人工智能如何应用于用户和网络行为分析

AI在安全方面的角色对白帽黑客和网络罪犯都很有吸引力，但目前似乎还没有找到双方的平衡。

人工智能已经成为网络安全开发者的新宝藏，这要归功于它的潜力，它不仅可以在很大的规模上实现功能自动化，还可以根据它在一段时间内学到的东西来做出相应的决策。这可能会对安全维护人员产生重大影响——通常情况下，公司根本没有足够的资源在众多恶意软件中“大海捞针”。

例如，如果一名工作人员通常在纽约工作，突然有一天早上从匹兹堡登录，这是一种反常现象——人工智能可以看出这是一种反常现象，因为它已经学会了期望用户从纽约登录。类似地，如果该用户在匹兹堡登录后，在几分钟后又在另一个地方登录，比如加州，那么这很可能是一个恶意的危险信号。

因此，在最简单的层面上，人工智能和“机器学习”围绕的是对行为规范的理解。系统需要一些时间来观察环境，以了解什么是正常的行为，并建立一个基准线——这样它就可以通过将算法知识应用到数据集来获取偏离规范的偏差。

针对网络安全的AI可以以多种方式帮助防御者。然而，人工智能的出现也有不利的方面。首先，网络犯罪分子也利用了这项技术，很明显，它可以被用于各种恶意的任务。比如对开放的、易受攻击的端口进行的扫描，或者是电子邮件的自动组合，这些邮件具有公司首席执行官的准确语气和声音，被24小时窃听。

在不久的将来，这种自动模仿甚至可以扩展到语音。例如，IBM的科学家已经为人工智能系统创造了一种方法来分析、解释和反映用户的独特语言和语言特征——从理论上讲，这可以让人类更容易地与他们的技术对话。然而，使用这种类型的恶意欺骗应用程序的潜力是显而易见的。

与此同时，在垂直市场上采用人工智能的热情——对于网络安全和其他领域——已经打开了一个快速增长的新攻击面——它并不总是青睐于内置的安全设计。人工智能有能力彻底改变任何行业：向在线购物者提供更明智的建议，加快生产过程的自动化质量检查，甚至追踪和监测出现野火的风险。加拿大阿尔伯塔大学的研究人员正在为这方面做更多的工作。

人工智能的这种双重性质——一方面是正义的力量，另一方面是邪恶的力量——还没有找到平衡，但人们对人工智能的兴趣却在持续增长。

人工智能的一场“傲骨之战”

在网络安全的适用性方面，人工智能已经得到了大量的宣传。由于人工智能依赖于分析大量数据来寻找相关的模式和异常，因此可以要求它在一段时间内学习什么构成了假阳性，以及在某种规定的政策范围内所不包括的内容。因此，对于入侵预防和检测来说，这可能是一个不可估量的恩惠，例如，与欺诈检测和根除诸如DNS数据过滤和凭证滥用等恶意活动。

人工智能算法可以应用于用户和网络行为分析。例如，机器学习观察人员、端点和像打印机这样的网络设备的活动，以标记潜在的恶意活动。

同样，人工智能在网络行为分析中也扮演着重要角色，它研究用户与网站的互动，并作为在线欺诈检测的补充。

例如，如果用户登录到一个零售应用程序，在站点周围搜索，找到一个产品来了解更多信息，然后将该产品保存到购物车中或结账。该用户现在可以作为买家以配置行为文件。在未来，如果该用户在同一电商网站上显示了截然不同的行为，那么它可能会被标记为潜在的安全事件进一步调查。

在DNS方面，一个人工智能系统可以检查DNS流量，以跟踪DNS查询到权威服务器，但没有收到有效响应的情况。“虽然这很难预防，但很容易被检测到，”Justin Jett最近在Threatpost的一篇专栏文章中解释道，他是Plixer的审计和合规总监。比如序列号0800fc577294c34e0b28ad2839435945.badguy.example[.]net 如果被发送到给定的网络机器上很多次，系统便会向IT专业人员发出警报。”

识别密码泄露和误用也是一个很好的例子。这种类型的攻击正变得越来越普遍，因为数据泄露后，人们的电子邮件和密码流向了黑暗的网络。例如，Equifax的漏洞导致数百万份有效的电子邮件被曝光;2016年的雅虎数据泄露事件中，攻击者获取了5亿个用户的账户信息。由于人们倾向于重复使用密码，犯罪分子会在不同的机器上随机尝试不同的电子邮件和密码，希望能获得成功。

为了识别这种攻击，“人工智能在这里是有用的，因为它已经给用户设立了基准线，”Jett解释说。“这些用户每天在多个设备上连接并登录。对于一个人来说，在服务器上尝试数百次登录是很常见的，但是很难找到一个试图在100台不同的机器上进行连接的人，并且只成功登录一次。”

人工智能还可以用来自动评估开源代码的潜在缺陷。例如，网络安全公司Synopsys正在利用人工智能自动将已知的漏洞映射到开源项目，并评估企业的风险影响;例如，它会自动分析数百份法律文件(许可证、服务条款、隐私声明、HIPAA、DMCA等隐私法)，以确定任何检测到的漏洞的合规风险。

然而，在易受攻击性方面的另一个应用是回顾和预测。如果一个新的漏洞被宣布，那么就可以通过日志数据来查看它是否在过去被利用了。或者，如果这确实是一种新的攻击，人工智能就可以评估证据是否足够确定，以确定攻击者的下一步行动是什么。

人工智能还能很好地完成单调乏味、重复性的任务——比如寻找特定的模式。JASK的首席执行官兼联合创始人Greg Martin表示，这样一来，它的实现可以缓解大多数安全操作中心(SOCs)所面临的资源限制。SOC的工作人员每天都在部署数百个安全漏洞——当然，并不是所有的安全漏洞都是真正的攻击。

“安全团队总是被信息所淹没，”451 Research的研究主管Scott Crawford在一次采访中说。“关于对手正在做什么、最新的攻击工具、恶意软件的变化以及内部资源生成的大量信息。”在入侵保护空间中，日志数据的数量和生成的警报是压倒性的。SIEM市场在一定程度上是为了解决这个问题，只是在有需要处理的事情的时候才会浮出水面——但这还不够。因此，现在我们看到了处理数据的新技术的兴起，并通过分析和人工智能来获得意义。”

目前仍不完美

尽管人工智能在安全领域有很多用途，但公司应该谨慎地理解其局限性;这些引擎只和进入它们的数据一样好，而仅仅将数据归为算法，就会告诉分析师什么是不寻常的，而不是它们是否重要。为人工智能设定参数的数据科学家需要知道如何提出正确的问题来恰当地利用人工智能的能力。人工智能应该寻找什么?一旦有了发现，人工智能应该做些什么呢?通常，需要复杂的流程图来为期望的结果编写人工智能程序。

用具体的术语来说，很容易就能训练人工智能，比如说，发现小行星带里的小行星有反常的移动。但如果目标是要知道它是否向地球进发，那就需要进行仔细调整。

而且，在今天的数字工作场所中，有如此多的公司信息，以人类监督的形式监测故障是一个好主意。简单地为人工智能分配网络监督职责可能会产生意想不到的后果，比如过分积极地隔离文档、删除重要数据或大量拒绝合法信息——这可能会严重影响工作效率。例如，在人工智能的假设下，在之前的登录场景中，员工可能只是在旅行，所以关闭访问可能不是最好的主意。

“没有一台机器能完美无缺，并解释所有潜在的行为可能性，”AsTech咨询公司的首席安全架构师Nathan Wenzler在接受采访时说。“这意味着它仍然需要人们的关注，否则你可能会有很多合法的东西被标记为“坏”，或者恶意软件和其他攻击，被编码为“好”。所涉及的算法只能做到这样，并且，随着时间的推移而不断改进。但是，攻击也会变得更聪明，并找到规避学习过程的方法，从而仍然有效。”

而且，因为仍然需要有人能够对出现的异常情况做出合理的判断，因此也应该考虑到人们需要关注的领域。可以以快速电子邮件的形式向该员工发起一项手动调查——这听起来没什么大不了的，除非你认为在一家大公司里每隔几分钟就会有成百上千这样的异常情况发生。

Jett解释说：“在网络安全中充分利用人工智能的最佳方法是，利用监督学习来识别恶意行为的粒状模式，而无人监督的算法则为异常检测建立一个基准线。”“人类在短期内不会被排除在这个等式之外。”