AI 网络安全与机器学习

新闻
1月前


网络安全中的 AI、机器学习和深度学习的定义


在机器学习的支持下,AI 网络安全将在不久的将来成为一种强大的工具。与其他行业一样,人工交互在安全方面长期以来是必不可少且不可替代的。尽管目前网络安全严重依赖于人工操作,但我们逐渐看到,在处理特定任务时,科技已经比人类效率更高。


每一项技术改进都使我们能够更有效地为人工工作提供补充。在这些发展中,以下几个领域是所有研究的核心:


●人工智能 (AI) 旨在让计算机具备人类思维的完整响应能力。这个笼统学科涵盖了其他许多领域,包括机器学习和深度学习。


机器学习 (ML) 使用现有的行为模式,根据过去的数据和结论形成决策。某些更改仍然需要人工干预。机器学习可能是迄今为止与我们的相关程度最高的 AI 网络安全学科。


深度学习 (DL) 与机器学习的工作原理类似,它可以根据过去的模式做出决策,但可以自行进行调整。目前,网络安全中的深度学习属于机器学习的范畴,因此我们这里主要关注 ML。


AI 和机器学习可以为网络安全提供哪些帮助


AI 和网络安全一直以变革性技术为名进行宣传,而且与我们的距离比想象得更近。但是,这只是部分事实,我们必须抱着保守的期望去看待它。现实情况是,未来的改进可能采取相对循序渐进的方式。理论上,相比完全自主运行的未来,哪怕是渐进的改善,实际上仍然远远超越了我们过去的能力。


在探索机器学习和 AI 对安全性可能造成的影响时,必须确定当前的网络安全痛点。我们长期以来习以为常的许多流程和环节都能通过 AI 技术加以处理。


配置中的人为错误


人为错误是网络安全漏洞的重要组成部分。例如,即使大型 IT 团队参与设置,也难以保证系统配置万无一失。在不断的创新过程中,计算机安全的分层程度比以往任何时候都要更高。响应式工具可以帮助团队发现和缓解在更换、修改和更新网络系统时出现的问题。


考虑如何将较新的互联网基础设施(比如云计算)堆叠在较旧的本地框架之上。在企业系统中,为了保护这些系统,IT 团队需要确保兼容性。评估配置安全性的手动流程使团队感到疲倦,因为他们需要在无尽的更新与正常的日常支持任务之间取得平衡。借助智能的自适应自动化功能,团队可以及时获得有关新发现的问题的建议。他们可以获取有关后续操作方案的建议,甚至可以部署适当的系统,以根据需要自动调整设置。


可提高重复活动中的人工效率


人工效率是网络安全行业的另一个痛点。没有任何人工操作能做到每一次都完美再现,尤其是在当今这种动态多变的环境中更是如此。单独设置公司的众多端点计算机是最耗时的任务之一。即使在初始设置完成后,IT 团队也会发现,自己稍后需要再次访问同一台计算机,以纠正无法在远程更新中修补的错误配置或过时的设置。


此外,当员工负责应对威胁时,所述威胁的范围可能会迅速变化。意外挑战可能会减慢人工处理的速度,而基于 AI 和机器学习的系统能够以最小的延迟运行。


威胁警报疲劳


如果不谨慎处理,威胁警报疲劳会成为公司的另一个薄弱环节。随着上述安全层变得更加复杂和广泛,攻击面越来越大。许多安全系统已调整为通过一系列纯粹的反射式警报来对许多已知问题作出反应。因此,这些提示需要人工团队来分析出潜在的决策并采取行动。


大量警报使此级别的决策变得特别繁琐。最终,决策疲劳成为了网络安全人员的日常感受。对这些已确定的威胁和漏洞采取积极的行动是一种理想的方案,但许多团队缺乏时间和人员来执行所有基础任务。


有时,团队必须决定首先面对最大的问题,暂时先不考虑次要目标。在网络安全工作中使用 AI 可以使 IT 团队以有效、实用的方式管理更多此类威胁。如果通过自动标记进行批处理,可以轻松应对这些威胁。除此之外,有一些问题实际上可以通过机器学习算法自动加以处理。


威胁响应时间


威胁响应时间绝对是网络安全团队效率的最关键的指标之一。从原本的漏洞利用到如今的恶意程序部署 - 众所周知,恶意攻击的发展速度极快。过去的恶意攻击者必须要仔细筛查网络权限,有时要连续数周从侧面解除安全措施,之后才能发起攻击。


遗憾的是,技术创新的受益者不只有网络防御领域的专家。自动化机制在网络攻击中也变得日渐普及。各种威胁(比如最近的 LockBit 勒索软件攻击)的攻击发起速度大大加快。目前,某些攻击甚至可以在半小时内迅速发起。


即使是针对已知的攻击类型,人工响应也可能赶不上初始攻击的速度。因此,许多团队更多时候是对已经成功的攻击做出被动反应,而不是提前防范攻击。另一方面,未被发现的攻击本身就是一种危险。


ML 辅助式安全措施可以从攻击中提取数据,以便立即对数据分组并准备好进行分析。它可以为网络安全团队提供简化的报告,从而使处理和决策工作更加简洁。除了报告之外,这种类型的安全措施还可以提供建议的操作,以限制进一步的损害并防范将来的攻击。


对新威胁的识别和预测


对新威胁的识别和预测是影响网络攻击的响应时间范围的另一个因素。如前所述,对于现有威胁,响应措施存在滞后的问题。未知的攻击类型、行为和工具可能进一步导致团队反应迟钝。更糟糕的是,数据窃取等更加静默的威胁有时可能完全不会被发现。Fugue 在 2020 年 4 月进行的一项调查发现,大约 84% 的 IT 团队担心他们基于云的系统遭到黑客攻击,并且他们无法发现。


随着攻击方式的不断演化,零日漏洞横空出世,这种漏洞一直是网络防御工作中的潜在隐患。但也有一些好消息,网络攻击通常不是毫无根基的。它们通常建立在过去攻击的行为、框架和源代码之上,因此,有一条预先存在的路线,可供机器学习机制进行学习推断。


基于 ML 的编程有助于凸显新威胁与先前确定的威胁之间的共同点,以帮助发现攻击。人类无法及时有效地完成这项工作,这进一步强调了自适应安全模型的必要性。从这个角度来看,机器学习有可能使团队更容易预测新威胁,并且由于提高了威胁意识而减少了迟滞时间。


人力资源配备


人力资源配备是持续困扰全球许多 IT 和网络安全团队的问题之一。根据公司的需求不同,合格专业人员的数量可能受限。


但是,更常见的情况是,外聘人力资源也会使公司花费大量预算。要为员工提供支持,不仅需要为他们的日常工作支付薪酬,还需要提供帮助来满足他们后续的教育和认证需求。要成为紧跟最新趋势的网络安全专业人员,需要满足十分苛刻的要求,尤其是实现持续创新,到目前为止,我们在讨论中不断提到过这方面的内容。


基于 AI 的安全工具可以发挥重要作用,而且只需要规模较小的团队便可满足人员配备需求,并有效为其提供支持。尽管这些员工需要紧跟 AI 和机器学习的前沿领域,但降低人员数量需求本身就能节省成本和时间。


适应性


适应性并不像其他提到的问题那么明显,但可以极大地改变公司的安全能力。人工团队可能无法根据您的专业要求定制自身的技能组合。


如果未针对特定方法、工具和系统为员工提供培训,那么,您可能会发现您的团队效率会因此受到影响。即使是看似简单的需求(例如采用新的安全策略),在人工团队中实施时也可能会出现进展缓慢的情况。这是人类的特质,因为我们不能立即学会新的工作方法,必须耗费时间去学习。借助正确的数据集,可以将经过适当训练的算法转变成专门为您量身定制的解决方案。


 网络安全中的机器学习

如何利用 AI 保障网络安全


网络安全领域中的人工智能被认为涵盖了机器学习和深度学习网络安全等学科,但它也有自己的作用。


人工智能的核心在于“成功”,“准确性”的权重则较低。最终目标是通过自然的响应来解决复杂的问题。在真正的 AI 执行中,AI 会制定实际的独立决策。它的编程方式旨在在某种情况下找到理想的解决方案,而不仅仅是根据数据集得出生硬的逻辑结论。


为了进一步说明,最好了解现代 AI 及其基础学科目前的工作原理。自主系统并不是广泛流通的系统,尤其是在网络安全领域。许多人通常将这些自我引导式系统与 AI 关联在一起。但是,可以辅助或增强我们的防护服务的 AI 系统不但实用,而且方便获得。


AI 在网络安全中的理想作用是对机器学习算法建立的模式进行解读。当然,现代 AI 还不能像人类那样来解读结果。人们正在竭力发展这一领域,从而追求实现与人类似的框架,但真正的 AI 还是一个遥远的目标,需要机器能够提取各种情况下的抽象概念并进行重构。换句话说,这种水平的创造力和批判性思维并不像 AI 传言中那样距离我们这么近。


如何利用机器学习保障网络安全


机器学习安全解决方案与人们对人工智能系列的设想不同。也就是说,它们其实是我们迄今为止最强大的网络安全 AI 工具。在这项技术的范围内,数据模式用于揭示事件发生或不发生的可能性。


从某些角度来说,ML 与真正的 AI 截然相反。具体来讲,机器学习注重的是“准确性”,而不注重“成功”。这意味着 ML 的目的是从专注于一项任务的数据集中学习。它的作用是为给定任务实现最佳效果。它会根据给定的数据寻找唯一可能的解决方案(即使不是理想的解决方案)。使用 ML 时,机器并不会真实解读数据,也就是说,数据的解读仍然需要人工处理。



机器学习擅长于执行繁琐的任务,例如数据模式识别和自适应。由于任务疲劳和对单调性普遍较低的容忍度,人类不太适合这些类型的任务。因此,尽管数据分析的解释权仍然掌握在人类手中,但机器学习有助于以可读的、可剖析的形式对数据进行构造。机器学习网络安全具有几种不同的形式,每种形式都有其独特的优势:


数据分类


数据分类的原理是使用预设规则为数据点分配类别。在构建攻击、漏洞和主动安全性的其他方面的相关配置文件的过程中,标记这些数据点是重要的步骤。这是融合机器学习和网络安全的基础。


数据聚簇


数据聚簇会选取分类预设规则的离群值,将它们放入具有共同特征或特异特征的“聚簇”数据集合中。例如,如果分析系统尚未针对攻击数据进行训练,则可以在分析这些数据时使用此方法。这些数据聚簇有助于确定攻击的发生方式以及遭到攻击和泄露的内容。


建议的行动方案


建议的行动方案 提升了 ML 安全系统的主动措施。这些建议基于行为模式和以前的决策,提供了自然建议的行动方案。必须在此重申,这不是通过真正的自主 AI 执行的智能决策。相反,这是一个自适应总结框架,可以通过预先存在的数据点来总结出逻辑关系。这种工具可以极大地帮助应对威胁和缓解风险。


可能性解析


可能性解析 可以根据从以前的数据和不熟悉的新数据集中学到的经验教训来解析全新的可能性。这与建议略有不同,因为它更多地关注某个操作或系统状态与过去类似情况相符的几率。例如,此解析可用于主动探测公司系统中的薄弱环节。


预测


预测 是 ML 组件流程中最具前瞻性的想法。通过评估现有数据集来预测潜在结果,可以实现此优势。它可主要用于构建威胁模型,概述欺诈预防措施,提供数据泄露保护,并且是许多预测性端点解决方案的重要组成部分。


机器学习技术在网络安全领域的应用示例


为了进一步说明,以下提供了一些示例,这些示例强调了机器学习所具备的与网络安全有关的价值:


数据隐私分类和合规性


经过过去几年的经历,避免您的公司违反隐私法已成为当务之急。随着通用数据保护条例(GDPR) 的施行,其他法律措施也应运而生,例如加州消费者保护法 (CCPA)。


必须根据这些法案来管理从客户和用户那里收集的数据,这通常意味着,必须可以访问这些数据,以根据请求将其删除。不遵守这些法规的后果包括巨额罚款,以及对公司声誉造成损害。

数据分类可以帮助您将可识别身份的用户数据与匿名或不包含身份信息的数据分开。这使您无需通过人工去解析大量的旧数据和新数据,尤其是在大型公司或老公司中。


用户行为安全配置文件


通过根据用户行为构建与网络员工有关的自定义配置文件,可以针对您的公司量身定制安全措施。然后,该模型可以根据用户行为的离群值来确定未授权用户的特征。键盘按键操作之类的细微特征可以构成预测性威胁模型。通过概述潜在的未授权用户行为的可能后果,机器学习安全功能可以提出建议的保护方法以减少暴露的攻击面。


系统性能安全配置文件


与用户行为配置文件概念相似,可以在运行状况良好时编译整个计算机性能的自定义诊断配置文件。通过监视处理器和内存使用情况以及高互联网数据用量等特征,可以指示恶意活动。也就是说,某些用户可能会因视频会议或频繁的大型媒体文件下载而经常使用大量数据。通过了解系统通常的基准性能形态,此功能可以确定系统不应该具有的特征,类似于我们在前面的 ML 示例中提到的用户行为规则。


基于行为的爬虫程序拦截


爬虫程序活动可能会消耗网站的入站带宽。对于那些依赖互联网业务流量的企业(尤其是那些拥有专门的电子商店且没有实体店的企业),情况尤其如此。真实用户可能获得缓慢的体验,从而导致流量和商机损失。


通过对该活动进行分类,ML 安全工具可以阻止爬虫程序网络,无所谓该网络使用了哪种工具(例如可以使它们匿名的虚拟专用网络)。与恶意攻击者有关的行为数据点可以帮助机器学习安全工具围绕此行为形成预测模型,并主动阻止显示此活动的新网址。


网络安全的未来


尽管人们围绕这种安全模式的未来展开了热烈的讨论,但仍有一些局限之处需要注意。


ML 需要数据集,但这可能会有违数据隐私法。要训练软件系统,需要大量的数据点来构建准确的模型,这与“遗忘权”并不能很好地融合。一些数据的用户身份标识符可能会导致违规,因此需要考虑潜在的解决方案。可能的解决方案包括对系统进行设置,以在训练软件后,切实保证原始数据不再能够访问。数据点匿名化也在考虑范畴内,但这需要进一步核查,以避免程序逻辑出现偏移。


行业需要更多能够在这个领域进行编程的 AI 和 ML 网络安全专家。可以根据需要执行维护和调整的员工将让机器学习网络安全大大受益。但是,在全球人才库中,合格且训练有素的相关人才仍然稀缺,难以满足全球对这方面人才的巨大需求。


人工团队仍然至关重要。最后,批判性思维和创造力对于决策至关重要。如前所述,ML 既没有准备好、也没有能力满足上述要求,AI 同样如此。要继续满足您的需求,您必须使用这些解决方案来增强您的现有团队。


迎接网络安全未来的 3 个技巧


在通往人工智能安全的道路上,您可以采取一些措施使自己更加接近未来:


1、通过投资于技术,保证为未来做好充分准备。随着威胁变得更加复杂,由于技术过时而遭到攻击或使用多余的人工所带来的成本将大大增加。以前瞻性的眼光采用一些技术有助于缓解一些风险。通过使用具有前瞻性的解决方案(例如 卡巴斯基集成端点安全),您将做好更加充分的准备来适应变化。


2、用人工智能和机器学习补充您的团队,而不是取代他们。漏洞仍然存在,因为当今市场上还没有万无一失的系统。即使是这些自适应系统也可能会被聪明的攻击方法所欺骗,因此,请确保您的 IT 团队能够学习使用并支持此基础设施。


3、定期更新您的数据政策以遵守不断演变的法规。数据隐私已成为全球监管机构的关注重点。因此,在可预见的未来,它仍将是大多数企业和公司关注的主要问题之一。确保遵守最新政策。