虽然是由供应商撰写的,但这篇文章并不推广一种产品或服务,并已被网络世界编辑和批准。有个足球雷竞技app
在InfoSec中最令人沮丧的事实是,攻击信息存在于数据中,但是现在的系统无法及时获取这些数据,因此,它们错过了攻击并产生了大量的误报。
雇佣更多的分析师并不是解决问题的办法,因为这涉及到成本,而且很难找到合适的人才。InfoSec专业人员的失业率基本上是零。事实上,思科这使得全球信息安全专业人员的短缺达到了100万人。
关键是要模仿人类分析师,因为我们知道人类最擅长判断某件事是否是攻击,而模仿人类基本上是人工智能的领域。
为了模仿人类,机器需要向人类学习
InfoSec中有很多机器学习技术,但关键问题是:它们是否在模仿分析师?他们会从分析师那里学习吗?他们会预测分析师在面对新行为时会说什么吗?如果这些问题的答案是否定的,那么这些解决方案就是问题的一部分,而不是解决方案。
一个模仿人类的系统可以被认为是一个产生虚拟分析师大军的系统。军队需要领导来指导和训练他们。这就是人类分析师的角色,而且是一个至关重要的角色。通过协同工作,人工分析人员和虚拟分析人员大军可以覆盖整个企业的更多领域,并且可以检测新的和正在出现的攻击。
为了实现能够模仿分析师的人工智能,我们必须将计算机发现大规模复杂模式的能力与分析师的直觉相结合,以区分恶意模式和良性模式。这种共生关系帮助机器在出错时向人类学习,并帮助人类在长时间内看到复杂的模式。
挑战薄标签空间
与计算机视觉不同,InfoSec未能利用人工智能的原因是缺乏训练数据,也被称为标签数据。换句话说,有大量的数据没有被组织成行为,然后被信息安全分析师贴上恶意或善意的标签。这就是数据科学家所说的“薄标签空间”。如果没有标记数据,人工智能系统就无法学习。
但仔细想想,分析师们不断判断他们监控和调查的行为是恶意的还是良性的,他们正在给自己贴上标签。问题是,这些标签现在还没有被捕捉到。我们需要创建一个系统来持续地捕捉这些标签,然后使用它们来训练新的预测模型,从而能够实时地模拟分析师的判断。来自这些模型的预测将显示给分析人员,并再次捕获反馈(标签)。在这个过程的每一次迭代中,可用来训练系统的已标记示例的数量都会增加,因此,模型的准确性也会提高。
这种分析者/机器的互动创造了一个循环,AI系统预测的攻击越多,它收到的反馈/训练就越多,这反过来又提高了未来预测的准确性。分析人员/机器循环的主要好处是在分析人员有限的时间内工作时减少检测时间。
当一个预测模型在一个客户身上学习,它可以被转移到整个网络,创造一个强大的网络效应。这使客户能够在a处共享情报行为水平而不是在实体的水平。实体如IP地址或域很容易被攻击者欺骗,而行为签名则不会。
鉴于当前技术的局限性和信息安全专业人员的长期匮乏,需要一种新的方法。这样一个解决方案的目标很明确:在分析师有限的时间内工作;检测新的和正在出现的攻击;减少检测时间;减少误报。通过人与机器的结合而实现的人工智能可能就是答案。
Uday Veeramachaneni是PatternEx的联合创始人和首席执行官。在创建PatternEx之前,Uday负责Riverbed Stingray的产品管理,并创建了第一个L7 SDN控制器,使服务提供商和企业能够提供弹性web应用防火墙和L7服务。
Ignacio Arnaldo是PatternEx的首席数据科学家。在加入PatternEx之前,他是麻省理工学院计算机科学和人工智能实验室(CSAIL)的研究员,在那里他作为“任意规模学习”的一部分,专注于为知识挖掘和预测设计可伸缩的人工智能框架。