人工智能在网络安全中的新应用

点击：  作者：元战略    来源：战略前沿技术微信号  发布时间:2024-06-25 12:26:48

 

 

导语：人工智能可以帮助网络安全团队自动处理重复性任务，提升对网络安全威胁的检测能力，并提高响应行动的速度和准确性，更高效地防御网络安全攻击。通过梳理当前人工智能在网络安全中的应用实践，未来人工智能在网络安全中的应用潜力，以及其中所涉及的关键人工智能方法和所需要的基础设施，可为未来在网络安全工作中使用人工智能技术提供参考。

 

一 人工智能应用于网络安全的主要功能

 

人工智能在网络安全中的应用主要可分为五个核心功能，分别是“识别、保护、检测、响应和恢复”。从预测安全攻击到更复杂的主动寻找新安全威胁和反击机制，这些功能体现在应对网络安全攻击生命周期的不同环节。

 

（一）风险识别

 

风险识别是指精确定位与网络系统、人员、资产和数据相关的关键风险。该功能有助于了解网络安全的现状，找出差距，并根据组织自身的需求、风险和预算制定适当的风险管理战略，以实现所需的安全目标。人工智能在其中可赋能主动检索潜在的恶意、可疑风险活动，自动化识别和评估漏洞，对网络安全攻击的路径进行建模，预测网络安全攻击，以及进行自动化风险分析和影响评估。

 

（二）安全保护

 

安全保护是指实施适当的控制措施，限制或遏制潜在网络安全事件影响，以主动防范内部和外部网络威胁。人工智能可以通过多种方式来提高系统安全韧性，包括对用户、设备和其他组件进行身份验证，监控用户行为，控制自动访问，预防数据泄露，监控数据完整性，进行自动化信息保护，以及提供保护方案，从而主动保护系统。

 

（三）风险检测

 

风险检测是指从网络安全事件中识别潜在的安全风险。此功能至关重要，因为及时的风险检测将最大限度地减少冗余信息的干扰。它包括检测异常入侵和评估影响，持续监测安全态势以验证保护措施的有效性，以及调整修正检测流程以确保对安全事件的处置效率。在其中，人工智能可以通过监控内部和外部信息源，并快速关联这些信息来检测异常活动，从而将影响降至最低。

 

（四）风险响应

 

风险响应是通过处置流程管理和限制潜在网络安全事件的影响。这是事件处理的第一道防线。这一功能包括提前制定计划，形成有效的流程来解决问题，分析事件以确定其原因、影响范围，遏制事故，以及在攻击期间和之后协调各利益主体进行沟通。使用人工智能赋能响应活动，可以加速事件处置的效率，减少安全分析师所花费的时间和精力。

 

（五）风险恢复

 

风险恢复是指及时恢复因网络安全事件而受损的能力或服务，以减轻网络安全事件的影响，并从事件中吸取教训。基于人工智能的恢复能力可以自动进行数据和系统恢复，同时删除恶意软件或受感染的数据。此外，人工智能可用于自动审查现有策略、事件报告和审计日志，以实现改进。

 

二 人工智能赋能网络安全的新能力

 

未来人工智能将在网络安全领域得到更加充分的应用，既包括提升现有网络安全工作的自动化水平，也包括拓展一些新的能力领域。

 

（一）关键风险指标的自动检索

 

开发一个预警系统来自动检索关键风险指标，提示由于网络攻击或其他异常事件而导致的风险。自动检索关键风险指标可以通过掌握入侵的次数、平均故障间隔时间等数据信息，形成网络安全风险快速响应经验，并在未来能及时补救漏洞来防范网络安全风险。

 

（二）检测新的攻击

 

防御零日攻击是现代网络安全最具挑战性的任务之一。零日攻击是指针对新的、未知的软件漏洞进行网络攻击。这意味着要防御一个尚未被发现的漏洞。为此，需要增加对整个信息技术环境（包括端点、网络和云）的全面了解，以有效提升发现零日攻击的能力，减少被攻击的概率。

 

（三）预测智能

 

预测分析可以促进日常网络安全任务的自动化决策，包括攻击路径预测、恶意软件预测、数据分流、垃圾邮件过滤、漏洞分类、安全预测和任务映射。虽然这些能力已经十分常见，但许多技术要么没有自动化，要么误报率很高。基于人工智能的高级预测分析技术可用于帮助解决其中一些特定问题，例如利用图神经网络的推理攻击，对图嵌入的信息泄露构建防御机制。

 

（四）多语言威胁情报

 

互联网的多语言特性使得网络安全社区难以从社交媒体、博客和暗网中挖掘威胁情报。研究发现，非英语国家既是网络攻击的主要来源，也是主要目标。因此，应利用非英语内容的数据集进行研究，以评估语言文本挖掘的有效性。此外，大多数预处理工具只支持英语，人工智能技术可以提供针对其他语言的工具，或为隐私安全设置创建语言翻译器。

 

（五）人工智能网络防御韧性

 

人工智能系统可以基于其分析数据，自动采取正确的安全防御措施，例如自动威胁建模、自动修补漏洞、自动补救和缓解安全风险等。增强型人工智能代理、强化学习、贝叶斯网络等是支持该任务的主要人工智能技术。未来可以考察每种技术如何为各个行业（如科学网络基础设施、企业IT等）提供适当的网络保护。

 

（六）数据泄露预防和发现

 

近年来，数据泄露的普遍存在给企业和消费者都造成了损失，但仍然缺乏识别敏感数据以防止数据意外泄露的研究。机器学习和基于自然语言处理的人工智能技术可用于敏感数据的发现，以及监控和控制端点间的数据流，以防止或分析大数据场景中的数据泄露。还可以对暗网进行分析，以发现各种数据的意外泄露，从而重新获得控制权。

 

（七）虚假文档生成

 

保护知识产权和国家安全数据等关键数字资产至关重要。基于人工智能的虚假文档生成是一种相对较新的概念，是通过伪造信息来创建文档的大量虚假版本，从而保护敏感材料。

 

（八）上下文驱动的警报处理和分类

 

安全团队每天都需要收集数千条警告和事件用于威胁分析，承受了极大压力。可以使用不同的语言模型来实现事件上下文的表征学习，并开发动态网络环境下的自适应方法。此外，还需要在数据可视化和在线更新能力方面进一步努力，以可视化警报之间的关系，并对警报高效分类。

 

（九）人工智能驱动的事件响应

 

事件响应过程需要记录从过去的安全事件和特定解决方案中获得的历史经验，以及网络安全威胁模式及其随时间推移的特点。人工智能技术基于这些历史经验可创建自动事件响应“剧本”，并根据“剧本”提供快速响应的行动建议。这些自动生成的安全“剧本”和应对建议将助力主动防御，并有助于在日益复杂和不断发展的威胁面前保持领先地位。

 

三 支撑安全能力的人工智能关键技术

 

实现上述功能，需要更复杂的人工智能技术。其中，多数据源分析、可解释人工智能（XAI）和增强智能可以在实践中对网络安全中的人工智能技术发展产生重大影响。

 

（一）多数据源分析

 

当前人工智能保障网络安全实践的一个主要短板是使用单个数据集，这通常是由于缺乏对多个数据集的访问权限或未能理解不同数据集之间的关系。缺乏对多个数据集的同时处理能力可能导致对环境的不完整评估。未来的人工智能网络安全研究可以尝试以更全面的方式利用不同数据源的特性来解决这个问题。基于深度学习的实体匹配、短文本匹配算法、多视图方法和多任务学习技术在多数据源分析方面非常有前景。多个数据集的成功融合可以帮助强化风险管理，并全面了解网络安全态势。

 

（二）可解释人工智能

 

目前基于人工智能的算法在决策过程中缺乏透明度。尽管人工智能在暗网调查、漏洞评估等高影响力网络安全应用中展现了无与伦比的性能，但也因其“黑匣子”性质而备受质疑。未来的人工智能网络安全研究可以着眼于可解释人工智能如何提高算法的性能并打开“黑匣子”，最大限度地减少这些限制，提高重要网络安全利益相关者对其的接受度和信任度。

 

（三）增强智能（智能人机接口）

 

根据许多网络安全专家的说法，基于人工智能的算法和系统不应只用于网络安全决策。相反，为了更好的决策，基于人工智能的方法应该与人类行动紧密交织在一起。这种被称为增强智能或智能接口的方法可能显著优于算法或单个人类。目前，人类与人工智能交互尚未得到充分研究。未来，这类研究必然需要采取多学科的方法，特别是结合心理学、认知科学、人机交互和其他领域的观点。

 

四 新型智能基础设施的开发

 

人工智能正逐渐成为网络安全的重要组成部分，通过提高其网络安全的效率，使各种规模和各个行业的组织受益。因此，有必要研究和开发新的智能基础设施，通过处理大量的内部系统数据和外部安全研究来支持人工智能技术，以搭建涵盖全球安全事件的实时网络安全体系。

 

（一）快速识别、及时响应的情报平台

 

网络现实非常复杂且不断变化，总是有新的威胁和风险事件发生。因此，需要有一个能够及时识别、记录风险事件的平台来助力多方协作，以讨论和共享最新的风险数据。但是目前缺乏可以提供灵活、适应性强和网络化的共享威胁信息的平台，这种平台主要但不完全依赖于国家和国际层面指定的信息共享中心。政府以及其他实体将受益于风险事件情报平台共享的准确、可用、及时和相关的威胁信息。通过增强态势感知和促进有效的风险决策，这种共享提高了关键基础设施的安全性和可靠性。

 

（二）实时更新、内容多元的数据平台

 

数据是人工智能网络安全中最重要的组成部分。在许多实践案例中，人工智能技术仅被应用于单一数据集，并且所使用的大多数数据已经过时。搭建实时更新、内容全面、来源多元的数据集平台，可以帮助理解不同网络攻击的行为模式，从而增强在不同场景下网络安全保障技术的适应性。

 

文章来源于元战略 ，作者元战略