信息來源:比特網(wǎng)
在剛剛落幕的RSA2017上���,人工智能作為一個流行的議題自然不會缺席��,專家集中討論的不僅僅是人工智能可能會如何摧毀人類的防線���,還有如何利用人工智能來解決勒索軟件��、APT攻擊等當下的一些棘手問題��。這已經(jīng)不是“紙上談兵”式的理論研究��,而是真正進入產(chǎn)品化的實踐���,在今年的RSA大會上,有網(wǎng)絡(luò)安全專家就展示了機器學習分析應(yīng)用���,它通過機器學習處理業(yè)務(wù)��,能逐漸去學習業(yè)務(wù)數(shù)據(jù)當中哪些業(yè)務(wù)出現(xiàn)異常��,然后直接進行預(yù)警。
的確���,未來被顛覆的將是那些不接受“人工智能+”概念的公司��,那么���,在重視對人性深入研究的網(wǎng)絡(luò)安全行業(yè)���,人工智能是否能夠成為主流的技術(shù)思路?
從靜態(tài)機器學習到動態(tài)機器學習 人工智能的進化
人工智能在網(wǎng)絡(luò)安全應(yīng)用的直接動因在于網(wǎng)絡(luò)安全形勢越來越復(fù)雜���,已經(jīng)在很大程度上超過了人工的處理能力���。例如前幾年出現(xiàn)過一次病毒大規(guī)模爆發(fā),每天新型病毒的新增數(shù)據(jù)甚至達到幾十萬個��,如果還是通過傳統(tǒng)的特征碼分析處理模式���,根本無法處理���,而且其對人力、網(wǎng)絡(luò)資源的損耗是驚人的��,會對網(wǎng)絡(luò)安全企業(yè)以及客戶帶來沉重的壓力���。
在此背景下��,靜態(tài)機器學習的概念就應(yīng)運而生��。早在十年之前��,像趨勢科技這樣的國際安全企業(yè)就開始從事這方面的研究���,其方法是學習文件的機器指令���,包括惡意軟件的各種特征。通過這種方式��,網(wǎng)絡(luò)安全防御系統(tǒng)可以不用完全掌握惡意軟件的特征碼��,而是可以通過其傳播方式��、攻擊方式等特征來判斷是不是有惡意軟件的嫌疑��。這樣一來��,就能夠最大限度的提高企業(yè)的偵測率和偵測性能��,還有效避免了網(wǎng)絡(luò)防御帶來的巨額資源消耗���。
亞信安全產(chǎn)品研發(fā)及業(yè)務(wù)發(fā)展總經(jīng)理童寧說:“靜態(tài)機器學習在面對未知網(wǎng)絡(luò)安全威脅時已經(jīng)表現(xiàn)了強大的應(yīng)用潛力���,特別是如今勒索軟件、APT攻擊更加傾向于通過‘私人定制’的方式來攻擊高價值的企業(yè)目標���,通過機器學習來對威脅進行提前預(yù)判無疑是最有效的方式���。在亞信安全處理一個新型勒索軟件樣本的實例中,亞信安全使用了機器學習的手段��,通過威脅樣本的DNA進行特征匹配���,以及熱圖的分析方式判斷威脅的可能性95%��,最終實現(xiàn)了對于該勒索軟件的成功攔截���。”
雖然靜態(tài)機器學習在對抗未知網(wǎng)絡(luò)安全威脅時體現(xiàn)了高效的優(yōu)勢���,但是其往往存在著過于敏感的缺陷���,容易出現(xiàn)誤報的情況,正常的應(yīng)用或數(shù)據(jù)也可能被誤判為安全威脅而遭到攔截��,這對于企業(yè)的關(guān)鍵業(yè)務(wù)應(yīng)用來說會非常致命��。為了解決這一問題,動態(tài)機器學習技術(shù)也就應(yīng)運而生���,其會將所學習到的行為特征是放在沙箱里面進行重新分析���,通過模擬真實的環(huán)境來判斷軟件是否真的對企業(yè)網(wǎng)絡(luò)構(gòu)成威脅,以幫助減少相關(guān)的誤報���。
在綜合應(yīng)用靜態(tài)機器學習與動態(tài)機器學習策略之后���,有助于從安全威脅的下載階段、數(shù)控階段���、數(shù)據(jù)傳輸���、感染等不同的階段入手,通過海量樣本與安全專家的咨詢意見��,對網(wǎng)絡(luò)威脅進行高效���、準確的封堵���。
人工智能策略不是你想用���,想用就能買
從基本原理來看���,人工智能在網(wǎng)絡(luò)安全中的應(yīng)用并不復(fù)雜���,但是真正要應(yīng)用于網(wǎng)絡(luò)安全防護的實踐卻并不容易,甚至可能會給企業(yè)帶來業(yè)務(wù)上的損失��,這也成為本屆RSA大會上很多專家對人工智能產(chǎn)生懷疑的原因��。在他們看來���,人工智能安全系統(tǒng)的可靠性仍然是一個嚴峻的問題���,很多的問題仍然需求借助手動處理,這也使得很多人工智能策略瀕臨失效���。
但這并不能證明人工智能策略不能適用于當前環(huán)境��,童寧認為��,目前來看���,要將人工智能應(yīng)用于網(wǎng)絡(luò)安全需求滿足四個條件:用于網(wǎng)絡(luò)安全分析所需要的大量數(shù)據(jù)��、對網(wǎng)絡(luò)安全特征標簽的正確提取���、適合網(wǎng)絡(luò)安全場景的機器學習的算法、具有了解機器學習算法并熟悉網(wǎng)絡(luò)安全技術(shù)的專家��,只有當這四個條件同時具備的時候��,才能研發(fā)出真正的幫助企業(yè)抵擋安全威脅的核心技術(shù)���。
目前��,亞信安全已經(jīng)確立了“3C+AI”的策略��,其中“3C”包括云安全(Cloud)��、APT安全戰(zhàn)略(Cyber)和終端安全(Consumerization)戰(zhàn)略���,AI即人工智能,在人工智能安全系統(tǒng)方面做了很多落地的工作���。在至關(guān)重要的樣本數(shù)據(jù)方面��,亞信安全在全球有1.5億個相關(guān)用戶��,實現(xiàn)了最廣泛產(chǎn)品類型的覆蓋��,并建立了覆蓋全球的云安全智能防護網(wǎng)絡(luò)���,每天可以對文件、URL���、域���、漏洞等元素進行超過10億次的查詢,通過大數(shù)據(jù)分析來進行機器學習���、建模���、關(guān)聯(lián),快速精確分析并識別威脅���。目前���,亞信安全每天使用大數(shù)據(jù)分析有超過100TB���,每天識別出50多萬新型的威脅。
除了借助大數(shù)據(jù)分析快速掌握大量威脅特征因子之外���,亞信安全還通過500余名后臺分析人員���,對這些特征因子進行分析,以進一步糾正機器學習模型��,在減少誤報率的同時���,將云端的特征碼下發(fā)給本地安全產(chǎn)品��,幫助企業(yè)用戶更快速精準的定位安全威脅���。
人工智能安全系統(tǒng)的未來:矛與盾的較量仍會繼續(xù)
從理想狀態(tài)來看,人工智能安全系統(tǒng)的終極形態(tài)是會“獨立思考”��,將安全威脅處理的步驟完全自動化���,甚至可以直接代替網(wǎng)絡(luò)安全專家的角色���,但要實現(xiàn)這一點��,大量的機器學習以及對機器學習算法的改進將不可避免��。
即使人工智能實現(xiàn)了進化���,也可能會因此產(chǎn)生新的威脅,不僅網(wǎng)絡(luò)安全企業(yè)可以利用人工智能來快速的定位威脅���,黑客也可能會直接攻擊人工智能系統(tǒng)以納為已用���,甚至會通過人工智能來發(fā)現(xiàn)網(wǎng)絡(luò)中的缺陷以進行攻擊��,所以在可預(yù)料的未來��,矛與盾的較量仍然不會結(jié)束��。
