網絡安全:機器學習+人工智能=可操作的智能
發布時間:2019-10-23 18:50:05
人工智能的目標是使計算機的開發能夠完成通常由人們完成的事情�����,特別是與與人們的智能行為相關的事情�����。就網絡安全而言�����,其最實際的應用是使人類密集型任務自動化,以跟上攻擊者的步伐����!有些組織已經開始在網絡安全應用中使用人工智能來防御攻擊者��。但是��,就其本身而言,人工智能最適合用來識別“哪里出了問題”。
一����、概述
人工智能的目標是使計算機的開發能夠完成通常由人們完成的事情�����,特別是與與人們的智能行為相關的事情。就網絡安全而言�����,其最實際的應用是使人類密集型任務自動化����,以跟上攻擊者的步伐����!有些組織已經開始在網絡安全應用中使用人工智能來防御攻擊者。但是��,就其本身而言��,人工智能最適合用來識別“哪里出了問題”��。
對于當今的企業而言,這僅僅是防御攻擊者所面臨挑戰的一半����。當今的企業不僅需要了解面對漏洞時的“錯在哪里”��,還需要了解“為什么錯在哪里”和“如何解決�����!”,這是通過將人工智能與機器學習相結合來分析和解釋動作以及為了預測攻擊方式并建議采取行動以阻止運動中的威脅的行為�����,技術人員已經設計出一種生成可行情報的方法��。本文將試圖解釋如何將人工智能和機器學習用于實時保護企業的實際效果����。
二�����、簡介
機器學習(ML)和人工智能(AI)自上世紀下半葉以來一直以一種或另一種形式出現��,但在過去幾年中改變我們的日常生活的步伐和適用性顯著提高����。如今,包括ML和AI在內的數據科學已經獨立發展,成為教育界的一門重要學科�����。
商業利益相關者也認識到該學科的重要性��,并一直在利用當代數據科學方法來挖掘有價值的信息����,做出更明智的商業決策并利用現有或新收集的信息來探索新的機會�����。
過去幾十年的互聯網和移動革命已幫助產生了大量有價值的信息��,并有可能從其收藏中得出關鍵的行為和結構見解。自然地��,人們高度連接的世界��,他們使用的設備以及促進專業和社會層面合作的機制極大地幫助了信息收集����。但是�����,伴隨著這些好處的是�����,暴露此信息的陰暗面使信息對社會的不良因素開放以作無意使用����,例如通過勒索軟件和惡意軟件類型的網絡安全攻擊進行金融利用。
面對這些攻擊�����,技術人員已開始開發網絡安全防御技術的組合��,這些技術依賴于大量實時網絡�����,應用程序和用戶交互以及行為數據的收集。數據科學技術的這種混合是如何在網絡安全中利用ML和AI學科來主動阻止此類攻擊的關鍵。
那么,機器學習和人工智能有何不同��?他們如何利用互動和行為�����,為什么如此重要����?
機器學習可以廣義地定義為一種基于數學和統計學的算法的集中方法,旨在通過人類可能不容易完成的經驗或學習來提高特定任務的性能。另一方面,人工智能可以定義為一種針對計算機的集中工程方法,以完成我們作為人們可以自然完成的任務�����,但是可以毫無錯誤地執行它們�����,有時甚至更快��。
Change.org的Andy Veluswami表達了一個有遠見的見解����,他說:“我們將度過一天,我希望很快,機器不僅智能�����,而且也很聰明��,而且它們具有背景����。一旦我們開始到達那里����,而且已經存在,我們將開始取得更大的進步�����?���!蔽覀兌贾庇^地知道這種變化正在我們周圍發生,但是����,這種發展的實際方面�����,例如翻譯學習成為“可行情報”,是當今網絡安全從業人員必須具備的關鍵要求��。
那么��,我們如何定義什么是網絡安全防御中的可行情報?
在機器學習的研究中��,重點是有監督和無監督學習��。(我們不會在本文中考慮深度學習�����。)監督學習和無監督學習的許多方面都要求已知異常可用于學習�����,然后使用經過訓練的模型預測測試數據中的異常�����,然后通過技術對其進行微調��。例如交叉驗證。在網絡安全中�����,通常是在大量正常流量或行為中尋找異常情況����。這種特性使異常檢測成為一個非常棘手的問題�����,例如在大海撈針中尋找針頭。此外��,期望電子商務中的一個行業中異常數據點的培訓適用于醫療保健數據中心等另一行業是不現實的�����。另外,現代攻擊更加復雜��,它們隱藏在許多錯誤攻擊中�����,無法擊敗威脅檢測系統�����。這種復雜性使得為所有目標行業識別異常的培訓數據點變得艱巨。獲取訓練數據點的缺乏或困難使無監督學習成為網絡防御領域的必要條件。
鑒于此類環境需要無監督的學習����,因此必須思考其陷阱����,認識到對異常的預測不會增加誤報或損害準確性����。各種方法都用于評估混淆矩陣的準確性,敏感性等,例如Matthews相關系數����,但是��,在實踐中很難始終如一地從矩陣中獲得良好的度量,這表明不僅需要機器學習以獲得理想的結果����。可以采用多種方法,但是最終結果必須是算法的可行結果�����,且噪聲要最小�����。這就是AI發揮作用的地方����。
2016年4月�����,麻省理工學院計算機科學與人工智能實驗室(CSAIL)的研究人員展示了一個名為AI2的人工智能平臺��,該平臺通過不斷整合人類專家的意見,預測網絡攻擊明顯優于現有系統��。該發現背后的前提是�����,它只需要一套無監督的算法����,并需要專家安全分析人員的反饋����,即可開發出一種基于AI的算法,可以準確地檢測到威脅��。這也是一個好方法,但是這些專家安全分析師的服務在時間和金錢上都付出了巨大的代價。
此外,許多ML算法在引入威脅并利用此漏洞后很久就表明了威脅。例如,聚類算法可以在分析模式歷史之后檢測到威脅��,并指示發生的異常已經在歷史中的某個時候引入了網絡或子網中�����。一旦您部署了一支由安全操作人員組成的部隊,然后深入研究異常的根本原因��,然后加以解決�����,這些威脅發現將非常有用��。這聽起來不錯,但到安全操作人員確定根本原因時�����,異?����,F象可能已經蔓延����,需要進行更廣泛的調查��,同時增加預算并延遲響應時間�����。
顯然,希望能夠實時識別發生的威脅����,并提供其發生地點的詳細信息。此外��,還應提供得出此結論的方法�����,以使理解和快速行動以解決根本原因具有額外的好處��。這種可行的情報必須降低應對威脅所需的技能。此外��,在高度發達的系統中��,它必須消除與人員接觸的需要��,提供及時的情報以防止任何進一步的損害,減少采取糾正措施所需的時間,或減少所有措施的良好組合以最大程度地減少操作同時將組織置于攻擊者計劃之前的成本����。
從本質上講��,這種可操作的情報必須通過從攻擊和響應行為中學習,來灌輸用戶對預防未來攻擊的信心����。實時可行的情報不僅應有助于快速分析����,還應幫助組織更快����,更徹底地從情報中學習,從而更好地防御尚未發生的攻擊�����。
我們經營的時代是這樣的系統����,現在正在與進取的初創公司和供應商一起開發這種系統�����,并且可以早期使用��。大數據平臺和相關技術的出現使這一切成為可能����。預計這些系統將主導全球許多精英組織的網絡防御工作�����,并將在網絡安全的最前沿寫下新的篇章�����。英特爾公司傳感與洞察力企業戰略辦公室高級研究員副總裁Genevieve Bell在她最近的演講中說:“人工智能是計算領域的下一波浪潮。就像之前的重大變革一樣�����,人工智能也有望迎來一個更美好的世界�����。
來源:戰略前沿技術
