人工智慧是一種好的網路安全工具，也是一把雙刃劍

AI在安全方面的角色對白帽黑客和網路罪犯都很有吸引力，但目前似乎還沒有找到雙方的平衡。

人工智慧已經成為網路安全開發者的新寶藏，這要歸功於它的潛力，它不僅可以在很大的規模上實現功能自動化，還可以根據它在一段時間內學到的東西來做出相應的決策。這可能會對安全維護人員產生重大影響——通常情況下，公司根本沒有足夠的資源在眾多惡意軟體中「大海撈針」。

例如，如果一名工作人員通常在紐約工作，突然有一天早上從匹茲堡登錄，這是一種反常現象——人工智慧可以看出這是一種反常現象，因為它已經學會了期望用戶從紐約登錄。類似地，如果該用戶在匹茲堡登錄後，在幾分鐘後又在另一個地方登錄，比如加州，那麼這很可能是一個惡意的危險信號。

因此，在最簡單的層面上，人工智慧和「機器學習」圍繞的是對行為規範的理解。系統需要一些時間來觀察環境，以了解什麼是正常的行為，並建立一個基準線——這樣它就可以通過將演算法知識應用到數據集來獲取偏離規範的偏差。

針對網路安全的AI可以以多種方式幫助防禦者。然而，人工智慧的出現也有不利的方面。首先，網路犯罪分子也利用了這項技術，很明顯，它可以被用於各種惡意的任務。比如對開放的、易受攻擊的埠進行的掃描，或者是電子郵件的自動組合，這些郵件具有公司首席執行官的準確語氣和聲音，被24小時竊聽。

在不久的將來，這種自動模仿甚至可以擴展到語音。例如，IBM的科學家已經為人工智慧系統創造了一種方法來分析、解釋和反映用戶的獨特語言和語言特徵——從理論上講，這可以讓人類更容易地與他們的技術對話。然而，使用這種類型的惡意欺騙應用程序的潛力是顯而易見的。

與此同時，在垂直市場上採用人工智慧的熱情——對於網路安全和其他領域——已經打開了一個快速增長的新攻擊面——它並不總是青睞於內置的安全設計。人工智慧有能力徹底改變任何行業：向在線購物者提供更明智的建議，加快生產過程的自動化質量檢查，甚至追蹤和監測出現野火的風險。加拿大阿爾伯塔大學的研究人員正在為這方面做更多的工作。

人工智慧的這種雙重性質——一方面是正義的力量，另一方面是邪惡的力量——還沒有找到平衡，但人們對人工智慧的興趣卻在持續增長。

人工智慧的一場「傲骨之戰」

在網路安全的適用性方面，人工智慧已經得到了大量的宣傳。由於人工智慧依賴於分析大量數據來尋找相關的模式和異常，因此可以要求它在一段時間內學習什麼構成了假陽性，以及在某種規定的政策範圍內所不包括的內容。因此，對於入侵預防和檢測來說，這可能是一個不可估量的恩惠，例如，與欺詐檢測和根除諸如DNS數據過濾和憑證濫用等惡意活動。

人工智慧演算法可以應用於用戶和網路行為分析。例如，機器學習觀察人員、端點和像印表機這樣的網路設備的活動，以標記潛在的惡意活動。

同樣，人工智慧在網路行為分析中也扮演著重要角色，它研究用戶與網站的互動，並作為在線欺詐檢測的補充。

例如，如果用戶登錄到一個零售應用程序，在站點周圍搜索，找到一個產品來了解更多信息，然後將該產品保存到購物車中或結賬。該用戶現在可以作為買家以配置行為文件。在未來，如果該用戶在同一電商網站上顯示了截然不同的行為，那麼它可能會被標記為潛在的安全事件進一步調查。

在DNS方面，一個人工智慧系統可以檢查DNS流量，以跟蹤DNS查詢到權威伺服器，但沒有收到有效響應的情況。「雖然這很難預防，但很容易被檢測到，」Justin Jett最近在Threatpost的一篇專欄文章中解釋道，他是Plixer的審計和合規總監。比如序列號0800fc577294c34e0b28ad2839435945.badguy.example[.]net 如果被發送到給定的網路機器上很多次，系統便會向IT專業人員發出警報。」

識別密碼泄露和誤用也是一個很好的例子。這種類型的攻擊正變得越來越普遍，因為數據泄露後，人們的電子郵件和密碼流向了黑暗的網路。例如，Equifax的漏洞導致數百萬份有效的電子郵件被曝光；2016年的雅虎數據泄露事件中，攻擊者獲取了5億個用戶的賬戶信息。由於人們傾向於重複使用密碼，犯罪分子會在不同的機器上隨機嘗試不同的電子郵件和密碼，希望能獲得成功。

為了識別這種攻擊，「人工智慧在這裡是有用的，因為它已經給用戶設立了基準線，」Jett解釋說。「這些用戶每天在多個設備上連接並登錄。對於一個人來說，在伺服器上嘗試數百次登錄是很常見的，但是很難找到一個試圖在100台不同的機器上進行連接的人，並且只成功登錄一次。」

人工智慧還可以用來自動評估開源代碼的潛在缺陷。例如，網路安全公司Synopsys正在利用人工智慧自動將已知的漏洞映射到開源項目，並評估企業的風險影響;例如，它會自動分析數百份法律文件（許可證、服務條款、隱私聲明、HIPAA、DMCA等隱私法），以確定任何檢測到的漏洞的合規風險。

然而，在易受攻擊性方面的另一個應用是回顧和預測。如果一個新的漏洞被宣布，那麼就可以通過日誌數據來查看它是否在過去被利用了。或者，如果這確實是一種新的攻擊，人工智慧就可以評估證據是否足夠確定，以確定攻擊者的下一步行動是什麼。

人工智慧還能很好地完成單調乏味、重複性的任務——比如尋找特定的模式。JASK的首席執行官兼聯合創始人Greg Martin表示，這樣一來，它的實現可以緩解大多數安全操作中心（SOCs）所面臨的資源限制。SOC的工作人員每天都在部署數百個安全漏洞——當然，並不是所有的安全漏洞都是真正的攻擊。

「安全團隊總是被信息所淹沒，」451 Research的研究主管Scott Crawford在一次採訪中說。「關於對手正在做什麼、最新的攻擊工具、惡意軟體的變化以及內部資源生成的大量信息。」在入侵保護空間中，日誌數據的數量和生成的警報是壓倒性的。SIEM市場在一定程度上是為了解決這個問題，只是在有需要處理的事情的時候才會浮出水面——但這還不夠。因此，現在我們看到了處理數據的新技術的興起，並通過分析和人工智慧來獲得意義。」

目前仍不完美

儘管人工智慧在安全領域有很多用途，但公司應該謹慎地理解其局限性；這些引擎只和進入它們的數據一樣好，而僅僅將數據歸為演算法，就會告訴分析師什麼是不尋常的，而不是它們是否重要。為人工智慧設定參數的數據科學家需要知道如何提出正確的問題來恰當地利用人工智慧的能力。人工智慧應該尋找什麼？一旦有了發現，人工智慧應該做些什麼呢？通常，需要複雜的流程圖來為期望的結果編寫人工智慧程序。

用具體的術語來說，很容易就能訓練人工智慧，比如說，發現小行星帶里的小行星有反常的移動。但如果目標是要知道它是否向地球進發，那就需要進行仔細調整。

而且，在今天的數字工作場所中，有如此多的公司信息，以人類監督的形式監測故障是一個好主意。簡單地為人工智慧分配網路監督職責可能會產生意想不到的後果，比如過分積極地隔離文檔、刪除重要數據或大量拒絕合法信息——這可能會嚴重影響工作效率。例如，在人工智慧的假設下，在之前的登錄場景中，員工可能只是在旅行，所以關閉訪問可能不是最好的主意。

「沒有一台機器能完美無缺，並解釋所有潛在的行為可能性，」AsTech諮詢公司的首席安全架構師Nathan Wenzler在接受採訪時說。「這意味著它仍然需要人們的關注，否則你可能會有很多合法的東西被標記為「壞」，或者惡意軟體和其他攻擊，被編碼為「好」。所涉及的演算法只能做到這樣，並且，隨著時間的推移而不斷改進。但是，攻擊也會變得更聰明，並找到規避學習過程的方法，從而仍然有效。」

而且，因為仍然需要有人能夠對出現的異常情況做出合理的判斷，因此也應該考慮到人們需要關注的領域。可以以快速電子郵件的形式向該員工發起一項手動調查——這聽起來沒什麼大不了的，除非你認為在一家大公司里每隔幾分鐘就會有成百上千這樣的異常情況發生。

Jett解釋說：「在網路安全中充分利用人工智慧的最佳方法是，利用監督學習來識別惡意行為的粒狀模式，而無人監督的演算法則為異常檢測建立一個基準線。」「人類在短期內不會被排除在這個等式之外。」

一個網路攻擊者的寶藏

人工智慧發展的另一方面是，隨著這些引擎的能力變得越來越強大和廣泛，網路罪犯們已經開始意識到他們也可以利用這項技術——特別是比以往任何時候都更便宜、更容易進行網路攻擊。

例如，根據人工智慧報告的惡意使用，人工智慧可以提高攻擊的效率，例如，使用魚叉式網路釣魚的自動化，利用實時語音合成來模擬攻擊和欺詐，或者在規模上進行像包嗅探和漏洞攻擊這樣的活動。該報告還指出，人工智慧還可以用於在大規模層面上利用現有的軟體漏洞（例如，每天成千上萬台機器的自動入侵）。

報告的作者說：「人工智慧的使用可以使參與網路攻擊的任務自動化，這將減輕現有的攻擊規模和效力之間的權衡。」

這些都不只是停留在理論上。在2017年，網路安全公司Darktrace在印度進行了一次攻擊，該攻擊使用了「初級」人工智慧來觀察和學習網路中正常用戶行為的模式，用於偵察。該活動還可以開始解析特定用戶的通信模式，以便能夠模仿他或她的語氣和風格。例如，這可以用於商業郵件妥協消息的自動組合，這比標準的社會工程嘗試更有效、更有說服力。

同樣，惡意使用報告還指出，人工智慧可以用於自動化處理大規模收集數據的任務，擴大與隱私侵犯和社會秩序相關的威脅，等等。

報告中警告說：「我們還預計會出現新的攻擊，即利用現有數據分析人類行為、情緒和信仰。」「這些擔憂在權威國家的背景下最為重要，但也可能削弱民主國家維持真實公開辯論的能力。」

另一個由人工智慧驅動的開發是殭屍網路群的興起，就像最近的Hide and Seek殭屍網路一樣。Hide and Seek是一組自我學習的設備，這是世界上第一個通過自定義的對等協議進行交流的設備。傳統的殭屍網路等待著來自機器人的命令，而蜂群能夠獨立地做出決定。

「他們可以同時識別和攻擊不同的攻擊載體，」Fortinet and FortiGuard實驗室的全球安全策略師Derek Manky在最近的一次Threatpost的採訪中說。「蜂群加速攻擊鏈——或攻擊周期。它們幫助攻擊者快速移動。隨著時間的推移，隨著防禦能力的提高，攻擊的時間窗口也在縮小。這是攻擊者彌補失去的時間的一種方式。」

展望未來

也許為了跟上破壞者的努力，人工智慧正從安全的角度出發，公司正在更頻繁地將其納入安全產品中。展望未來，重點是更充分地將其應用於快速加速和複雜的威脅領域。

信息安全論壇董事總經理Steve Durbin在接受採訪時表示：「我們所看到的是，攻擊的持續複雜化，而這發生在安全部門資源不足的背景下，他們不知道應該把錢花在哪裡。」「所有這些都發生在一個日益複雜的環境中，越來越多的物聯網設備從各種渠道獲取信息，此外，第三方供應鏈往往非常複雜。人工智慧正變得越來越需要你的手臂。」

他解釋說，我們的目標是在攻擊發生之前作出預測，或者在它們到達網路之前就先發制人地阻止網路罪犯。

有證據表明，這種情況正在開始發生。例如，IBM利用其Watson人工智慧和先進的分析技術，每天監控600億個安全事件。該公司開發了一種基於人工智慧的「認知蜜罐」，以誘使黑客將寶貴的時間和資源浪費在不存在的線索上。這項技術誘使惡意的黑客通過電子郵件交流和互動網站來轉移他們的攻擊。

Durbin說：「IBM與沃森的合作清楚地表明了機器學習的能力，以及從整體商業的角度來看，它能做些什麼。可能看起來完全不相關的信息現在可以聯繫在一起了。然而，供應商在其解決方案的成熟度方面處於早期階段。從組織的角度來看，我支持安全部門部署員工，與供應商合作開發未來的安全工具。」

（選自：Threatpost 編譯：網易智能 參與：李擎）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！