文 | Palo Alto 首席安全官 戴维斯

现在,世界动荡不安,这使我们可能更难找到共同利益所在。不管在虚拟空间,还是在现实世界,都存在各种各样的冲突,如果各个国家采用对抗的方式互相对待的话,整个的国际社会的各国公民都会遭殃。尽管达成共识互信越来越难,但是,却不是可望而不可及。我们需要从小事做起,积跬步,致千里,最终找到我们的共同利益,帮助达成网络安全的目标。

“新技术突飞猛进带给人类不确定性威胁和挑战”,我非常赞同这个观点。人工智能能够帮助实现有效的网络安全,对于国家来说、对于国际社会而言、对于各行各业、广大民众而言,这都是一个好消息。但是,存在各种不同类型的网络攻击者,有的是国家级别的攻击者,有的是非国家、非政府的攻击者,有的是网络犯罪行为等,使用各种各样的技术,例如,改变恶意软件的特定文件,对域名进行硬编程,以实现网络攻击的多样化。同时,攻击者还会使用一系列新的工具包,以此实现对网络目标实施攻击,而且,会想尽一切办法逃避检测。另一方面,在使用人力的方式检测这些网络攻击时,“他们”已经开始使用集成化的技术。

现在,传统的监测的方式容易导致一些问题,为解决问题,还需要投入更多的人力,也需要借助人工智能的力量打击网络攻击。使用机器学习、人工智能等技术,更快地识别阻止攻击,不断地根据新的数据更新应对方法。现在,恶意软件的数量非常多,如果纯靠人力,根本没有办法应对。使用机器学习,能更好主动地监测恶意攻击。同时,人工智能和机器学习的技术也在不断进步,甚至从未出现过的攻击形式也可以通过机器学习探索,而不是依靠人工的方式,这能让整个流程简化,在抵抗潜在攻击的同时,无需增加人数。所以,这是非常有竞争力的一种应对方法。

机器学习和传统编程有什么区别?传统的编程是程序员为了解决问题写一个程序,然后注入大量数据进行运算,最终得出结果。问题是,写程序可能很难,而且不精确,耗费的时间长。机器学习使计算机能够在没有编程的情况下主动识别特定的模式。机器学习,首先要有数据,得到结果,然后,进行数据分析和计算,最后,才会生成整个程序。

对于攻击者来说,需要经过一个流程,最终才能够完成攻击。通过“预计算学习架构”这样一种架构,首先去识别一系列的协议,设备的IP地址,或者其他的证书等,然后识别用户的类型、服务器的类型等。这些都没有办法进行配置,但是,机器学习却能够做到。配置不可能是单一的,需要根据过往数据的活动进行配置,这就是时间的配置。随着时间的演进,内容会不断更新和变化,用户的活动也会不断变化和更新,这些对监测都非常重要。有了这样的方法,监测不再是不可知、不可达到的目标。通过自动化的方式,能够以预计算的手段完成对意向的监测。

而且,整个检测不断精益求精,在不同的检测器之间进行连接,同时,能够跨越不同的检测器的种群,识别可能出现的攻击,进行平行的检测。整个检测的基础和调查的基础都是自动化,以及先进的软件分析,分析大量的数据。这些数据需要长时间才能收集完整,需要网络、用户、终端,还有各种各样不同应用的技术。

有了AI、机器学习,就让网络空间战变得易守难攻。应该把网络空间变成防守的武器,把防守的防线加强、加高。甚至,可以做一个防卫系统。如果攻击变得更容易的话,我们的防线就不堪一击,所以,我们要做好防护工作。

(本文刊登于《中国信息安全》杂志2019年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。