在不断变化的网络威胁领域，网络安全比以往任何时候都更加重要。数据桥梁，黑客攻击 ，崩溃，甚至更多...Capgemini 的报告显示，42%的公司发生了安全事故 。但即使没有报告，我们也清楚地知道，现在我们有足够数量的漏洞需要消除。

　　人工智能，反过来，承诺将是一个伟大的解决方案。三个组织中有两个准备用人工智能来加强网络安全。但是 AI 准备好了吗?网络安全领域的人工智能是什么？这里面有多少炒作？

　　事实表明， AI 和机器学习在网络安全中没有得到广泛的利用。他们在代表性模型和原型系统的层面上采取了更多的行动，我对网络安全领域人工智能的现状及其未来做了广泛的前瞻性研究，为您带来了更详细的了解。让我们抛开营销人员的所有最甜蜜的话，仔细看看我们真正拥有的东西。

　　网络安全系统如何运作?

　　今天，网络安全系统可以分为两种类型：专家(分析师驱动)和自动化(机器驱动)。

　　专家系统是由人们开发和管理的，他们的工作原则是基于承认威胁签名以防止攻击 。例如，用于识别和防止网络攻击的恶意代码或技术——就像指纹数据库用于捕获罪犯一样。

　　这种方法工作得很好，但有一个缺点。只有在攻击完成后，才能识别威胁签名并将其输入“基地”。今后很难防止同样的攻击。因此，这些系统不能防止以前称为零日攻击的未知攻击。

　　自动化系统。软件基于对历史数据的分析，识别系统或网络中可能有害或危险的行为，即典型的分类问题解决方案，这是机器学习的基本问题之一。由于他们“在曲线之前”的行为，这种方法可以成功地处理零日攻击。

　　机器学习可以为网络安全做些什么

　　以下是一些最生动、最成功的网络安全机器学习例子：

　　#1自动恶意软件防御

　　让我们从最成熟和最好开发的解决方案开始。传统的系统通常每月都无法正确处理恶意软件的数量。人工智能系统可以在进入系统并将它们与系统隔离之前被训练以识别甚至是最小的勒索软件和恶意软件攻击行为。

　　它是如何工作的？

　　让我们从这个问题开始。传统上，为了识别潜在的威胁，需要使用签名来检查程序的二值代码中是否存在特定的字符序列。但恶意软件并非总是来自二值代码，因此熟练的黑客知道“如何远离谋杀”。

　　为了跟上这一点，有一种基于行为的算法，它不直接分析代码，而是使用概率模型来考虑恶意代码的多个场景和属性。这种方法有许多缺点。基于行为的算法由于其高昂的价格和无效(有时它在有损坏时检测到威胁)而落后。

　　启发式算法又是一种更强大的人工智能武器。基于恶意代码和良性代码的特性数据库， AI 试图决定分析的代码是否有害。

　　某些特性可能比其他特性更高，因此后来被归类为良性的代码可能有一些特性，软件可能会指出这些特性是可能的恶意软件。主要的力量是，就像其他机器学习算法一样，启发式算法可以进化和适应。

　　如何看待练习？

　　我发现了一个名为 AI ²的伟大项目(这个名字来源于将人工智能与研究人员所称的“分析师直觉”相结合)。系统预测85%的网络攻击使用来自人类专家的输入。如何?

　　AI ²通过数据进行搜索，并在聚类之前检测可疑活动，并使用无监督的机器学习将数据转换为有意义的模式。它融合了三种不同的无监督学习方法，然后将最重要的事件显示给分析师，让他们进入标签。然后，它构建了一个受监督的模型，它可以通过团队所称的“持续的主动学习系统”不断完善。

　　人类分析人员接收这些信息，并确认哪些事件是实际的攻击，并将这些反馈纳入其模型中，用于下一组数据。

　　#2自动钓鱼检测

　　模拟可信实体大量的网络钓鱼网站获取您的数据，如您的信用卡的登录、密码、号码和 CV 等等。机器学习算法对于一次性地销毁这种方案具有很大的帮助作用。

　　ML 可以通过类似于电子邮件垃圾邮件过滤器的邮件分类帮助。最初的训练数据是由用户手动标记邮件或报告可疑链接的人群来源。与以往一样，通过不断学习的过程， ML 算法可以提高精度。

　　#3自动数据盗窃检测

　　数据泄露是当今组织面临的最常见的威胁载体之一。为了缓解这样的问题，基于机器学习的算法可以被用来通过隐蔽的通道(如深网或暗网)爬行，并识别恶意用户匿名共享的数据。

　　互联网的最后一层是黑暗的网络。它比表面或深度网络更难访问，因为它只能通过特殊的浏览器(如 Tor 浏览器)访问。

　　虽然深度网络只能通过匿名加密的对等通信信道访问，但需要应用某些保护措施，如 CAPTCHA 。反过来， AI 必须欺骗这些系统，使其相信收集数据的代理是人类的，并且可以从解决简单的 captc 到使用 NLP 来向恶意各方的私人社区发出邀请。利用机器视觉，可以在实时中分析图像。

　　它是如何工作的？为了使 ML 算法有效，需要：

　　能够检测不同类型的数据元素(用户定义的类型、基元类型、数据转换的沿袭、硬编码的文本、注释的类型、对环境数据的引用标识符等等)

　　能够基于使用自然语言处理的受监管模型将这些检测到的类型分类为敏感的，该模型被训练成遵从命令的集合。

　　跟踪此类敏感类型的所有转换、血统和来源

　　最后，测量这些敏感类型是否违反了当前( SOC-2、 GDPR )或即将到来( CCPA )的法规遵从性约束。

　　#4感知上下文的行为分析

　　更像一个概念或模型，情境感知行为分析建立在异常行为可能引发攻击的前提之上。这种类型的评估是通过大数据和机器学习来确定用户活动的风险在近实时。

　　这种方法也被称为 UBA ，它拼写来自用户行为分析。

　　为什么我们需要这种方法?同样，所有的安全产品都在二值术语的世界中：流量不好或好，文件感染与否。那么如何检测较小的信号呢?详细阐述正常用户行为的标准模式有助于解决这一问题。

　　由于编纂什么行为可以是“正常”的行为是很复杂的，因此 ML 模型通过查看历史活动和在对等组中进行比较来为每个用户构建基线。它是如何工作的?在检测到任何异常事件的情况下，评分机制聚集它们以为每个用户提供组合的风险得分。

　　具有较高评分的用户将被筛选出来并呈现给具有上下文信息的分析师以及他们的角色和职责。下面是这个公式：

　　风险=可能性 x 影响

　　通过跟踪它，使用 UBA 的应用程序能够提供可操作的风险智能。

　　#5基于蜜罐的社会工程防御

　　另一个不坏的概念，有很大的潜力即将发布。

　　攻击者利用人类的心理，能够获取个人信息，以危害安全系统，硬件和软件本身无法阻止这些攻击。一种可能的对策是利用社交蜜罐、用来诱捕攻击者的假角色装饰。

　　什么是蜜罐?这只是一个陷阱， IT 专业人员为恶意黑客设置，希望他们能以提供有用情报的方式与之互动。这是 IT 中最古老的安全措施之一。

　　通过充当诱饵用户，它试图欺骗攻击者。由于与蜜罐的所有通信都是未经请求的，所以初始合同很可能是垃圾邮件。ML 用于对发送者是恶意的还是良性的进行分类。这样的分类然后被自动传播到所有真实雇员的设备，然后，这些设备将自动阻止来自犯罪一方的进一步通信尝试。

　　为什么 AI 会成为安全的坏球员?

　　闪光的不是金子。我们可以应用尖端技术来加强安全，但也有一个黑暗的一面。网络罪犯。他们也可以采用这些创新，并在网络安全防御上取得优势。

　　#1模拟面部和声音

　　通过神经网络和语音合成的新发展，攻击者可以模拟可信的语音或视频。到目前为止，这些都是相对“无辜的恶作剧”，它们使用了不雅内容视频中著名演员的面孔。随着技术的发展，这可能导致全球假货网络的大规模乱扔，以及假货的出现，这些假货极难与真实的新闻区分开来——精心策划、出于政治动机，能够造成经济或社会后果。

　　更确切地说，自然语言处理和对话机器人的进步可以允许恶意聊天机器人在线检测客户投诉，然后作为试图纠正这种情况的客户服务代表摆出姿态。消费者可能不愿意交出敏感数据，如对安全问题、密码等的答复。这可能演变成更复杂的网络钓鱼和鱼叉式网络钓鱼电子邮件，通过模仿企业写作风格，甚至模仿个人写作风格，以受害者为目标。

　　#2 AI 驱动的恶意软件

　　另一个缺点是，黑客也可以使用人工智能本身来测试他们的恶意软件，并改进和增强其潜在的人工智能驱动。事实上，人工智能驱动的恶意软件可能具有极强的破坏性，因为它们可以从现有的人工智能工具中学习，开发更先进的攻击，从而能够渗透到传统的网络安全程序甚至人工智能提升系统中。

　　结论

　　网络安全+人工智能的未来看起来很有希望。今天，面对提供自动化恶意软件防御的基本工具，我们已经有了一个随时可用的解决方案。此外，我们有一系列的概念和想法正在开发中，并期待它很快发布。另一方面，信息安全一直是猫捉老鼠的游戏。好人建造了一堵新墙，坏人——网络罪犯——想出了一种办法来解决它，在它下面，或者围绕它。顺便说一下，这使得针对 cybersec 的 AI 驱动解决方案的开发更加复杂。

本文由未艾信息（www.weainfo.net）编译

文章来源:为AI呐喊