機起飛，現在是以天安門為中心200公里以內禁飛。2017年2月28日，北京市公安局發布了《關於加強北京地區“低慢小”航空器管理工作的通告》內容於今日開始正式施行。該通告要求3月1日零時至16日24時，在以天安門廣場為中心的200公里半徑範圍內，禁止一切單位、組織和個人利用“低慢小”航空器進行各類體育廣告娛樂性飛行活動。

這種禁飛除了行政手段外，最有效的還是技術手段，用網絡安全限制無人機。

另外，當人工智能發展到超級階段，出現反抗人類的時候，也需要從網絡安全技術的角度去限制人工智能。例如2016年HBO發行的科幻類連續劇《西部世界》刻畫了人工智能的自主意識，出現了人工智能反抗人類的情景。

當現有法律、用戶的隱私意識等還不足以匹配人工智能的時候，就需要網絡安全技術手段來限制人工智能的應用，限制其邊界。

網絡安全需要人工智能提升防護能力

“人工智能+網絡安全”出現頻次急劇上升

CBInsights數據顯示，網絡安全公司逐漸開始使用人工智能技術，改善安全防禦體系，開創網絡防護新時代。我們網絡安全使用人工智能技術是有兩大原因：一是隨著網絡攻擊增多，危害程度上升，網絡安全專業人才嚴重不足。二是“零日攻擊”等新型攻擊形式增多。

2016年，“網絡安全”、“人工智能”和“機器學習”這三個詞匯都很突出。但是，這些都不是新詞。早在2012至2014年間，這三種技術在媒體文章中的出現頻率就已經開始增長了，而且三者的增長率基本相同。隨著各個領域開始應用更多技術，商界和大眾也逐漸了解這些技術，這三個詞開始出現在越來越多的文章中。2016年末，它們的出現率更是急劇增長。

另外，我們再看“網絡安全”與“人工智能”共同出現在文章中的頻率增加了，表明媒體更加頻繁地將兩者聯系在一起討論。2016年，網絡安全與機器學習共同出現的頻率也有所增加，但跟前者相比，增幅略小。

防護邊界泛網絡化

傳統網絡安全方法的核心是對網絡劃分邊界，但現在往往是通過內網大數據系統直接遙控終端，網絡安全要利用人工智能技術應對網絡泛化的數據安全。

以往內網外網等等都有個邊界，現在網絡泛化是趨勢。汽車可能在各種場合接入各種wifi。比如說特斯拉，它除了接入wifi，在國內還能接入聯通的3G/4G網絡。這本身可能就有多個網絡的接口，泛化的確是目前網絡安全要面對的一個新的挑戰，尤其是在萬物互聯的大背景下。越來越多的智能設備連接入網，客觀上擴大了潛在的攻擊點。這是人工智能時代網絡安全最大的矛盾，大數據、人工智能相關技術的運用可能成為被攻擊點。同時，這些新技術也能作為新的網絡安全防禦手段。

在整個網絡安全的領域來說，人工智能相關技術的應用還是處於比較初級的階段。就大範圍的應用來說，機器學習已經是很多領域常用的方法，但它在網絡安全這塊，比如判定網絡攻擊的種類時，準確率還可以進一步提升。

UEBA用於網絡安全

美國運營商巨頭Verizon公司聯合數十家企業機構發表了“2016數據泄密調查報告”。該報告指出，內部人員（員工、合作夥伴）和權限濫用導致的數據泄密事件依然是主流。

所以，當內部人員變得不那麽可靠的時候，一種有效的內部威脅防禦技術正是解決之道。UEBA技術應運而生。

用戶和實體行為分析（UEBA）能夠實現廣泛的安全分析，就像是安全信息和事件管理（SIEM）能夠實現廣泛的安全監控一樣。UEBA提供了圍繞用戶行為的、以用戶為中心的分析，但是也圍繞其他例如端點、網絡和應用。跨不同實體分析的相關性似的分析結果更加準確，讓威脅檢測更加有效。

UEBA解決方案收集網絡多個節點產生的信息。最好的解決方案會從網絡設備、系統、應用、數據庫和用戶處收集數據。利用這些數據，UEBA可以創建一條基線以確定各種不同情況下的正常狀態是什麽。一旦基準線建立，UEBA解決方案會跟進聚合數據，尋找被認為是非正常的模式。這一確定過程僅評估新事件在上下文環境中是否不正常，以及不正常的程度有多深，並排序事件的重要性及可能的業務影響。

UEBA提供可視化錄屏、用戶行為數據化和基於大數據的智能行為分析。UEBA幫助用戶防範信息泄露、避免商業欺詐、增強服務質量、提高工作效率。這其中涉及到用戶行為數據的收集、存儲和分析，用到人工智能的相關技術。

UEBA技術將成為，事實上已經成為某個新興市場的特征。舊派和新派安全產品都在向著這個市場移動。未來舊派SIEM廠商會在未來版本中簡單將UEBA引擎植入進去，使它們並行工作；同時SIEM把數據送到UEBA，UEBA的告警和附帶數據被反饋給SIEM。

EDR用於網絡安全

另外一種新的防禦思想叫做EDR（End-pointDetectionResponse）和NDR（NetworkDetectionResponse）。傳統安全防護是在網絡邊界上放個防火墻，把攻擊攔在防火墻外面。現在網絡的防線越來越長，漏洞越來越多，要想繼續把攻擊阻擋在防火墻之外幾乎是不可能的。

DR（DetectionResponse）的思想考慮在攻擊發生時能不能及早地發現、檢測以及進行對應處理，因為在攻擊發生的一開始，並不一定會造成非常嚴重的破壞，如果我們可以及時地阻斷攻擊，我們也能進行有效的管控。

DR主要分為EDR和NDR。EDR是在終端進行檢測與響應，比如像殺毒軟件，過去只是簡單地殺病毒，現在實際上把功能擴大了，他能收集應用程序在用戶電腦中運行時的一些行為，在響應的過程中能對不合理的行為進行阻斷。NDR是在網絡邊界上進行檢測與響應，比如現在常說的下一代防火墻在功能上已經不僅僅是包過濾，還要求可以檢測用戶通過網絡訪問到底幹了什麽，在網絡上進行檢測和響應。

那麽EDR和NDR也是結合雲的一種防禦機制，用來應對目前防禦戰線越來越長的現狀，由此可見，人們的防禦思想也在不斷革新。

人工智能網絡安全成為創投並購重點

2017前2月已有5家AI網絡安全企業被收購

2017年才過去兩個月，就有三家AI網絡安全創業企業被科技巨頭重金收購。

在打擊網絡犯罪領域，人工智能技術正變得越來越重要。2017年前2個月已經有3家關註AI的網絡安全創業企業已被收購。

這三家網絡安全創業企業都針對機器學習技術，即一組用來訓練機器從數據中學習並預測趨勢和結果的算法。包括利用機器學習算法來進行自然語言處理、預測分析、圖像識別等種種功能。

CBInsights的數據庫顯示2017年前兩個月中被大型科技公司收購的3家AI網絡安全創企。

另外，埃森哲於2月8日收購了AI網絡安全公司Endgame的聯邦服務部門。LRRPartners於1月9日收購了BluVector。BluVector是從國防承包商諾斯羅普·格魯曼公司分離出的子公司，其使用機器學習算法來實時檢測企業網絡中的安全威脅。

防止未知威脅的Invincea被Sophos收購

Invincea提供高級惡意軟件威脅檢測、網絡漏洞預防和預漏洞法醫情報。公司的旗艦產品“XbyInvincea”是一個機器學習的終端解決方案，旨在防止新的、未知的威脅類型。Invincea擁有不少使用沙盒環境檢測威脅的專利，沙盒環境可以讓軟件開發人員在為測試代碼發布之前先將其孤立等等。

Sophos以1億美元現金收購了Invincea，同時還有2000萬美元的盈利能力支付計劃，績效目標由Sophos設置。公司的研發部門InvinceaLabs不再此收購之列。

UEBA技術的被惠普收購

Niara提供的用戶和實體行為分析（UEBA）技術，該技術使用監督和非監督機器學習技術來分析用戶行為，發現可能導致安全問題的異常現象。

Niara的行為分析軟件可以自動檢測組織機構內的攻擊和風險行為。其UserandEntityBehavioralAnalytics(UEBA)軟件依賴機器學習和大數據分析，增強安全性以防止那些可能滲透傳統防火墻和其他外圍系統的威脅。

收購後，Niara將在HPEAruba下運營，並整合Aruba的ClearPass網絡安全產品組合用於有線和無線網絡基礎設施。Aruba部門一直是HPE計劃構建實現物聯網服務平臺的一部分。而收購和整合Niara將會特別加強HPE針對物聯網的網絡安全產品組合。當Niara發現安全事件後，客戶可以利用ClearPass隔離或者斷開用戶或者設備與易受攻擊網絡的連接。

關鍵IP用戶行為分析的Harvest.ai日被亞馬遜收購

Harvest.ai使用機器學習和AI圍繞公司的關鍵IP分析用戶行為，從而在客戶重要數據被竊取之前識別並阻止針對性攻擊。Harvest.ai的旗艦產品是一個正在等待專利審核通過的AI產品，名叫MACIEAnalytics，可以實時監測知識產權的訪問情況。

根據媒體報道，亞馬遜可能從2016年初就開始了針對Harvest.ai的收購流程，只不過收購細節現在才公開。有傳言表示，亞馬遜以2000萬美元收購了該公司，讓公司背後的唯一風投TrinityVentures大賺了一筆。

值得關註的人工智能與網絡安全公司

國外已經有公司將機器學習或者人工智能融入安全技術，我們從CBInsights找出13家值得關註的公司，具體情況如下表所示。

政策驅動網絡安全下遊需求

《網絡安全發》和《工控安全指南》實施，從政策層面將刺激下遊客戶對網絡安全產品和服務的需求。

《網絡安全法》實施將有法可依擴大市場空間

2016年11月7日十二屆全國人大常委會第二十四次會議正式的通過了《中華人民共和國網絡安全法》。網絡安全法將於2017年6月1日起施行。法律進一步界定關鍵信息基礎設施範圍;對攻擊、破壞我國關鍵信息基礎設施的境外組織和個人規定相應的懲治措施;增加懲治網絡詐騙等新型網絡違法犯罪活動的規定等。

目前我國面臨著三大網絡安全突出問題：國家網絡主權和國家安全戰略需求；企業數據、知識產權遭竊取難以維權；公民個人信息和隱私遭泄露、詐騙損失慘重。而我國網絡安全法律法規處於空白狀態，在網絡安全問題日益凸顯的當前，往往面臨無法可依的窘境。2017年6月1日，《網絡安全法》正式實施後，網絡安全工作將進入有法可依、有法必依的階段。

這將催生一個不斷擴大的網絡安全市場空間，產業投入和建設也將步入持續穩定的發展軌道。

《工控安全指南》指明方向

2010年10月發生在伊朗核電站的"震網"（Stuxnet）病毒，為工業生產控制系統安全敲響了警鐘。現在，國內外生產企業都把工業控制系統安全防護建設提上了日程。

工信部於2016年10月發布了《工業控制系統信息安全防護指南》(簡稱《指南》)，指導工業企業開展工控信息安全防護工作。《指南》從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任11個方面對工控信息安全建設內容進行了規定。

工控信息安全是新增長點

工業控制系統（IndustrialControlSystems,ICS），是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術。

三大潛在風險

工業控制系統潛在的風險

1.由於考慮到工控軟件與操作系統補丁兼容性的問題，系統開車後一般不會對Windows平臺打補丁，導致系統帶著風險運行。2.殺毒軟件安裝及升級更新問題：用於生產控制系統的Windows操作系統基於工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間。3.使用U盤、光盤導致的病毒傳播問題：由於在工控系統中的管理終端一般沒有技術措施對U盤和光盤使用進行有效的管理，導致外設的無序使用而引發的安全事件時有發生。4.設備維修時筆記本電腦的隨便接入問題：工業控制系統的管理維護，沒有到達一定安全基線的筆記本電腦接入工業控制系統，會對工業控制系統的安全造成很大的威脅。5.工業控制系統控制終端、服務器、網絡設備故障沒有及時發現而響應延遲的問題：對工業控制系統中IT基礎設施的運行狀態進行監控，是工業工控系統穩定運行的基礎。

兩化融合"給工控系統帶來的風險

工業控制系統最早和企業管理系統是隔離的，但近年來為了實現實時的數據采集與生產控制，滿足"兩化融合"的需求和管理的方便，通過邏輯隔離的方式，使工業控制系統和企業管理系統可以直接進行通信，而企業管理系統一般直接連接Internet，在這種情況下，工業控制系統接入的範圍不僅擴展到了企業網，而且面臨著來自Internet的威脅。

同時，企業為了實現管理與控制的一體化，提高企業信息化合綜合自動化水平，實現生產和管理的高效率、高效益，引入了生產執行系統MES，對工業控制系統和管理信息系統進行了集成，管理信息網絡與生產控制網絡之間實現了數據交換。導致生產控制系統不再是一個獨立運行的系統，而要與管理系統甚至互聯網進行互通、互聯。

工控系統采用通用軟硬件帶來的風險

工業控制系統向工業以太網結構發展，開放性越來越強。基於TCP/IP以太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中，由於工業系統集成和使用的便利性，大量使用了工業以太環網和OPC通信協議進行了工業控制系統的集成；同時，也大量的使用了PC服務器和終端產品，操作系統和數據庫也大量的使用了通用的系統，很容易遭到來自企業管理網或互聯網的病毒、木馬、黑客的攻擊。

工控安全漏洞數回升

截至2016年底，根據中國國家信息安全漏洞共享平臺[CNVD]所發布的2016年新增工業控制系統漏洞信息，並經過匡恩網絡的統計分析，2016年新增公開工控漏洞數量達141個，而2015年只有108個。

服務器系統和工控數據危害集中區

2000年以來新增漏洞危害性分析，緩沖區溢出、信息泄露、輸入驗證、跨站腳本等類型的工控漏洞數量居多，對工控系統的危害主要集中在服務器的系統和數據中。

從已公開的工控系統漏洞類型來看，緩沖區溢出類型的漏洞高居榜首，漏洞數量達到165個，其次分別為信息泄露、輸入驗證、跨站腳本、權限問題類型的漏洞，數量分別達到66、63、58、52個。由於以上五種漏洞類型都能夠造成工控系統服務中斷、系統停機、信息泄露，甚至是物理性破壞，因此常常被黑客、病毒及惡意程序所利用，危害性十分巨大。利用緩沖區溢出攻擊，可以導致程序運行失敗、系統宕機、重新啟動等後果，甚至可以利用它執行非授權指令，對工業現場的智能設備下發非法指令（例如修改運行參數、關閉閥門開關等），以達到其攻擊目的。

啟明星辰綠盟科技引領工控安全

中國工控安全廠商，根據其歷史背景可以分為三種類型：自動化背景廠商、傳統IT安全廠商、專業工控安全廠商。

隨著工業4.0實施，物聯網的普及之後，工控不再是相對獨立的網絡，而是完全融入互聯網的一部分。工控安全也不再是相對獨立的一部分，而是和傳統網絡安全融為一體，要從傳統互聯網的角度維護工控安全，而非工控系統。

所以我們認為，未來的工控安全領域，傳統IT廠商啟明星辰、綠盟科技等具有顯著優勢。

網絡信息安全龍頭啟明星辰

啟明星辰1996年成立，是國內最具實力、擁有完全自主知識產權的綜合性信息網絡安全企業。啟明星辰是國家認定的企業級技術中心、國家規劃布局內重點軟件企業，擁有最高級別的涉及國家秘密的計算機信息系統集成資質。

公司主要產品大類為安全產品（安全網關、安全監測、平臺工具、數據安全）、安全服務、硬件及其他。2014年入侵檢測系統市場占有率達到28%，全國第一。

2015年年報中安全網關、檢測貢獻收入較高。

政府軍隊等客戶的選擇證明公司實力雄厚

公司的客戶遍布政府、軍隊、金融、電信等國家安全級別非常高的領域，這些重要領域的客戶選擇公司的產品，證明了公司在網絡安全的實力。

例如政府領域的全國人民代表大會、最高人民檢察院、中央辦公廳、國務院辦公廳、中共中央組織部、中共中央宣傳部、中央政府門戶網站、國家發展和改革委員會、國家保密技術研究所、財政部、科學技術部、公安部、人事部、交通部、工業和信息化部等。

軍工領域有人民解放軍總參某部、人民解放軍總裝某部、人民解放軍總後某部、人民解放軍總政某部、人民解放軍海軍某部、人民解放軍空軍某部。

外延收購擴大網絡安全服務領域

2011年至今，啟明星辰先後完成了對網禦星雲、賽貝卡、合眾數據、安方高科、賽博興安、書生電子等企業的部分或全部股權收購，使得公司在網絡安全及數據處理等方面的技術得到突破，市場影響力及市場份額不斷提高。

通過外延收購的標的公司與原有啟明星辰產品和客戶形成互補和加強，例如偏重軍隊、電信的網禦星雲；數據加密的書生電子；電磁安全的安方高科等。

安全產品是主力，數據安全是亮點

2015年安全產品和服務占營業收入86%，隨著網絡安全需求的普及和多樣化發展，公司業務收入構成日趨多元化。除安全網關和安全檢測構成公司收入的主要來源外，其余各業務收入占比逐漸均衡。

其中，安全監測、平臺工具、硬件及其他業務多年保持相對穩定的收入占比；安全服務收入占比逐漸降低；隨著互聯網用戶需求及網絡安全隱患的增加，安全網關業務自2010年以來取得了快速增長；安全監管業務自2012年起不再構成公司業務收入來源。

相反地，隨著大數據概念的興起和發展，數據安全成為公司新興業務，尤其是在公司收購合眾數據和書生電子後，這一業務取得了快速增長。

受益於並表和內生增長

2007年以來，公司經營良好，營業收入和凈利潤都有較大增長，同比增長率基本維持在20%以上。2016年營收19.28億元，增長25.7%；歸屬母公司股東凈利潤3.28億元，增長34.4%。

2007~2015年營業收入複合增長率達到26.4%，凈利潤CAGR達到25.8%。

2012年，公司營業收入出現大幅增長，同比增長率達到70.69%，其主要原因在於報告期內公司業務增長及與網禦星雲實現重組，同時，重組及業務增長也使得公司營業總成本快速增長，同比增長率達到74.17%，總體而言，2012年凈利潤增長率並不顯著。

隨著業務的增長及並入網禦星雲2013年全年總收入，公司2013年凈利潤增長率實現突破，達到66.19%。隨著公司並購更多企業，主營業務日趨多元化，近年營業利潤及凈利潤增長率均保持較高水平。

2013年凈利高增長另一原因是2012增值稅推遲到2013年返還，2013年退稅7887萬元，同比增長216%。

邏輯假設

1.2017年6月1日網絡安全法實施，以及工控安全指南實行刺激下遊安全產品和服務需求；

2.黨政機關軍隊依舊依賴傳統的“看得見摸得著”的網絡安全產品，今年召開十九大政府對網絡信息安全重視度遠超往年。

3.各種工業控制系統接入互聯網後工控安全需求增加，要從傳統IT互聯網角度去維護工控安全，所以啟明星辰這樣的傳統安全廠商具有工控優勢。

4.收購賽博興安並表提升業績，美國的安全廠商賽門鐵克就是靠收購並表逐步壯大。

盈利預測和估值

2017年1月28日收購賽博興安交易完成，賽博興安2016-2018年承諾扣非歸母凈利潤分別不低於3874.00萬元、5036.20萬元、6547.06萬元，承諾期合計承諾凈利潤數為15457.26萬元。2017年業績增長主要來自賽博興安驅動。

2016~2018營業收入分別為19.28億元、28.1億元、36億元，同比分別增長25.7%、45.7%、28.1%。凈利潤分別為3.28億元、5.02億元、6.81億元，分別增長34.36%、53%、26.2%。

2017年3月12日市值195億元，對應2017~2018年PE分別為38倍、28.6倍。

從歷史PE（TTM）看，啟明星辰市盈率大部分時間處於56~75倍之間，截止3月10日市盈率只有59倍，估值處於歷史水平偏下。

投資建議

我們推薦人工智能網絡安全龍頭啟明星辰，推薦關註人工智能網絡安全組合：綠盟科技、美亞柏科、北信源、衛士通。

風險提示

網絡安全法、工控安全指南實行不達預期。新技術替代現有網絡安全產品。（完）