人工智能是一种好的网络安全工具，也是一把双刃剑

AI在安全方面的角色对白帽黑客和网络罪犯都很有吸引力，但目前似乎还没有找到双方的平衡。

人工智能已经成为网络安全开发者的新宝藏，这要归功于它的潜力，它不仅可以在很大的规模上实现功能自动化，还可以根据它在一段时间内学到的东西来做出相应的决策。这可能会对安全维护人员产生重大影响——通常情况下，公司根本没有足够的资源在众多恶意软件中“大海捞针”。

例如，如果一名工作人员通常在纽约工作，突然有一天早上从匹兹堡登录，这是一种反常现象——人工智能可以看出这是一种反常现象，因为它已经学会了期望用户从纽约登录。类似地，如果该用户在匹兹堡登录后，在几分钟后又在另一个地方登录，比如加州，那么这很可能是一个恶意的危险信号。

因此，在最简单的层面上，人工智能和“机器学习”围绕的是对行为规范的理解。系统需要一些时间来观察环境，以了解什么是正常的行为，并建立一个基准线——这样它就可以通过将算法知识应用到数据集来获取偏离规范的偏差。

针对网络安全的AI可以以多种方式帮助防御者。然而，人工智能的出现也有不利的方面。首先，网络犯罪分子也利用了这项技术，很明显，它可以被用于各种恶意的任务。比如对开放的、易受攻击的端口进行的扫描，或者是电子邮件的自动组合，这些邮件具有公司首席执行官的准确语气和声音，被24小时窃听。

在不久的将来，这种自动模仿甚至可以扩展到语音。例如，IBM的科学家已经为人工智能系统创造了一种方法来分析、解释和反映用户的独特语言和语言特征——从理论上讲，这可以让人类更容易地与他们的技术对话。然而，使用这种类型的恶意欺骗应用程序的潜力是显而易见的。

与此同时，在垂直市场上采用人工智能的热情——对于网络安全和其他领域——已经打开了一个快速增长的新攻击面——它并不总是青睐于内置的安全设计。人工智能有能力彻底改变任何行业：向在线购物者提供更明智的建议，加快生产过程的自动化质量检查，甚至追踪和监测出现野火的风险。加拿大阿尔伯塔大学的研究人员正在为这方面做更多的工作。

人工智能的这种双重性质——一方面是正义的力量，另一方面是邪恶的力量——还没有找到平衡，但人们对人工智能的兴趣却在持续增长。

人工智能的一场“傲骨之战”

在网络安全的适用性方面，人工智能已经得到了大量的宣传。由于人工智能依赖于分析大量数据来寻找相关的模式和异常，因此可以要求它在一段时间内学习什么构成了假阳性，以及在某种规定的政策范围内所不包括的内容。因此，对于入侵预防和检测来说，这可能是一个不可估量的恩惠，例如，与欺诈检测和根除诸如DNS数据过滤和凭证滥用等恶意活动。

人工智能算法可以应用于用户和网络行为分析。例如，机器学习观察人员、端点和像打印机这样的网络设备的活动，以标记潜在的恶意活动。

同样，人工智能在网络行为分析中也扮演着重要角色，它研究用户与网站的互动，并作为在线欺诈检测的补充。

例如，如果用户登录到一个零售应用程序，在站点周围搜索，找到一个产品来了解更多信息，然后将该产品保存到购物车中或结账。该用户现在可以作为买家以配置行为文件。在未来，如果该用户在同一电商网站上显示了截然不同的行为，那么它可能会被标记为潜在的安全事件进一步调查。

在DNS方面，一个人工智能系统可以检查DNS流量，以跟踪DNS查询到权威服务器，但没有收到有效响应的情况。“虽然这很难预防，但很容易被检测到，”Justin Jett最近在Threatpost的一篇专栏文章中解释道，他是Plixer的审计和合规总监。比如序列号0800fc577294c34e0b28ad2839435945.badguy.example[.]net 如果被发送到给定的网络机器上很多次，系统便会向IT专业人员发出警报。”

识别密码泄露和误用也是一个很好的例子。这种类型的攻击正变得越来越普遍，因为数据泄露后，人们的电子邮件和密码流向了黑暗的网络。例如，Equifax的漏洞导致数百万份有效的电子邮件被曝光;2016年的雅虎数据泄露事件中，攻击者获取了5亿个用户的账户信息。由于人们倾向于重复使用密码，犯罪分子会在不同的机器上随机尝试不同的电子邮件和密码，希望能获得成功。

为了识别这种攻击，“人工智能在这里是有用的，因为它已经给用户设立了基准线，”Jett解释说。“这些用户每天在多个设备上连接并登录。对于一个人来说，在服务器上尝试数百次登录是很常见的，但是很难找到一个试图在100台不同的机器上进行连接的人，并且只成功登录一次。”

人工智能还可以用来自动评估开源代码的潜在缺陷。例如，网络安全公司Synopsys正在利用人工智能自动将已知的漏洞映射到开源项目，并评估企业的风险影响;例如，它会自动分析数百份法律文件(许可证、服务条款、隐私声明、HIPAA、DMCA等隐私法)，以确定任何检测到的漏洞的合规风险。

然而，在易受攻击性方面的另一个应用是回顾和预测。如果一个新的漏洞被宣布，那么就可以通过日志数据来查看它是否在过去被利用了。或者，如果这确实是一种新的攻击，人工智能就可以评估证据是否足够确定，以确定攻击者的下一步行动是什么。

人工智能还能很好地完成单调乏味、重复性的任务——比如寻找特定的模式。JASK的首席执行官兼联合创始人Greg Martin表示，这样一来，它的实现可以缓解大多数安全操作中心(SOCs)所面临的资源限制。SOC的工作人员每天都在部署数百个安全漏洞——当然，并不是所有的安全漏洞都是真正的攻击。

“安全团队总是被信息所淹没，”451 Research的研究主管Scott Crawford在一次采访中说。“关于对手正在做什么、最新的攻击工具、恶意软件的变化以及内部资源生成的大量信息。”在入侵保护空间中，日志数据的数量和生成的警报是压倒性的。SIEM市场在一定程度上是为了解决这个问题，只是在有需要处理的事情的时候才会浮出水面——但这还不够。因此，现在我们看到了处理数据的新技术的兴起，并通过分析和人工智能来获得意义。”

目前仍不完美

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!