為什么要通過人工智能技術提升網(wǎng)絡安全能力？

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來越多的機械設備開始進行數(shù)字化、信息化、網(wǎng)絡化改造，但由于工控設備體量大、種類多、維護復雜、更新周期長，而傳統(tǒng)的、基于已知攻擊特征和威脅情報的安全技術存在覆蓋率低、準確性不高、滯后性強等弊端，導致傳統(tǒng)安全技術已經(jīng)難以抵御不斷演變的高級威脅，工業(yè)互聯(lián)網(wǎng)安全的思維模式也開始從傳統(tǒng)的“事件響應式”向持續(xù)“智能響應式”轉(zhuǎn)變，從“已知威脅檢測”向“未知威脅檢測”發(fā)展，利用人工智能技術和機器學習算法，構建全面預測、基礎防護、響應能力和恢復能力。

由于網(wǎng)絡攻擊是不斷演變的，防御過程中經(jīng)常需要面臨未知類型的惡意軟件，而人工智能可憑借其強大的大規(guī)模運算能力，通過迅速排查、篩選數(shù)百萬次事件，以發(fā)現(xiàn)異常、風險和未知威脅的信號。人工智能技術在防御領域的天然優(yōu)勢，使其在“發(fā)現(xiàn)和阻止黑客入侵工控設備、預防惡意軟件和文件被執(zhí)行、提高安全運營中心的運營效率、量化風險、網(wǎng)絡流量異常檢測、檢測惡意應用”這六大關鍵創(chuàng)新領域，得到了有效應用。

如何使用人工智能提升網(wǎng)絡安全能力？

人工智能和機器學習算法與安全領域的融合，主要有監(jiān)督學習和無監(jiān)督學習兩大方向。

監(jiān)督學習，是使機器學習“已經(jīng)知道答案的數(shù)據(jù)”或“已經(jīng)給定標簽的數(shù)據(jù)”的過程。通俗的講，監(jiān)督學習相當于對已知的惡意代碼行為進行學習，學習完成之后，即可知道類似的行為可能就是惡意行為。通過這樣的學習和調(diào)整，最終達到舉一反三的效果。監(jiān)督學習有諸多優(yōu)點，但也有其局限性：模型的準確度完全依賴惡意樣本，對于完全未知的、沒有經(jīng)過訓練的0day攻擊，毫無獲取經(jīng)驗。

與之相反，無監(jiān)督學習，使用的數(shù)據(jù)是沒有被標記過的，即不知道輸入數(shù)據(jù)對應的輸出結果是什么，且善于尋找數(shù)據(jù)的模型和規(guī)律。異常檢測是無監(jiān)督學習算法中的重要方面，這種學習方法擅長發(fā)現(xiàn)數(shù)據(jù)集中間顯著不同于其它數(shù)據(jù)的對象。目前，異常檢測已廣泛應用于電信和信用卡欺騙、貸款審批、消費者行為分析、氣象預報、金融領域客戶分類、網(wǎng)絡入侵檢測等領域。

人工智能安全系統(tǒng)的優(yōu)勢

人工智能安全系統(tǒng)能夠在編程時自主完成任務，同時采用機器學習技術通過分析可觀察模式來調(diào)整其操作行為。安全系統(tǒng)中的機器學習通過系統(tǒng)向用戶發(fā)送關于潛在問題的警報，然后提示用戶指示系統(tǒng)如何正確地處理該事件。通過教導系統(tǒng)對特定數(shù)據(jù)集的適當響應，人工智能安全系統(tǒng)將該知識應用于前進的相同數(shù)據(jù)集，從而學習如何改進其自身功能以更好地服務于用戶。

1.主動與反應

人工智能安全系統(tǒng)與當前技術的不同之處在于它們是主動的，而不是被動的。當前設備所配置的攝像頭、監(jiān)控錄像機和警報系統(tǒng)的應答能力有限，并只能對非常特定的事件作出反應。例如門禁被開啟，系統(tǒng)會響起警報，這只是對于特定的事件進行響應，系統(tǒng)無法識別對方的身份，以及對對方行動主動進行追蹤。而人工智能安全系統(tǒng)能夠主動識別來訪用戶是否為黑名單用戶，并立即警報提醒監(jiān)管人員注意。在發(fā)生違法事件之前，監(jiān)管人員能立即監(jiān)控情況或采取措施以阻止不良行為發(fā)生和修復安全漏洞。

2.高級分析

安全系統(tǒng)具有高級分析功能，可提供有關系統(tǒng)區(qū)域內(nèi)數(shù)據(jù)的實時分析。人工智能安全系統(tǒng)對所設對象都會進行處理，對預期軌跡和意外的行動進行識別，這比人類保持精確和有見地的細節(jié)記錄能力要全面得多。

3.廣泛的應用

人工智能安全技術的應用范圍廣泛。功能包括面部識別軟件、車牌照相機、活動監(jiān)控、停車場管理、施工現(xiàn)場監(jiān)控、社區(qū)資源洞察、醫(yī)療機構患者監(jiān)控、員工/租戶管理以及工作場所/辦公室/倉庫/住所監(jiān)控。
責任編輯：YYX