(此文档为word格式，可任意修改编辑！）正文目录人工智能需要网络安全保护和限制 (5)人工智能对网络安全需求程度高于互联网 (5)人工智能需要网络安全限制边界 (6)网络安全需要人工智能提升防护能力 (7)“人工智能+网络安全”出现频次急剧上升 (7)防护边界泛网络化 (9)UEBA用于网络安全 (10)EDR用于网络安全 (12)人工智能网络安全成为创投并购重点 (13)2017前2月已有5家AI网络安全企业被收购 (13)防止未知威胁的Invincea被Sophos收购 (13)UEBA技术的被惠普收购 (14)关键IP用户行为分析的Harvest.ai日被亚马逊收购 (15)值得关注的人工智能与网络安全公司 (16)政策驱动网络安全下游需求 (17)《网络安全法》实施将有法可依扩大市场空间 (17)《工控安全指南》指明方向 (18)工控信息安全是新增长点 (18)三大潜在风险 (19)工业控制系统潜在的风险 (19)两化融合"给工控系统带来的风险 (20)工控系统采用通用软硬件带来的风险 (20)工控安全漏洞数回升 (20)服务器系统和工控数据危害集中区 (21)启明星辰绿盟科技引领工控安全 (22)网络信息安全龙头启明星辰 (23)领航网络信息安全 (23)政府军队等客户的选择证明公司实力雄厚 (24)外延收购扩大网络安全服务领域 (25)安全产品是主力，数据安全是亮点 (27)受益于并表和内生增长 (27)相关建议 (30)风险提示 (30)图目录图1：级别越高安全保障要求越高 (5)图2：无人机撞击电线 (6)图3：《西部世界》剧照 (7)图4：“网络安全”、“人工智能”和“机器学习”出现频率 (8)图5：“网络安全”、“人工智能”和“机器学习”出现频率 (8)图6：传统网络安全原理 (9)图7：人工智能时代网络安全需求 (9)图8：数据泄密渠道和方式 (10)图9：UEBA工作原理 (11)图10：传统安全产品与AI安全产品比较 (12)图11：Invincea首页 (14)图12：niara官网 (15)图13：Harvest.ai官网 (16)图14：投资机器学习与人工智能的网络安全公司列表 (17)图15：《网络安全法》出台有法可依解决三大问题 (18)图16：工控安全三大风险 (19)图17：2000-2016 年公开工控漏洞趋势图 (21)图18：2000-2016 年公开工控漏洞主要类型统计 (21)图19：国内工控安全厂商比较 (22)图20：启明星辰产品和服务 (23)图21：启明星辰收入构成 (24)图22：客户分布 (25)图23：已完成的主要外延收购 (26)图24：启明星辰收入构成变化 (27)图25：启明星辰营业收入规模及增速 (28)图26：启明星辰净利润规模及增速 (28)图27：启明星辰历史PE（TTM） (30)人工智能需要网络安全保护和限制兵马未动，粮草先行。

人工智能是基于网络和大数据的，保护网络和数据安全是发展人工智能的前提，我们认为网络信息安全是人工智能的保镖。

人工智能对网络安全需求程度高于互联网从产业周期角度看，科技从消费互联网到产业互联网，再到人工智能。

越来越深入经济和社会，从简单的信息传递、游戏娱乐到为生活、工作、经济做出决策。

人工智能承担的角色从配角到主角，再到主演，对主演的保护要远胜配角。

图1：级别越高安全保障要求越高消费互联网时代，在用户获取信息、打游戏过程中网络被攻击后，用户基本上没什么损失。

顶多是重启电脑、杀毒、重打游戏。

产业互联网时代，用户利用互联网进行商品交易，用户的网络被攻击的后果，可能是用户被导流到钓鱼网站，付款完成但是没有实际交易等。

用户损失的顶多是小额资金。

人工智能时代，我们需要人工智能为患者诊断疾病。

当医院的数据库或患者的病历数据被攻击后，人工智能判断系统可能对患者疾病做出严重失误的判断，例如把感冒诊断为重大疾病。

再例如，用人工智能为宏观经济做政策决策的时候，国家统计局和人民银行的数据库、IT系统被攻击后，等基于人工智能做出的国家层面的政策将导致巨大失误。

人工智能需要网络安全限制边界随着人工智能逐步完善，发展人工智能可能是一个潜在的灾难性错误。

主要是考虑到机器虽然能够为人类造福，但如果若干年后机器发展得足够智能就将成为人类的心头大患。

人工智能一旦发展完全将终结人类这一物种，尤其是人类被缓慢的生物进化所束缚不能与之对抗就会被取而代之。

人工智能的AlphaGO赢了李世石、Master横扫人类围棋高手，现在我们需要考虑的是人工智能的边界在哪里。

如果人工智能的发展使得我们个人没有隐私、企业没有了商业秘密、股票的走势被完全预测、大规模的杀伤性武器被研发问世。

对于那些没有能力使用人工智能或者这些超人类的控制力的人和组织来说是不公平的，也是灾难性的。

所以，人工智能需要网络安全来限制其边界，实行保护式发展。

最典型的案例就是无人机禁飞区，以北京为例，以前是5环内禁止无人机起飞，现在是以天安门为中心200公里以内禁飞。

2017年2月28日，北京市公安局发布了《关于加强北京地区“低慢小”航空器管理工作的通告》内容于今日开始正式施行。

该通告要求 3 月 1 日零时至 16 日 24 时，在以天安门广场为中心的 200 公里半径范围内，禁止一切单位、组织和个人利用“低慢小”航空器进行各类体育广告娱乐性飞行活动。

这种禁飞除了行政手段外，最有效的还是技术手段，用网络安全限制无人机。

图2：无人机撞击电线图3：《西部世界》剧照另外，当人工智能发展到超级阶段，出现反抗人类的时候，也需要从网络安全技术的角度去限制人工智能。

例如2016年HBO发行的科幻类连续剧《西部世界》刻画了人工智能的自主意识，出现了人工智能反抗人类的情景。

当现有法律、用户的隐私意识等还不足以匹配人工智能的时候，就需要网络安全技术手段来限制人工智能的应用，限制其边界。

网络安全需要人工智能提升防护能力“人工智能+网络安全”出现频次急剧上升CB Insights数据显示，网络安全公司逐渐开始使用人工智能技术，改善安全防御体系，开创网络防护新时代。

我们网络安全使用人工智能技术是有两大原因：一是随着网络攻击增多，危害程度上升，网络安全专业人才严重不足。

二是“零日攻击”等新型攻击形式增多。

图4：“网络安全”、“人工智能”和“机器学习”出现频率2016年，“网络安全”、“人工智能”和“机器学习”这三个词汇都很突出。

但是，这些都不是新词。

早在2012至2014年间，这三种技术在媒体文章中的出现频率就已经开始增长了，而且三者的增长率基本相同。

随着各个领域开始应用更多技术，商界和大众也逐渐了解这些技术，这三个词开始出现在越来越多的文章中。

2016年末，它们的出现率更是急剧增长。

另外，我们再看“网络安全”与“人工智能”共同出现在文章中的频率增加了，表明媒体更加频繁地将两者联系在一起讨论。

2016年，网络安全与机器学习共同出现的频率也有所增加，但跟前者相比，增幅略小。

图5：“网络安全”、“人工智能”和“机器学习”出现频率防护边界泛网络化传统网络安全方法的核心是对网络划分边界，但现在往往是通过内网大数据系统直接遥控终端，网络安全要利用人工智能技术应对网络泛化的数据安全。

图6：传统网络安全原理图7：人工智能时代网络安全需求以往内网外网等等都有个边界，现在网络泛化是趋势。

汽车可能在各种场合接入各种 wifi。

比如说特斯拉，它除了接入 wifi，在国内还能接入联通的 3G/4G 网络。

这本身可能就有多个网络的接口，泛化的确是目前网络安全要面对的一个新的挑战，尤其是在万物互联的大背景下。

越来越多的智能设备连接入网，客观上扩大了潜在的攻击点。

这是人工智能时代网络安全最大的矛盾，大数据、人工智能相关技术的运用可能成为被攻击点。

同时，这些新技术也能作为新的网络安全防御手段。

在整个网络安全的领域来说，人工智能相关技术的应用还是处于比较初级的阶段。

就大范围的应用来说，机器学习已经是很多领域常用的方法，但它在网络安全这块，比如判定网络攻击的种类时，准确率还可以进一步提升。

UEBA用于网络安全美国运营商巨头Verizon公司联合数十家企业机构发表了“2016数据泄密调查报告”。

该报告指出，内部人员（员工、合作伙伴）和权限滥用导致的数据泄密事件依然是主流。

图8：数据泄密渠道和方式所以，当内部人员变得不那么可靠的时候，一种有效的内部威胁防御技术正是解决之道。

UEBA技术应运而生。

用户和实体行为分析（UEBA）能够实现广泛的安全分析，就像是安全信息和事件管理（SIEM）能够实现广泛的安全监控一样。

UEBA提供了围绕用户行为的、以用户为中心的分析，但是也围绕其他例如端点、网络和应用。

跨不同实体分析的相关性似的分析结果更加准确，让威胁检测更加有效。

UEBA解决方案收集网络多个节点产生的信息。

最好的解决方案会从网络设备、系统、应用、数据库和用户处收集数据。

利用这些数据，UEBA 可以创建一条基线以确定各种不同情况下的正常状态是什么。

一旦基准线建立，UEBA 解决方案会跟进聚合数据，寻找被认为是非正常的模式。

这一确定过程仅评估新事件在上下文环境中是否不正常，以及不正常的程度有多深，并排序事件的重要性及可能的业务影响。

UEBA提供可视化录屏、用户行为数据化和基于大数据的智能行为分析。

UEBA 帮助用户防范信息泄露、避免商业欺诈、增强服务质量、提高工作效率。

这其中涉及到用户行为数据的收集、存储和分析，用到人工智能的相关技术。

图9：UEBA工作原理UEBA 技术将成为，事实上已经成为某个新兴市场的特征。

旧派和新派安全产品都在向着这个市场移动。

未来旧派SIEM厂商会在未来版本中简单将UEBA 引擎植入进去，使它们并行工作；同时SIEM把数据送到UEBA，UEBA的告警和附带数据被反馈给SIEM。

图10：传统安全产品与AI安全产品比较EDR用于网络安全另外一种新的防御思想叫做 EDR（End-point Detection Response）和 NDR （Network Detection Response）。

传统安全防护是在网络边界上放个防火墙，把攻击拦在防火墙外面。

现在网络的防线越来越长，漏洞越来越多，要想继续把攻击阻挡在防火墙之外几乎是不可能的。

DR（Detection Response）的思想考虑在攻击发生时能不能及早地发现、检测以及进行对应处理，因为在攻击发生的一开始，并不一定会造成非常严重的破坏，如果我们可以及时地阻断攻击，我们也能进行有效的管控。

DR主要分为EDR和NDR。

EDR是在终端进行检测与响应，比如像杀毒软件，过去只是简单地杀病毒，现在实际上把功能扩大了，他能收集应用程序在用户电脑中运行时的一些行为，在响应的过程中能对不合理的行为进行阻断。