在現(xiàn)代IT環(huán)境中，網(wǎng)絡(luò)威脅日益突出。人們需要探索人工智能在網(wǎng)絡(luò)安全中的六個最常見的角色及其產(chǎn)品。

越來越多的企業(yè)采用人工智能技術(shù)，為他們在現(xiàn)代IT環(huán)境中的安全工作提供幫助。數(shù)據(jù)、設(shè)備、處理能力、算法和網(wǎng)絡(luò)系統(tǒng)的指數(shù)級增長（對于21世紀的任何企業(yè)而言都是寶貴的資產(chǎn)）也伴隨著新的風險和漏洞。調(diào)研機構(gòu)Gartner公司在2018年12月發(fā)布的一份報告中稱，數(shù)據(jù)安全、基礎(chǔ)設(shè)施保護和云安全是安全支出增長最快的領(lǐng)域，預計全球企業(yè)2019年將在網(wǎng)絡(luò)安全風險管理方面支出約1370億美元。

面對這一現(xiàn)實，很多企業(yè)已經(jīng)意識到，僅僅采取被動措施是不夠的;它們不僅必須擴展和自動化威脅應(yīng)對計劃，還必須制定積極的措施。

人工智能的功能是由一系列的技術(shù)支持的，比如機器學習、深度學習、計算機視覺和自然語言處理，以檢測模式并作出推論。在網(wǎng)絡(luò)安全領(lǐng)域，人工智能在網(wǎng)絡(luò)安全中的作用是識別用戶、數(shù)據(jù)、設(shè)備、系統(tǒng)和網(wǎng)絡(luò)行為模式，并區(qū)分異常和正常。它還幫助管理員分析大量數(shù)據(jù)，調(diào)查新類型威脅，以及更快地響應(yīng)和應(yīng)對威脅。

根據(jù)Kaleido Insights公司對網(wǎng)絡(luò)安全市場和供應(yīng)商的研究和分析，以下是六個常見的使用案例，其中一些供應(yīng)商為下一代網(wǎng)絡(luò)安全產(chǎn)品鋪平了道路。

1.安全分析師和加強安全運營中心（SOC）

人工智能在網(wǎng)絡(luò)安全中最常見的用例之一是對分析師的支持。畢竟，人工智能不太可能取代有經(jīng)驗的安全分析師。在機器擅長的領(lǐng)域，例如，分析大數(shù)據(jù)、消除人員疲勞并使其擺脫繁瑣的任務(wù)，這樣他們就可以利用更加復雜的技能（例如創(chuàng)造力、細微差別和專業(yè)知識）來增強人們的能力。在某些情況下，分析人員擴充涉及將預測分析合并到安全運營中心（SOC）工作流中，以進行分類或查詢大數(shù)據(jù)集。

Darktrace公司的Cyber AI Analyst是一個軟件程序，通過只顯示高優(yōu)先級事件來支持分析師。同時，它查詢海量數(shù)據(jù)并在整個網(wǎng)絡(luò)中樞收集調(diào)查背景，進行調(diào)查并整理低優(yōu)先級案件。通過分析Darktrace的分析師如何調(diào)查警報來訓練在數(shù)千個部署中開發(fā)的數(shù)據(jù)集，Cyber AI Analyst使用多種機器學習、深度學習和數(shù)學技術(shù)來處理n維數(shù)據(jù)，以機器速度生成數(shù)千個查詢，并進行調(diào)查所有并行威脅。

2.新的攻擊識別

盡管惡意軟件或其他類型的威脅檢測已經(jīng)存在了很多年，通常是將可疑代碼與基于簽名的系統(tǒng)相匹配，但人工智能現(xiàn)在正在將技術(shù)轉(zhuǎn)向推斷，以預測新的攻擊類型。通過分析大量的數(shù)據(jù)、事件類型、來源和結(jié)果，人工智能技術(shù)能夠識別新的攻擊形式和類型。這一點非常關(guān)鍵，因為攻擊技術(shù)會隨著其他技術(shù)的進步而不斷發(fā)展。

FireEye公司在其MalwareGuard產(chǎn)品中提供了一種新的攻擊識別示例。它使用機器學習算法來發(fā)現(xiàn)新的、變形的或高級的攻擊，其中簽名尚未被創(chuàng)建或尚未存在。其引擎利用了私人和公共數(shù)據(jù)源，其中包括大約1700萬個部署的端點安全代理、基于超過100萬個攻擊響應(yīng)小時的攻擊分析，以及通過全球和多語種安全分析網(wǎng)絡(luò)收集的情報。

3.行為分析和風險評分

行為分析技術(shù)已經(jīng)在一些不那么關(guān)鍵的領(lǐng)域（比如廣告領(lǐng)域）中率先出現(xiàn)，現(xiàn)在正朝著身份認證和反欺詐的關(guān)鍵用例發(fā)展。在這里，人工智能算法挖掘大量的用戶和設(shè)備行為模式、地理位置、登錄參數(shù)、傳感器數(shù)據(jù)以及大量數(shù)據(jù)集，以獲得用戶真實身份。

萬事達卡公司的NuData Security是一個利用多因素大數(shù)據(jù)分析來評估風險，并為端點和用戶安全性開發(fā)每個事件的動態(tài)配置文件的平臺。該公司使用機器和深度學習來分析四個領(lǐng)域：

（1）行為數(shù)據(jù)：瀏覽器類型、流量變化、瀏覽速度和頁面停留時間。

（2）被動生物識別技術(shù)：用戶的鍵入速度、設(shè)備角度、擊鍵和壓力。

（3）設(shè)備智能：特定設(shè)備的已知連接與新連接、位置和網(wǎng)絡(luò)交互。

（4）行為信任聯(lián)盟：萬事達卡（Mastercard）的大數(shù)據(jù)存儲庫，可在人口級別分析數(shù)十億個數(shù)據(jù)點。

4.基于用戶的威脅檢測

從內(nèi)部威脅到特權(quán)濫用和管理濫用再到黑客，人類是網(wǎng)絡(luò)風險的重要而多樣的載體。因此，人工智能技術(shù)應(yīng)運而生，以檢測用戶在IT環(huán)境中的交互方式的變化，并描述他們在攻擊環(huán)境中的行為特征。

LogRhythm公司正在使用其下一代SIEM平臺CloudAI來進行基于用戶的威脅檢測。具體來說，該公司將不同的用戶帳戶（VPN、工作電子郵件、個人云存儲）以及相關(guān)的標識符（例如用戶名和電子郵件地址）映射到實際用戶的身份，以建立全面的行為基準和用戶配置文件。此外，CloudAI旨在隨著時間的推移而發(fā)展，以用于當前和將來的威脅檢測。分析師在正常的調(diào)查過程中對系統(tǒng)進行培訓，并從整個平臺的擴展客戶群中收集數(shù)據(jù)以進行威脅培訓。CloudAI還可以配置模型以通過連續(xù)調(diào)整進行自我修復，而無需人工干預。

Vectra AI公司通過分析攻擊生命周期對這種用例采用了差異化的方法。使用大約60種機器學習模型來分析攻擊者在攻擊生命周期中可能執(zhí)行的所有行為，其中包括遠程訪問工具、隱藏通道、后門、偵察工具，憑證濫用和過濾。該公司聲稱，其Cognito平臺顛覆了傳統(tǒng)的基于用戶的威脅檢測方法，為防御者提供了多種機會來檢測攻擊者。

5.跨端點終止鏈的設(shè)備上檢測

移動設(shè)備在企業(yè)中的興起，開啟了網(wǎng)絡(luò)安全威脅的新時代，改變了端點安全的本質(zhì)。企業(yè)通常管理傳統(tǒng)的端點，比如筆記本電腦，而現(xiàn)在的移動“系統(tǒng)管理員”是最終用戶。無論是員工、消費者還是黑客，都會采用下載、應(yīng)用程序、通信渠道和網(wǎng)絡(luò)交互等服務(wù)。此外，應(yīng)用程序通常都在自己的容器中，這限制了傳統(tǒng)的補丁管理。這種根本不同的配置意味著，攻擊者的目標是通過提供根訪問漏洞來持久化，從而危害整個設(shè)備，同時有效地避開企業(yè)網(wǎng)絡(luò)。因此，移動端點保護必須保護整個殺傷鏈——從仿冒應(yīng)用程序或網(wǎng)絡(luò)的釣魚嘗試到各種不同的惡意攻擊類型。在這里，管理員將機器學習應(yīng)用于每個攻擊向量，而不是為每個攻擊向量部署不同的檢測系統(tǒng)，以便預測任何給定點交互威脅系統(tǒng)接管的可能性。

Zimperium公司是一家專門從事移動終端安全的公司，它使用機器學習在整個移動殺傷鏈中提供設(shè)備上檢測，監(jiān)控所有惡意軟件、網(wǎng)絡(luò)釣魚、設(shè)備、應(yīng)用程序和網(wǎng)絡(luò)交互。雖然目前沒有在設(shè)備上運行機器學習模型，但Zimperium在通過基于云計算的深度學習技術(shù)派生的設(shè)備上部署了基于機器學習的檢測技術(shù)，在7000萬多臺設(shè)備上使用，它監(jiān)控來自所有惡意軟件、網(wǎng)絡(luò)釣魚、設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)交互的所有矢量的匿名數(shù)據(jù)，使用云計算技術(shù)分析特定的攻擊路徑，識別來自信號的噪聲，運行測試場景，并部署分類器以改進邏輯和算法，然后應(yīng)用于設(shè)備上檢測。這個循環(huán)對于在當前和新的威脅類型（貫穿整個殺傷鏈）攻擊或?qū)崿F(xiàn)持久接管之前進行檢測至關(guān)重要。

6.斷開連接的環(huán)境中的主動安全性

隨著數(shù)據(jù)和設(shè)備滲透到物理世界，保護和減少平均檢測和響應(yīng)時間的能力成為連接和計算能力的問題。越來越復雜的技術(shù)基礎(chǔ)設(shè)施意味著對其運營的安全性和效率的更大需求，這些基礎(chǔ)設(shè)施可以在航空、能源、國防和海事等關(guān)鍵任務(wù)環(huán)境中實現(xiàn)數(shù)據(jù)價值。在這些環(huán)境中，計算密集度更高的人工智能應(yīng)用程序仍處于萌芽狀態(tài)，但新技術(shù)不斷涌現(xiàn)，可以通過本地支持促進基于機器學習的腳本、文件、文檔和惡意軟件分析的安全性。

SparkCognition公司自稱是一家人工智能公司，而不是一家安全公司，該公司支持在斷開連接的環(huán)境中使用的應(yīng)用程序。當?shù)?11調(diào)度中心采用其應(yīng)用程序管理其托管的敏感信息。SparkCogniTIon公司的DeepArmor通過現(xiàn)場管理控制臺運行。具體來說，DeepArmor使用機器學習對大約20，000個獨特文件功能進行靜態(tài)文件分析，以確定在幾秒鐘內(nèi)惡意活動的可能性。盡管管理人員必須在這些環(huán)境中人工執(zhí)行模型更新，但DeepArmor沒有簽名要求，這意味著它不需要每日簽名掃描。

人工智能在網(wǎng)絡(luò)安全中的作用正在擴大

當然，還有其他一些規(guī)模較小的用例可用于將機器學習和深度學習應(yīng)用于網(wǎng)絡(luò)安全需求，其中包括以下內(nèi)容：

?大數(shù)據(jù)查詢的生成和分析

?威脅擴散和擴散檢測

?自主響應(yīng)

?代理合并和跨其他安全工具的部署

?威脅阻止自動化

?惡意軟件分類

?攻擊分類（未知、內(nèi)部、持續(xù)）

?假陽性減少

?產(chǎn)品自我修復

?機器數(shù)據(jù)理解（超過800種不同的設(shè)備類型）

?加密的流量分析

?政策合規(guī)性分析

?網(wǎng)絡(luò)風險保險

?增強網(wǎng)絡(luò)風險盡職調(diào)查（合并和收購前）

盡管機器學習具有很大的潛力，但它并不是靈丹妙藥，它只是一種工具。人工智能取決于數(shù)據(jù)的質(zhì)量，而在安全性方面，這不僅僅意味著大數(shù)據(jù)，還意味著多語言的實時數(shù)據(jù)，最重要的是良好的數(shù)據(jù)。它的成功需要安全專家和數(shù)據(jù)科學家之間的合作。

盡管有很高的營銷要求，但現(xiàn)實情況是，企業(yè)安全環(huán)境是巨大的、動態(tài)的網(wǎng)絡(luò)，管理人員必須根據(jù)持續(xù)的、不可預測的、內(nèi)部和外部的威脅向量不斷地監(jiān)視、審計和更新。人工智能在檢測、調(diào)查和應(yīng)對威脅的能力方面引入了各種增強功能，但它是人員與技術(shù)的結(jié)合，能夠在不斷發(fā)展的安全環(huán)境中真正管理全方位的威脅。