现代网络安全需要人工智能

张晓艺

早在拨号互联网时代之前，当病毒通过受感染的软盘传播时，网络安全就很重要。对手与IT专业人员之间的战斗不断升级，攻击者会创建新的和不同类型的恶意软件或攻击，IT团队部署新的或改进的防御方案来保护他们不断增长的数据库存。

在最新一轮的信息安全攻击中，攻击者通过新的载体部署新型威胁，并利用人工智能的力量增强这些攻击。应对这些攻击的唯一方法是在网络安全防御中部署人工智能力量。

网络安全威胁一直在增长

攻击面正在增长。在过去，计算机独立运行或使用封闭网络与其他几台机器相连，然后是局域网、广域网和互联网接入。现在，一半的应用程序在云中运行，一半（或可能全部）用户在家工作并使用移动设备访问网络。入侵用户的笔记本电脑、手机或入侵基于云的应用程序，为攻击者提供了更多潜在的网络入口点。供应链攻击构成了另一种威胁，其中来自受信任供应商的软件也可能包含嵌入式恶意软件，攻击者使用受感染的应用程序或设备作为滩头阵地来入侵网络的其余部分。

数据呈指数级增长，这已不是新闻，但现在IT有望保护大部分或全部数据。在旧的安全模型中，InfoSec只需要筛选程序和其他可执行文件，例如启用宏的文档或电子表格，以确保它们没有携带恶意软件。这可能是数据的5 % ～ 10 %。但如今，即使是不可执行的数据也需要受到保护，免遭勒索軟件和盗窃———需要100 %地保护这些数据。分布式应用程序架构和混合云使服务器之间所需的通信量成倍增加，而网络速度在过去25年中增加了2 000倍（从1995年的100 Mbit以太网到2020年的200 Gbit以太网）。更多的数据在网络上的移动速度比以往任何时候都快。需要保护的数据呈指数级增长，需要筛选和分析的流量呈指数级增长。

法规遵从性增加了对保护什么和如何保护的要求，从而进一步增加了信息安全的负担。必须执行额外的数据加密、访问控制、隐私保护、身份验证方法和报告，具体取决于哪些法规会影响组织。网络安全专业人员现在必须实施他们认为必要的保护措施和法律要求的额外保护措施，如果遭到黑客攻击，他们将面临处罚或披露等要求。

对手很快就会使用人工智能来加强他们的攻击。研究人员已经展示了人工智能如何定制网络钓鱼攻击，以使其更有效、创建模仿名人或听起来完全像老板的（深度伪造）声音。域生成算法会自动生成可以传播恶意软件的新URL，而不会被基于DNS的安全网关列入黑名单。僵尸网络使用简单的人工智能概念来寻找最脆弱的机器，并解决网络防御问题。较新的病毒已经改变了自己的代码，反复更改它们的位置，甚至禁用或修改受感染机器上的反恶意软件以避免检测。这些都是用于增强网络攻击的基本或简单人工智能的例子。

为应对威胁风暴的挑战，IT安全专业人员严重短缺。根据美国商务部最近进行的一项研究，全国约有950 000人从事网络安全工作，但有超过450 000个网络安全职位空缺。

为什么需要人工智能

人工智能可在以下5个领域帮助检测和预防发生的安全威胁：

比人类筛选更多的数据

需要检查的数据量巨大，并且超出任何人，甚至是团队可以合理筛选的范围。人类信息安全调查通常仅在确认或至少怀疑违规后才会进行，当威胁有限时，少数人可以合理地对所有防病毒和防火墙警报做出反应，并有信心应对大多数安全威胁。但是现在，所有服务器上的所有数据和每个网络连接上的所有流量都可能受到怀疑，可信用户与通过VPN连接的不可信用户混在一起、Web应用程序网关和基于云的应用程序。使用传统日志记录或遥测工具的人，每天最多只能采样几千兆的数据，但基于AI的网络安全每天可以审查和分析TB级的数据，以检测恶意软件、黑客攻击、数据泄露以及成功或正在进行的证据攻击。

捕捉可疑行为，而不仅仅是可疑位

老派的威胁以固定的、可识别的形式出现，绝大多数组织只要定期更新安全软件签名，就会受到保护。现在，高级恶意软件会自我修改，黑客的工具包可让不法分子每天甚至每小时创建新的恶意软件。新的漏洞利用和病毒通常会在安全公司分发更新的签名之前攻击数据中心，这些零日攻击以前从未出现过，因此它们不会出现在任何威胁数据库中。人工智能驱动的安全性可以通过发现可疑行为而不是仅扫描已知签名来检测这些威胁。可以训练AI识别可疑的应用程序行为或流量模式以检测新的攻击，即使特定攻击以前从未见过。

识别应用程序和网络中的错误、漏洞和错误

AI有能力通过发现和解决恶意软件和泄露敏感数据之外的问题来提高安全性。它可以扫描应用程序、服务器和网络日志以识别错误配置、过时的软件或不正确的设置。AI还可以在部署之前扫描应用程序代码或在流片之前扫描芯片设计，以帮助在产品投入使用之前发现漏洞。这些用途不会发现威胁或病毒，但会消除系统、应用程序和网络漏洞，从而降低黑客攻击成功的可能性。

识别充当人类的机器和充当机器的人类。

用户对自己进行身份验证以访问应用程序，各种应用程序、Web、数据库和中间件服务器也对其他机器进行身份验证以共享数据。如果僵尸网络学会模仿人类员工的行为，会发生什么？如果对手假装是受信任的服务器怎么办？人工智能驱动的安全学习正常的流量和数据访问模式，并可以快速检测机器是否在冒充合法用户（机器为人）。它还可以检测攻击者何时冒充受信任的机器来访问敏感数据（人即机器）。

识别前所未见或零日威胁

传统的安全软件引用了一个已知恶意软件签名的数据库，这些签名应该被阻止进入数据中心。问题是恶意软件签名的数据库，敏感信息无法快速更新以跟上新的恶意软件创建或自我修改的恶意软件。人工智能驱动的安全性可以通过识别可疑的行为模式或网络流量来识别零日攻击，而无需依赖固定的签名数据库。人工智能可以识别敏感信息的类别或类型，而不只是注意到与严格的预定义列表匹配的信息。

随着数据量、攻击面和威胁数量的不断增长，人工智能技术是唯一合理的应对措施。人工智能驱动的数据科学提供了覆盖所有相关机器和网络流量的规模，以及识别信息安全团队及其软件工具，包括以前从未见过的许多新威胁和漏洞。