AI在安全方面的角色對白帽黑客和網(wǎng)絡(luò)罪犯都很有吸引力，但目前似乎還沒有找到雙方的平衡。

人工智能已經(jīng)成為網(wǎng)絡(luò)安全開發(fā)者的新寶藏，這要歸功于它的潛力，它不僅可以在很大的規(guī)模上實現(xiàn)功能自動化，還可以根據(jù)它在一段時間內(nèi)學(xué)到的東西來做出相應(yīng)的決策。這可能會對安全維護(hù)人員產(chǎn)生重大影響——通常情況下，公司根本沒有足夠的資源在眾多惡意軟件中“大海撈針”。

例如，如果一名工作人員通常在紐約工作，突然有一天早上從匹茲堡登錄，這是一種反?，F(xiàn)象——人工智能可以看出這是一種反?，F(xiàn)象，因為它已經(jīng)學(xué)會了期望用戶從紐約登錄。類似地，如果該用戶在匹茲堡登錄后，在幾分鐘后又在另一個地方登錄，比如加州，那么這很可能是一個惡意的危險信號。

因此，在最簡單的層面上，人工智能和“機器學(xué)習(xí)”圍繞的是對行為規(guī)范的理解。系統(tǒng)需要一些時間來觀察環(huán)境，以了解什么是正常的行為，并建立一個基準(zhǔn)線——這樣它就可以通過將算法知識應(yīng)用到數(shù)據(jù)集來獲取偏離規(guī)范的偏差。

針對網(wǎng)絡(luò)安全的AI可以以多種方式幫助防御者。然而，人工智能的出現(xiàn)也有不利的方面。首先，網(wǎng)絡(luò)犯罪分子也利用了這項技術(shù)，很明顯，它可以被用于各種惡意的任務(wù)。比如對開放的、易受攻擊的端口進(jìn)行的掃描，或者是電子郵件的自動組合，這些郵件具有公司首席執(zhí)行官的準(zhǔn)確語氣和聲音，被24小時竊聽。

在不久的將來，這種自動模仿甚至可以擴(kuò)展到語音。例如，IBM的科學(xué)家已經(jīng)為人工智能系統(tǒng)創(chuàng)造了一種方法來分析、解釋和反映用戶的獨特語言和語言特征——從理論上講，這可以讓人類更容易地與他們的技術(shù)對話。然而，使用這種類型的惡意欺騙應(yīng)用程序的潛力是顯而易見的。

與此同時，在垂直市場上采用人工智能的熱情——對于網(wǎng)絡(luò)安全和其他領(lǐng)域——已經(jīng)打開了一個快速增長的新攻擊面——它并不總是青睞于內(nèi)置的安全設(shè)計。人工智能有能力徹底改變?nèi)魏涡袠I(yè)：向在線購物者提供更明智的建議，加快生產(chǎn)過程的自動化質(zhì)量檢查，甚至追蹤和監(jiān)測出現(xiàn)野火的風(fēng)險。加拿大阿爾伯塔大學(xué)的研究人員正在為這方面做更多的工作。

人工智能的這種雙重性質(zhì)——一方面是正義的力量，另一方面是邪惡的力量——還沒有找到平衡，但人們對人工智能的興趣卻在持續(xù)增長。

人工智能的一場“傲骨之戰(zhàn)”

在網(wǎng)絡(luò)安全的適用性方面，人工智能已經(jīng)得到了大量的宣傳。由于人工智能依賴于分析大量數(shù)據(jù)來尋找相關(guān)的模式和異常，因此可以要求它在一段時間內(nèi)學(xué)習(xí)什么構(gòu)成了假陽性，以及在某種規(guī)定的政策范圍內(nèi)所不包括的內(nèi)容。因此，對于入侵預(yù)防和檢測來說，這可能是一個不可估量的恩惠，例如，與欺詐檢測和根除諸如DNS數(shù)據(jù)過濾和憑證濫用等惡意活動。

人工智能算法可以應(yīng)用于用戶和網(wǎng)絡(luò)行為分析。例如，機器學(xué)習(xí)觀察人員、端點和像打印機這樣的網(wǎng)絡(luò)設(shè)備的活動，以標(biāo)記潛在的惡意活動。

同樣，人工智能在網(wǎng)絡(luò)行為分析中也扮演著重要角色，它研究用戶與網(wǎng)站的互動，并作為在線欺詐檢測的補充。

例如，如果用戶登錄到一個零售應(yīng)用程序，在站點周圍搜索，找到一個產(chǎn)品來了解更多信息，然后將該產(chǎn)品保存到購物車中或結(jié)賬。該用戶現(xiàn)在可以作為買家以配置行為文件。在未來，如果該用戶在同一電商網(wǎng)站上顯示了截然不同的行為，那么它可能會被標(biāo)記為潛在的安全事件進(jìn)一步調(diào)查。

在DNS方面，一個人工智能系統(tǒng)可以檢查DNS流量，以跟蹤DNS查詢到權(quán)威服務(wù)器，但沒有收到有效響應(yīng)的情況。“雖然這很難預(yù)防，但很容易被檢測到，”Justin Jett最近在Threatpost的一篇專欄文章中解釋道，他是Plixer的審計和合規(guī)總監(jiān)。比如序列號0800fc577294c34e0b28ad2839435945.badguy.example[.]net 如果被發(fā)送到給定的網(wǎng)絡(luò)機器上很多次，系統(tǒng)便會向IT專業(yè)人員發(fā)出警報。”

識別密碼泄露和誤用也是一個很好的例子。這種類型的攻擊正變得越來越普遍，因為數(shù)據(jù)泄露后，人們的電子郵件和密碼流向了黑暗的網(wǎng)絡(luò)。例如，Equifax的漏洞導(dǎo)致數(shù)百萬份有效的電子郵件被曝光;2016年的雅虎數(shù)據(jù)泄露事件中，攻擊者獲取了5億個用戶的賬戶信息。由于人們傾向于重復(fù)使用密碼，犯罪分子會在不同的機器上隨機嘗試不同的電子郵件和密碼，希望能獲得成功。

為了識別這種攻擊，“人工智能在這里是有用的，因為它已經(jīng)給用戶設(shè)立了基準(zhǔn)線，”Jett解釋說?！斑@些用戶每天在多個設(shè)備上連接并登錄。對于一個人來說，在服務(wù)器上嘗試數(shù)百次登錄是很常見的，但是很難找到一個試圖在100臺不同的機器上進(jìn)行連接的人，并且只成功登錄一次?！?/p>

人工智能還可以用來自動評估開源代碼的潛在缺陷。例如，網(wǎng)絡(luò)安全公司Synopsys正在利用人工智能自動將已知的漏洞映射到開源項目，并評估企業(yè)的風(fēng)險影響;例如，它會自動分析數(shù)百份法律文件(許可證、服務(wù)條款、隱私聲明、HIPAA、DMCA等隱私法)，以確定任何檢測到的漏洞的合規(guī)風(fēng)險。

然而，在易受攻擊性方面的另一個應(yīng)用是回顧和預(yù)測。如果一個新的漏洞被宣布，那么就可以通過日志數(shù)據(jù)來查看它是否在過去被利用了?；蛘撸绻@確實是一種新的攻擊，人工智能就可以評估證據(jù)是否足夠確定，以確定攻擊者的下一步行動是什么。

人工智能還能很好地完成單調(diào)乏味、重復(fù)性的任務(wù)——比如尋找特定的模式。JASK的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Greg Martin表示，這樣一來，它的實現(xiàn)可以緩解大多數(shù)安全操作中心(SOCs)所面臨的資源限制。SOC的工作人員每天都在部署數(shù)百個安全漏洞——當(dāng)然，并不是所有的安全漏洞都是真正的攻擊。

“安全團(tuán)隊總是被信息所淹沒，”451 Research的研究主管Scott Crawford在一次采訪中說?！瓣P(guān)于對手正在做什么、最新的攻擊工具、惡意軟件的變化以及內(nèi)部資源生成的大量信息。”在入侵保護(hù)空間中，日志數(shù)據(jù)的數(shù)量和生成的警報是壓倒性的。SIEM市場在一定程度上是為了解決這個問題，只是在有需要處理的事情的時候才會浮出水面——但這還不夠。因此，現(xiàn)在我們看到了處理數(shù)據(jù)的新技術(shù)的興起，并通過分析和人工智能來獲得意義?！?/p>

目前仍不完美

盡管人工智能在安全領(lǐng)域有很多用途，但公司應(yīng)該謹(jǐn)慎地理解其局限性;這些引擎只和進(jìn)入它們的數(shù)據(jù)一樣好，而僅僅將數(shù)據(jù)歸為算法，就會告訴分析師什么是不尋常的，而不是它們是否重要。為人工智能設(shè)定參數(shù)的數(shù)據(jù)科學(xué)家需要知道如何提出正確的問題來恰當(dāng)?shù)乩萌斯ぶ悄艿哪芰ΑＨ斯ぶ悄軕?yīng)該尋找什么?一旦有了發(fā)現(xiàn)，人工智能應(yīng)該做些什么呢?通常，需要復(fù)雜的流程圖來為期望的結(jié)果編寫人工智能程序。

用具體的術(shù)語來說，很容易就能訓(xùn)練人工智能，比如說，發(fā)現(xiàn)小行星帶里的小行星有反常的移動。但如果目標(biāo)是要知道它是否向地球進(jìn)發(fā)，那就需要進(jìn)行仔細(xì)調(diào)整。

而且，在今天的數(shù)字工作場所中，有如此多的公司信息，以人類監(jiān)督的形式監(jiān)測故障是一個好主意。簡單地為人工智能分配網(wǎng)絡(luò)監(jiān)督職責(zé)可能會產(chǎn)生意想不到的后果，比如過分積極地隔離文檔、刪除重要數(shù)據(jù)或大量拒絕合法信息——這可能會嚴(yán)重影響工作效率。例如，在人工智能的假設(shè)下，在之前的登錄場景中，員工可能只是在旅行，所以關(guān)閉訪問可能不是最好的主意。

“沒有一臺機器能完美無缺，并解釋所有潛在的行為可能性，”AsTech咨詢公司的首席安全架構(gòu)師Nathan Wenzler在接受采訪時說。“這意味著它仍然需要人們的關(guān)注，否則你可能會有很多合法的東西被標(biāo)記為“壞”，或者惡意軟件和其他攻擊，被編碼為“好”。所涉及的算法只能做到這樣，并且，隨著時間的推移而不斷改進(jìn)。但是，攻擊也會變得更聰明，并找到規(guī)避學(xué)習(xí)過程的方法，從而仍然有效。”

而且，因為仍然需要有人能夠?qū)Τ霈F(xiàn)的異常情況做出合理的判斷，因此也應(yīng)該考慮到人們需要關(guān)注的領(lǐng)域。可以以快速電子郵件的形式向該員工發(fā)起一項手動調(diào)查——這聽起來沒什么大不了的，除非你認(rèn)為在一家大公司里每隔幾分鐘就會有成百上千這樣的異常情況發(fā)生。

Jett解釋說：“在網(wǎng)絡(luò)安全中充分利用人工智能的最佳方法是，利用監(jiān)督學(xué)習(xí)來識別惡意行為的粒狀模式，而無人監(jiān)督的算法則為異常檢測建立一個基準(zhǔn)線。”“人類在短期內(nèi)不會被排除在這個等式之外?！?/p>