最近的一项研究表明,超过90%的安全操作中心正在实施或考虑使用人工智能和机器学习来检测和防御数字威胁。传统的威胁检测方法是什么,人工智能和机器语言能为此做什么,硬件层面如何应对威胁?
威胁检测
自从电脑问世以来,电脑在现代生活中扮演了重要角色,提供诸如互联网接入、网上银行、信息交换和远程工作等服务。然而,敏感信息的传输以及任何一台计算机的处理能力也导致了网络犯罪分子开发恶意软件。这些程序分为几个类别,包括病毒、特洛伊木马和蠕虫,它们都执行不同的任务。其中,它们的确切功能可以进一步分离;一些恶意软件破坏系统,而另一些可能窃取敏感信息。
在一个系统上发现威胁是一件很有挑战性的事情,如果再加上恶意软件能够感染广泛的日常设备,以及此类恶意软件的快速发展,安全组织追踪感染的工作变得越来越困难。反病毒系统检测恶意软件的传统方法是扫描系统中存储的所有文件,然后查看组成这些文件的原始二进制数据。然后,二进制数据被已经发现的恶意软件与包含常用代码段的数据库进行比较,如果找到匹配项,则该文件将被隔离或销毁。当新的恶意软件向公众发布时,安全专家必须获得恶意软件的副本,识别唯一的代码链,然后将此序列添加到恶意软件数据库中。其他检测方法包括对通信端口的意外访问、记录击键的应用程序以及试图访问内存中受限区域的程序。然而,所有这些方法都依赖于反动行为,也就是说,当开发出新的病毒、特洛伊木马或蠕虫病毒时,所有系统都会受到攻击。
如何在威胁检测中使用AI和ML?
人工智能(AI)和机器学习(ML)的发展使得其在许多应用中得以实现,包括自动驾驶、工业过程、面部识别和语音激活设备。根据最近的一项研究,超过90%的安全运营中心已经将人工智能和ML作为检测恶意软件的一种方法。
人工智能特别擅长的一项任务是识别模式,输入给人工智能的数据越多,它的性能越好。随着时间的推移,网络犯罪分子制造出更多的恶意软件,一个负责识别它的人工智能系统在发现它方面会变得越来越好。然而,与依赖示例代码数据库的传统系统不同,人工智能驱动的安全系统将能够检测到新的恶意软件,而以前从未见过。允许安全人工智能系统识别新恶意软件的确切机制可能不为人所知,但它可能在常用的代码模式、恶意代码中的嵌入消息甚至位置数据之间形成链接。AI和ML系统还可以对CPU使用率、RAM和硬盘访问进行实时分析,以查找异常活动。一旦探测到,就可以找到异常活动的来源,并从那里终止。
硬件威胁检测也起作用吗?
软件驱动的人工智能系统可以为未来的系统提供监控系统的能力,根据经验识别恶意软件,并采取预防措施保护自己。但是有些恶意软件很难在软件级别上停止,在这些情况下,只有基于硬件的系统才能防止此类恶意软件造成严重破坏。虽然硬件安全性的种类繁多,但甚至有硬件系统可以监视总线和处理器,以检测通常不期望的异常操作,一旦检测到,可以启动系统重置或引发中断,以便CPU执行一个特殊的子程序。
总的来说,AI和ML将能够创建恶意软件检测系统,不仅可以利用它们进行检测还可以阻止的恶意软件,还可以潜在地阻止从未见过的新恶意软件。AI和ML将允许系统在应用程序级别防御恶意软件,而硬件安全将有助于防止软件无法检测到的低级别攻击。