資安工具：新型資安威脅將要靠AI解決

現今的資安工具主要是透過簡易的統計途徑，以人工方式來偵測不尋常的活動，所具有的性能就比如業餘股票交易網站的功效。從這種角度來看，認知運算解決方案（cognitive computing solution）就有如股票界被譽爲「奧馬哈先知」（Sage of Omaha）的華倫・巴菲特（Warren Buffett）先生。這樣的算法究竟有何三頭六臂，居然能和全世界最聰明的投資人相比擬呢？請容我說明一下。業餘股票交易者多半是利用在線網站買賣股票，他們主要從基本統計分析着手，也就是先研究一些跟目標公司的財務情況或績效有關的變量，接着再觀察該公司的競爭對手，或許作個對照比較，最後再作一些技術分析，比方說繪製「移動平均線」（moving average）或相似的統計函數等等。大體來說，這種流程就是簡易技術交易的基礎。

如今來看看巴菲特是怎麼作的。真要提及來，純統計的作法他都會避開。多年下來，他已經對評估公司價值或預測公司的將來前景時該掌握哪些關鍵環節，造成了本身的一套理論。他未曾公開談過這套「模式」的操做細節，大概是隻能意會不能言傳的緣故，畢竟講到評估公司，巴菲特本人就是活生生的認知算法，他所積累的知識通過不斷淬鍊和校準後，已經從技術專業蛻變成一種藝術。巴菲特曾表示，在各類考慮因素當中，他花不少時間評量公司現有的管理團隊，以此做爲公司是否有望成功的基準。他露出了不少蛛絲馬跡，不過在通常人看來都很主觀。特別要強調的是，通常人之因此以爲主觀，是由於那些線索實際上是很是多看似不相干又無足輕重的小動做匯聚而成，比方說有時他會忽然不安地抽動一下，有時轉了一下眼睛，或者是握手時力道堅決，笑聲特別高亢或低沉等等之類的姿態行動。若是想打造出和巴菲特式的高效模式同樣的途徑，咱們就必須緊盯着細節不放，收集各類看起來主觀但實則有脈絡可循的線索，並加以融會貫通，不管這些線索有無規則可尋，如此才能大大有益於咱們進行預測與建構模式。而照這樣看來，數字和統計只能算是可利用的兵器之一，絕對不是主宰一切的因素。

 

巴菲特大半輩子都在辨識模式，可謂戰績彪炳。他愈是往那些主觀的背景信息鑽探，出錯的比例就降得愈低，認知型資安算法也是如此。基本上，這種認知處理流程運用的是「創建與測試假說」的科學方法，打個比方，其實和文學界經典的偵探角色福爾摩斯（Sherlock Holmes）很像。這系列的偵探小說在故事剛開始的時候，主角福爾摩斯並無假說能夠做爲能支撐他觀察所得的鷹架。陸陸續續地，第同樣證據引發他的注意，第二樣證據則讓他有了集中注意力的焦點，第三樣證據又變成了三個數據點。至此他有了一個方向能夠進行深刻的探索，而這個方向就是框架。接下來他要作的就是設法爲這個框架注入血肉，例如他會說「我認爲泰德在溫室裏用燭臺殺了瑪麗」，或反過來講「瑪麗被殺了，但對因而誰幹的、殺人手法又是如何，我還摸不着頭緒」。

 

認知處理流程彙整了多種機器學習算法，因此具備跟福爾摩斯一模一樣的功力。算法會調查如下二個問題：這是良性要求仍是有人藉機掃描我網站的資安漏洞？這位只是終端使用者，仍是有人假裝成終端使用者試圖駭入個人數據庫？把結構化數據和無規則可循的數據（也就是巴菲特最擅長髮揮的主觀背景信息）都加以消化以後，算法會提出一個假設：我認爲這是惡意軟件。接下來的工做就是作更進一步的研究，「仔細研讀」頁面，深刻探勘記錄文件（log）、網絡活動或其餘與假設有關的證據元素。認知處理流程通過這個階段以後，會產生必定程度的把握，不是確認最初所主張的假設正確無誤（沒錯，這的確是惡意軟件！），就是認定那並不是惡意軟件的活動，無須進一步探究。科學做家瑪莉亞・柯妮可娃（Maria Konnikova）在其著做《福爾摩斯思考術：讓思考更清晰、看法更深刻的心智策略》（Mastermind: How to Think Like Sherlock Holmes）概述福爾摩斯的辦案流程。她在書中針對人類直覺在辨識模式過程所扮演既是敵又是友的糾結角色，作了一番剖析：

 

人類的直覺由背景脈絡形塑而成，背景脈絡又以人類生活的周遭環境爲基礎，也所以直覺有時就像眼罩（或各類盲點）那般矇蔽咱們......然而，咱們能夠透過覺察力，設法在釐清直覺是否正確與接受各類可能性之間取得平衡，再利用手邊信息以及對該信息有可能隨着時間產生變化的認知，作出最明智的判斷。不過，機器學習在造成結論的過程當中，並不會陷入這種進退兩難的窘境。就個人經驗來看，AI在運做時所推測的結論或是提出的行動建議，一般「不是直覺做爲」。若是AI都是靠直覺行事的話，那就和思考速度快一點的人類研究員沒有兩樣了，但AI的能耐每每不僅如此。直覺是人類智慧的根基，咱們好巧不巧就會用上這種便利的心裏能力。然而這種對人類而言很是好用的功能（即人類用來評估一大串選項以利達成目標的方法），一旦碰上了錯綜複雜的問題，就會黯然失色，徹底被AI比了下去。即使是衆所周知的「房內最聰明的人」【smartest guys in the room，取自於根據安隆（Enron）事件所寫成的暢銷書，指那些自覺得聰明無敵、爲求暴利處處鑽漏洞的人】，也不夠聰明到能像AI那樣有能力從數據中找出違背直覺的模式。在繼續深刻討論以前，請容我再舉一個例子。我撰寫本章時，正好出現了一個勒索軟件，這個可怕的新型加密勒索病毒來無影去無蹤，把全球性的網絡系統搞得天翻地覆，咱們對AI網絡資安解決方案的需求更顯得迫在眉睫了。

Adylkuzz重創暗網

資安領域正手忙腳亂地應付WannaCry留下的一片狼藉之際，一個更加陰險的病毒也開始侵襲系統，挖取暗網上的虛擬貨幣。2017年春天，黑客組織Shadow Brokers公開了微軟系統的若干漏洞。儘管微軟緊急針對這些瑕疵釋出修補程序，但全球各地仍是有許多網絡型系統門戶洞開。Adylkuzz病毒開始利用這些漏洞，尤爲是透過從美國國安局（NSA）外泄的EternalBlue漏洞。Adylkuzz的擴散速度不像WannaCry那麼迅速，但形成的破壞卻更使人不堪設想。它不走加密信息的路線，而是安裝祕密「礦工」來挖掘加密貨幣「門羅幣」。基本上，Adylkuzz的威力比拖慢計算機系統速度或是要求贖金以交還使用權還要來得可怕。這款病毒會劫持計算機，使計算機成爲網絡罪犯的生財工具。Adylkuzz開採的加密貨幣相似比特幣，但更爲隱密，也所以成爲販賣毒品、被竊信用卡和仿冒品的地下網站最愛的貨幣。只要Adylkuzz在系統上祕密開挖門羅幣的時間愈長，網絡攻擊者就會收到愈多的虛擬貨幣。爲了阻擋這種類型的威脅，開發先進的認知型防病毒程序勢在必行。AI資安系統利用機器學習算法的效能，以數百萬筆惡意檔案進行訓練以後，就能在祕密礦工形成破壞以前，找出Adylkuzz這隻蠕蟲的行蹤，而事實上也真的辦到了。據網絡資安專家指出，最精密的AI解決方案早在2017年4月24日就發現Adylkuzz的存在，當時WannaCry甚至還沒有被公諸於世。AI算法將機器學習的能耐發揮到極致，只花了一點點時間就把Adylkuzz 關閉，連幾分鐘的時間都用不上，而人類分析師甚至尚未進入迴路。更多相關信息來源：樂彩愛公益 http://pctchp.org.tw/