人工智能與機器學習對網絡安全的正面和負面影響

人工智能（AI）和機器學習（ML）如今深入我們日常生活的方方面面，包括網絡安全。在網絡安全人員手里，AI/ML可以識別漏洞并減少事件響應耗時。但在網絡罪犯手里，AI/ML就能用于制造重大傷害。

AI/ML對網絡安全的影響既有正面的，也有負面的。下面我們就列出AI/ML從正面和負面影響網絡安全的各七種方式。 

AI/ML對網絡安全的七個正面影響

● 欺詐和異常檢測：這是AI工具拯救網絡安全最常見的方式。復合AI欺詐檢測引擎在識別復雜欺詐模式方面效果顯著。欺詐檢測系統的高級分析儀表盤可以呈現全面的事件詳情。這是異常檢測中一個非常重要的領域。

● 垃圾郵件過濾：防御規則濾出含有可疑字詞的郵件，從而識別危險電子郵件。此外，垃圾郵件過濾還可以保護電子郵件用戶，并減少處理多余郵件的耗時。

● 僵尸網絡檢測：監督和無監督ML算法不僅有利于檢測，還可以防止復雜僵尸攻擊。此類算法還有助于識別用戶行為模式，以相當低的誤報率辨別未檢出的攻擊。

● 漏洞管理：管理漏洞（人工管理或使用技術工具管理）可能會很難，但AI系統能讓漏洞管理變得更加輕松。AI工具通過分析用戶行為、端點、服務器，甚至暗網上的黑客討論話題來尋找潛在的漏洞，識別代碼漏洞并預測攻擊。

● 反惡意軟件：AI幫助殺毒軟件檢測良性和惡意文件，令識別此前從未見過的新型惡意軟件成為可能。盡管用基于AI的技術完全替代傳統技術可以提高檢測速度，但同時也會增加誤報。傳統方法和AI方法結合使用可以100%檢出惡意軟件。

● 數據泄露防護：AI幫助識別文本和非文本文件中的特定數據類型。可訓練的分類器可以用來檢測各種敏感信息類型。這些AI方法可以使用相應的識別算法搜索圖片、音頻、視頻中的數據。

● SIEM和SOAR：ML可以使用安全信息與事件管理（SIEM）和安全編排、自動化與響應（SOAR）工具來改善數據自動化和情報收集，檢測可疑行為模式，并根據輸入自動響應。

網絡流量分析、入侵檢測系統、入侵預防系統、安全訪問服務邊緣、用戶及實體行為分析，以及Gartner《安全影響雷達》中描述的大多數技術領域都用到了AI/ML。事實上，我們很難想象有哪個現代安全工具是沒有用到一點兒AI/ML魔法的。

AI/ML對網絡安全的七個負面影響

● 數據收集：通過社會工程和其他技術，ML可用于更好的受害者畫像，而網絡罪犯可利用此信息來加速攻擊。例如，2018年，WordPress網站經歷了基于ML的大規模僵尸網絡感染，導致大量用戶的個人信息被黑客收割。

● 勒索軟件：勒索軟件卷土重來。勒索軟件的成功例子不勝枚舉，最臭名昭著的一起就是Colonial Pipeline經歷的六天宕機和440萬贖金支付。

● 垃圾郵件、網絡釣魚和魚叉式網絡釣魚：ML算法可以生成非常逼真的虛假郵件，用于偷盜用戶憑證。黑帽大會的一場演講中，John Seymour和Philip Tully詳細演示了ML算法生成的病毒式推特文章（含虛假網絡釣魚鏈接）是怎么達到比人寫的網絡釣魚郵件有效四倍的。

● 深度偽造：語音網絡釣魚中，詐騙犯使用ML生成的深度偽造音頻技術創建更加成功的攻擊。現代算法，比如百度的“Deep Voice”語音系統，僅需要幾秒鐘的人聲就能重現樣本人聲的說話方式、口音和語調。

● 惡意軟件：ML可以隱藏記錄節點和端點行為的惡意軟件，并在受害者的網絡上構建模擬合法網絡流量的模式。ML還可以在惡意軟件中融入自毀機制，從而提高攻擊速度。黑客還可以訓練算法，令算法抽取數據的速度比人工更快，從而更難以預防。

● 口令和CAPTCHA（全自動區分計算機和人類的圖靈測試）：基于神經網絡的軟件可以很輕松地突破人機識別系統。網絡罪犯能夠利用ML分析大量口令數據集，更好地猜解口令。例如，PassGAN采用ML算法猜解口令就比采用傳統技術的流行口令破解工具更準確。

● 攻擊AI/ML自身：濫用運行于醫療、軍事和其他高價值行業核心的算法可能導致災難。貝里維爾機器學習研究所的《機器學習系統架構性風險分析》有助于分析已知ML攻擊分類和執行ML算法架構性風險分析。安全工程師必須了解如何保護ML算法整個生命周期的每個階段。

不難理解為什么AI/ML會獲得如此之多的關注。對付狡猾網絡攻擊的唯一方法就是利用AI的防御潛力。企業界必須注意到，ML在異常檢測方面（例如檢測流量模式異常或人為錯誤）有多么強大。借助恰當的對策可以防止或大幅減輕可能的傷害。

總的說來，AI/ML在保護我們免受網絡威脅侵害方面價值巨大。一些政府和公司已經在用或準備使用AI/ML對抗網絡罪犯。盡管存在圍繞AI/ML的隱私和道德顧慮，但政府必須確保AI/ML法規不會阻礙企業使用AI/ML實施網絡防護。因為，眾所周知，網絡罪犯是不會遵規守紀的。