網(wǎng)絡(luò)安全領(lǐng)域中的人工智能真相

Scot Finnie 陳琳華

我們?cè)诎踩a(chǎn)品宣傳中聽(tīng)到的許多關(guān)于人工智能和機(jī)器學(xué)習(xí)的內(nèi)容大部分都是為了營(yíng)銷(xiāo)，外人很難從中知道這些工具的真實(shí)能力。以下我們將為大家詳細(xì)介紹一下目前安全領(lǐng)域中人工智能和機(jī)器學(xué)習(xí)的狀態(tài)。

讓我們從破除最常見(jiàn)的誤解開(kāi)始：企業(yè)安全軟件中幾乎沒(méi)有整合真正的人工智能（AI）。事實(shí)上，人工智能這個(gè)術(shù)語(yǔ)經(jīng)常被提及的原因在大程度上與營(yíng)銷(xiāo)有關(guān)，反而跟技術(shù)本身沒(méi)有什么關(guān)系。純粹的人工智能主要是復(fù)制認(rèn)知能力。

也就是說(shuō)，作為人工智能眾多子領(lǐng)域之一的機(jī)器學(xué)習(xí)（ML）反倒是被整合到了一些安全軟件當(dāng)中。但即便是機(jī)器學(xué)習(xí)這個(gè)術(shù)語(yǔ)，人們的態(tài)度也有些過(guò)于樂(lè)觀。目前，機(jī)器學(xué)習(xí)在安全軟件中的使用方式更像上世紀(jì)80年代和90年代基于規(guī)則的“專(zhuān)家系統(tǒng)”，而非真正的人工智能。如果你曾經(jīng)使用過(guò)貝葉斯垃圾郵件過(guò)濾算法，并使用過(guò)數(shù)以千計(jì)的已知垃圾郵件和成千上萬(wàn)條已知的非電子郵件對(duì)其進(jìn)行訓(xùn)練，那么你可能會(huì)對(duì)機(jī)器學(xué)習(xí)的工作原理有一定的了解。在大多數(shù)情況下，它們無(wú)法進(jìn)行自我訓(xùn)練，需要進(jìn)行包括編程在內(nèi)的人工干預(yù)以更新訓(xùn)練內(nèi)容。由于安全領(lǐng)域中存在著很多的變量和數(shù)據(jù)點(diǎn)，因此不斷訓(xùn)練最新的內(nèi)容并讓其行之有效是一項(xiàng)艱巨的挑戰(zhàn)。

盡管如此，當(dāng)機(jī)器學(xué)習(xí)使用來(lái)自環(huán)境的大量數(shù)據(jù)進(jìn)行訓(xùn)練，尤其是環(huán)境中的使用者清楚自己的目標(biāo)，那么機(jī)器學(xué)習(xí)可以變得非常有效。雖然復(fù)雜的系統(tǒng)也是有可能的，但是相比廣泛的任務(wù)，機(jī)器學(xué)習(xí)在更具針對(duì)性的任務(wù)或任務(wù)集中表現(xiàn)的更為優(yōu)異。

IDC全球安全產(chǎn)品研究主管Chris Kissel表示，機(jī)器學(xué)習(xí)的優(yōu)勢(shì)之一是異常檢測(cè)，這是用戶(hù)和實(shí)體行為分析（UEBA）的基礎(chǔ)。他表示：“UEBA功能的定義為確定指定設(shè)備的收發(fā)行為是否異常。”UEBA生來(lái)就非常適用于許多重大網(wǎng)絡(luò)安全防御行為。

在機(jī)器學(xué)習(xí)系統(tǒng)得到充分且良好的訓(xùn)練后，大多數(shù)情況下就已經(jīng)完成了對(duì)已知良性事件的定義。這使威脅情報(bào)或安全監(jiān)控系統(tǒng)可以專(zhuān)注于識(shí)別異常情況。如果供應(yīng)商僅使用自己的通用數(shù)據(jù)對(duì)系統(tǒng)進(jìn)行訓(xùn)練，那么會(huì)發(fā)生什么情況？如果機(jī)器學(xué)習(xí)沒(méi)有足夠多的事件進(jìn)行訓(xùn)練呢？亦或是用于訓(xùn)練的事件中充斥著沒(méi)有經(jīng)過(guò)識(shí)別的極值，并且這些極值還不幸成為了背景噪音中的一部分呢？用戶(hù)可能會(huì)被企業(yè)威脅檢測(cè)軟件無(wú)休止的誤報(bào)而困擾。如果沒(méi)有對(duì)機(jī)器學(xué)習(xí)系統(tǒng)進(jìn)行持續(xù)的訓(xùn)練，那么你將無(wú)法享受到機(jī)器學(xué)習(xí)的真正優(yōu)勢(shì)。隨著時(shí)間的流逝，系統(tǒng)的使用效果將越來(lái)越差。

除了上述之外，機(jī)器學(xué)習(xí)還可以簡(jiǎn)化流程并為安全運(yùn)營(yíng)中心（SOC）人員提供建議。這些都展現(xiàn)了以更為強(qiáng)大的人工智能為基礎(chǔ)的系統(tǒng)將具有光明前景。以下是它們正在發(fā)揮作用的領(lǐng)域。

針對(duì)企業(yè)安全的9大機(jī)器學(xué)習(xí)使用案例

1.檢測(cè)并阻止正在實(shí)施的網(wǎng)絡(luò)攻擊。我們無(wú)法在攻擊發(fā)生之前及時(shí)關(guān)閉入侵的漏洞，至少現(xiàn)在還沒(méi)有這種能力，但是機(jī)器學(xué)習(xí)或許能夠在用戶(hù)之前發(fā)現(xiàn)入侵跡象，然后建議采取可能的行動(dòng)。Redware安全研究員Pascal Geenens說(shuō)：“我們可以使用機(jī)器學(xué)習(xí)來(lái)檢測(cè)未知的DDoS攻擊的嚴(yán)重程度。與此同時(shí)，機(jī)器學(xué)習(xí)還可以提取攻擊流量的特征，并自動(dòng)生成用于阻止攻擊的簽名。”

2.威脅情報(bào)。機(jī)器學(xué)習(xí)擅長(zhǎng)分析海量數(shù)據(jù)，并對(duì)其發(fā)現(xiàn)的行為進(jìn)行分類(lèi)。當(dāng)它們發(fā)現(xiàn)了異常情況后會(huì)及時(shí)提醒分析人員。機(jī)器學(xué)習(xí)還是快速篩查海量數(shù)據(jù)的利器，極大地提升了系統(tǒng)的數(shù)據(jù)分析能力。飽和攻擊是不法分子常用的戰(zhàn)術(shù)，應(yīng)對(duì)這類(lèi)攻擊往往都是說(shuō)起來(lái)容易做起來(lái)難，然而威脅檢測(cè)系統(tǒng)越具實(shí)時(shí)性應(yīng)對(duì)措施就越有效。

3.識(shí)別現(xiàn)有漏洞、確定優(yōu)先級(jí)并幫助修復(fù)。這些應(yīng)該是所有企業(yè)的經(jīng)常性工作，但是如果有套可靠的機(jī)器學(xué)習(xí)系統(tǒng)每天都幫助你執(zhí)行這些操作，那么企業(yè)安全中最大的問(wèn)題，即未修復(fù)的漏洞可能就不再那么受關(guān)注了。

4.安全監(jiān)控指跟蹤與網(wǎng)絡(luò)流量、內(nèi)部與外部行為、數(shù)據(jù)訪問(wèn)以及各種功能和活動(dòng)有關(guān)的信息的過(guò)程。在合理編程后，機(jī)器學(xué)習(xí)將有能力通過(guò)處理龐大的數(shù)據(jù)池來(lái)查找異常情況，因此機(jī)器學(xué)習(xí)很可能是最適合處理各種產(chǎn)品生成的日志文件和錯(cuò)誤消息的技術(shù)。

5.檢測(cè)勒索軟件等惡意軟件。勒索軟件家族正在日益發(fā)壯大，而機(jī)器學(xué)習(xí)可能是目前我們手中唯一可用于對(duì)抗它們的工具，因?yàn)橥ㄟ^(guò)檢測(cè)勒索軟件之前用過(guò)的簽名的方式已經(jīng)無(wú)法跟上形勢(shì)變化。在追查勒索軟件中，檢測(cè)異常行為能力已經(jīng)收到了良好的效果。

6.審查代碼以查找漏洞。DevSecOps中的一句格言是“安全性也是代碼”。顯然，開(kāi)發(fā)人員需要知道如何從安全角度編寫(xiě)代碼，不過(guò)如今機(jī)器學(xué)習(xí)已經(jīng)可自動(dòng)分析代碼查找常見(jiàn)的漏洞和弱點(diǎn)。事實(shí)上，它或許可以成為一種培訓(xùn)新開(kāi)發(fā)人員的工具。

7.數(shù)據(jù)分類(lèi)。為符合數(shù)據(jù)隱私和數(shù)據(jù)保護(hù)法規(guī)的要求，我們應(yīng)當(dāng)清楚需要保護(hù)的數(shù)據(jù)的特征。機(jī)器學(xué)習(xí)可用于掃描新導(dǎo)入或新生成的數(shù)據(jù)并對(duì)其敏感性進(jìn)行分類(lèi)，以便系統(tǒng)能夠以其需要的方式保護(hù)它們。

8.蜜罐。在這個(gè)特定的領(lǐng)域中，更接近真正人工智能的深度學(xué)習(xí)可與目前的威脅自動(dòng)緩解技術(shù)聯(lián)合使用。Geenens認(rèn)為：“通過(guò)在互聯(lián)網(wǎng)上的企業(yè)網(wǎng)絡(luò)中部署蜜罐，我們能夠收集大量數(shù)據(jù)，如果其中的數(shù)據(jù)是惡意的，我們會(huì)對(duì)其進(jìn)行標(biāo)記。不幸的是，經(jīng)由蜜罐檢測(cè)到的所有事件或流量實(shí)例全部是惡意的。如果我們有足夠的蜜罐和數(shù)據(jù)，那么深度神經(jīng)網(wǎng)絡(luò)將能夠創(chuàng)建一個(gè)可精準(zhǔn)檢測(cè)出攻擊行為的模型。”

9.預(yù)測(cè)并適應(yīng)未來(lái)的威脅。一些企業(yè)目前正在研究預(yù)測(cè)性安全分析技術(shù)。目前該技術(shù)已經(jīng)展現(xiàn)出了一些商業(yè)智能前景。這種類(lèi)似的機(jī)器學(xué)習(xí)技術(shù)能否被用來(lái)預(yù)測(cè)未來(lái)可能存在的漏洞和缺陷呢？現(xiàn)在還尚無(wú)定論。

探究真相

一些專(zhuān)家認(rèn)為，目前根本沒(méi)有任何基于人工智能的產(chǎn)品。這種說(shuō)法可能有些過(guò)于武斷。人工智能可以作為一個(gè)總稱(chēng)，用來(lái)表示一系列廣泛的技術(shù)，這其中包括技術(shù)層面上并不屬于人工智能的機(jī)器學(xué)習(xí)技術(shù)。在最嚴(yán)格的意義上，人工智能指具有認(rèn)知能力的計(jì)算機(jī)系統(tǒng)。Domo的CISO和SVP信任與安全部門(mén)的Niall Browne并不信任目前“基于人工智能”的安全產(chǎn)品。他說(shuō)：“人工智能具有巨大的潛力，并將在未來(lái)的安全領(lǐng)域中發(fā)揮關(guān)鍵作用。盡管如此，卻很少有人在企業(yè)安全中持續(xù)部署人工智能。” 不過(guò)，他也承認(rèn)機(jī)器學(xué)習(xí)確實(shí)具備安全用途。

Browne并不是唯一對(duì)一些安全產(chǎn)品炒作人工智能概念感到厭煩的人，他的態(tài)度得到了一些人的支持。

GreyCastle Security首席執(zhí)行官Reg Harnish對(duì)此總結(jié)道：“今天，許多聲稱(chēng)自己的產(chǎn)品具備人工智能功能的軟件供應(yīng)商不是想辦法使產(chǎn)品具備智能而是故意曲解原有規(guī)則。” 那么CSO/CISO應(yīng)當(dāng)如何問(wèn)詢(xún)安全產(chǎn)品供應(yīng)商，才能避免被機(jī)器學(xué)習(xí)的虛假宣傳所坑騙呢？

Delphi創(chuàng)始人兼云存儲(chǔ)初創(chuàng)公司W(wǎng)asabi顧問(wèn)Tom Koulopoulos指出，“首先要問(wèn)的一個(gè)關(guān)鍵問(wèn)題是：它們是如何學(xué)習(xí)的？因?yàn)槟阈枰私庥?xùn)練機(jī)器學(xué)習(xí)或人工智能的具體機(jī)制。其次要分別需要多少數(shù)據(jù)？再訓(xùn)練的頻率是多少？與算法的協(xié)作機(jī)制是什么？人類(lèi)怎么給它們打分？機(jī)器學(xué)習(xí)或人工智能使用的是存檔的數(shù)據(jù)集還是在線數(shù)據(jù)？”

作為IEEE成員的Integral Partners公司信息安全主管Kayne McGladrey給出了如下建議，“首先要在實(shí)驗(yàn)室內(nèi)的用戶(hù)環(huán)境復(fù)制品中對(duì)基于人工智能的安全解決方案展開(kāi)評(píng)估。然后聘請(qǐng)一個(gè)聲譽(yù)良好的團(tuán)隊(duì)模擬現(xiàn)實(shí)中的黑客反復(fù)嘗試突破這一環(huán)境。”

總結(jié)

現(xiàn)有企業(yè)安全平臺(tái)內(nèi)置人工智能是安全領(lǐng)域內(nèi)人工智能發(fā)展的大勢(shì)所趨。原因很簡(jiǎn)單，網(wǎng)絡(luò)犯罪分子已經(jīng)在使用機(jī)器學(xué)習(xí)。“包括網(wǎng)絡(luò)犯罪在內(nèi)，人工智能應(yīng)用到各行各業(yè)是只一個(gè)時(shí)間問(wèn)題。每當(dāng)安全部門(mén)開(kāi)發(fā)出了新的保護(hù)措施，網(wǎng)絡(luò)犯罪分子就開(kāi)始千方百計(jì)地企圖突破它們。人工智能將會(huì)以極快的速度提升企業(yè)的防護(hù)能力。想象一下，全球的智能犯罪系統(tǒng)每時(shí)每刻都在試圖入侵銀行、醫(yī)院和能源公司。當(dāng)然，這些企業(yè)和公司中的人工智能系統(tǒng)也在時(shí)刻不停地進(jìn)行工作，以阻止這些網(wǎng)絡(luò)犯罪分子。這些都是人工智能在未來(lái)需要面對(duì)的挑戰(zhàn)和機(jī)遇。”

本文作者Scot Finnie曾擔(dān)任Computerworld主編，目前為自由撰稿人，擁有數(shù)十年的IT從業(yè)經(jīng)驗(yàn)。

原文網(wǎng)址：https：//www.csoonline.com/article/3295596/security/ai-in-cybersecurity-what-works-and-what-doesnt.html