人工智能如何帮助打击网络犯罪

在打击网络犯罪的战争中部署人工智能 (AI) 是一项基本战略。超过 60% 的企业表示他们依靠人工智能来嗅探漏洞。要检查的大量数据与许多平台相结合——无人机技术和深度造假是网络犯罪分子预计在不久的将来采用的两种新技术——它们很脆弱，因此需要大规模的网络安全自动化。这正是 AI 的价值主张：它负责网络警务中涉及的许多繁重工作，因此分析师可以专注于威胁情报和更主动的响应，而不是简单地扑灭火灾。以下是如何将人工智能作为安全计划的一部分来实现大规模网络安全自动化，并让分析师能够更积极主动地应对威胁。

内容驱动的监管

通常，为网络安全部署人工智能 (AI) 涉及使用自然语言处理 (NLP) 技术和行为分析来梳理内容。寻找内容中的模式异常并将它们与预期行为进行比较，是 AI 的核心能力。

但是，通用数据保护条例 (GDPR) 和其他消费者隐私条例等严格的法律正在导致加密流量的增加。公司依靠安全套接字层 (SSL) 和传输层安全性 (TLS) 围绕数据创建加密护套（图 1）。如果网络流量中的内容是加密的，AI 如何分析它以找到模式？当内容被加密时，恶意软件可以潜伏在里面，在未被发现的情况下在雷达下飞行，并造成破坏。

具有此类保护措施的网络安全工作变得更具挑战性。使用附加层评估恶意软件会降低性能并使网络安全变得更加复杂。

与内容无关的监管

好消息是人工智能可以检测独立于内容的流量参数模式。例如，来自某个国家或地区的流量增加或在异常时间增加可以发出警报并帮助分析人员先发制人。当与一天或一周的时间结合时，流量（字节数或发送和接收的数据包数）成为关键参数。

类似地，所使用的互联网协议 (IP)，即传输控制协议 (TCP)、用户数据报协议 (UDP) 或互联网控制消息协议 (ICMP)，可以是关键参数。源IP地址和目的IP地址表明流量从哪里来和去哪里，可以用来查询两端的互联网服务提供商（ISP）和/或来源国或目的地。TCP 等协议的源端口和目标端口指示用户应用程序如何发送和接收内容的一些特征。即使内容已加密，所有这些参数在数据包中都是可见的。因此，与内容无关的监管可以使用这些参数来分析流量并查明它是否异常。

大多数服务器在网络流量中记录标准的高峰和低谷。可以对算法进行编程，以研究此类流量的历史模式并检测与预测行为背道而驰的异常值。分析师可以评估这些标记的数据并确认它是否是可疑活动。

因此，人工智能不需要总是依赖内容驱动的能力来执行强大的网络安全策略。在一个攻击可能完全绕过 Web 流量内容的时代，此类策略仍然尤为重要。

旧的是新的

最后，一种称为同态加密 (HE) 的旧技术越来越受到关注，因为企业正在利用它来分析敏感数据。HE 加密的目的是外包数据分析，例如医疗数据和零售信息，而不将数据提供给分析提供商。无需解密即可对 HE 加密数据执行某些类型的数据分析。这使客户能够对其数据保密。HE 方法可确保敏感数据的高度安全性，预计在未来几年会受到青睐，因为如果使用 HE 加密，它可能会为安全分析师提供一种对互联网流量执行某种计算的方法。

结论

网络攻击和网络流量的增加需要大规模的网络安全，而人工智能有能力完成这项任务。通过专注于检测攻击的与内容无关的方法，随着加密流量和相关网络攻击规模的增长，人工智能仍然是企业必须越来越依赖的重要战略。

Poornima Apte 是一名工程师转为作家，在机器人技术、人工智能、网络安全、智能技术和数字化转型方面拥有 B2B 专长。

审核编辑黄宇