AI在安全方面的角色對(duì)白帽黑客和網(wǎng)絡(luò)罪犯都很有吸引力,，但目前似乎還沒有找到雙方的平衡,。

人工智能已經(jīng)成為網(wǎng)絡(luò)安全開發(fā)者的新寶藏，這要?dú)w功于它的潛力,，它不僅可以在很大的規(guī)模上實(shí)現(xiàn)功能自動(dòng)化,，還可以根據(jù)它在一段時(shí)間內(nèi)學(xué)到的東西來做出相應(yīng)的決策。這可能會(huì)對(duì)安全維護(hù)人員產(chǎn)生重大影響——通常情況下,，公司根本沒有足夠的資源在眾多惡意軟件中“大海撈針”,。

例如，如果一名工作人員通常在紐約工作,，突然有一天早上從匹茲堡登錄,，這是一種反常現(xiàn)象——人工智能可以看出這是一種反?，F(xiàn)象,，因?yàn)樗呀?jīng)學(xué)會(huì)了期望用戶從紐約登錄。類似地,，如果該用戶在匹茲堡登錄后,，在幾分鐘后又在另一個(gè)地方登錄，比如加州,，那么這很可能是一個(gè)惡意的危險(xiǎn)信號(hào),。

因此，在最簡單的層面上,，人工智能和“機(jī)器學(xué)習(xí)”圍繞的是對(duì)行為規(guī)范的理解,。系統(tǒng)需要一些時(shí)間來觀察環(huán)境，以了解什么是正常的行為，并建立一個(gè)基準(zhǔn)線——這樣它就可以通過將算法知識(shí)應(yīng)用到數(shù)據(jù)集來獲取偏離規(guī)范的偏差,。

針對(duì)網(wǎng)絡(luò)安全的AI可以以多種方式幫助防御者,。然而，人工智能的出現(xiàn)也有不利的方面,。首先,，網(wǎng)絡(luò)犯罪分子也利用了這項(xiàng)技術(shù)，很明顯,，它可以被用于各種惡意的任務(wù),。比如對(duì)開放的、易受攻擊的端口進(jìn)行的掃描,，或者是電子郵件的自動(dòng)組合,，這些郵件具有公司首席執(zhí)行官的準(zhǔn)確語氣和聲音,，被24小時(shí)竊聽,。

在不久的將來，這種自動(dòng)模仿甚至可以擴(kuò)展到語音,。例如,，IBM的科學(xué)家已經(jīng)為人工智能系統(tǒng)創(chuàng)造了一種方法來分析、解釋和反映用戶的獨(dú)特語言和語言特征——從理論上講,，這可以讓人類更容易地與他們的技術(shù)對(duì)話,。然而，使用這種類型的惡意欺騙應(yīng)用程序的潛力是顯而易見的,。

與此同時(shí),，在垂直市場上采用人工智能的熱情——對(duì)于網(wǎng)絡(luò)安全和其他領(lǐng)域——已經(jīng)打開了一個(gè)快速增長的新攻擊面——它并不總是青睞于內(nèi)置的安全設(shè)計(jì)。人工智能有能力徹底改變?nèi)魏涡袠I(yè)：向在線購物者提供更明智的建議,，加快生產(chǎn)過程的自動(dòng)化質(zhì)量檢查,，甚至追蹤和監(jiān)測出現(xiàn)野火的風(fēng)險(xiǎn)。加拿大阿爾伯塔大學(xué)的研究人員正在為這方面做更多的工作,。

人工智能的這種雙重性質(zhì)——一方面是正義的力量,，另一方面是邪惡的力量——還沒有找到平衡，但人們對(duì)人工智能的興趣卻在持續(xù)增長,。

人工智能的一場“傲骨之戰(zhàn)”

在網(wǎng)絡(luò)安全的適用性方面,，人工智能已經(jīng)得到了大量的宣傳。由于人工智能依賴于分析大量數(shù)據(jù)來尋找相關(guān)的模式和異常,，因此可以要求它在一段時(shí)間內(nèi)學(xué)習(xí)什么構(gòu)成了假陽性,，以及在某種規(guī)定的政策范圍內(nèi)所不包括的內(nèi)容。因此,，對(duì)于入侵預(yù)防和檢測來說,，這可能是一個(gè)不可估量的恩惠，例如，與欺詐檢測和根除諸如DNS數(shù)據(jù)過濾和憑證濫用等惡意活動(dòng),。

人工智能算法可以應(yīng)用于用戶和網(wǎng)絡(luò)行為分析,。例如，機(jī)器學(xué)習(xí)觀察人員,、端點(diǎn)和像打印機(jī)這樣的網(wǎng)絡(luò)設(shè)備的活動(dòng),，以標(biāo)記潛在的惡意活動(dòng)。

同樣,，人工智能在網(wǎng)絡(luò)行為分析中也扮演著重要角色,，它研究用戶與網(wǎng)站的互動(dòng)，并作為在線欺詐檢測的補(bǔ)充,。

例如,，如果用戶登錄到一個(gè)零售應(yīng)用程序，在站點(diǎn)周圍搜索,，找到一個(gè)產(chǎn)品來了解更多信息,，然后將該產(chǎn)品保存到購物車中或結(jié)賬。該用戶現(xiàn)在可以作為買家以配置行為文件,。在未來,，如果該用戶在同一電商網(wǎng)站上顯示了截然不同的行為，那么它可能會(huì)被標(biāo)記為潛在的安全事件進(jìn)一步調(diào)查,。

在DNS方面,，一個(gè)人工智能系統(tǒng)可以檢查DNS流量，以跟蹤DNS查詢到權(quán)威服務(wù)器,，但沒有收到有效響應(yīng)的情況,。“雖然這很難預(yù)防,，但很容易被檢測到,，”Justin Jett最近在Threatpost的一篇專欄文章中解釋道，他是Plixer的審計(jì)和合規(guī)總監(jiān),。比如序列號(hào)0800fc577294c34e0b28ad2839435945.badguy.example[.]net 如果被發(fā)送到給定的網(wǎng)絡(luò)機(jī)器上很多次,，系統(tǒng)便會(huì)向IT專業(yè)人員發(fā)出警報(bào)?！?/p>

識(shí)別密碼泄露和誤用也是一個(gè)很好的例子,。這種類型的攻擊正變得越來越普遍，因?yàn)閿?shù)據(jù)泄露后,，人們的電子郵件和密碼流向了黑暗的網(wǎng)絡(luò),。例如，Equifax的漏洞導(dǎo)致數(shù)百萬份有效的電子郵件被曝光,；2016年的雅虎數(shù)據(jù)泄露事件中,，攻擊者獲取了5億個(gè)用戶的賬戶信息。由于人們傾向于重復(fù)使用密碼，犯罪分子會(huì)在不同的機(jī)器上隨機(jī)嘗試不同的電子郵件和密碼,，希望能獲得成功,。

為了識(shí)別這種攻擊，“人工智能在這里是有用的,，因?yàn)樗呀?jīng)給用戶設(shè)立了基準(zhǔn)線,，”Jett解釋說?！斑@些用戶每天在多個(gè)設(shè)備上連接并登錄,。對(duì)于一個(gè)人來說，在服務(wù)器上嘗試數(shù)百次登錄是很常見的,，但是很難找到一個(gè)試圖在100臺(tái)不同的機(jī)器上進(jìn)行連接的人,，并且只成功登錄一次?！?/p>

人工智能還可以用來自動(dòng)評(píng)估開源代碼的潛在缺陷,。例如，網(wǎng)絡(luò)安全公司Synopsys正在利用人工智能自動(dòng)將已知的漏洞映射到開源項(xiàng)目,，并評(píng)估企業(yè)的風(fēng)險(xiǎn)影響;例如,，它會(huì)自動(dòng)分析數(shù)百份法律文件（許可證,、服務(wù)條款,、隱私聲明、HIPAA,、DMCA等隱私法）,，以確定任何檢測到的漏洞的合規(guī)風(fēng)險(xiǎn)。

然而,，在易受攻擊性方面的另一個(gè)應(yīng)用是回顧和預(yù)測,。如果一個(gè)新的漏洞被宣布，那么就可以通過日志數(shù)據(jù)來查看它是否在過去被利用了,?；蛘撸绻@確實(shí)是一種新的攻擊,，人工智能就可以評(píng)估證據(jù)是否足夠確定,，以確定攻擊者的下一步行動(dòng)是什么。

人工智能還能很好地完成單調(diào)乏味,、重復(fù)性的任務(wù)——比如尋找特定的模式,。JASK的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Greg Martin表示，這樣一來,，它的實(shí)現(xiàn)可以緩解大多數(shù)安全操作中心（SOCs）所面臨的資源限制,。SOC的工作人員每天都在部署數(shù)百個(gè)安全漏洞——當(dāng)然，并不是所有的安全漏洞都是真正的攻擊。

“安全團(tuán)隊(duì)總是被信息所淹沒,，”451 Research的研究主管Scott Crawford在一次采訪中說,。“關(guān)于對(duì)手正在做什么,、最新的攻擊工具,、惡意軟件的變化以及內(nèi)部資源生成的大量信息?！痹谌肭直Ｗo(hù)空間中,，日志數(shù)據(jù)的數(shù)量和生成的警報(bào)是壓倒性的。SIEM市場在一定程度上是為了解決這個(gè)問題,，只是在有需要處理的事情的時(shí)候才會(huì)浮出水面——但這還不夠,。因此，現(xiàn)在我們看到了處理數(shù)據(jù)的新技術(shù)的興起,，并通過分析和人工智能來獲得意義,。”

目前仍不完美

盡管人工智能在安全領(lǐng)域有很多用途,，但公司應(yīng)該謹(jǐn)慎地理解其局限性,；這些引擎只和進(jìn)入它們的數(shù)據(jù)一樣好，而僅僅將數(shù)據(jù)歸為算法,，就會(huì)告訴分析師什么是不尋常的,，而不是它們是否重要。為人工智能設(shè)定參數(shù)的數(shù)據(jù)科學(xué)家需要知道如何提出正確的問題來恰當(dāng)?shù)乩萌斯ぶ悄艿哪芰?。人工智能?yīng)該尋找什么,？一旦有了發(fā)現(xiàn)，人工智能應(yīng)該做些什么呢,？通常,，需要復(fù)雜的流程圖來為期望的結(jié)果編寫人工智能程序。

用具體的術(shù)語來說,，很容易就能訓(xùn)練人工智能,，比如說，發(fā)現(xiàn)小行星帶里的小行星有反常的移動(dòng),。但如果目標(biāo)是要知道它是否向地球進(jìn)發(fā),，那就需要進(jìn)行仔細(xì)調(diào)整。

而且,，在今天的數(shù)字工作場所中,，有如此多的公司信息，以人類監(jiān)督的形式監(jiān)測故障是一個(gè)好主意,。簡單地為人工智能分配網(wǎng)絡(luò)監(jiān)督職責(zé)可能會(huì)產(chǎn)生意想不到的后果,，比如過分積極地隔離文檔,、刪除重要數(shù)據(jù)或大量拒絕合法信息——這可能會(huì)嚴(yán)重影響工作效率。例如,，在人工智能的假設(shè)下,，在之前的登錄場景中，員工可能只是在旅行,，所以關(guān)閉訪問可能不是最好的主意,。

“沒有一臺(tái)機(jī)器能完美無缺，并解釋所有潛在的行為可能性,，”AsTech咨詢公司的首席安全架構(gòu)師Nathan Wenzler在接受采訪時(shí)說,。“這意味著它仍然需要人們的關(guān)注,，否則你可能會(huì)有很多合法的東西被標(biāo)記為“壞”,，或者惡意軟件和其他攻擊，被編碼為“好”,。所涉及的算法只能做到這樣,，并且，隨著時(shí)間的推移而不斷改進(jìn),。但是,，攻擊也會(huì)變得更聰明，并找到規(guī)避學(xué)習(xí)過程的方法,，從而仍然有效,。”

而且,，因?yàn)槿匀恍枰腥四軌驅(qū)Τ霈F(xiàn)的異常情況做出合理的判斷,，因此也應(yīng)該考慮到人們需要關(guān)注的領(lǐng)域?？梢砸钥焖匐娮余]件的形式向該員工發(fā)起一項(xiàng)手動(dòng)調(diào)查——這聽起來沒什么大不了的，除非你認(rèn)為在一家大公司里每隔幾分鐘就會(huì)有成百上千這樣的異常情況發(fā)生,。

Jett解釋說：“在網(wǎng)絡(luò)安全中充分利用人工智能的最佳方法是,，利用監(jiān)督學(xué)習(xí)來識(shí)別惡意行為的粒狀模式，而無人監(jiān)督的算法則為異常檢測建立一個(gè)基準(zhǔn)線,?！薄叭祟愒诙唐趦?nèi)不會(huì)被排除在這個(gè)等式之外?！?/p>

一個(gè)網(wǎng)絡(luò)攻擊者的寶藏

人工智能發(fā)展的另一方面是,，隨著這些引擎的能力變得越來越強(qiáng)大和廣泛，網(wǎng)絡(luò)罪犯們已經(jīng)開始意識(shí)到他們也可以利用這項(xiàng)技術(shù)——特別是比以往任何時(shí)候都更便宜,、更容易進(jìn)行網(wǎng)絡(luò)攻擊,。

例如,，根據(jù)人工智能報(bào)告的惡意使用，人工智能可以提高攻擊的效率,，例如,，使用魚叉式網(wǎng)絡(luò)釣魚的自動(dòng)化，利用實(shí)時(shí)語音合成來模擬攻擊和欺詐,，或者在規(guī)模上進(jìn)行像包嗅探和漏洞攻擊這樣的活動(dòng),。該報(bào)告還指出，人工智能還可以用于在大規(guī)模層面上利用現(xiàn)有的軟件漏洞（例如,，每天成千上萬臺(tái)機(jī)器的自動(dòng)入侵）,。

報(bào)告的作者說：“人工智能的使用可以使參與網(wǎng)絡(luò)攻擊的任務(wù)自動(dòng)化，這將減輕現(xiàn)有的攻擊規(guī)模和效力之間的權(quán)衡,?！?/p>

這些都不只是停留在理論上。在2017年,，網(wǎng)絡(luò)安全公司Darktrace在印度進(jìn)行了一次攻擊,，該攻擊使用了“初級(jí)”人工智能來觀察和學(xué)習(xí)網(wǎng)絡(luò)中正常用戶行為的模式，用于偵察,。該活動(dòng)還可以開始解析特定用戶的通信模式,，以便能夠模仿他或她的語氣和風(fēng)格。例如,，這可以用于商業(yè)郵件妥協(xié)消息的自動(dòng)組合,，這比標(biāo)準(zhǔn)的社會(huì)工程嘗試更有效、更有說服力,。

同樣,，惡意使用報(bào)告還指出，人工智能可以用于自動(dòng)化處理大規(guī)模收集數(shù)據(jù)的任務(wù),，擴(kuò)大與隱私侵犯和社會(huì)秩序相關(guān)的威脅,，等等。

報(bào)告中警告說：“我們還預(yù)計(jì)會(huì)出現(xiàn)新的攻擊,，即利用現(xiàn)有數(shù)據(jù)分析人類行為,、情緒和信仰?！薄斑@些擔(dān)憂在權(quán)威國家的背景下最為重要,，但也可能削弱民主國家維持真實(shí)公開辯論的能力?！?/p>

另一個(gè)由人工智能驅(qū)動(dòng)的開發(fā)是僵尸網(wǎng)絡(luò)群的興起,，就像最近的Hide and Seek僵尸網(wǎng)絡(luò)一樣。Hide and Seek是一組自我學(xué)習(xí)的設(shè)備,，這是世界上第一個(gè)通過自定義的對(duì)等協(xié)議進(jìn)行交流的設(shè)備,。傳統(tǒng)的僵尸網(wǎng)絡(luò)等待著來自機(jī)器人的命令,，而蜂群能夠獨(dú)立地做出決定。

“他們可以同時(shí)識(shí)別和攻擊不同的攻擊載體,，”Fortinet and FortiGuard實(shí)驗(yàn)室的全球安全策略師Derek Manky在最近的一次Threatpost的采訪中說,。“蜂群加速攻擊鏈——或攻擊周期,。它們幫助攻擊者快速移動(dòng),。隨著時(shí)間的推移，隨著防御能力的提高,，攻擊的時(shí)間窗口也在縮小,。這是攻擊者彌補(bǔ)失去的時(shí)間的一種方式?！?/p>

展望未來

也許為了跟上破壞者的努力,，人工智能正從安全的角度出發(fā)，公司正在更頻繁地將其納入安全產(chǎn)品中,。展望未來,，重點(diǎn)是更充分地將其應(yīng)用于快速加速和復(fù)雜的威脅領(lǐng)域。

信息安全論壇董事總經(jīng)理Steve Durbin在接受采訪時(shí)表示：“我們所看到的是,，攻擊的持續(xù)復(fù)雜化,，而這發(fā)生在安全部門資源不足的背景下，他們不知道應(yīng)該把錢花在哪里,?！薄八羞@些都發(fā)生在一個(gè)日益復(fù)雜的環(huán)境中，越來越多的物聯(lián)網(wǎng)設(shè)備從各種渠道獲取信息,，此外,，第三方供應(yīng)鏈往往非常復(fù)雜。人工智能正變得越來越需要你的手臂,?！?/p>

他解釋說，我們的目標(biāo)是在攻擊發(fā)生之前作出預(yù)測,，或者在它們到達(dá)網(wǎng)絡(luò)之前就先發(fā)制人地阻止網(wǎng)絡(luò)罪犯,。

有證據(jù)表明，這種情況正在開始發(fā)生,。例如，IBM利用其Watson人工智能和先進(jìn)的分析技術(shù),，每天監(jiān)控600億個(gè)安全事件,。該公司開發(fā)了一種基于人工智能的“認(rèn)知蜜罐”，以誘使黑客將寶貴的時(shí)間和資源浪費(fèi)在不存在的線索上,。這項(xiàng)技術(shù)誘使惡意的黑客通過電子郵件交流和互動(dòng)網(wǎng)站來轉(zhuǎn)移他們的攻擊,。

Durbin說：“IBM與沃森的合作清楚地表明了機(jī)器學(xué)習(xí)的能力,，以及從整體商業(yè)的角度來看，它能做些什么,?？赡芸雌饋硗耆幌嚓P(guān)的信息現(xiàn)在可以聯(lián)系在一起了。然而,，供應(yīng)商在其解決方案的成熟度方面處于早期階段,。從組織的角度來看，我支持安全部門部署員工,，與供應(yīng)商合作開發(fā)未來的安全工具,。”