机器学习:当今时代的网络安全英雄?
采用机器学习和人工智能来构建网络工具
网络攻击正呈现出日益复杂的态势。新的恶意软件变体几乎每天都会出现,网络攻击的数量增加了 56%,Formjacking、挖矿劫持和物联网 (IoT) 攻击等全新攻击手法也加入了勒索软件和网络钓鱼的行列。这一威胁态势亟需企业寻求协助,以预先防范层出不穷的攻击载体。
许多人认为,融入现代工具和平台的机器学习和人工智能能力可谓是当今时代的网络安全超级英雄。机器学习技术有助于梳理和分析收集的海量数据,以实现实时威胁检测。PcW 等行业专家预计,许多企业将通过网络安全用例首次真正体验人工智能和机器学习技术,这些用例包括分布式拒绝服务 (DDoS) 模式识别、进行日志警报优先级排序以便升级和调查,以及基于风险的身份验证。根据 PcW 2018 年全球信息安全状况调查,27% 的企业计划投资构建包含某种形式的人工智能和机器学习的网络安全防护体系。
企业对于人工智能和机器学习的热情与日俱增,原因很简单,相比于任何个人威胁分析师或安全专业人员团队,采用人工智能和机器学习技术的网络安全工具(无论是入侵防护系统、端点安全解决方案还是反病毒平台)能够更好地识别和检测来自海量数据点的攻击载体。
许多人认为,融入现代工具和平台的机器学习和人工智能能力可谓是当今时代的网络安全超级英雄。
赛门铁克首席高级研究员 Yun Shen 表示:“由于数据集过于庞大,识别来自敌对团体的攻击和操作十分困难。”他正在努力探索如何利用神经网络等下一代技术解决不断演化的网络安全挑战。
Shen 指出:“机器学习实际上是应对信息安全的最佳工具之一。如果能以负责任的方式开发这一技术,即可利用其识别出相应模式,以设计特定的防护战略。”
发掘新模式
安全领域的各大供应商已经意识到,机器学习、人工智能以及以此为基础的相关技术能够推动企业级安全防护领域的彻底革新。如今,大多数领先的安全平台都集成了机器学习和人工智能能力,以协助检测异常情况,在执行之前帮助发现新的和不断演变的威胁,同时推动身份识别和身份验证。
例如,Symantec Endpoint Protection 产品综合应用了先进的机器学习和人工智能能力以及从数百万个攻击传感器收集遥测数据的 Global Intelligence Network (GIN),以在执行之前检测可能的威胁,标记可能存在问题的文件和网站,以便安全企业在它们造成损害之前及时采取行动。
卡内基梅隆大学软件工程研究所 CERT 部门的 CERT 数据科学团队技术经理 Eliezer Kanal 指出:“攻击变得越发复杂,攻击者学会了隐蔽行事,悄无声息,因此造成的损害也越来越大。任何拥有 5,000 名或更多员工的大型企业每月或每天都会产生数万张乃至数十万张事件处理单。依靠人力找到两张相关处理单的可能性很小,几乎为零。机器学习则能够发掘相关模式。”
例如,企业可以利用入侵防护系统的能力,预测攻击者可能采取的确切行动,从而采取主动措施,预防攻击发生
Kanal 表示,SEI 团队着眼于未来,正在研究如何应用自然语言处理技术,培训计算机在规范文档中寻找线索,无需人类分析师帮助即可发现网络安全漏洞。
赛门铁克研究人员不再局限于检测恶意活动,而是致力于预测攻击者在执行攻击时可能采取的具体步骤。与其他得出二元结论(攻击是否会发生)的研究计划不同,赛门铁克推出的 Tiresias 推动了循环神经网络 (RNN) 的进一步发展,能够根据之前的观察结果预测未来事件。Shen 解释道,例如,企业可以利用入侵防护系统的能力,预测攻击者可能采取的确切行动,从而采取主动措施,预防攻击发生。
当然,人工智能、机器学习以及其他任何先进技术都是一把双刃剑,在带来优势的同时,也会带来问题。这些技术能够提供更强的防护能力,用于检测和预防网络事件,但也可能被用于创造更为危险的全新攻击载体。
赛门铁克研究人员认为,这就是为何 Tiresias 等产品对于网络安全的未来如此重要。
赛门铁克高级首席研究工程师兼 Tiresias 团队成员 Pierre-Antoine Vervier 表示:“到目前为止,网络安全领域一直侧重于被动安全,这一技术使得我们能够变被动为主动,这对于未来至关重要。”
We encourage you to share your thoughts on your favorite social platform.