在現(xiàn)代IT環(huán)境中，網(wǎng)絡(luò)威脅日益突出。人們需要探索人工智能在網(wǎng)絡(luò)安全中的六個(gè)最常見的角色及其產(chǎn)品。

越來越多的企業(yè)采用人工智能技術(shù)，為他們?cè)诂F(xiàn)代IT環(huán)境中的安全工作提供幫助。數(shù)據(jù)、設(shè)備、處理能力、算法和網(wǎng)絡(luò)系統(tǒng)的指數(shù)級(jí)增長（對(duì)于21世紀(jì)的任何企業(yè)而言都是寶貴的資產(chǎn)）也伴隨著新的風(fēng)險(xiǎn)和漏洞。調(diào)研機(jī)構(gòu)Gartner公司在2018年12月發(fā)布的一份報(bào)告中稱，數(shù)據(jù)安全、基礎(chǔ)設(shè)施保護(hù)和云安全是安全支出增長最快的領(lǐng)域，預(yù)計(jì)全球企業(yè)2019年將在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理方面支出約1370億美元。

面對(duì)這一現(xiàn)實(shí)，很多企業(yè)已經(jīng)意識(shí)到，僅僅采取被動(dòng)措施是不夠的;它們不僅必須擴(kuò)展和自動(dòng)化威脅應(yīng)對(duì)計(jì)劃，還必須制定積極的措施。

人工智能的功能是由一系列的技術(shù)支持的，比如機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、計(jì)算機(jī)視覺和自然語言處理，以檢測(cè)模式并作出推論。在網(wǎng)絡(luò)安全領(lǐng)域，人工智能在網(wǎng)絡(luò)安全中的作用是識(shí)別用戶、數(shù)據(jù)、設(shè)備、系統(tǒng)和網(wǎng)絡(luò)行為模式，并區(qū)分異常和正常。它還幫助管理員分析大量數(shù)據(jù)，調(diào)查新類型威脅，以及更快地響應(yīng)和應(yīng)對(duì)威脅。

根據(jù)Kaleido Insights公司對(duì)網(wǎng)絡(luò)安全市場(chǎng)和供應(yīng)商的研究和分析，以下是六個(gè)常見的使用案例，其中一些供應(yīng)商為下一代網(wǎng)絡(luò)安全產(chǎn)品鋪平了道路。

1.安全分析師和加強(qiáng)安全運(yùn)營中心（SOC）

人工智能在網(wǎng)絡(luò)安全中最常見的用例之一是對(duì)分析師的支持。畢竟，人工智能不太可能取代有經(jīng)驗(yàn)的安全分析師。在機(jī)器擅長的領(lǐng)域，例如，分析大數(shù)據(jù)、消除人員疲勞并使其擺脫繁瑣的任務(wù)，這樣他們就可以利用更加復(fù)雜的技能（例如創(chuàng)造力、細(xì)微差別和專業(yè)知識(shí)）來增強(qiáng)人們的能力。在某些情況下，分析人員擴(kuò)充涉及將預(yù)測(cè)分析合并到安全運(yùn)營中心（SOC）工作流中，以進(jìn)行分類或查詢大數(shù)據(jù)集。

Darktrace公司的Cyber AI Analyst是一個(gè)軟件程序，通過只顯示高優(yōu)先級(jí)事件來支持分析師。同時(shí)，它查詢海量數(shù)據(jù)并在整個(gè)網(wǎng)絡(luò)中樞收集調(diào)查背景，進(jìn)行調(diào)查并整理低優(yōu)先級(jí)案件。通過分析Darktrace的分析師如何調(diào)查警報(bào)來訓(xùn)練在數(shù)千個(gè)部署中開發(fā)的數(shù)據(jù)集，Cyber AI Analyst使用多種機(jī)器學(xué)習(xí)、深度學(xué)習(xí)和數(shù)學(xué)技術(shù)來處理n維數(shù)據(jù)，以機(jī)器速度生成數(shù)千個(gè)查詢，并進(jìn)行調(diào)查所有并行威脅。

2.新的攻擊識(shí)別

盡管惡意軟件或其他類型的威脅檢測(cè)已經(jīng)存在了很多年，通常是將可疑代碼與基于簽名的系統(tǒng)相匹配，但人工智能現(xiàn)在正在將技術(shù)轉(zhuǎn)向推斷，以預(yù)測(cè)新的攻擊類型。通過分析大量的數(shù)據(jù)、事件類型、來源和結(jié)果，人工智能技術(shù)能夠識(shí)別新的攻擊形式和類型。這一點(diǎn)非常關(guān)鍵，因?yàn)楣艏夹g(shù)會(huì)隨著其他技術(shù)的進(jìn)步而不斷發(fā)展。

FireEye公司在其MalwareGuard產(chǎn)品中提供了一種新的攻擊識(shí)別示例。它使用機(jī)器學(xué)習(xí)算法來發(fā)現(xiàn)新的、變形的或高級(jí)的攻擊，其中簽名尚未被創(chuàng)建或尚未存在。其引擎利用了私人和公共數(shù)據(jù)源，其中包括大約1700萬個(gè)部署的端點(diǎn)安全代理、基于超過100萬個(gè)攻擊響應(yīng)小時(shí)的攻擊分析，以及通過全球和多語種安全分析網(wǎng)絡(luò)收集的情報(bào)。

3.行為分析和風(fēng)險(xiǎn)評(píng)分

行為分析技術(shù)已經(jīng)在一些不那么關(guān)鍵的領(lǐng)域（比如廣告領(lǐng)域）中率先出現(xiàn)，現(xiàn)在正朝著身份認(rèn)證和反欺詐的關(guān)鍵用例發(fā)展。在這里，人工智能算法挖掘大量的用戶和設(shè)備行為模式、地理位置、登錄參數(shù)、傳感器數(shù)據(jù)以及大量數(shù)據(jù)集，以獲得用戶真實(shí)身份。

萬事達(dá)卡公司的NuData Security是一個(gè)利用多因素大數(shù)據(jù)分析來評(píng)估風(fēng)險(xiǎn)，并為端點(diǎn)和用戶安全性開發(fā)每個(gè)事件的動(dòng)態(tài)配置文件的平臺(tái)。該公司使用機(jī)器和深度學(xué)習(xí)來分析四個(gè)領(lǐng)域：

（1）行為數(shù)據(jù)：瀏覽器類型、流量變化、瀏覽速度和頁面停留時(shí)間。

（2）被動(dòng)生物識(shí)別技術(shù)：用戶的鍵入速度、設(shè)備角度、擊鍵和壓力。

（3）設(shè)備智能：特定設(shè)備的已知連接與新連接、位置和網(wǎng)絡(luò)交互。

（4）行為信任聯(lián)盟：萬事達(dá)卡（Mastercard）的大數(shù)據(jù)存儲(chǔ)庫，可在人口級(jí)別分析數(shù)十億個(gè)數(shù)據(jù)點(diǎn)。

4.基于用戶的威脅檢測(cè)

從內(nèi)部威脅到特權(quán)濫用和管理濫用再到黑客，人類是網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要而多樣的載體。因此，人工智能技術(shù)應(yīng)運(yùn)而生，以檢測(cè)用戶在IT環(huán)境中的交互方式的變化，并描述他們?cè)诠舡h(huán)境中的行為特征。

LogRhythm公司正在使用其下一代SIEM平臺(tái)CloudAI來進(jìn)行基于用戶的威脅檢測(cè)。具體來說，該公司將不同的用戶帳戶（VPN、工作電子郵件、個(gè)人云存儲(chǔ)）以及相關(guān)的標(biāo)識(shí)符（例如用戶名和電子郵件地址）映射到實(shí)際用戶的身份，以建立全面的行為基準(zhǔn)和用戶配置文件。此外，CloudAI旨在隨著時(shí)間的推移而發(fā)展，以用于當(dāng)前和將來的威脅檢測(cè)。分析師在正常的調(diào)查過程中對(duì)系統(tǒng)進(jìn)行培訓(xùn)，并從整個(gè)平臺(tái)的擴(kuò)展客戶群中收集數(shù)據(jù)以進(jìn)行威脅培訓(xùn)。CloudAI還可以配置模型以通過連續(xù)調(diào)整進(jìn)行自我修復(fù)，而無需人工干預(yù)。

Vectra AI公司通過分析攻擊生命周期對(duì)這種用例采用了差異化的方法。使用大約60種機(jī)器學(xué)習(xí)模型來分析攻擊者在攻擊生命周期中可能執(zhí)行的所有行為，其中包括遠(yuǎn)程訪問工具、隱藏通道、后門、偵察工具，憑證濫用和過濾。該公司聲稱，其Cognito平臺(tái)顛覆了傳統(tǒng)的基于用戶的威脅檢測(cè)方法，為防御者提供了多種機(jī)會(huì)來檢測(cè)攻擊者。

5.跨端點(diǎn)終止鏈的設(shè)備上檢測(cè)

移動(dòng)設(shè)備在企業(yè)中的興起，開啟了網(wǎng)絡(luò)安全威脅的新時(shí)代，改變了端點(diǎn)安全的本質(zhì)。企業(yè)通常管理傳統(tǒng)的端點(diǎn)，比如筆記本電腦，而現(xiàn)在的移動(dòng)“系統(tǒng)管理員”是最終用戶。無論是員工、消費(fèi)者還是黑客，都會(huì)采用下載、應(yīng)用程序、通信渠道和網(wǎng)絡(luò)交互等服務(wù)。此外，應(yīng)用程序通常都在自己的容器中，這限制了傳統(tǒng)的補(bǔ)丁管理。這種根本不同的配置意味著，攻擊者的目標(biāo)是通過提供根訪問漏洞來持久化，從而危害整個(gè)設(shè)備，同時(shí)有效地避開企業(yè)網(wǎng)絡(luò)。因此，移動(dòng)端點(diǎn)保護(hù)必須保護(hù)整個(gè)殺傷鏈——從仿冒應(yīng)用程序或網(wǎng)絡(luò)的釣魚嘗試到各種不同的惡意攻擊類型。在這里，管理員將機(jī)器學(xué)習(xí)應(yīng)用于每個(gè)攻擊向量，而不是為每個(gè)攻擊向量部署不同的檢測(cè)系統(tǒng)，以便預(yù)測(cè)任何給定點(diǎn)交互威脅系統(tǒng)接管的可能性。

Zimperium公司是一家專門從事移動(dòng)終端安全的公司，它使用機(jī)器學(xué)習(xí)在整個(gè)移動(dòng)殺傷鏈中提供設(shè)備上檢測(cè)，監(jiān)控所有惡意軟件、網(wǎng)絡(luò)釣魚、設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)交互。雖然目前沒有在設(shè)備上運(yùn)行機(jī)器學(xué)習(xí)模型，但Zimperium在通過基于云計(jì)算的深度學(xué)習(xí)技術(shù)派生的設(shè)備上部署了基于機(jī)器學(xué)習(xí)的檢測(cè)技術(shù)，在7000萬多臺(tái)設(shè)備上使用，它監(jiān)控來自所有惡意軟件、網(wǎng)絡(luò)釣魚、設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)交互的所有矢量的匿名數(shù)據(jù)，使用云計(jì)算技術(shù)分析特定的攻擊路徑，識(shí)別來自信號(hào)的噪聲，運(yùn)行測(cè)試場(chǎng)景，并部署分類器以改進(jìn)邏輯和算法，然后應(yīng)用于設(shè)備上檢測(cè)。這個(gè)循環(huán)對(duì)于在當(dāng)前和新的威脅類型（貫穿整個(gè)殺傷鏈）攻擊或?qū)崿F(xiàn)持久接管之前進(jìn)行檢測(cè)至關(guān)重要。

6.斷開連接的環(huán)境中的主動(dòng)安全性

隨著數(shù)據(jù)和設(shè)備滲透到物理世界，保護(hù)和減少平均檢測(cè)和響應(yīng)時(shí)間的能力成為連接和計(jì)算能力的問題。越來越復(fù)雜的技術(shù)基礎(chǔ)設(shè)施意味著對(duì)其運(yùn)營的安全性和效率的更大需求，這些基礎(chǔ)設(shè)施可以在航空、能源、國防和海事等關(guān)鍵任務(wù)環(huán)境中實(shí)現(xiàn)數(shù)據(jù)價(jià)值。在這些環(huán)境中，計(jì)算密集度更高的人工智能應(yīng)用程序仍處于萌芽狀態(tài)，但新技術(shù)不斷涌現(xiàn)，可以通過本地支持促進(jìn)基于機(jī)器學(xué)習(xí)的腳本、文件、文檔和惡意軟件分析的安全性。

SparkCognition公司自稱是一家人工智能公司，而不是一家安全公司，該公司支持在斷開連接的環(huán)境中使用的應(yīng)用程序。當(dāng)?shù)?11調(diào)度中心采用其應(yīng)用程序管理其托管的敏感信息。SparkCognition公司的DeepArmor通過現(xiàn)場(chǎng)管理控制臺(tái)運(yùn)行。具體來說，DeepArmor使用機(jī)器學(xué)習(xí)對(duì)大約20，000個(gè)獨(dú)特文件功能進(jìn)行靜態(tài)文件分析，以確定在幾秒鐘內(nèi)惡意活動(dòng)的可能性。盡管管理人員必須在這些環(huán)境中人工執(zhí)行模型更新，但DeepArmor沒有簽名要求，這意味著它不需要每日簽名掃描。

人工智能在網(wǎng)絡(luò)安全中的作用正在擴(kuò)大

當(dāng)然，還有其他一些規(guī)模較小的用例可用于將機(jī)器學(xué)習(xí)和深度學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)安全需求，其中包括以下內(nèi)容：

?大數(shù)據(jù)查詢的生成和分析

?威脅擴(kuò)散和擴(kuò)散檢測(cè)

?自主響應(yīng)

?代理合并和跨其他安全工具的部署

?威脅阻止自動(dòng)化

?惡意軟件分類

?攻擊分類（未知、內(nèi)部、持續(xù)）

?假陽性減少

?產(chǎn)品自我修復(fù)

?機(jī)器數(shù)據(jù)理解（超過800種不同的設(shè)備類型）

?加密的流量分析

?政策合規(guī)性分析

?網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)

?增強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)盡職調(diào)查（合并和收購前）

盡管機(jī)器學(xué)習(xí)具有很大的潛力，但它并不是靈丹妙藥，它只是一種工具。人工智能取決于數(shù)據(jù)的質(zhì)量，而在安全性方面，這不僅僅意味著大數(shù)據(jù)，還意味著多語言的實(shí)時(shí)數(shù)據(jù)，最重要的是良好的數(shù)據(jù)。它的成功需要安全專家和數(shù)據(jù)科學(xué)家之間的合作。

盡管有很高的營銷要求，但現(xiàn)實(shí)情況是，企業(yè)安全環(huán)境是巨大的、動(dòng)態(tài)的網(wǎng)絡(luò)，管理人員必須根據(jù)持續(xù)的、不可預(yù)測(cè)的、內(nèi)部和外部的威脅向量不斷地監(jiān)視、審計(jì)和更新。人工智能在檢測(cè)、調(diào)查和應(yīng)對(duì)威脅的能力方面引入了各種增強(qiáng)功能，但它是人員與技術(shù)的結(jié)合，能夠在不斷發(fā)展的安全環(huán)境中真正管理全方位的威脅。

責(zé)任編輯：ct