人工智能在网络安全中的用例分析
添加时间:2019-07-30 点击次数:555
人工智能已经在网络安全领域取得了一些进展,一些人工智能供应商声称推出了使用人工智能来帮助防范网络威胁的产品。已经有许多网络安全供应商可以提供人工智能和基于机器学习的产品,以帮助识别和处理网络威胁。甚至五角大楼也创建了联合人工智能中心(JAIC),以便在其网络安全工作中升级到支持AI的功能。本文中列出了网络安全中人工智能的一些常见用例,其中有一些例子表明了实际的商业用途。具体来说,用例涵盖:
-
用于网络威胁识别的AI
-
AI电子邮件监控
-
基于AI的防病毒软件
-
基于AI的用户行为建模
-
AI用于对抗AI威胁
下面开始在网络安全领域对AI进行分析,并解释为什么AI非常适合网络安全。
对于保护其数据的企业而言,网络安全至关重要,即使是小型数据中心也可能运行数百个应用程序,每个应用程序都需要实施不同的安全策略。人类专家可能需要几天到几周才能完全理解这些策略并确保安全实施成功。
网络安全本质上涉及重复性和乏味。这是因为识别和评估网络威胁需要通过大量数据进行搜索并查找异常数据点。公司可以使用他们现有的基于规则的网络安全软件收集的数据来训练AI算法,以识别新的网络威胁。
了解攻击的后果和公司所需的响应还需要进一步的数据分析。可以训练AI算法在发生攻击时采取某些预定步骤,并且随着时间的推移,可以通过网络安全主题专家的输入了解最理想的响应。
人类安全专家无法与AI软件完成这些数据分析任务的速度和规模相匹配。此外,基于AI的网络安全数据分析软件可以比人类分析师更高的准确度完成任务。大规模数据分析和异常检测是AI可能在网络安全中增加价值的一些领域。
许多网络安全入侵通常在企业网络上运行,监控进出网络的数据是检测网络安全威胁的一种方法。监控作为企业网络通信一部分的每个“数据包”数据,人类分析师几乎不可能准确监控。
基于机器学习的软件可以潜在地使用多种技术,例如统计分析,关键字匹配和异常检测,以确定给定的数据包是否与训练数据集中使用的数据包的基线不同。
所有这些似乎都表明,人工智能现在开始被视为一种有效的工具,可以获得对欺诈者和黑客的巨大优势。
企业网络安全对大多数公司来说至关重要,而建立良好网络网络安全流程最困难的部分是了解网络拓扑中涉及的所有各种元素。对于人类网络安全专家来说,这意味着需要花费大量时间来跟踪进出企业网络的所有通信。
管理这些企业网络的安全性涉及识别哪些连接请求是合法的以及哪些连接请求尝试异常的连接行为,例如发送和接收大量数据或在连接到企业网络后运行异常程序。
网络安全专家面临的挑战在于确定应用程序的哪些部分,无论是在Web上,移动平台上,还是正在开发或测试的应用程序,都可能是恶意的。在大型企业网络中识别数千个类似程序中的恶意应用程序需要大量时间,而人类专家并不总是准确的。
基于AI的网络安全软件可以潜在地监控所有传入和传出的网络流量,以便识别流量数据中的任何可疑或不寻常的模式。这里讨论的数据通常过于庞大,人类网络安全专家无法准确地对威胁事件进行分类。
在一个真实的例子中,启动ShieldX Networks声称他们使用AI来加速识别哪些安全策略适用于每个应用程序的过程。此外,该公司声称他们的软件可以在一段时间内研究每个应用程序的网络通信数据,然后为该应用程序生成安全策略的建议。
除此之外,在银行业,像Versive(现在被eSentire收购)的AI供应商提供企业网络安全AI软件,该软件使用异常检测来识别网络安全威胁。该公司声称他们的软件可以帮助金融公司和银行进行对手检测和网络安全威胁管理。
AI供应商Versive(现在被eSentire收购)变成名为VSE Versive Security Engine的企业网络安全AI软件,他们声称可以帮助银行和金融机构使用机器学习分析交易和网络安全相关数据的大型数据集。
Versive声称银行NetFlow(思科为收集IP流量信息和监控网络流量而开发的网络协议),代理,DNS数据(计算机网络数据)作为Versive安全引擎的输入。然后,该软件可以使用异常检测来监控企业网络,以便在数据偏差的情况下提醒人员,这可能与过去网络威胁中的事件类似。
企业公司了解监控电子邮件通信的重要性,以防止网络安全黑客攻击等企图。基于机器学习的监控软件现在被用于帮助提高检测准确性和识别网络威胁的速度。
这个用例使用了几种不同的AI技术。例如,一些软件使用计算机视觉来“查看”电子邮件,以查看电子邮件中是否存在可能指示威胁的特征,例如特定大小的图像。在其他情况下,自然语言处理用于读取进出组织的电子邮件中的文本,并识别与网络钓鱼尝试相关联的文本中的短语或模式。使用异常检测软件可以帮助确定电子邮件的发件人,收件人,正文或附件是否是威胁。
这个用例再次强调了AI在大规模数据分析方面的优势。人员通过电子邮件阅读并识别可疑功能并不困难,但这样做对于每天在大型组织内发送和接收的数百万封电子邮件来说根本不可能。人工智能软件可以读取所有传入和传出的电子邮件,并向安全人员报告最可能的网络安全威胁案例。
例如,Tessian声称提供电子邮件监控AI软件,可以帮助金融公司防止错误的电子邮件,防止数据泄露和网络钓鱼攻击。该公司的软件可能会在不同的步骤中使用自然语言处理和异常检测,以确定哪些电子邮件可能是网络安全威胁。
传统的防病毒软件通过扫描企业网络上的文件来查看其中是否存在与已知恶意软件或病毒的签名相匹配的功能。这种方法的问题在于,当发现新病毒时,它依赖于防病毒软件的安全更新。此外,这种方法使得传统的防病毒软件在实时威胁检测方面变得缓慢,并使得部署可扩展系统变得具有挑战性。
相比之下,基于AI的防病毒软件在许多情况下使用异常检测来研究程序行为。使用AI的防病毒系统专注于检测程序生成的异常行为,而不是匹配已知恶意软件的签名。
虽然传统的防病毒软件适用于以前通过其公共签名遇到和识别的威胁,但这些类型的软件无法轻易检测和解决新威胁。McAfee的高级副总裁Steve Grobman 称,大多数传统的防病毒软件可以达到90%的威胁检测率。AI在这个用例中带来的附加优势是将威胁检测率提高到甚至95%或更高。
被Blackberry收购的Cylance称,他们的Smart Antivirus产品使用AI来预测,检测和应对网络安全威胁。该公司声称,与传统的防病毒软件不同,Cylance的AI增强型智能防病毒软件不需要病毒签名更新,而是学会识别从头开始指示恶意程序的模式。
对企业系统的某些类型的网络安全攻击可能会在他们不知情的情况下接管其登录凭据,从而危及组织中的特定用户。窃取用户凭据的网络攻击者可以通过技术合法手段访问企业网络,因此难以检测和停止。基于AI的网络安全系统可用于检测特定用户的行为模式,以识别这些模式的变化。通过这样做,他们可以在该模式被破坏时向安全团队发出警报。
像Darktrace这样的AI供应商提供网络安全软件,他们声称这些软件使用机器学习来分析原始网络流量数据,以了解组织中每个用户和设备的正常行为的基线。使用训练数据集和主题专家的输入,软件学会识别什么构成与正常基线行为的显着偏差,并立即警告组织网络威胁。
公司需要提高他们检测网络威胁的速度,因为黑客现在正在使用AI来发现企业网络中的入口点。因此,部署AI软件以防止AI增强的黑客攻击可能成为未来网络安全防御协议的必要组成部分。
在过去几年中,世界各地的公司都屈服于网络威胁和勒索软件攻击,如WannaCry和NotPetya。这些类型的攻击迅速蔓延并影响大量计算机。这些类型的攻击的肇事者可能会在未来使用AI技术。AI可以为这些黑客提供的优势类似于AI在企业中提供的优势:快速可扩展性。
网络安全厂商Crowdstrike声称自己的安全软件,隼平台,采用人工智能,以防范此类勒索威胁。据报道,该软件使用异常检测来确定企业网络中的端点安全性。以下视频演示了该软件的工作原理:
人工智能在网络安全系统中的使用目前仍被称为新生事物。企业需要确保他们的系统接受网络安全专家的培训,这将使软件更好地识别真正的网络攻击,其准确性远远高于传统的网络安全系统。
企业需要了解这些系统只能提供给他们的数据。AI系统通常被称为“输入无用,输出就无用”系统,而以数据为中心的AI项目方法对于持续成功是必不可少的。
使用纯粹基于AI的网络安全检测方法的公司面临的一个挑战是减少误报检测的数量。这可能会更容易,因为软件会学习被标记为误报的内容。一旦构建了行为基线,算法就可以将统计上显着的偏差标记为异常,并警告安全分析师需要进一步调查。
网络安全应用程序是当今最流行的AI应用程序之一。这在很大程度上是由于这些应用依赖于异常检测这一机器学习模型非常适合。此外,大多数大型企业可能已经拥有现有的网络安全团队,产品开发预算和IT基础架构来处理大量数据。