首页  部门简介  工作动态  E-党建  规章制度  服务指南  技术交流  政策法规  网络安全 
文章内容页
当前位置: 首页>>技术交流>>前沿技术>>正文
人工智能如何辅助安全自动化、分析处理和响应
2017-02-24 11:42  

\

人工智能(AI)含义宽泛,从聊天机器人到自动驾驶汽车的很多东西都可以用这个词来描述。市场营销人员很喜欢赶时髦,乘着这股东风推销产品。

这篇文章中,我们将定义和描述AI、机器学习和深度学习,以及它们对信息安全产生的预期影响。虽然往传统上与人类认知相关的功能中引入各类系统已经很普遍,我们不妨退后一步,仔细审视一下这些术语真实的含义。

网络安全能力问题

公司企业处理网络安全的方式在改进,可用3个阶段来检验:

1.预防——仅仅10年之前,公司企业还将主要工作集中在预防上:避免被入侵。公司企业打造壁垒,强化网络,以便将敌人隔绝在外。

2.检测——鉴于攻击规模和复杂度的上升,企业随后实现了检测系统,在潜在恶意威胁突破防线时予以警示。

3.响应——预防和检测系统都是自动化的,很快。但是,直到现在,公司企业还依赖人工来判定这些产品产生的警报,期待他们手动分辨威胁的真假或良莠。其结果,就是缓慢而重复的响应,且事件响应团队也会被警报淹没,没有机会跟上不断发展的威胁态势。

事件响应问题加上网络安全人才的缺口,造成了网络安全能力问题。正如纽昂斯通讯公司CISO道格·格拉汉姆所说:

“很容易陷进这么一种怪圈:购买更多工具,得到更多警报,努力工作以关联这些警报,但仍然发现需要的动作数量是惊人的。公司企业需要找到打破这一怪圈的方法,减少警报数量,因为永远不可能有足够的人手来处理每一个警报的。

跟上威胁规模及其相应警报的唯一办法,就是通过安全自动化,而人工智能,是安全自动化技术的关键一环。

定义术语

Facebook人工智能研究总监扬·勒丘恩在《华尔街日报》上的文章中就问道:“人工智能的下一步是什么?”

文章中写道:

人工智能的传统定义,是机器以类人方式执行任务和解决问题的能力。有些任务我们觉得简单——识别照片中的物体、开车等等,但对AI而言就非常复杂。机器在某些事情上可以远胜人类,比如下棋,但这些机器受制于它们编程上的人工属性;一个价值30美元的小装置就能在棋类游戏中打败我们,但它不能,或者说学不了,其他东西。

这篇文章后面接着描述了AI、机器学习和深度学习,以及这些技术对职业、经济和人机互动基础的影响。虽然往传统上与人类认知相关的功能中引入各类系统已经很普遍,我们不妨退后一步,仔细审视一下这些术语真实的含义。

人工智能是什么?

维基百科上对AI定义如下:

人工智能(AI)是机器展现的智慧。计算机科学中,理想的“智慧”机器,是能够感知环境并采取行动以最大化任意目标成功机会的灵活理性的主体。通俗讲,“人工智能”这个词汇,可应用于机器使用尖端技术执行或模仿人类思维“认知”功能的情况,比如“学习”和“解决问题”。

理性主体的定义:

在经济学、博弈论、决策理论和人工智能中,理性主体就是有明确偏好,通过预期变量值或变量功能对不确定性建模,并总是从所有可用行动中选择能产生最优预期结果行动的主体。理性主体可以是任何能做出决策的东西,通常是人、公司、机器,或者软件。

计算机系统领域的人工智能,要能解决问题,执行模仿人类认知过程的任务,包括:

理解手头问题范围

知道到哪儿去寻找信息源以帮助解决问题

能够从外部摄入数据

有分析数据的能力

基于数据分析决定该采取什么行动

判定这些行动是否解决了问题

进行分析,查看上述过程中揭示的东西能不能应用到其他地方

我们不妨逐条分析一下与网络安全自动化和分析处理有关的方面。

理解网络威胁的范围

旨在调查、评估、缓解网络威胁的自动化系统,必须也能够理解威胁的范围和广度。不了解问题的大小,这种系统就永远不能完全解决问题。

我们可以从人类网络分析师的视角审视一下常见的事件响应场景。

当一个检测系统,比方说火眼吧,给网络分析师发送一个已知恶意IP地址的警报时,分析师会执行以下逻辑步骤:

1.查明网络中哪台机器连接了该恶意IP;

2.检查该终端,调查该机器上是否存在连接该IP地址的恶意软件;

3.采取修复措施清理该机器,确保没留下什么东西;

4.添加一条防火墙阻止规则,防止其他机器访问该IP地址。

这4个步骤能够解决眼前的问题,也可以说,分析师做了他们该做的工作。然而,使用人工智能和安全自动化的系统,需要执行额外的步骤:

1.查询网络资源以探明网络中其他已经访问(或尝试访问)该IP地址的机器;

2.在这些机器上自动触发额外的调查以杀死进程、隔离文件、清除内存中的其他恶意东西;

3.将每个调查的结果发回报修系统。

很多情况下,单个警报是更大问题的征兆之一,人工智能系统必须能看清全局。

知道上哪儿去找信息源以帮助解决问题

继续用上面那个关于恶意IP地址的火眼警报做例子,我们看到人工智能系统可以查询网络资源以确定还有其他哪些机器也访问了恶意IP地址。仅此一步,系统就必须执行一系列必要的复杂操作才能被认为是AI:

系统必须知道上哪儿访问额外的网络资源

必须知晓这些资源的用途和资源中应包含什么数据

必须拥有解析数据以查找相关可执行动作的能力

系统要能应用相关发现来将找到的东西翻译成一系列后续动作

对人类而言,所有这些步骤都是很基础的,因为它们符合逻辑,而且我们的大脑就是这么工作的。然而,能够编程这个查找额外信息以解决问题的决策过程,就是非常复杂的了,堪称人工智能的品质证明。

从外部摄入数据的能力

智谋是人类与生俱来的特质。只需要想想你每天多少次寻求外部信息源就知道了。从查询天气到阅读有关人工智能的文章,我们频繁地从外部获取数据来帮助决策。

网络安全世界里,获取已知威胁的最新信息,是任何安全工具发挥功用的必备基础能力。威胁的规模和复杂度,需要对病毒特征码和威胁情报馈送之类事物的不断更新,才能拦住大规模攻击。

人工智能事件响应系统若想评估它发现的每个网络警报,就必须能经常访问一系列不同的威胁情报源。这样,系统就总能以最高水准的置信度提示或无视潜在威胁。

分析数据的能力

人工智能系统对数据的分析,需要通过确定内容、上下文和意义来达成。

内容——简单说就是:我们看的是什么?以警报为例,系统应该找哪些数据以采取下一步行动?数据例子包括IP地址和潜在威胁的地理位置。

上下文——警报类型是什么?反病毒软件发送的?数据泄露防护系统(DLP)?安全信息和事件管理系统(SIEM)?

意义——基于内容和上下文,系统下一步该做什么?

基于数据分析决定行动方案

一旦人工智能系统执行了必需的分析,它一定要能够基于编程的逻辑知道下一步该做什么。虽然相似的调查过程流可被应用到多个警报上,修复过程有可能大不相同。举例如下:

网络钓鱼邮件——发送者是谁?附件是什么?有人已经点击了附件吗?下载并运行了可执行文件?交出了凭证?基于这些问题的回答得出的修复动作,是有条件依赖的,而且需要高级决策逻辑。

恶意IP地址——如果某个恶意IP地址被网络中的设备访问了,后面会发生什么?该IP地址只是终端恶意软件感染的征兆?什么类型的恶意软件?回连该IP地址并加密文件的勒索软件?还有多少其他机器连接该IP地址?如果终端上的根源问题被清除了,自动添加一条防火墙阻止规则以防止其他机器访问该IP有意义吗?

杀毒警报——如果系统收到笔记本中木马的警报,并提示杀毒软件(AV)已成功清除了恶意文件,这真的是成功修复的标志?或者说,系统应执行一次全面检查以确保木马不仅仅是传播恶意进程的入口,然后演变成AV发现不了的其他东西?

知道潜在威胁被确认之后该做什么,无疑是人工智能网络安全解决方案最重要的能力。知道怎样严格检查、修复并维持此一循环,正是AI解决方案的价值所在。

确定采取的行动是否解决了问题

评估所采取的行动是否真正解决了全部问题,是检查警报和修复工作流的关键最后一步。虽然一些产品和进程会在修复阶段停顿,任何人工智能系统必须能够确认修复动作是成功的,不需要额外操作。

继续之前的AV例子,基于AI的网络安全解决方案,会确认AV产品成功清除了感染源的文件和进程,检查内存有没有遗留东西,发起平行调查以确定是否存在任何横向移动,并重新调查以确保这些步骤完全修复了整个环境中的感染痕迹。

将结果应用到其他地方

最后,一旦基于AI的网络安全解决方案完成了从警报到修复和确认的端到端工作流,它必需能够将其发现通用到其他地方。比如说,如果检测系统的警报被确定是未知威胁,系统要能在沙箱中触发可疑实体以检查行为,基于观察到的特征予以定罪或选择无视。仅仅因为威胁情报馈送中没有包含某威胁,并不意味着调查过程应终止。新威胁被发现的时候,人工智能系统可以将其新发现的知识,应用到网络中所有其他系统上,发起调查以查找是否有其他机器表现出该威胁或该威胁类型的证据。

关闭窗口

福建开放大学信息化中心  版权所有