網(wǎng)絡(luò)安全中人工智能的自然適應(yīng)性

對于保護其數(shù)據(jù)的企業(yè)而言，網(wǎng)絡(luò)安全至關(guān)重要，即使是小型數(shù)據(jù)中心也可能運行數(shù)百個應(yīng)用程序，每個應(yīng)用程序都需要實施不同的安全策略。人類專家可能需要幾天到幾周才能完全理解這些策略并確保安全實施成功。 

網(wǎng)絡(luò)安全本質(zhì)上涉及重復(fù)性和乏味。這是因為識別和評估網(wǎng)絡(luò)威脅需要通過大量數(shù)據(jù)進行搜索并查找異常數(shù)據(jù)點。公司可以使用他們現(xiàn)有的基于規(guī)則的網(wǎng)絡(luò)安全軟件收集的數(shù)據(jù)來訓(xùn)練AI算法，以識別新的網(wǎng)絡(luò)威脅。 

了解攻擊的后果和公司所需的響應(yīng)還需要進一步的數(shù)據(jù)分析。可以訓(xùn)練AI算法在發(fā)生攻擊時采取某些預(yù)定步驟，并且隨著時間的推移，可以通過網(wǎng)絡(luò)安全主題專家的輸入了解最理想的響應(yīng)。 

人類安全專家無法與AI軟件完成這些數(shù)據(jù)分析任務(wù)的速度和規(guī)模相匹配。此外，基于AI的網(wǎng)絡(luò)安全數(shù)據(jù)分析軟件可以比人類分析師更高的準確度完成任務(wù)。大規(guī)模數(shù)據(jù)分析和異常檢測是AI可能在網(wǎng)絡(luò)安全中增加價值的一些領(lǐng)域。 

許多網(wǎng)絡(luò)安全入侵通常在企業(yè)網(wǎng)絡(luò)上運行，監(jiān)控進出網(wǎng)絡(luò)的數(shù)據(jù)是檢測網(wǎng)絡(luò)安全威脅的一種方法。監(jiān)控作為企業(yè)網(wǎng)絡(luò)通信一部分的每個“數(shù)據(jù)包”數(shù)據(jù)，人類分析師幾乎不可能準確監(jiān)控。  

基于機器學(xué)習(xí)的軟件可以潛在地使用多種技術(shù)，例如統(tǒng)計分析，關(guān)鍵字匹配和異常檢測，以確定給定的數(shù)據(jù)包是否與訓(xùn)練數(shù)據(jù)集中使用的數(shù)據(jù)包的基線不同。 

所有這些似乎都表明，人工智能現(xiàn)在開始被視為一種有效的工具，可以獲得對欺詐者和黑客的巨大優(yōu)勢。 

用于網(wǎng)絡(luò)威脅識別的AI 

企業(yè)網(wǎng)絡(luò)安全對大多數(shù)公司來說至關(guān)重要，而建立良好網(wǎng)絡(luò)網(wǎng)絡(luò)安全流程最困難的部分是了解網(wǎng)絡(luò)拓撲中涉及的所有各種元素。對于人類網(wǎng)絡(luò)安全專家來說，這意味著需要花費大量時間來跟蹤進出企業(yè)網(wǎng)絡(luò)的所有通信。 

管理這些企業(yè)網(wǎng)絡(luò)的安全性涉及識別哪些連接請求是合法的以及哪些連接請求嘗試異常的連接行為，例如發(fā)送和接收大量數(shù)據(jù)或在連接到企業(yè)網(wǎng)絡(luò)后運行異常程序。 

網(wǎng)絡(luò)安全專家面臨的挑戰(zhàn)在于確定應(yīng)用程序的哪些部分，無論是在Web上，移動平臺上，還是正在開發(fā)或測試的應(yīng)用程序，都可能是惡意的。在大型企業(yè)網(wǎng)絡(luò)中識別數(shù)千個類似程序中的惡意應(yīng)用程序需要大量時間，而人類專家并不總是準確的。

基于AI的網(wǎng)絡(luò)安全軟件可以潛在地監(jiān)控所有傳入和傳出的網(wǎng)絡(luò)流量，以便識別流量數(shù)據(jù)中的任何可疑或不尋常的模式。這里討論的數(shù)據(jù)通常過于龐大，人類網(wǎng)絡(luò)安全專家無法準確地對威脅事件進行分類。 

在一個真實的例子中，啟動ShieldX Networks聲稱他們使用AI來加速識別哪些安全策略適用于每個應(yīng)用程序的過程。此外，該公司聲稱他們的軟件可以在一段時間內(nèi)研究每個應(yīng)用程序的網(wǎng)絡(luò)通信數(shù)據(jù)，然后為該應(yīng)用程序生成安全策略的建議。 

除此之外，在銀行業(yè)，像Versive（現(xiàn)在被eSentire收購）的AI供應(yīng)商提供企業(yè)網(wǎng)絡(luò)安全AI軟件，該軟件使用異常檢測來識別網(wǎng)絡(luò)安全威脅。該公司聲稱他們的軟件可以幫助金融公司和銀行進行對手檢測和網(wǎng)絡(luò)安全威脅管理。 

AI供應(yīng)商Versive（現(xiàn)在被eSentire收購）變成名為VSE Versive Security Engine的企業(yè)網(wǎng)絡(luò)安全AI軟件，他們聲稱可以幫助銀行和金融機構(gòu)使用機器學(xué)習(xí)分析交易和網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)的大型數(shù)據(jù)集。

Versive聲稱銀行NetFlow（思科為收集IP流量信息和監(jiān)控網(wǎng)絡(luò)流量而開發(fā)的網(wǎng)絡(luò)協(xié)議），代理，DNS數(shù)據(jù)（計算機網(wǎng)絡(luò)數(shù)據(jù)）作為Versive安全引擎的輸入。然后，該軟件可以使用異常檢測來監(jiān)控企業(yè)網(wǎng)絡(luò)，以便在數(shù)據(jù)偏差的情況下提醒人員，這可能與過去網(wǎng)絡(luò)威脅中的事件類似。 

AI電子郵件監(jiān)控

企業(yè)公司了解監(jiān)控電子郵件通信的重要性，以防止網(wǎng)絡(luò)安全黑客攻擊等企圖。基于機器學(xué)習(xí)的監(jiān)控軟件現(xiàn)在被用于幫助提高檢測準確性和識別網(wǎng)絡(luò)威脅的速度。 

這個用例使用了幾種不同的AI技術(shù)。例如，一些軟件使用計算機視覺來“查看”電子郵件，以查看電子郵件中是否存在可能指示威脅的特征，例如特定大小的圖像。在其他情況下，自然語言處理用于讀取進出組織的電子郵件中的文本，并識別與網(wǎng)絡(luò)釣魚嘗試相關(guān)聯(lián)的文本中的短語或模式。使用異常檢測軟件可以幫助確定電子郵件的發(fā)件人，收件人，正文或附件是否是威脅。

這個用例再次強調(diào)了AI在大規(guī)模數(shù)據(jù)分析方面的優(yōu)勢。人員通過電子郵件閱讀并識別可疑功能并不困難，但這樣做對于每天在大型組織內(nèi)發(fā)送和接收的數(shù)百萬封電子郵件來說根本不可能。人工智能軟件可以讀取所有傳入和傳出的電子郵件，并向安全人員報告最可能的網(wǎng)絡(luò)安全威脅案例。

例如，Tessian聲稱提供電子郵件監(jiān)控AI軟件，可以幫助金融公司防止錯誤的電子郵件，防止數(shù)據(jù)泄露和網(wǎng)絡(luò)釣魚攻擊。該公司的軟件可能會在不同的步驟中使用自然語言處理和異常檢測，以確定哪些電子郵件可能是網(wǎng)絡(luò)安全威脅。 

基于AI的防病毒軟件 

傳統(tǒng)的防病毒軟件通過掃描企業(yè)網(wǎng)絡(luò)上的文件來查看其中是否存在與已知惡意軟件或病毒的簽名相匹配的功能。這種方法的問題在于，當(dāng)發(fā)現(xiàn)新病毒時，它依賴于防病毒軟件的安全更新。此外，這種方法使得傳統(tǒng)的防病毒軟件在實時威脅檢測方面變得緩慢，并使得部署可擴展系統(tǒng)變得具有挑戰(zhàn)性。

相比之下，基于AI的防病毒軟件在許多情況下使用異常檢測來研究程序行為。使用AI的防病毒系統(tǒng)專注于檢測程序生成的異常行為，而不是匹配已知惡意軟件的簽名。  

雖然傳統(tǒng)的防病毒軟件適用于以前通過其公共簽名遇到和識別的威脅，但這些類型的軟件無法輕易檢測和解決新威脅。McAfee的高級副總裁Steve Grobman 稱，大多數(shù)傳統(tǒng)的防病毒軟件可以達到90％的威脅檢測率。AI在這個用例中帶來的附加優(yōu)勢是將威脅檢測率提高到甚至95％或更高。 

被Blackberry收購的Cylance稱，他們的Smart Antivirus產(chǎn)品使用AI來預(yù)測，檢測和應(yīng)對網(wǎng)絡(luò)安全威脅。該公司聲稱，與傳統(tǒng)的防病毒軟件不同，Cylance的AI增強型智能防病毒軟件不需要病毒簽名更新，而是學(xué)會識別從頭開始指示惡意程序的模式。

基于AI的用戶行為建模

對企業(yè)系統(tǒng)的某些類型的網(wǎng)絡(luò)安全攻擊可能會在他們不知情的情況下接管其登錄憑據(jù)，從而危及組織中的特定用戶。竊取用戶憑據(jù)的網(wǎng)絡(luò)攻擊者可以通過技術(shù)合法手段訪問企業(yè)網(wǎng)絡(luò)，因此難以檢測和停止。基于AI的網(wǎng)絡(luò)安全系統(tǒng)可用于檢測特定用戶的行為模式，以識別這些模式的變化。通過這樣做，他們可以在該模式被破壞時向安全團隊發(fā)出警報。

像Darktrace這樣的AI供應(yīng)商提供網(wǎng)絡(luò)安全軟件，他們聲稱這些軟件使用機器學(xué)習(xí)來分析原始網(wǎng)絡(luò)流量數(shù)據(jù)，以了解組織中每個用戶和設(shè)備的正常行為的基線。使用訓(xùn)練數(shù)據(jù)集和主題專家的輸入，軟件學(xué)會識別什么構(gòu)成與正常基線行為的顯著偏差，并立即警告組織網(wǎng)絡(luò)威脅。 

AI用于對抗AI威脅

公司需要提高他們檢測網(wǎng)絡(luò)威脅的速度，因為黑客現(xiàn)在正在使用AI來發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)中的入口點。因此，部署AI軟件以防止AI增強的黑客攻擊可能成為未來網(wǎng)絡(luò)安全防御協(xié)議的必要組成部分。 

在過去幾年中，世界各地的公司都屈服于網(wǎng)絡(luò)威脅和勒索軟件攻擊，如WannaCry和NotPetya。這些類型的攻擊迅速蔓延并影響大量計算機。這些類型的攻擊的肇事者可能會在未來使用AI技術(shù)。AI可以為這些黑客提供的優(yōu)勢類似于AI在企業(yè)中提供的優(yōu)勢：快速可擴展性。

網(wǎng)絡(luò)安全廠商Crowdstrike聲稱自己的安全軟件，隼平臺，采用人工智能，以防范此類勒索威脅。據(jù)報道，該軟件使用異常檢測來確定企業(yè)網(wǎng)絡(luò)中的端點安全性。以下視頻演示了該軟件的工作原理：

人工智能在網(wǎng)絡(luò)安全中的未來

人工智能在網(wǎng)絡(luò)安全系統(tǒng)中的使用目前仍被稱為新生事物。企業(yè)需要確保他們的系統(tǒng)接受網(wǎng)絡(luò)安全專家的培訓(xùn)，這將使軟件更好地識別真正的網(wǎng)絡(luò)攻擊，其準確性遠遠高于傳統(tǒng)的網(wǎng)絡(luò)安全系統(tǒng)。 

企業(yè)需要了解這些系統(tǒng)只能提供給他們的數(shù)據(jù)。AI系統(tǒng)通常被稱為“輸入無用，輸出就無用”系統(tǒng)，而以數(shù)據(jù)為中心的AI項目方法對于持續(xù)成功是必不可少的。 

使用純粹基于AI的網(wǎng)絡(luò)安全檢測方法的公司面臨的一個挑戰(zhàn)是減少誤報檢測的數(shù)量。這可能會更容易，因為軟件會學(xué)習(xí)被標(biāo)記為誤報的內(nèi)容。一旦構(gòu)建了行為基線，算法就可以將統(tǒng)計上顯著的偏差標(biāo)記為異常，并警告安全分析師需要進一步調(diào)查。 

網(wǎng)絡(luò)安全應(yīng)用程序是當(dāng)今最流行的AI應(yīng)用程序之一。這在很大程度上是由于這些應(yīng)用依賴于異常檢測這一機器學(xué)習(xí)模型非常適合。此外，大多數(shù)大型企業(yè)可能已經(jīng)擁有現(xiàn)有的網(wǎng)絡(luò)安全團隊，產(chǎn)品開發(fā)預(yù)算和IT基礎(chǔ)架構(gòu)來處理大量數(shù)據(jù)。

來源：網(wǎng)絡(luò)整理