機器學習如何打擊AI犯罪

　　現(xiàn)如今互聯(lián)網(wǎng)發(fā)展迅速，而網(wǎng)絡安全問題卻成了大問題，網(wǎng)絡安全已經(jīng)給不同領域帶來了一系列巨大的問題和不同程度的挑戰(zhàn)。有人預計到2017年底，網(wǎng)絡安全的全球市場價值會飆升到1200億。這組數(shù)據(jù)不得不引起人們的深思。

　　數(shù)據(jù)安全曾是、也將持續(xù)成為不同組織中不斷改進的重要領域。就像貓與老鼠的游戲，黑客總是致力于尋找新的方法去闖入安全系統(tǒng);而同樣地，安全系統(tǒng)會通過持續(xù)的自身升級來應對各種不同的攻擊策略和工具。

　　隨著人工智能的出現(xiàn)，許多工作崗位正在慢慢地被計算機或機器人所替代。這里并非指的是那些普通桌面上的防病毒軟件，而是請想象一個場景：如果你擁有一個具有上千名員工的大型組織。該組織內(nèi)部的所有電腦都會產(chǎn)生PB級別的日志，它們被存儲在數(shù)據(jù)庫中，用來記錄各種日?；顒?，并且隨后用來進行單獨的和關聯(lián)性的威脅分析。這些海量的結(jié)果就導致了我們稱之為“大數(shù)據(jù)”的產(chǎn)生。

　　2012年，Gartner公司將大數(shù)據(jù)定義為：“需要新的處理模式才能具有更強的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長率和多樣化的信息資產(chǎn)。”如今，Gartner的這個3V定義仍然被廣泛使用著，而且大家一致認為“這些具有海量、高增長率和多樣化特征的信息資產(chǎn)，需要通過特定的技術和分析方法來轉(zhuǎn)化為價值。”

　　有了上述關于大數(shù)據(jù)的概念定義，擺在我們面前的下一步就是對它進行分析了。你可以采取不同類型分析的方式，讓計算機能夠針對某些特定目的接受訓練。此類訓練的過程就稱為“機器學習”，它是由模式識別和有關計算學習理論的人工智能發(fā)展而來。

　　機器學習通過對算法結(jié)構(gòu)的探索和研究，從而達到對數(shù)據(jù)進行預測。機器學習運用設計好的和預編程的算法來高效地完成一整套的計算任務。其中最常見的應用包括：郵件過濾、網(wǎng)絡入侵檢測、內(nèi)部惡意人員涉及的數(shù)據(jù)泄漏行為、光學字符識別（OCR）、排序?qū)W習（learning to rank）和計算機視覺技術（computer vision）。

　　如今在許多情況下，組織的規(guī)模越是龐大，其網(wǎng)絡安全的任務就越是艱巨。這也就是為什么多數(shù)大型機構(gòu)都擁有自己的網(wǎng)絡安全部門的原因。下面讓我們來看看一些有關規(guī)模和威脅類型的統(tǒng)計吧。

　　惡意軟件

　　惡意軟件歸類為：被專門設計用于中斷、損壞、或獲取計算機系統(tǒng)正常訪問權限的軟件。僅在2016年第三季度，某安全公司就捕獲到了1800萬個新生惡意軟件樣本，平均每天20萬個。惡意軟件不但在速度上持續(xù)增加，還在繞過反病毒保護的水平上不斷進化著。這些都是你的公司、IT團隊以及供應商所無法企及的。

　　勒索軟件

　　顧名思義，此類軟件就是通過鎖定系統(tǒng)的屏幕或是用戶的文件，以阻止或限制用戶訪問系統(tǒng)，直到他們支付贖金。自2016年以來，每天都有4000起勒索軟件的攻擊。相對于2015年的每天1000起來說，該數(shù)字增加了300%。

　　計算機病毒統(tǒng)計

　　威脅類型

　　泄漏類型

　　既然我們已經(jīng)認識到：各個大型組織的網(wǎng)絡安全部門每天都需要面對來自各類惡意軟件的數(shù)十億次攻擊，那么我們在安全配置方面不僅要提高在遭遇威脅時能及時警報的能力，而且還要能夠識別與分類各種威脅，從而讓用戶充分了解他們所處的狀況。

　　因此，我們的安全系統(tǒng)不能止步不前，而應該通過關聯(lián)各類事件通知，以形成一條偵探式線索，從而引導用戶，并向他們展示在其所處的動態(tài)系統(tǒng)中，各種發(fā)生情況的“清晰圖像”。我們把實現(xiàn)此類目的的軟件歸類為SIEM（安全信息與事件管理）、SEM（安全事件管理）或SIM（安全信息管理）。

　　當然這些術語經(jīng)常會被交替使用，用來在不同場景中指代這類軟件。為了實現(xiàn)它們的高度可定制化和可訓練化，下面讓我們來看看機器學習是如何被運用到其中，進而打擊網(wǎng)絡犯罪的。注意，這些智能軟件會用到深度學習（deep learning）之類的技術，我們會在下一節(jié)討論到。

　　威脅智能感知系統(tǒng)，深度學習和人工神經(jīng)網(wǎng)絡（ANN）

　　通常說來，單獨的惡意軟件是“創(chuàng)建容易，檢查難”。系統(tǒng)一旦能夠?qū)λ枰宰R別，就能“學會”如何下次對它進行響應。但是，如果在原來惡意軟件的基礎上稍作修改，那么系統(tǒng)很可能就無法識別了。

　　而實際上，成百上千種新生的惡意軟件就是在單一的原始軟件的基礎上重建而來。因此在這種情況下，我們需要用一個不同的策略，來有效地創(chuàng)建一個安全區(qū)域。在那里，人工神經(jīng)網(wǎng)絡通過參考各種案例來學會（逐步地提高性能）完成各項任務，而且一般不需增加針對特殊任務的編程。

　　例如，在圖像識別的時候，它們通過已經(jīng)手動標記為“是貓”或“不是貓”的多個例圖，來學會分析和識別含有貓的其他圖像。他們同時也發(fā)現(xiàn)大多數(shù)應用程序都難以使用基于規(guī)則編程的傳統(tǒng)計算機算法來準確表示。

　　而在網(wǎng)絡安全領域，我們可以根據(jù)系統(tǒng)已經(jīng)能夠識別出的、通用惡意軟件類型的相似度水平來將各種軟件判定為是否是惡意軟件。當然，在人工神經(jīng)網(wǎng)絡尚未完成“培訓”的情況下，是不可能一蹴而就的，而且深度學習本身就是一個相當耗時的過程。

　　人工神經(jīng)網(wǎng)絡（ANN）源自生物神經(jīng)網(wǎng)絡的啟發(fā)，它是通過對所謂人工神經(jīng)元（類似于生物大腦中的軸突）的已連接單元的集合來實現(xiàn)的。神經(jīng)元之間的每個連接（突觸）能夠發(fā)送信號到另一個神經(jīng)元處。接收端的（突觸后的）神經(jīng)元處理該信號，然后將其連接發(fā)送到它的下游神經(jīng)元。

　　神經(jīng)元通?？梢杂媒橛?和1之間的實數(shù)來表示其狀態(tài)。隨著學習的深入，神經(jīng)元和突觸的權重也會發(fā)生變化，而這正好可以體現(xiàn)它發(fā)往下游信號時的強度增減變化。另外，它們可以具有一個閾值，僅當聚合的信號低于（或高于）該值的時候，下行信號才會被發(fā)送。

　　通常情況下，神經(jīng)元具有多層結(jié)構(gòu)。不同的層面可以根據(jù)其不同的輸入，執(zhí)行不同類型的轉(zhuǎn)換。信號從第一（輸入）層開始，可能經(jīng)過多次、多層穿越之后，來到最后（輸出）一層。

　　單層的前饋人工神經(jīng)網(wǎng)絡，如下圖所示：

　　單層前饋

　　而雙層前饋人工神經(jīng)網(wǎng)絡，則如下圖所示：

　　雙層前饋

　　因此，我們必須將所有可獲取的、有關惡意軟件的信息提供給SIEM軟件，讓它能夠同時識別出所有不同類型的惡意軟件的存在，并且根據(jù)既定的智能標準來將各種達到一定程度的惡意軟件進行分類。從而將整個學習過程提高到只需半人工監(jiān)督、甚至是無需人工監(jiān)督的先進程度。

　　通過上述分析，我們已經(jīng)了解到SIEM是如何從外部進行檢測和保護的。但是在安全領域，我們還有另一個需要考慮的方面，那就是內(nèi)部威脅。

　　現(xiàn)在我們來考慮一個例子：假設任何一名員工在使用VPN完成某項任務的時候，成為了網(wǎng)絡釣魚攻擊的受害者，他的用戶名和密碼信息被盜取，系統(tǒng)正面臨著數(shù)據(jù)泄露的攻擊。那么對于SIM而言，只要當它查看到這些異常的個人行為、或是一系列活動，就應該能夠?qū)⑺鼈兟?lián)系起來，進而指向并匹配那些不正常的、或是危險的數(shù)據(jù)泄漏與跨界轉(zhuǎn)移的案例。

　　SIM必須帶有一個已經(jīng)足夠先進的系統(tǒng)，能夠理解并分析用戶以及環(huán)境中的各種行為，通過關聯(lián)不同的活動，以產(chǎn)生所謂的“攻擊鏈”。這里的攻擊鏈是指對整體事件“鏈條”的識別，它包括：誰、是什么、何處、何時、為什么、如何等關于當前事件的具體細節(jié)，并最終給出整個事件當前狀態(tài)的清晰視圖。

　　這些能夠有助于讓用戶獲知到諸如：發(fā)生了什么、什么已被確認了等方面的信息。系統(tǒng)所提供的這些信息是頗具價值的。它們能夠幫助用戶進一步反饋給人工智能諸如：時間線和影響程度，并最終讓系統(tǒng)能夠從數(shù)以百萬計的普通事件中進行相應的分類，標注出上千條“異常事件”，然后判定出其中的幾條為真正的“攻擊事件”，進而提供出所有被ANN所確認的、包含關系圖的“攻擊鏈”。

　　人工智能技術的各種優(yōu)勢可以被運用到當前的網(wǎng)絡安全基礎設施之中。當然在不久的將來，隨著人工智能（AI）系統(tǒng)變得更為強大，我們也會看到有更多自動化的和日趨復雜的社會工程攻擊的出現(xiàn)。各類具有AI的網(wǎng)絡攻擊勢必會導致網(wǎng)絡滲透和個人數(shù)據(jù)失竊的爆炸式增長，以及計算機病毒的智能蔓延。

　　頗具諷刺的是：我們還在希望運用AI來抵御具有AI的各類攻擊。正所謂：道高一尺，魔高一丈，這樣發(fā)展下去就很可能會導致AI式的“軍備競賽”，其后果只會變得越來越復雜。