安卓版下载

人工智能助力网络安全检测和响应

2018-02-16 14:04微软中国有限公司
信息安全与通信保密 2018年7期
关键词:攻击者网络安全人工智能

(微软(中国)有限公司)

当前,全球的网络安全态势并不乐观,我国目前流行的排名前三的网络威胁类型为:木马、病毒和蠕虫。国内互联网传播的恶意代码中有近20%是在世界其他地区没有遇到,是具有中国本土特色的网络威胁。传统防御或者手工干涉的机制,不能适应恶意代码的迭代和进化速度。因此,必须使用人工智能等新手段,提升自动化和响应效率,以缩短从发现到响应的间隔。

1 全球网络攻击特性的改变

传统安全防护手段如杀毒软件、防火墙、蠕虫检测在应对已知恶意代码是有效的。但是目前网络攻击者的首要目标是盗取用户的身份。在新形势下的攻击者一旦成功盗取用户身份,就可以采用合法工具收割用户的数据财产,对用户身份的保护是当前和未来一段时期内最大的安全挑战。全球网络攻击特性具有以下特点:黑客可以使用合法的IT工具,不是纯依赖恶意软件,因而难以被探测。全球范围内安全事件调查分析显示,攻击者被发现前,可以在被入侵网络中潜藏时间达八个月,在两百天内隐身于网络中为所欲为。网络攻击可造成巨额财物损失,影响企业品牌声誉,丢失保密数据。

2 AI加速:应对网络安全防御的挑战

传统的网络安全防御方案主要有三大短板:①非常复杂,需要手工初始设置、定义规则等,花费较长时间;②容易误报,太多的信号源数据和碎片化的报警规则,需要繁琐手工分析或编程复杂模型,误报或漏报的比例高;③设计用于边界防御,当用户身份被窃取而攻击者藏于内网时,传统网络的防御提供的保护极其有限。

传统防御或者手工干涉的机制,不能适应恶意代码的迭代和进化速度,必须要用新的手段,包括使用人工智能来加速响应的流程,提升自动化和响应效率,缩短从发现到响应的间隔。

3 全面和系统的网络安全策略与方法

微软为应对新网络威胁态势,设计了全面和系统的安全战略:①打造安全产品平台,保证平台的安全。从源头增强开发安全,把代码写安全;②构建全球网络安全威胁情报体系,知己知彼,百战不殆;③ 与合作伙伴合作建设安全生态体系。

具体安全策略分为三步:保护、探测、响应。安全保护跨越所有终端,从物联网传感器到云端和数据中心;利用设备端探测和捕捉到网络威胁数据,作为数据输入,行为检测和机器学习发现安全异常,形成完整的闭环,探测只是整个响应流程中的起点,不是终点;安全响应的目标是缩短发现和后续行动之间的时间差距。

知识图谱是人工智能非常有用的一个分支,可以处理和利用大数据,集成专家的经验,取得较好的安全保护效果。微软的网络安全知识图谱得益于平台上积累大量的数据,包括每分每秒保护用户和网络攻击做对抗过程中产生的数据。利用人工智能把数据后面真正的大数据价值榨取出来,产生很多可以重复使用和可扩展的安全防御模型。

4 安全自动化成熟度模型

对安全自动化的模型尝试定义了成熟度的概念,分为五级,一级为入门,第五级暂定为最高级,每一级代表不同的、可以重复的能力。第一级,即自动汇集,如常见的事件级自动工单应用系统;第二级,则为堆栈整理,很多安全情报数据源是离散型的,把多源的数据按照攻击链逻辑和时间戳汇集成单个独立的安全事件,梳理出一条主线;第三级是数据富集,不同平台的安全探测端,如防火墙、杀毒软件、认证网关等得到数据种类是不一样的,这些数据如果能够进行交叉相关分析,可以建立一个非常全面的安全攻击的场景,为后续工位的安全分析和响应提供指南;第四级为自动化行动预案,把安全专家常见的响应策略自动化,形成脚本化、自动化的方案。一旦获得确认可靠的安全报警,通过自动化的响应预案触发下游的连续动作,从而降低安全响应人员的劳动强度;第五级,即闭环机器训练和学习场景,由专业安全研究人员,运用人工智能或者是深度学习,在典型样本的分析和安全研发工作基础上,创建更多的自动化模型级算法。

利用人工智能的技术,可以提高响应的速度,降低误报。传统的安全技术开发,需要利用数据和已知明确的程序/规则建立模型,关注最后得到的输出。而机器学习是利用数据,尤其是标注数据,训练输出安全模型,模型可以适应环境变化,并可以随时利用新数据的重复进行训练,提高模型的准确度。

在标准方面,人工智能成功助力网络安全有三大原则:第一是可自适应,而不是仅仅基于特征检测,一种特征只能检测一种恶意代码行为;第二是可解释的,无法归因和解释的结果是难以理解的;第三是可行动的,检测必须为下游的响应工作提供指导。

在标识数据方面,人工智能里最重要的是数据。以微软为例,其相关标识数据来自于安全专家、客户反馈的安全警报,自动化的攻击,漏洞赏金,MSRC,外科手术式的红队攻击演练以及来自其他产品事业部等。

在成功框架方面,人工智能与网络安全防御应用的结合,既依靠机器算法的自动检测,也应结合安全专业知识进行验证。成功的检测需要离散的数据集和规则与安全专业知识的结合。98%以上的恶意代码检测工作可以在前端处理,在终端处集成轻量化的机器学习模型。2%的未知变种需要依靠后台更重量级的分析模型来处理,反馈和响应到前端。通过前端和后端的有效配合,提高响应的速度和应对新变种的能力。

猜你喜欢
攻击者网络安全人工智能
网络安全
中国生殖健康(2019年10期)2019-01-07
2019:人工智能
商界(2019年12期)2019-01-03
人工智能与就业
IT经理世界(2018年20期)2018-10-24
正面迎接批判
爱你·心灵读本(2018年6期)2018-09-10
上网时如何注意网络安全?
小学生必读(中年级版)(2018年4期)2018-07-05
正面迎接批判
爱你(2018年16期)2018-06-21
数读人工智能
小康(2017年16期)2017-06-07
下一幕,人工智能!
南风窗(2016年19期)2016-09-21
网络安全监测数据分析——2015年11月
互联网天地(2016年1期)2016-05-04
有限次重复博弈下的网络攻击行为研究
指挥与控制学报(2015年4期)2015-11-01

信息安全与通信保密2018年7期

信息安全与通信保密的其它文章
时事简评
掌握自主核心技术,争取网络空间斗争主动权
上海:面向世界打造网络安全产业的桥头堡
大数据驱动网络安全的机遇与挑战
“一带一路”倡议下我国民营IT企业“走出去”
欧洲数据产权初探
杂志排行

  1. 1《合作经济与科技》2024年13期

  2. 2《婚育与健康》2024年10期

  3. 3《思维与智慧·上半月》2024年7期

  4. 4《陶瓷科学与艺术》2023年11期

  5. 5《中国商人》2024年7期

  6. 6《教师博览》2024年4期

  7. 7《师道·教研》2024年6期

  8. 8《中国对外贸易》2024年6期

  9. 9《伴侣》2024年6期

  10. 10《经济技术协作信息》2024年6期

关于参考网