人工智能(AI)含義寬泛，從聊天機器人到自動駕駛汽車的很多東西都可以用這個詞來描述。市場營銷人員很喜歡趕時髦，乘著這股東風推銷產(chǎn)品。 

[[183571]] 

這篇文章中，我們將定義和描述AI、機器學習和深度學習，以及它們對信息安全產(chǎn)生的預期影響。雖然往傳統(tǒng)上與人類認知相關的功能中引入各類系統(tǒng)已經(jīng)很普遍，我們不妨退后一步，仔細審視一下這些術語真實的含義。

網(wǎng)絡安全能力問題

公司企業(yè)處理網(wǎng)絡安全的方式在改進，可用3個階段來檢驗：

1. 預防——僅僅10年之前，公司企業(yè)還將主要工作集中在預防上：避免被入侵。公司企業(yè)打造壁壘，強化網(wǎng)絡，以便將敵人隔絕在外。

2. 檢測——鑒于攻擊規(guī)模和復雜度的上升，企業(yè)隨后實現(xiàn)了檢測系統(tǒng)，在潛在惡意威脅突破防線時予以警示。

3. 響應——預防和檢測系統(tǒng)都是自動化的，很快。但是，直到現(xiàn)在，公司企業(yè)還依賴人工來判定這些產(chǎn)品產(chǎn)生的警報，期待他們手動分辨威脅的真假或良莠。其結果，就是緩慢而重復的響應，且事件響應團隊也會被警報淹沒，沒有機會跟上不斷發(fā)展的威脅態(tài)勢。

事件響應問題加上網(wǎng)絡安全人才的缺口，造成了網(wǎng)絡安全能力問題。正如紐昂斯通訊公司CISO道格·格拉漢姆所說：

“很容易陷進這么一種怪圈：購買更多工具，得到更多警報，努力工作以關聯(lián)這些警報，但仍然發(fā)現(xiàn)需要的動作數(shù)量是驚人的。公司企業(yè)需要找到打破這一怪圈的方法，減少警報數(shù)量，因為永遠不可能有足夠的人手來處理每一個警報的。

跟上威脅規(guī)模及其相應警報的唯一辦法，就是通過安全自動化，而人工智能，是安全自動化技術的關鍵一環(huán)。

定義術語

Facebook人工智能研究總監(jiān)揚·勒丘恩在《華爾街日報》上的文章中就問道：“人工智能的下一步是什么?”

文章中寫道：

人工智能的傳統(tǒng)定義，是機器以類人方式執(zhí)行任務和解決問題的能力。有些任務我們覺得簡單——識別照片中的物體、開車等等，但對AI而言就非常復雜。機器在某些事情上可以遠勝人類，比如下棋，但這些機器受制于它們編程上的人工屬性;一個價值30美元的小裝置就能在棋類游戲中打敗我們，但它不能，或者說學不了，其他東西。

這篇文章后面接著描述了AI、機器學習和深度學習，以及這些技術對職業(yè)、經(jīng)濟和人機互動基礎的影響。雖然往傳統(tǒng)上與人類認知相關的功能中引入各類系統(tǒng)已經(jīng)很普遍，我們不妨退后一步，仔細審視一下這些術語真實的含義。

人工智能是什么?

維基百科上對AI定義如下：

人工智能(AI)是機器展現(xiàn)的智慧。計算機科學中，理想的“智慧”機器，是能夠感知環(huán)境并采取行動以最大化任意目標成功機會的靈活理性的主體。通俗講，“人工智能”這個詞匯，可應用于機器使用尖端技術執(zhí)行或模仿人類思維“認知”功能的情況，比如“學習”和“解決問題”。

理性主體的定義：

在經(jīng)濟學、博弈論、決策理論和人工智能中，理性主體就是有明確偏好，通過預期變量值或變量功能對不確定性建模，并總是從所有可用行動中選擇能產(chǎn)生最優(yōu)預期結果行動的主體。理性主體可以是任何能做出決策的東西，通常是人、公司、機器，或者軟件。

計算機系統(tǒng)領域的人工智能，要能解決問題，執(zhí)行模仿人類認知過程的任務，包括：

• 理解手頭問題范圍
• 知道到哪兒去尋找信息源以幫助解決問題
• 能夠從外部攝入數(shù)據(jù)
• 有分析數(shù)據(jù)的能力
• 基于數(shù)據(jù)分析決定該采取什么行動
• 判定這些行動是否解決了問題
• 進行分析，查看上述過程中揭示的東西能不能應用到其他地方

我們不妨逐條分析一下與網(wǎng)絡安全自動化和分析處理有關的方面。

理解網(wǎng)絡威脅的范圍

旨在調查、評估、緩解網(wǎng)絡威脅的自動化系統(tǒng)，必須也能夠理解威脅的范圍和廣度。不了解問題的大小，這種系統(tǒng)就永遠不能完全解決問題。

我們可以從人類網(wǎng)絡分析師的視角審視一下常見的事件響應場景。

當一個檢測系統(tǒng)，比方說火眼吧，給網(wǎng)絡分析師發(fā)送一個已知惡意IP地址的警報時，分析師會執(zhí)行以下邏輯步驟：

1. 查明網(wǎng)絡中哪臺機器連接了該惡意IP;

2. 檢查該終端，調查該機器上是否存在連接該IP地址的惡意軟件;

3. 采取修復措施清理該機器，確保沒留下什么東西;

4. 添加一條防火墻阻止規(guī)則，防止其他機器訪問該IP地址。

這4個步驟能夠解決眼前的問題，也可以說，分析師做了他們該做的工作。然而，使用人工智能和安全自動化的系統(tǒng)，需要執(zhí)行額外的步驟：

1. 查詢網(wǎng)絡資源以探明網(wǎng)絡中其他已經(jīng)訪問(或嘗試訪問)該IP地址的機器;

2. 在這些機器上自動觸發(fā)額外的調查以殺死進程、隔離文件、清除內存中的其他惡意東西;

3. 將每個調查的結果發(fā)回報修系統(tǒng)。

很多情況下，單個警報是更大問題的征兆之一，人工智能系統(tǒng)必須能看清全局。

知道上哪兒去找信息源以幫助解決問題

繼續(xù)用上面那個關于惡意IP地址的火眼警報做例子，我們看到人工智能系統(tǒng)可以查詢網(wǎng)絡資源以確定還有其他哪些機器也訪問了惡意IP地址。僅此一步，系統(tǒng)就必須執(zhí)行一系列必要的復雜操作才能被認為是AI：

• 系統(tǒng)必須知道上哪兒訪問額外的網(wǎng)絡資源
• 必須知曉這些資源的用途和資源中應包含什么數(shù)據(jù)
• 必須擁有解析數(shù)據(jù)以查找相關可執(zhí)行動作的能力
• 系統(tǒng)要能應用相關發(fā)現(xiàn)來將找到的東西翻譯成一系列后續(xù)動作

對人類而言，所有這些步驟都是很基礎的，因為它們符合邏輯，而且我們的大腦就是這么工作的。然而，能夠編程這個查找額外信息以解決問題的決策過程，就是非常復雜的了，堪稱人工智能的品質證明。

從外部攝入數(shù)據(jù)的能力

智謀是人類與生俱來的特質。只需要想想你每天多少次尋求外部信息源就知道了。從查詢天氣到閱讀有關人工智能的文章，我們頻繁地從外部獲取數(shù)據(jù)來幫助決策。

網(wǎng)絡安全世界里，獲取已知威脅的最新信息，是任何安全工具發(fā)揮功用的必備基礎能力。威脅的規(guī)模和復雜度，需要對病毒特征碼和威脅情報饋送之類事物的不斷更新，才能攔住大規(guī)模攻擊。

人工智能事件響應系統(tǒng)若想評估它發(fā)現(xiàn)的每個網(wǎng)絡警報，就必須能經(jīng)常訪問一系列不同的威脅情報源。這樣，系統(tǒng)就總能以最高水準的置信度提示或無視潛在威脅。

分析數(shù)據(jù)的能力

人工智能系統(tǒng)對數(shù)據(jù)的分析，需要通過確定內容、上下文和意義來達成。

• 內容——簡單說就是：我們看的是什么?以警報為例，系統(tǒng)應該找哪些數(shù)據(jù)以采取下一步行動?數(shù)據(jù)例子包括IP地址和潛在威脅的地理位置。
• 上下文——警報類型是什么?反病毒軟件發(fā)送的?數(shù)據(jù)泄露防護系統(tǒng)(DLP)?安全信息和事件管理系統(tǒng)(SIEM)?
• 意義——基于內容和上下文，系統(tǒng)下一步該做什么?

基于數(shù)據(jù)分析決定行動方案

一旦人工智能系統(tǒng)執(zhí)行了必需的分析，它一定要能夠基于編程的邏輯知道下一步該做什么。雖然相似的調查過程流可被應用到多個警報上，修復過程有可能大不相同。舉例如下：

• 網(wǎng)絡釣魚郵件——發(fā)送者是誰?附件是什么?有人已經(jīng)點擊了附件嗎?下載并運行了可執(zhí)行文件?交出了憑證?基于這些問題的回答得出的修復動作，是有條件依賴的，而且需要高級決策邏輯。
• 惡意IP地址——如果某個惡意IP地址被網(wǎng)絡中的設備訪問了，后面會發(fā)生什么?該IP地址只是終端惡意軟件感染的征兆?什么類型的惡意軟件?回連該IP地址并加密文件的勒索軟件?還有多少其他機器連接該IP地址?如果終端上的根源問題被清除了，自動添加一條防火墻阻止規(guī)則以防止其他機器訪問該IP有意義嗎?
• 殺毒警報——如果系統(tǒng)收到筆記本中木馬的警報，并提示殺毒軟件(AV)已成功清除了惡意文件，這真的是成功修復的標志?或者說，系統(tǒng)應執(zhí)行一次全面檢查以確保木馬不僅僅是傳播惡意進程的入口，然后演變成AV發(fā)現(xiàn)不了的其他東西?

知道潛在威脅被確認之后該做什么，無疑是人工智能網(wǎng)絡安全解決方案最重要的能力。知道怎樣嚴格檢查、修復并維持此一循環(huán)，正是AI解決方案的價值所在。

確定采取的行動是否解決了問題

評估所采取的行動是否真正解決了全部問題，是檢查警報和修復工作流的關鍵最后一步。雖然一些產(chǎn)品和進程會在修復階段停頓，任何人工智能系統(tǒng)必須能夠確認修復動作是成功的，不需要額外操作。

繼續(xù)之前的AV例子，基于AI的網(wǎng)絡安全解決方案，會確認AV產(chǎn)品成功清除了感染源的文件和進程，檢查內存有沒有遺留東西，發(fā)起平行調查以確定是否存在任何橫向移動，并重新調查以確保這些步驟完全修復了整個環(huán)境中的感染痕跡。

將結果應用到其他地方

最后，一旦基于AI的網(wǎng)絡安全解決方案完成了從警報到修復和確認的端到端工作流，它必需能夠將其發(fā)現(xiàn)通用到其他地方。比如說，如果檢測系統(tǒng)的警報被確定是未知威脅，系統(tǒng)要能在沙箱中觸發(fā)可疑實體以檢查行為，基于觀察到的特征予以定罪或選擇無視。僅僅因為威脅情報饋送中沒有包含某威脅，并不意味著調查過程應終止。新威脅被發(fā)現(xiàn)的時候，人工智能系統(tǒng)可以將其新發(fā)現(xiàn)的知識，應用到網(wǎng)絡中所有其他系統(tǒng)上，發(fā)起調查以查找是否有其他機器表現(xiàn)出該威脅或該威脅類型的證據(jù)。