现在,很多学科都开始和AI挂钩了,网络安全自然也不例外。
现如今,AI在网络安全领域确实有了很多的应用。例如,我之前写过的回答就涉及到了部分AI结合网络安全的内容,如:
除此之外,还有些回答被遗忘,或者质量低,我就不放上来了。
至于说到威胁检测领域,实际上现如今也有很多的工作。
例如,我最新看到的 2021 USENIX 的 SUMMER ACCEPTED PAPERS 中就有一部分AI和威胁检测相关的文章,像是 ATLAS: A Sequence-based Learning Approach for Attack Investigation 和 Forecasting Malware Capabilities From Cyber Attack Memory Images 等。
就我的理解而言,在大量日志数据支撑情况下,对于目前的攻击检测来说
启发式或编码规则的方法在开发和维护上非常耗时,并且需要不断更新规则来覆盖新开发的攻击手段,没法做到高效以及及时识别未知恶意攻击。
基于异常的方法,虽然可以识别未知攻击,但其只学习用户行为来对异常与否做出判断,随着用户行为随时间的变化,它们可能会产生许多误报,也需要重新调整。
而基于ML和DL的方法,则可以有效减少对日志数量的需求,便能找到攻击事件的高级视图,对于新的攻击手段,也仅需要更多的攻击训练数据即可学习新的攻击模式。
新的机器学习,深度学习,自然语言处理,图神经网络等方法,可以用来构建基于序列的模型,基于溯源图的模型等,帮助更高效和准确的识别网络攻击。
另一方面,对于不常见的攻击方法和手段,基于规则的检测很容易产生漏报,且传统的神经网络可能无法很好到学习到其相关特征,无法做到高准确度的检测。这时候,深度学习中的一些概念如迁移学习,小样本学习等可能会帮助我们在攻击样本不足的情况下做到更高精准度的检测。
因此,需要面对大量日志数据的处理;或者保密度较高,容易被最新非常见入侵方法所攻击的的场景,在我看来都应该很适合AI的加入。
另外,还有些文章的阅读笔记写的很简略或者杂乱,也没有发到知乎上来,而是存在了我的草稿里,或者是发在了看雪论坛里,之后也会陆续发出来,欢迎一起讨论学习。