人工智能和機器學習技術能為威脅檢測做什么?

最近的一項研究表明，超過90%的安全操作中心正在實施或考慮使用人工智能和機器學習來檢測和防御數(shù)字威脅。傳統(tǒng)的威脅檢測方法是什么，人工智能和機器語言能為此做什么，硬件層面如何應對威脅？

威脅檢測

自從電腦問世以來，電腦在現(xiàn)代生活中扮演了重要角色，提供諸如互聯(lián)網(wǎng)接入、網(wǎng)上銀行、信息交換和遠程工作等服務。然而，敏感信息的傳輸以及任何一臺計算機的處理能力也導致了網(wǎng)絡犯罪分子開發(fā)惡意軟件。這些程序分為幾個類別，包括病毒、特洛伊木馬和蠕蟲，它們都執(zhí)行不同的任務。其中，它們的確切功能可以進一步分離；一些惡意軟件破壞系統(tǒng)，而另一些可能竊取敏感信息。

在一個系統(tǒng)上發(fā)現(xiàn)威脅是一件很有挑戰(zhàn)性的事情，如果再加上惡意軟件能夠感染廣泛的日常設備，以及此類惡意軟件的快速發(fā)展，安全組織追蹤感染的工作變得越來越困難。反病毒系統(tǒng)檢測惡意軟件的傳統(tǒng)方法是掃描系統(tǒng)中存儲的所有文件，然后查看組成這些文件的原始二進制數(shù)據(jù)。然后，二進制數(shù)據(jù)被已經(jīng)發(fā)現(xiàn)的惡意軟件與包含常用代碼段的數(shù)據(jù)庫進行比較，如果找到匹配項，則該文件將被隔離或銷毀。當新的惡意軟件向公眾發(fā)布時，安全專家必須獲得惡意軟件的副本，識別唯一的代碼鏈，然后將此序列添加到惡意軟件數(shù)據(jù)庫中。其他檢測方法包括對通信端口的意外訪問、記錄擊鍵的應用程序以及試圖訪問內(nèi)存中受限區(qū)域的程序。然而，所有這些方法都依賴于反動行為，也就是說，當開發(fā)出新的病毒、特洛伊木馬或蠕蟲病毒時，所有系統(tǒng)都會受到攻擊。

如何在威脅檢測中使用AI和ML？

人工智能（AI）和機器學習（ML）的發(fā)展使得其在許多應用中得以實現(xiàn)，包括自動駕駛、工業(yè)過程、面部識別和語音激活設備。根據(jù)最近的一項研究，超過90%的安全運營中心已經(jīng)將人工智能和ML作為檢測惡意軟件的一種方法。

人工智能特別擅長的一項任務是識別模式，輸入給人工智能的數(shù)據(jù)越多，它的性能越好。隨著時間的推移，網(wǎng)絡犯罪分子制造出更多的惡意軟件，一個負責識別它的人工智能系統(tǒng)在發(fā)現(xiàn)它方面會變得越來越好。然而，與依賴示例代碼數(shù)據(jù)庫的傳統(tǒng)系統(tǒng)不同，人工智能驅(qū)動的安全系統(tǒng)將能夠檢測到新的惡意軟件，而以前從未見過。允許安全人工智能系統(tǒng)識別新惡意軟件的確切機制可能不為人所知，但它可能在常用的代碼模式、惡意代碼中的嵌入消息甚至位置數(shù)據(jù)之間形成鏈接。AI和ML系統(tǒng)還可以對CPU使用率、RAM和硬盤訪問進行實時分析，以查找異?；顒印Ｒ坏┨綔y到，就可以找到異?；顒拥膩碓?，并從那里終止。

硬件威脅檢測也起作用嗎？

軟件驅(qū)動的人工智能系統(tǒng)可以為未來的系統(tǒng)提供監(jiān)控系統(tǒng)的能力，根據(jù)經(jīng)驗識別惡意軟件，并采取預防措施保護自己。但是有些惡意軟件很難在軟件級別上停止，在這些情況下，只有基于硬件的系統(tǒng)才能防止此類惡意軟件造成嚴重破壞。雖然硬件安全性的種類繁多，但甚至有硬件系統(tǒng)可以監(jiān)視總線和處理器，以檢測通常不期望的異常操作，一旦檢測到，可以啟動系統(tǒng)重置或引發(fā)中斷，以便CPU執(zhí)行一個特殊的子程序。

總的來說，AI和ML將能夠創(chuàng)建惡意軟件檢測系統(tǒng)，不僅可以利用它們進行檢測還可以阻止的惡意軟件，還可以潛在地阻止從未見過的新惡意軟件。AI和ML將允許系統(tǒng)在應用程序級別防御惡意軟件，而硬件安全將有助于防止軟件無法檢測到的低級別攻擊。
責任編輯:tzh