人工智能是一种好的网络安全工具 也是一把双刃剑

人工智能在安全方面的作用对白帽黑客和网络罪犯非常有吸引力，但迄今为止他们之间似乎没有平衡。

人工智能由于其潜力，已经成为网络安全开发者的新财富。它不仅可以实现大规模的功能自动化，而且可以根据一段时间内所学的知识做出相应的决策。这可能会对安全维护人员产生重大影响——通常，公司根本没有足够的资源在众多恶意软件中“大海捞针”。

例如，如果一名工作人员通常在纽约工作，某天早上突然从匹兹堡登录，这是一种异常现象——人工智能可以看出这是一种异常现象，因为它已经学会期待用户从纽约登录。同样，如果用户在匹兹堡登录，几分钟后又在另一个地方登录，比如加利福尼亚，那么这可能是一个恶意和危险的信号。

因此，在最简单的层面上，人工智能和“机器学习”侧重于理解行为准则。该系统需要一些时间来观察环境，以了解正常行为是什么，并建立一个基线，这样它就可以通过将算法知识应用于数据集来获得与规范的偏差。

网络安全人工智能可以在许多方面帮助维护者。然而，人工智能的出现也有它的缺点。首先，网络罪犯也使用了这项技术。显然，它可以用于各种恶意任务。比如扫描打开的和易受攻击的端口，或者电子邮件的自动组合，这些邮件具有该公司首席执行官的准确语调和声音，并且一天24小时都被窃听。

在不久的将来，这种自动模仿甚至可以扩展到语音。例如，IBM科学家已经为人工智能系统创造了一种方法来分析、解释和反映用户独特的语言和语言特征——理论上，这可以使人类更容易与他们的技术交流。然而，使用这种类型的恶意欺骗应用程序的可能性是显而易见的。

与此同时，在网络安全和其他领域的垂直市场中采用人工智能的热情已经打开了一个新的和快速增长的攻击面——它并不总是支持内置的安全设计。人工智能有能力彻底改变任何行业:为网上购物者提供更明智的建议，加快生产过程中的自动化质量检查，甚至跟踪和监控野火的风险。阿尔伯塔大学的研究人员在这方面做了更多的工作。

人工智能的这种双重性质——一方面是正义的力量，另一方面是邪恶的力量——尚未找到平衡，但人们对人工智能的兴趣在继续增长。

人工智能中的“骄傲之战”

在网络安全的适用性方面，人工智能已经得到了广泛的宣传。因为人工智能依赖于分析大量的数据来发现相关的模式和异常，所以可能需要了解什么构成假阳性，什么不包括在一段时间内的特定策略范围内。因此，对于入侵预防和检测来说，这可能是一个不可估量的好处，例如，与欺诈检测和消除恶意活动(如DNS数据过滤和凭据滥用)相关。

人工智能算法可以应用于用户和网络行为分析。例如，机器学习观察人员、端点和网络设备(如打印机)的活动，以标记潜在的恶意活动。

同样，人工智能在网络行为分析中也发挥着重要作用。它研究用户和网站之间的交互，并作为在线欺诈检测的补充。

例如，如果用户登录一个零售应用程序，在网站上搜索，找到一个产品以了解更多信息，然后将产品保存在购物车中或结账离开。用户现在可以作为购买者来配置行为文件。将来，如果用户在同一个电子商务网站上表现出完全不同的行为，可能会被标记为潜在的安全事件，以便进一步调查。

在域名系统中，人工智能系统可以检查域名系统流量，以跟踪对权威服务器的域名系统查询，但不会收到有效的响应。“虽然这很难预防，但很容易发现，”贾斯廷·杰特在最近的一篇专栏文章中解释道，他是普利克斯的审计与合规总监。例如，如果序列号0800 fc 577294 c 34 e0b 28 ad 283945945 . badgey .例如[...]网络被多次发送到给定的网络机器上，系统会提醒信息技术专业人员。"

识别密码泄露和误用也是一个很好的例子。这种类型的攻击变得越来越普遍，因为在数据泄露后，人们的电子邮件和密码会流向黑暗的网络。例如，Equifax的漏洞导致了数百万封有效电子邮件的泄露；在2016年雅虎数据泄露事件中，攻击者获得了5亿用户的账户信息。因为人们倾向于重复使用密码，罪犯会在不同的机器上随机尝试不同的电子邮件和密码，希望能成功。

杰特解释说，为了识别这种攻击，“人工智能在这里很有用，因为它为用户设置了一个基线”。“这些用户每天连接并登录多个设备。一个人尝试在服务器上登录数百次是很常见的，但是很难找到一个人尝试在100台不同的机器上连接并且只成功登录一次。”

人工智能也可以用来自动评估开放源代码中的潜在缺陷。例如，网络安全公司Synopsys正在使用人工智能将已知的漏洞自动映射到开源项目，并评估企业的风险影响。例如，它会自动分析数百份法律文件(许可证、服务条款、隐私声明、HIPAA、DMCA和其他隐私法律)，以确定任何检测到的漏洞的合规风险。

然而，漏洞的另一个应用是审查和预测。如果发现新的漏洞，可以使用日志数据来查看过去是否被利用过。或者，如果这确实是一次新的攻击，人工智能可以评估证据是否足以确定攻击者的下一步行动。

人工智能也能很好地完成单调和重复的任务——比如寻找特定的模式。JASK首席执行官兼联合创始人格雷格·马丁(Greg Martin)表示，通过这种方式，它的实施可以缓解大多数国有石油公司面临的资源约束。SOC员工每天都会部署数百个安全漏洞——当然，并非所有的安全漏洞都是真正的攻击。

“安全团队总是被信息淹没，”451研究中心的研究主管斯科特·克劳福德在一次采访中说。“关于对手正在做什么、最新攻击工具、恶意软件变化和内部资源的大量信息。”在入侵保护领域，日志数据和生成的警报数量惊人。SIEM市场在某种程度上是为了解决这个问题，只有在有事情要处理时才会出现——但这还不够。因此，现在我们看到了处理数据的新技术的兴起，并通过分析和人工智能获得了意义。"

它仍然不完美。

尽管人工智能在安全领域有许多用途，但公司应该仔细理解它的局限性。这些引擎只有输入它们的数据才是好的。仅仅将数据分类成算法就能告诉分析师什么是不寻常的，而不是它们是否重要。为人工智能设定参数的数据科学家需要知道如何提出正确的问题，以恰当地利用人工智能的能力。人工智能应该寻找什么？一旦发现，人工智能应该做什么？一般来说，为了得到想要的结果，需要复杂的流程图来编写人工智能程序。

具体来说，培养人工智能很容易。例如，人们发现小行星带中的小行星移动异常。然而，如果目标是知道它是否朝向地球，它需要仔细调整。

此外，在当今的数字化工作场所，公司信息如此之多，以人为监督的形式监控失败是个好主意。简单地将网络监管职责分配给人工智能可能会产生意想不到的后果，例如过度主动地隔离文档、删除重要数据或拒绝大量合法信息，这可能会严重影响工作效率。例如，在人工智能的假设下，在之前的登录场景中，员工可能只是在旅行，因此关闭访问可能不是最好的主意。

阿斯泰克咨询公司的首席安全设计师内森·温茨勒在一次采访中说:“没有一台机器可以完美地解释所有潜在的行为可能性。”。这意味着它仍然需要人们的关注，否则你可能会有许多被标记为“坏”的法律事物或被编码为“好”的恶意软件和其他攻击。所涉及的算法只能做到这一点，它将随着时间的推移而不断改进。然而，攻击也会变得更聪明，找到规避学习过程的方法，从而保持有效性。”

此外，因为仍然需要有人能够对异常情况做出合理的判断，所以也应该考虑人们需要注意的方面。手动调查可以通过给员工发一封快速邮件的形式开始——这听起来没什么大不了的，除非你认为在一家大公司里每隔几分钟就有数百起这样的异常事件发生。

杰特解释道:“在网络安全中充分利用人工智能的最好方法是使用监督学习来识别恶意行为的粒度模式，而非监督算法为异常检测建立一个基线。”"短期内，人类不会被排除在这个等式之外."

网络攻击者的财富

人工智能发展的另一个方面是，随着这些引擎的功能变得越来越强大和广泛，网络犯罪分子已经开始意识到他们也可以使用这种技术——特别是比以往更便宜和更容易进行网络攻击。

例如，基于对人工智能报告的恶意使用，人工智能可以提高攻击的效率，例如，使用鱼叉式网络钓鱼自动化，使用实时语音合成来模拟攻击和欺诈，或者大规模地执行诸如数据包嗅探和漏洞攻击之类的活动。该报告还指出，人工智能还可以用来大规模利用现有的软件漏洞(例如，每天自动入侵数千台机器)。

该报告的作者表示:“人工智能的使用可以使网络攻击中的任务自动化，这将减少现有攻击的规模和有效性之间的权衡。”

这些不仅仅是理论上的。2017年，网络安全公司Darktrace在印度实施了一次袭击。该攻击使用“初级”人工智能来观察和学习网络中的正常用户行为模式，以进行侦察。该活动还可以开始分析特定用户的通信模式，以便能够模仿他或她的语气和风格。例如，这可以用于商业邮件中折衷消息的自动组合，这比标准的社会工程尝试更有效和更有说服力。

同样，恶意使用报告还指出，人工智能可用于自动化大规模数据收集任务，扩大与隐私侵犯和社会秩序等相关的威胁。

报告警告说:“我们也期待新的攻击，也就是说，使用现有的数据来分析人类的行为、情感和信仰。”“在权威国家的背景下，这些担忧最为重要，但它们也可能削弱*国家保持真正公开辩论的能力。”

人工智能推动的另一项发展是僵尸网络的兴起，就像最近的捉迷藏僵尸网络一样。捉迷藏是一组自学习设备，它是世界上第一个通过定制的对等协议进行通信的设备。传统的僵尸网络等待机器人的命令，而蜜蜂可以独立决策。

“他们可以同时识别和攻击不同的攻击媒介，”富通网和富通卫士实验室的全球安全策略师德里克·曼基(Derek Manky)在最近接受Threatpost采访时说。“蜂群加快了攻击链或者攻击周期。它们帮助攻击者快速移动。随着时间的推移和防御能力的提高，攻击时间窗口也在不断缩小。这是攻击者弥补损失时间的一种方式。”

展望未来

也许是为了跟上破坏者的努力，人工智能正从安全的角度出发，公司正更频繁地将其纳入安全产品。展望未来，重点是将其更充分地应用于快速加速和复杂的威胁领域。

信息安全论坛常务董事史蒂夫·德宾(Steve Durbin)在一次采访中表示:“我们看到的是，攻击仍然很复杂，这是在安全部门资源不足的背景下发生的。他们不知道把钱花在哪里。”“所有这些都发生在日益复杂的环境中。越来越多的物联网设备通过各种渠道获取信息。此外，第三方供应链通常非常复杂。人工智能越来越需要你的手臂。”

他解释说，我们的目标是在攻击发生之前进行预测，或者在网络犯罪分子到达网络之前先发制人。

有证据表明，这种情况正在开始发生。例如，IBM使用沃森人工智能和先进的分析技术，每天监控600亿起安全事故。该公司开发了一种基于人工智能的“认知蜜罐”，诱使黑客将宝贵的时间和资源浪费在不存在的线索上。这项技术诱使恶意黑客通过电子邮件交换和互动网站转移攻击。

杜宾说:“从整体商业角度来看，IBM与沃森的合作清楚地证明了机器学习的能力和它能做什么。看似完全不相关的信息现在可以联系在一起了。然而，供应商正处于解决方案成熟的早期阶段。从组织的角度来看，我支持安全部门部署员工，并与供应商合作开发未来的安全工具。”