現(xiàn)如今互聯(lián)網(wǎng)發(fā)展迅速，而網(wǎng)絡(luò)安全問題卻成了大問題，網(wǎng)絡(luò)安全已經(jīng)給不同領(lǐng)域帶來了一系列巨大的問題和不同程度的挑戰(zhàn)。有人預(yù)計(jì)到2017年底，網(wǎng)絡(luò)安全的全球市場(chǎng)價(jià)值會(huì)飆升到1200億。這組數(shù)據(jù)不得不引起人們的深思。

　　數(shù)據(jù)安全曾是、也將持續(xù)成為不同組織中不斷改進(jìn)的重要領(lǐng)域。就像貓與老鼠的游戲，黑客總是致力于尋找新的方法去闖入安全系統(tǒng);而同樣地，安全系統(tǒng)會(huì)通過持續(xù)的自身升級(jí)來應(yīng)對(duì)各種不同的攻擊策略和工具。

　　隨著人工智能的出現(xiàn)，許多工作崗位正在慢慢地被計(jì)算機(jī)或機(jī)器人所替代。這里并非指的是那些普通桌面上的防病毒軟件，而是請(qǐng)想象一個(gè)場(chǎng)景：如果你擁有一個(gè)具有上千名員工的大型組織。該組織內(nèi)部的所有電腦都會(huì)產(chǎn)生PB級(jí)別的日志，它們被存儲(chǔ)在數(shù)據(jù)庫(kù)中，用來記錄各種日常活動(dòng)，并且隨后用來進(jìn)行單獨(dú)的和關(guān)聯(lián)性的威脅分析。這些海量的結(jié)果就導(dǎo)致了我們稱之為“大數(shù)據(jù)”的產(chǎn)生。

　　2012年，Gartner公司將大數(shù)據(jù)定義為：“需要新的處理模式才能具有更強(qiáng)的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力的海量、高增長(zhǎng)率和多樣化的信息資產(chǎn)。”如今，Gartner的這個(gè)3V定義仍然被廣泛使用著，而且大家一致認(rèn)為“這些具有海量、高增長(zhǎng)率和多樣化特征的信息資產(chǎn)，需要通過特定的技術(shù)和分析方法來轉(zhuǎn)化為價(jià)值。”

　　有了上述關(guān)于大數(shù)據(jù)的概念定義，擺在我們面前的下一步就是對(duì)它進(jìn)行分析了。你可以采取不同類型分析的方式，讓計(jì)算機(jī)能夠針對(duì)某些特定目的接受訓(xùn)練。此類訓(xùn)練的過程就稱為“機(jī)器學(xué)習(xí)”，它是由模式識(shí)別和有關(guān)計(jì)算學(xué)習(xí)理論的人工智能發(fā)展而來。

　　機(jī)器學(xué)習(xí)通過對(duì)算法結(jié)構(gòu)的探索和研究，從而達(dá)到對(duì)數(shù)據(jù)進(jìn)行預(yù)測(cè)。機(jī)器學(xué)習(xí)運(yùn)用設(shè)計(jì)好的和預(yù)編程的算法來高效地完成一整套的計(jì)算任務(wù)。其中最常見的應(yīng)用包括：郵件過濾、網(wǎng)絡(luò)入侵檢測(cè)、內(nèi)部惡意人員涉及的數(shù)據(jù)泄漏行為、光學(xué)字符識(shí)別（OCR）、排序?qū)W習(xí)（learning to rank）和計(jì)算機(jī)視覺技術(shù)（computer vision）。

　　如今在許多情況下，組織的規(guī)模越是龐大，其網(wǎng)絡(luò)安全的任務(wù)就越是艱巨。這也就是為什么多數(shù)大型機(jī)構(gòu)都擁有自己的網(wǎng)絡(luò)安全部門的原因。下面讓我們來看看一些有關(guān)規(guī)模和威脅類型的統(tǒng)計(jì)吧。

　　惡意軟件

　　惡意軟件歸類為：被專門設(shè)計(jì)用于中斷、損壞、或獲取計(jì)算機(jī)系統(tǒng)正常訪問權(quán)限的軟件。僅在2016年第三季度，某安全公司就捕獲到了1800萬(wàn)個(gè)新生惡意軟件樣本，平均每天20萬(wàn)個(gè)。惡意軟件不但在速度上持續(xù)增加，還在繞過反病毒保護(hù)的水平上不斷進(jìn)化著。這些都是你的公司、IT團(tuán)隊(duì)以及供應(yīng)商所無(wú)法企及的。

　　勒索軟件

　　顧名思義，此類軟件就是通過鎖定系統(tǒng)的屏幕或是用戶的文件，以阻止或限制用戶訪問系統(tǒng)，直到他們支付贖金。自2016年以來，每天都有4000起勒索軟件的攻擊。相對(duì)于2015年的每天1000起來說，該數(shù)字增加了300%。

　　計(jì)算機(jī)病毒統(tǒng)計(jì)

　　威脅類型

　　泄漏類型

　　既然我們已經(jīng)認(rèn)識(shí)到：各個(gè)大型組織的網(wǎng)絡(luò)安全部門每天都需要面對(duì)來自各類惡意軟件的數(shù)十億次攻擊，那么我們?cè)诎踩渲梅矫娌粌H要提高在遭遇威脅時(shí)能及時(shí)警報(bào)的能力，而且還要能夠識(shí)別與分類各種威脅，從而讓用戶充分了解他們所處的狀況。

　　因此，我們的安全系統(tǒng)不能止步不前，而應(yīng)該通過關(guān)聯(lián)各類事件通知，以形成一條偵探式線索，從而引導(dǎo)用戶，并向他們展示在其所處的動(dòng)態(tài)系統(tǒng)中，各種發(fā)生情況的“清晰圖像”。我們把實(shí)現(xiàn)此類目的的軟件歸類為SIEM（安全信息與事件管理）、SEM（安全事件管理）或SIM（安全信息管理）。

　　當(dāng)然這些術(shù)語(yǔ)經(jīng)常會(huì)被交替使用，用來在不同場(chǎng)景中指代這類軟件。為了實(shí)現(xiàn)它們的高度可定制化和可訓(xùn)練化，下面讓我們來看看機(jī)器學(xué)習(xí)是如何被運(yùn)用到其中，進(jìn)而打擊網(wǎng)絡(luò)犯罪的。注意，這些智能軟件會(huì)用到深度學(xué)習(xí)（deep learning）之類的技術(shù)，我們會(huì)在下一節(jié)討論到。

　　威脅智能感知系統(tǒng)，深度學(xué)習(xí)和人工神經(jīng)網(wǎng)絡(luò)（ANN）

　　通常說來，單獨(dú)的惡意軟件是“創(chuàng)建容易，檢查難”。系統(tǒng)一旦能夠?qū)λ枰宰R(shí)別，就能“學(xué)會(huì)”如何下次對(duì)它進(jìn)行響應(yīng)。但是，如果在原來惡意軟件的基礎(chǔ)上稍作修改，那么系統(tǒng)很可能就無(wú)法識(shí)別了。

　　而實(shí)際上，成百上千種新生的惡意軟件就是在單一的原始軟件的基礎(chǔ)上重建而來。因此在這種情況下，我們需要用一個(gè)不同的策略，來有效地創(chuàng)建一個(gè)安全區(qū)域。在那里，人工神經(jīng)網(wǎng)絡(luò)通過參考各種案例來學(xué)會(huì)（逐步地提高性能）完成各項(xiàng)任務(wù)，而且一般不需增加針對(duì)特殊任務(wù)的編程。

　　例如，在圖像識(shí)別的時(shí)候，它們通過已經(jīng)手動(dòng)標(biāo)記為“是貓”或“不是貓”的多個(gè)例圖，來學(xué)會(huì)分析和識(shí)別含有貓的其他圖像。他們同時(shí)也發(fā)現(xiàn)大多數(shù)應(yīng)用程序都難以使用基于規(guī)則編程的傳統(tǒng)計(jì)算機(jī)算法來準(zhǔn)確表示。

　　而在網(wǎng)絡(luò)安全領(lǐng)域，我們可以根據(jù)系統(tǒng)已經(jīng)能夠識(shí)別出的、通用惡意軟件類型的相似度水平來將各種軟件判定為是否是惡意軟件。當(dāng)然，在人工神經(jīng)網(wǎng)絡(luò)尚未完成“培訓(xùn)”的情況下，是不可能一蹴而就的，而且深度學(xué)習(xí)本身就是一個(gè)相當(dāng)耗時(shí)的過程。

　　人工神經(jīng)網(wǎng)絡(luò)（ANN）源自生物神經(jīng)網(wǎng)絡(luò)的啟發(fā)，它是通過對(duì)所謂人工神經(jīng)元（類似于生物大腦中的軸突）的已連接單元的集合來實(shí)現(xiàn)的。神經(jīng)元之間的每個(gè)連接（突觸）能夠發(fā)送信號(hào)到另一個(gè)神經(jīng)元處。接收端的（突觸后的）神經(jīng)元處理該信號(hào)，然后將其連接發(fā)送到它的下游神經(jīng)元。

　　神經(jīng)元通?？梢杂媒橛?和1之間的實(shí)數(shù)來表示其狀態(tài)。隨著學(xué)習(xí)的深入，神經(jīng)元和突觸的權(quán)重也會(huì)發(fā)生變化，而這正好可以體現(xiàn)它發(fā)往下游信號(hào)時(shí)的強(qiáng)度增減變化。另外，它們可以具有一個(gè)閾值，僅當(dāng)聚合的信號(hào)低于（或高于）該值的時(shí)候，下行信號(hào)才會(huì)被發(fā)送。

　　通常情況下，神經(jīng)元具有多層結(jié)構(gòu)。不同的層面可以根據(jù)其不同的輸入，執(zhí)行不同類型的轉(zhuǎn)換。信號(hào)從第一（輸入）層開始，可能經(jīng)過多次、多層穿越之后，來到最后（輸出）一層。

　　單層的前饋人工神經(jīng)網(wǎng)絡(luò)，如下圖所示：

　　單層前饋

　　而雙層前饋人工神經(jīng)網(wǎng)絡(luò)，則如下圖所示：

　　雙層前饋

　　因此，我們必須將所有可獲取的、有關(guān)惡意軟件的信息提供給SIEM軟件，讓它能夠同時(shí)識(shí)別出所有不同類型的惡意軟件的存在，并且根據(jù)既定的智能標(biāo)準(zhǔn)來將各種達(dá)到一定程度的惡意軟件進(jìn)行分類。從而將整個(gè)學(xué)習(xí)過程提高到只需半人工監(jiān)督、甚至是無(wú)需人工監(jiān)督的先進(jìn)程度。

　　通過上述分析，我們已經(jīng)了解到SIEM是如何從外部進(jìn)行檢測(cè)和保護(hù)的。但是在安全領(lǐng)域，我們還有另一個(gè)需要考慮的方面，那就是內(nèi)部威脅。

　　現(xiàn)在我們來考慮一個(gè)例子：假設(shè)任何一名員工在使用VPN完成某項(xiàng)任務(wù)的時(shí)候，成為了網(wǎng)絡(luò)釣魚攻擊的受害者，他的用戶名和密碼信息被盜取，系統(tǒng)正面臨著數(shù)據(jù)泄露的攻擊。那么對(duì)于SIM而言，只要當(dāng)它查看到這些異常的個(gè)人行為、或是一系列活動(dòng)，就應(yīng)該能夠?qū)⑺鼈兟?lián)系起來，進(jìn)而指向并匹配那些不正常的、或是危險(xiǎn)的數(shù)據(jù)泄漏與跨界轉(zhuǎn)移的案例。

　　SIM必須帶有一個(gè)已經(jīng)足夠先進(jìn)的系統(tǒng)，能夠理解并分析用戶以及環(huán)境中的各種行為，通過關(guān)聯(lián)不同的活動(dòng)，以產(chǎn)生所謂的“攻擊鏈”。這里的攻擊鏈?zhǔn)侵笇?duì)整體事件“鏈條”的識(shí)別，它包括：誰(shuí)、是什么、何處、何時(shí)、為什么、如何等關(guān)于當(dāng)前事件的具體細(xì)節(jié)，并最終給出整個(gè)事件當(dāng)前狀態(tài)的清晰視圖。

　　這些能夠有助于讓用戶獲知到諸如：發(fā)生了什么、什么已被確認(rèn)了等方面的信息。系統(tǒng)所提供的這些信息是頗具價(jià)值的。它們能夠幫助用戶進(jìn)一步反饋給人工智能諸如：時(shí)間線和影響程度，并最終讓系統(tǒng)能夠從數(shù)以百萬(wàn)計(jì)的普通事件中進(jìn)行相應(yīng)的分類，標(biāo)注出上千條“異常事件”，然后判定出其中的幾條為真正的“攻擊事件”，進(jìn)而提供出所有被ANN所確認(rèn)的、包含關(guān)系圖的“攻擊鏈”。

　　人工智能技術(shù)的各種優(yōu)勢(shì)可以被運(yùn)用到當(dāng)前的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施之中。當(dāng)然在不久的將來，隨著人工智能（AI）系統(tǒng)變得更為強(qiáng)大，我們也會(huì)看到有更多自動(dòng)化的和日趨復(fù)雜的社會(huì)工程攻擊的出現(xiàn)。各類具有AI的網(wǎng)絡(luò)攻擊勢(shì)必會(huì)導(dǎo)致網(wǎng)絡(luò)滲透和個(gè)人數(shù)據(jù)失竊的爆炸式增長(zhǎng)，以及計(jì)算機(jī)病毒的智能蔓延。

　　頗具諷刺的是：我們還在希望運(yùn)用AI來抵御具有AI的各類攻擊。正所謂：道高一尺，魔高一丈，這樣發(fā)展下去就很可能會(huì)導(dǎo)致AI式的“軍備競(jìng)賽”，其后果只會(huì)變得越來越復(fù)雜。