最近的一項研究表明，超過90%的安全操作中心正在實施或考慮使用人工智能和機器學(xué)習(xí)來檢測和防御數(shù)字威脅。傳統(tǒng)的威脅檢測方法是什么，人工智能和機器語言能為此做什么，硬件層面如何應(yīng)對威脅？

威脅檢測

自從電腦問世以來，電腦在現(xiàn)代生活中扮演了重要角色，提供諸如互聯(lián)網(wǎng)接入、網(wǎng)上銀行、信息交換和遠(yuǎn)程工作等服務(wù)。然而，敏感信息的傳輸以及任何一臺計算機的處理能力也導(dǎo)致了網(wǎng)絡(luò)犯罪分子開發(fā)惡意軟件。這些程序分為幾個類別，包括病毒、特洛伊木馬和蠕蟲，它們都執(zhí)行不同的任務(wù)。其中，它們的確切功能可以進(jìn)一步分離；一些惡意軟件破壞系統(tǒng)，而另一些可能竊取敏感信息。

在一個系統(tǒng)上發(fā)現(xiàn)威脅是一件很有挑戰(zhàn)性的事情，如果再加上惡意軟件能夠感染廣泛的日常設(shè)備，以及此類惡意軟件的快速發(fā)展，安全組織追蹤感染的工作變得越來越困難。反病毒系統(tǒng)檢測惡意軟件的傳統(tǒng)方法是掃描系統(tǒng)中存儲的所有文件，然后查看組成這些文件的原始二進(jìn)制數(shù)據(jù)。然后，二進(jìn)制數(shù)據(jù)被已經(jīng)發(fā)現(xiàn)的惡意軟件與包含常用代碼段的數(shù)據(jù)庫進(jìn)行比較，如果找到匹配項，則該文件將被隔離或銷毀。當(dāng)新的惡意軟件向公眾發(fā)布時，安全專家必須獲得惡意軟件的副本，識別唯一的代碼鏈，然后將此序列添加到惡意軟件數(shù)據(jù)庫中。其他檢測方法包括對通信端口的意外訪問、記錄擊鍵的應(yīng)用程序以及試圖訪問內(nèi)存中受限區(qū)域的程序。然而，所有這些方法都依賴于反動行為，也就是說，當(dāng)開發(fā)出新的病毒、特洛伊木馬或蠕蟲病毒時，所有系統(tǒng)都會受到攻擊。

如何在威脅檢測中使用AI和ML？

人工智能（AI）和機器學(xué)習(xí)（ML）的發(fā)展使得其在許多應(yīng)用中得以實現(xiàn)，包括自動駕駛、工業(yè)過程、面部識別和語音激活設(shè)備。根據(jù)最近的一項研究，超過90%的安全運營中心已經(jīng)將人工智能和ML作為檢測惡意軟件的一種方法。

人工智能特別擅長的一項任務(wù)是識別模式，輸入給人工智能的數(shù)據(jù)越多，它的性能越好。隨著時間的推移，網(wǎng)絡(luò)犯罪分子制造出更多的惡意軟件，一個負(fù)責(zé)識別它的人工智能系統(tǒng)在發(fā)現(xiàn)它方面會變得越來越好。然而，與依賴示例代碼數(shù)據(jù)庫的傳統(tǒng)系統(tǒng)不同，人工智能驅(qū)動的安全系統(tǒng)將能夠檢測到新的惡意軟件，而以前從未見過。允許安全人工智能系統(tǒng)識別新惡意軟件的確切機制可能不為人所知，但它可能在常用的代碼模式、惡意代碼中的嵌入消息甚至位置數(shù)據(jù)之間形成鏈接。AI和ML系統(tǒng)還可以對CPU使用率、RAM和硬盤訪問進(jìn)行實時分析，以查找異?；顒?。一旦探測到，就可以找到異?；顒拥膩碓?，并從那里終止。

硬件威脅檢測也起作用嗎？

軟件驅(qū)動的人工智能系統(tǒng)可以為未來的系統(tǒng)提供監(jiān)控系統(tǒng)的能力，根據(jù)經(jīng)驗識別惡意軟件，并采取預(yù)防措施保護自己。但是有些惡意軟件很難在軟件級別上停止，在這些情況下，只有基于硬件的系統(tǒng)才能防止此類惡意軟件造成嚴(yán)重破壞。雖然硬件安全性的種類繁多，但甚至有硬件系統(tǒng)可以監(jiān)視總線和處理器，以檢測通常不期望的異常操作，一旦檢測到，可以啟動系統(tǒng)重置或引發(fā)中斷，以便CPU執(zhí)行一個特殊的子程序。

總的來說，AI和ML將能夠創(chuàng)建惡意軟件檢測系統(tǒng)，不僅可以利用它們進(jìn)行檢測還可以阻止的惡意軟件，還可以潛在地阻止從未見過的新惡意軟件。AI和ML將允許系統(tǒng)在應(yīng)用程序級別防御惡意軟件，而硬件安全將有助于防止軟件無法檢測到的低級別攻擊。
責(zé)任編輯:tzh