網(wǎng)絡(luò)犯罪分子不斷尋求新的方法來(lái)實(shí)施攻擊，但由于人工智能(AI)及其子集機(jī)器學(xué)習(xí)，自動(dòng)抵御這些攻擊成為可能。

秘密在于機(jī)器學(xué)習(xí)能夠監(jiān)控網(wǎng)絡(luò)流量，并了解系統(tǒng)內(nèi)的正常情況，使用這些信息來(lái)標(biāo)記任何可疑活動(dòng)。正如該技術(shù)的名字所暗示的那樣，它能夠利用企業(yè)每天收集的大量安全數(shù)據(jù)，隨著時(shí)間的推移變得更加有效。

此時(shí)，當(dāng)機(jī)器發(fā)現(xiàn)異常時(shí)，它會(huì)向人類(lèi)(通常是安全分析師)發(fā)送警報(bào)，以決定是否需要采取措施。但一些機(jī)器學(xué)習(xí)系統(tǒng)已經(jīng)能夠自行響應(yīng)，例如限制某些用戶(hù)的訪問(wèn)。

人工智能在安全領(lǐng)域取代人類(lèi)嗎?

談?wù)撟詣?dòng)化和人工智能通常會(huì)導(dǎo)致失業(yè)，但對(duì)于安全行業(yè)來(lái)說(shuō)，機(jī)器學(xué)習(xí)正在被部署來(lái)補(bǔ)充現(xiàn)有的專(zhuān)業(yè)知識(shí)，而不是取代它。

這些系統(tǒng)并不是為了自主工作而設(shè)計(jì)的，而是為了處理那些分散人類(lèi)工作者有效工作注意力的任務(wù)。例如，人工智能非常擅長(zhǎng)處理數(shù)據(jù)，然后可以用于進(jìn)一步的分析，這是一項(xiàng)仍然非常需要人類(lèi)的任務(wù)。

然而，根據(jù)Moonpig網(wǎng)絡(luò)安全負(fù)責(zé)人塔什·諾里斯(Tash Norris)的說(shuō)法，人工智能數(shù)據(jù)分析還可以提供其他好處。作為IT Pro小組的一員，他說(shuō)“分析師自然會(huì)尋找他們以前見(jiàn)過(guò)的相關(guān)性，或者他們期望看到的相關(guān)性”。

“人工智能的真正實(shí)現(xiàn)應(yīng)該能夠得出‘無(wú)偏’的相關(guān)性，從你擁有的數(shù)據(jù)集帶來(lái)更多價(jià)值。”

小組成員一致認(rèn)為，部署人工智能和機(jī)器學(xué)習(xí)系統(tǒng)最明智的地方是在檢測(cè)和響應(yīng)功能的廣泛類(lèi)別中，包括像SIEM、SOAR和EDR這樣的任務(wù)。通過(guò)自動(dòng)化這些更加手動(dòng)的過(guò)程，員工可以解放出來(lái)處理更危險(xiǎn)的威脅，使用人工智能作為力量倍增器來(lái)擴(kuò)展安全團(tuán)隊(duì)的能力。

Darktrace的技術(shù)總監(jiān)戴夫帕爾默(Dave Palmer)表示:“擁有機(jī)器學(xué)習(xí)可以讓公司更有效地確定優(yōu)先級(jí)。我們不排除人為風(fēng)險(xiǎn)決策，但我們?cè)试S戰(zhàn)術(shù)滅火，因此安全團(tuán)隊(duì)可以在自己的時(shí)間范圍內(nèi)完成工作?！?/p>

這家總部位于劍橋的人工智能初創(chuàng)公司最近與微軟合作，為過(guò)渡到云的組織提供人工智能增強(qiáng)的網(wǎng)絡(luò)安全。該合作伙伴關(guān)系專(zhuān)注于解決電子郵件安全、數(shù)據(jù)集成以及簡(jiǎn)化的安全工作流等“關(guān)鍵領(lǐng)域”的安全挑戰(zhàn)。這包括微軟的Azure hosting Antigena Email，它使用Darktrace的人工智能技術(shù)來(lái)阻止最先進(jìn)的電子郵件威脅，該產(chǎn)品也在Azure Marketplace上上市。

Darktrace電子郵件安全產(chǎn)品總監(jiān)Dan Feinat警告說(shuō)，這家人工智能初創(chuàng)公司每天都目睹“攻擊者冒充首席執(zhí)行官或侵入供應(yīng)商的賬戶(hù)，發(fā)送看起來(lái)合法的有針對(duì)性的熱門(mén)電子郵件”。

“隨著這些攻擊變得越來(lái)越復(fù)雜，員工教育和意識(shí)是不夠的。答案在于技術(shù)，”他補(bǔ)充道。

英國(guó)網(wǎng)絡(luò)安全初創(chuàng)公司Cyberlytic的首席執(zhí)行官斯圖爾特·萊德勞也主張使用機(jī)器學(xué)習(xí)來(lái)減輕安全分析師的工作量?！斑@是關(guān)于減少噪音:這些人忙于他們的日常工作，他們不能對(duì)所有事情做出反應(yīng)。我們使用機(jī)器學(xué)習(xí)來(lái)做分診?！?/p>

云安全公司ProtectWise的聯(lián)合創(chuàng)始人Gene Stevens表示，機(jī)器學(xué)習(xí)顯示出最大潛力的地方是解釋許多不同專(zhuān)家系統(tǒng)的輸出并將其整合在一起?！叭祟?lèi)花了很多時(shí)間試圖將其合理化。機(jī)器學(xué)習(xí)擅長(zhǎng)采用這些模式并組織數(shù)據(jù)，因此人類(lèi)可以對(duì)網(wǎng)絡(luò)上的流量進(jìn)行高度整合?！?/p>

機(jī)器學(xué)習(xí)也可以用于用戶(hù)行為分析。例如，Auriga Consulting的首席技術(shù)官賈馬爾埃爾默拉斯(Jamal Elmellas)表示:“如果有人每天在08:55登錄，然后時(shí)間變成了01:00，系統(tǒng)會(huì)將此標(biāo)記為可疑行為。”

如何在網(wǎng)絡(luò)安全中部署機(jī)器學(xué)習(xí)

隨著技術(shù)的不斷發(fā)展，可行用例的數(shù)量也在增加。

其中一個(gè)例子是異常檢測(cè)，它正在被自動(dòng)化改造。這在很大程度上是由于將技術(shù)應(yīng)用于任務(wù)相對(duì)容易，因?yàn)槟梢酝ㄟ^(guò)相當(dāng)少的培訓(xùn)來(lái)啟動(dòng)系統(tǒng)。

劍橋VASCO創(chuàng)新中心(VASCO Innovation Centre)的安全架構(gòu)師史蒂文·默多克(Steven Murdoch)表示：“你為它提供了一系列數(shù)據(jù)，并標(biāo)出了看起來(lái)不尋常的東西?！??！叭缓罂梢詫⑵溆糜谌肭直Ｗo(hù)?！?/p>

機(jī)器學(xué)習(xí)也可以低成本獲得：像云一樣，產(chǎn)品通?？梢悦赓M(fèi)試用。此外，Laidlaw說(shuō)，亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)等公司提供了人工智能組件?！耙恍┙鉀Q方案只要插上電源，你就可以讓幾個(gè)數(shù)據(jù)科學(xué)家來(lái)發(fā)現(xiàn)異常?！?/p>

帕爾默建議：“了解它如何適合你的業(yè)務(wù)。人工智能作為一個(gè)領(lǐng)域是非常包容的;書(shū)籍和培訓(xùn)課程都可以在網(wǎng)上獲得?！?/p>

當(dāng)然，與任何新技術(shù)一樣，您需要克服一些缺陷。并非每個(gè)專(zhuān)家都相信機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全方面有著光明的前景，因?yàn)榫W(wǎng)絡(luò)罪犯也可以使用人工智能攻擊公司。這包括黑客可能欺騙一個(gè)防御系統(tǒng)，并使其對(duì)抗其所有者。

機(jī)器學(xué)習(xí)也有其局限性。SecureData首席安全策略官查爾·范德沃爾特(Charl van der Walt)表示，許多網(wǎng)絡(luò)攻擊不符合機(jī)器學(xué)習(xí)訓(xùn)練識(shí)別的模式?！皩?duì)手很靈活，一直在變化。因此，很難找到存在對(duì)抗模式的數(shù)據(jù)集?！?/p>

蒂賽德大學(xué)(Teesside University)機(jī)器智能研究小組組長(zhǎng)曾益峰(Yifeng Zeng)博士表示，使用數(shù)據(jù)進(jìn)行準(zhǔn)確預(yù)測(cè)是頭號(hào)挑戰(zhàn)。此外，他說(shuō)：“使用機(jī)器學(xué)習(xí)，公司聲稱(chēng)他們可以處理以前的攻擊，但他們將如何處理新的攻擊?網(wǎng)絡(luò)安全的重要問(wèn)題是預(yù)測(cè)未來(lái)的攻擊。那么，我們?nèi)绾问褂靡郧暗臄?shù)據(jù)來(lái)識(shí)別意外模式?”

網(wǎng)絡(luò)安全中機(jī)器學(xué)習(xí)的未來(lái)

盡管面臨挑戰(zhàn)，網(wǎng)絡(luò)安全專(zhuān)家相信機(jī)器學(xué)習(xí)將繼續(xù)存在。隨著技術(shù)的進(jìn)步，可能會(huì)出現(xiàn)了解他們何時(shí)受到攻擊并采取措施保護(hù)自己的程序。

與此同時(shí)，帕爾默表示：“機(jī)器可以研究人類(lèi)對(duì)不同類(lèi)型攻擊的反應(yīng)方式及其調(diào)查方式。例如，他們可以提出建議，例如，“處于您的情況下的人接下來(lái)會(huì)采取這些步驟”，以一種上下文有用的方式充當(dāng)教練或傳聲筒?！?/p>

此外，有人建議，不久將部署機(jī)器學(xué)習(xí)系統(tǒng)，以欺騙對(duì)手，而不僅僅是利用它預(yù)測(cè)什么是壞事。

范德沃爾特說(shuō)：“這需要人為地重塑你的環(huán)境，使其成為一個(gè)移動(dòng)的目標(biāo)，并鼓勵(lì)對(duì)手追逐大量的轉(zhuǎn)移注意力的行為。”。

這可能包括為對(duì)手創(chuàng)建假目標(biāo)，例如看起來(lái)真實(shí)但實(shí)際上不是的文件和系統(tǒng)?！斑@是對(duì)機(jī)器學(xué)習(xí)的另一種思考方式：欺騙是一種防御策略。”

回到今天，人工智能和機(jī)器學(xué)習(xí)如何成為公司網(wǎng)絡(luò)安全戰(zhàn)略的一部分?它有很大的潛力，但該技術(shù)不能成為公司的唯一安全手段;這是整體防御的一部分。就目前而言，萊德勞建議：“知道你的皇冠上的寶石在哪里，保護(hù)最有價(jià)值的東西，把人工智能作為保護(hù)的一部分。”