人工智能用于網(wǎng)絡(luò)安全的「能」與「不能」
若說(shuō)過(guò)去幾個(gè)月,KUKA機(jī)器人示教器維修,最讓網(wǎng)民驚魂未定的是什么,非以下這些病毒攻擊莫屬。
7月,CopyCat病毒使1400萬(wàn)部安卓手機(jī)遭殃;
6月,Petya病毒感染全球60多個(gè)國(guó)家;
5月,WannaCry病毒來(lái)勢(shì)洶洶,席卷全球,至少150個(gè)國(guó)家受到攻擊。
然而,在安全廠商瑞星根據(jù)病毒感染人數(shù)、變種數(shù)量和代表性評(píng)選的「2017年上半年病毒Top10」中,令人膽顫心驚的WannaCry病毒卻只能排列第九。
瑞星發(fā)布的《2017年上半年中國(guó)網(wǎng)絡(luò)安全報(bào)告》顯示,2017年1-6月,瑞星「云安全」系統(tǒng)共截獲病毒樣本總量3,132萬(wàn)個(gè),病毒感染次數(shù)23.4億次,病毒總體數(shù)量比2016年同期上漲35.47%。
逐漸上漲的病毒數(shù)量讓網(wǎng)絡(luò)安全受到了前所未有的關(guān)注,以人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)安全公司也受到了資本的青睞。單就6月份,就至少有7家將人工智能用于網(wǎng)絡(luò)安全的公司獲得新一輪融資,而融資總額接近5億美元。
網(wǎng)絡(luò)安全面臨嚴(yán)峻考驗(yàn)
「2016年全球互聯(lián)網(wǎng)用戶達(dá)到35億人,約占世界總?cè)丝诘囊话搿5?020年,接入互聯(lián)網(wǎng)的終端設(shè)備預(yù)計(jì)將達(dá)到120億臺(tái)。」這是來(lái)自國(guó)際電信聯(lián)盟于2017年7月發(fā)布的《全球網(wǎng)絡(luò)安全指數(shù)》中的數(shù)據(jù)。
而隨著智能設(shè)備的廣泛應(yīng)用,大規(guī)模普及的物聯(lián)網(wǎng)必將為攻擊者提供大量新機(jī)會(huì),工作與生活的界限愈加模糊,一臺(tái)聯(lián)網(wǎng)設(shè)備,只要被攻陷,從銀行等財(cái)務(wù)信息到健康等個(gè)人信息,則可能全部泄露。而在互聯(lián)時(shí)代,只要攻克一臺(tái)設(shè)備,其他設(shè)備就可能瞬間被瓦解。
這樣的事情已有先例。2016年10月,一款名為Mirai的惡意軟件侵襲了大量存在漏洞的智能攝像頭、智能網(wǎng)關(guān)、智能家電等物聯(lián)網(wǎng)設(shè)備,被感染后的它們瞬間變成了網(wǎng)絡(luò)中的「肉雞」設(shè)備。在工控領(lǐng)域,2010年的Stuxnet蠕蟲(chóng)病毒能夠針對(duì)西門(mén)子的監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)進(jìn)行攻擊,并通過(guò)U盤(pán)和局域網(wǎng)進(jìn)行傳播。
萬(wàn)物互聯(lián),內(nèi)網(wǎng)和外網(wǎng)的邊界逐漸模糊,網(wǎng)絡(luò)泛化則成為大趨勢(shì),比如特斯拉的汽車(chē)在各種場(chǎng)合都可以接入wifi,還可以接入3G/4G網(wǎng)絡(luò),而在未來(lái)的交通中,無(wú)人駕駛車(chē)還將與交通燈、交通臺(tái),甚至是和其他車(chē)互通互聯(lián)這意味著更多的潛在攻擊點(diǎn)。
「一旦入網(wǎng),有很多傳統(tǒng)的攻擊手段就能像攻擊電腦一樣攻擊無(wú)人駕駛車(chē),WannaCry病毒同樣可以入侵車(chē),這造成的問(wèn)題將會(huì)更大。」德國(guó)弗勞恩霍夫應(yīng)用集成信息安全研究所認(rèn)知信息安全研究組組長(zhǎng)肖煌在接受機(jī)器之能的采訪時(shí)說(shuō)。
這表明,無(wú)論是現(xiàn)在,還是將來(lái),網(wǎng)絡(luò)安全將面臨著嚴(yán)峻的考驗(yàn)。隨著人工智能被應(yīng)用于各個(gè)垂直領(lǐng)域,網(wǎng)絡(luò)安全面臨的新的挑戰(zhàn),KUKA機(jī)器人示教器維修,也為人工智能的大展身手帶來(lái)了重要的契機(jī)。
在這個(gè)新興領(lǐng)域,巨頭已經(jīng)出現(xiàn)。用人工智能預(yù)測(cè)網(wǎng)絡(luò)攻擊的Cylance公司是估值10億美元以上的獨(dú)角獸,其人工智能反病毒軟件「CylancePROTECT」可以預(yù)測(cè)威脅的發(fā)生。該公司曾在去年演示了一項(xiàng)技術(shù),在沒(méi)有網(wǎng)絡(luò)連接的情況下,僅需60MB內(nèi)存和1%的CPU就能保護(hù)計(jì)算機(jī)免受攻擊。
人工智能于網(wǎng)絡(luò)安全:異常檢測(cè)和提升效率
在網(wǎng)絡(luò)安全領(lǐng)域,對(duì)威脅的識(shí)別,并非一蹴而就,而是漸進(jìn)發(fā)展的過(guò)程。亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長(zhǎng)童寧在7月初舉辦的C3安全峰會(huì)上介紹,安全廠商起初通過(guò)黑白名單技術(shù),將目標(biāo)進(jìn)行好/壞定性,用這樣的一維特征來(lái)識(shí)別威脅。隨后是匹配字符串這樣的二維特征,如果請(qǐng)求里包含某一類(lèi)型的數(shù)據(jù),就會(huì)被認(rèn)定為非法。在這之后是多維特征,要辨別一個(gè)程序是好是壞,先讓它運(yùn)行,再監(jiān)督它的運(yùn)行過(guò)程,將運(yùn)行過(guò)程中的信息形成多維特征,用于判斷。但多維特征技術(shù)的致命缺點(diǎn)就是開(kāi)銷(xiāo)太大,效率低下,因此無(wú)法達(dá)到客戶要求。
在2000年以后,隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展,有大量設(shè)備產(chǎn)生各式各樣的日志,因此在日志管理和分析方面,有了長(zhǎng)足的發(fā)展。而包括關(guān)聯(lián)分析等機(jī)器學(xué)習(xí)算法也被大量使用。
在機(jī)器學(xué)習(xí)中,童寧表示,監(jiān)督學(xué)習(xí)則是一個(gè)高效的多維度特征發(fā)現(xiàn)方法,適用于惡意程序、勒索病毒以及垃圾郵件的防治。但監(jiān)督學(xué)習(xí)也面臨著挑戰(zhàn):一,模型的新鮮度,因?yàn)橥{每天都在變化,而監(jiān)督學(xué)習(xí)并不是每天都在學(xué)習(xí),如果不每天學(xué)習(xí),最新的威脅就識(shí)別不出來(lái)。二,模型的準(zhǔn)確率,學(xué)習(xí)是一回事,但真正使用時(shí)的精度又是另一回事。三,模型的召回率,也就是說(shuō)漏掉了多少威脅,有多少威脅沒(méi)有抓住。
因此,監(jiān)督學(xué)習(xí)并不是萬(wàn)能的,比如態(tài)勢(shì)感知、用戶行為分析則更適合無(wú)監(jiān)督學(xué)習(xí)。然而,無(wú)監(jiān)督學(xué)習(xí)也面臨著另外的挑戰(zhàn),因?yàn)闊o(wú)監(jiān)督學(xué)習(xí)一般是在客戶的網(wǎng)絡(luò)環(huán)境中進(jìn)行,因而很有可能面臨投毒攻擊。
「機(jī)器學(xué)習(xí)技術(shù)的優(yōu)勢(shì)是它的多維識(shí)別能力,然而機(jī)器學(xué)習(xí)技術(shù)再?gòu)?qiáng)大也需要與其他手段綜合起來(lái)利用,效果才更好。」童寧說(shuō)。
肖煌同樣指出,將機(jī)器學(xué)習(xí)用于網(wǎng)絡(luò)安全,在很多場(chǎng)景,預(yù)測(cè)精度并不能達(dá)到他們要求的0.000001的誤報(bào)標(biāo)準(zhǔn)。從這個(gè)角度來(lái)說(shuō),人工智能也只是輔助手段,還需要與傳統(tǒng)手段結(jié)合。
然而,肖煌認(rèn)為,將人工智能用于網(wǎng)絡(luò)安全則有另外的優(yōu)勢(shì),那就是提高分析效率。人工智能的典型作用是代替人類(lèi)做大量重復(fù)的勞動(dòng),比如用人工智能分析影像圖片,將影像醫(yī)生從低效率的重復(fù)勞動(dòng)中解放了出來(lái)。
網(wǎng)絡(luò)安全行業(yè),也同樣如此。
數(shù)據(jù)顯示,中國(guó)目前對(duì)網(wǎng)絡(luò)安全人才的總需求量超過(guò)70萬(wàn),每年增加的人才卻不過(guò)兩三萬(wàn),缺口高達(dá)95%。而且,一個(gè)分析師每天能分析的漏洞卻是非常有限的。
「如果不通過(guò)自動(dòng)化的手段,將來(lái)物聯(lián)網(wǎng)連接設(shè)備數(shù)爆發(fā)的時(shí)候,大量的信息安全隱患只依賴人來(lái)分析是不太可能的。」肖煌表示,一個(gè)信息安全分析師每天最多能看一兩千條log數(shù)據(jù),或者一兩百個(gè)代碼片,而對(duì)人工智能來(lái)說(shuō),幾百萬(wàn)條數(shù)據(jù),只需花費(fèi)幾分鐘時(shí)間。
根據(jù)肖煌的觀察,信息安全和人工智能,領(lǐng)域不同,思維方式也有一定區(qū)別,前者更偏向于系統(tǒng)工程,后者則更偏向于數(shù)學(xué)思維。因此,肖煌的很多同事認(rèn)為人工智能解決的問(wèn)題有限,更愿意使用傳統(tǒng)的方法,但也會(huì)朝著分析自動(dòng)化的方向思考。
「我相信任何一個(gè)做信息安全的人必然要向這個(gè)方向靠攏。」肖煌希望能用趨于成熟的自動(dòng)化手段完成垂直領(lǐng)域的性能提升,包括分析的效率、時(shí)效性、規(guī)模和可解釋性。
人工智能時(shí)代的攻與防
網(wǎng)絡(luò)安全是道高一尺魔高一丈的世界。安全人員使用人工智能技術(shù)阻擋黑客攻擊,反過(guò)來(lái)這也會(huì)使黑客使用人工智能技術(shù)發(fā)起更復(fù)雜的攻擊。而隨著大量人工智能模型開(kāi)源,黑客入侵的工具也愈發(fā)多樣化。
肖煌表示,只要稍加學(xué)習(xí),黑客就可以利用開(kāi)源工具欺騙識(shí)別系統(tǒng),而技術(shù)難度的降低會(huì)促使很多人成為黑客,或者是進(jìn)行一些此前做不到的攻擊。
這并非杞人憂天。
在網(wǎng)絡(luò)釣魚(yú)電子郵件中已有這樣的案例,黑客通過(guò)模仿人類(lèi)的說(shuō)話習(xí)慣和內(nèi)容,使得企業(yè)或個(gè)人被入侵時(shí)更加難以識(shí)別。
肖煌認(rèn)為,以后的病毒變種會(huì)越來(lái)越多,檢測(cè)越來(lái)越難,規(guī)模越來(lái)越大,生成的時(shí)間越來(lái)越短。
(疊加在典型圖片輸入上的對(duì)抗輸入會(huì)讓分類(lèi)器產(chǎn)生錯(cuò)覺(jué),誤將熊貓識(shí)別為長(zhǎng)臂猿)