剑桥数学家们花费三年半，跟踪100名顶级安全分析师，开发了一支AI网络安全护卫队

大数据文摘出品

来源：wired

编译：胡笳、夏雅薇

在这位英国情报领域网络专家、前阿富汗情报官员的房间，你可能会觉得自己身处黑客帝国中心：黑暗的房间屏幕墙频频闪烁，正展示着全球范围网络攻击的情况。

值得被注意的是，这里正在展示的攻击事件由AI实时监测：用户能看到网络威胁如何黑进他们的系统，进而那些威胁造成损害之前阻止它们。

凭借多年的网络安全经验，安全专家Mike Beck用多年时间探索了如何训练AI像网络安全分析师一样思考，并在此过程中转变网络安全战役的局面。

没有人比Mike Beck更了解在高风险环境中与网络攻击作战的感受。如果没有他的专业知识，2012年伦敦最重要的活动可能会被毁掉。

Beck是英国情报领域的网络安全专家，在2012年夏季奥运会开幕前不久加入了英国军情五处的国土安全部门。当英国政府得知奥运会的基础电力设施面临严重威胁时，他们把目光投向了这名新雇员。在技术人员忙于确保后备基础设施可用的同时，Beck与一组情报人员合作消除了威胁。在开幕式当天早上，由于他的努力导致数人被捕，并帮助确保了开幕式的顺利进行。

Beck在军情五处(MI5)工作初期就能够迅速解决这个问题，得益于多年的经验，得益于他在政府通信总部(Government Communications Headquarters)信号情报部门(该部门负责为英国政府收集信息，并保护自身通信安全)工作过一段时间，以及在阿富汗担任情报官员和指导当地特工的工作经历。总而言之，Beck对网络安全领域的人力和技术因素有非常全面的认知。

更重要的是，他也开始认识到传统网络安全方法的根本缺陷，这种方法利用昨天的攻击为明天的威胁做准备。正如Beck亲眼目睹的那样，随着犯罪分子发动一场又一场前所未见的专业攻击，越来越多的公司和政府被攻破。

2014年，他加入了网络人工智能公司Darktrace，担任其全球威胁分析主管。

这家公司由剑桥大学的数学家于2013年创立，他们最初是通过使用非监督式学习来发现传统安全产品忽略的威胁，并通过实时分析行为模式和识别异常来做到这一点。

尽管Beck在夏季奥运会的安全工作已经十分高压，但他觉得最近在Darktrace的工作是他职业生涯中遇到过的最大挑战。

在过去几年里，Beck一直在帮助开发一项技术，他很快意识到，这项技术可以让防御者在网络安全之战中占据优势：人工智能。

网络安全的新时代

随着公司的发展，公司自主研发的人工智能算法不断升级:凭借一款叫Enterprise Immune System的产品，Darktrace成为第一个将人工智能运用到网络安全的公司。将公司带上另一个台阶的突破是一款名为Darktrace Antigena的人工智能产品，能够自动抵御网络攻击。众所周知，在2017年“想哭”(WannaCry)勒索软件攻击期间，该产品保住了数千份医疗记录。

Beck说，最初吸引他加入Darktrace公司的原因之一，就是Darktrace在以独特的方式应对网络攻击。

“Darktrace想要在黑客破解之后将他们一网打尽的想法是一个非常有趣的概念，超越了当时任何其他人所做的事情，”Beck回忆道。

在加入Darktrace时，Beck希望通过Darktrace的人工智能模型来解决公司机构正面临的另一个难题：技术人员供不应求。

随着网络攻击事件发生的频次越来越高，该行业正面临专家短缺的问题。一项研究发现，全球74%的机构受到该问题影响，而30%的机构称，由于超负荷的工作负担，安全专家感到精疲力竭。许多人说，他们无法有效地调查安全警报，即使调查了也经常犯错。

当Darktrace AI在跟踪公司机构所遇到过的未知异常活动时，Beck和他的团队意识到可以利用这项技术来更好解决当下的技能短缺危机。

这些安全专家的主要任务是调查那些早期预警信号，调查公司内部的数据，咨询第三方，并充分利用他们的理解和直觉得出结论——这是一个重大事件吗？需要报告给老板吗？

Beck和他的团队对接Darktrace公司的研发团队，试图将人类分析技能灌输给人工智能。

“这不是一项简单的任务”，Beck表示。“网络分析师必须是一个好奇的人，他要会询问跟数据相关的问题，来了解获得信号是否能指正攻击者。 是个精细活儿。”

Darktrace的人工智能对抗快速变化的勒索软件病毒。“网络人工智能”在几秒钟内决定做出何种应对，并被用于保护云计算环境、电子邮件系统和物联网。

人工智能助攻分析师

Beck把Darktrace的网络安全专家和剑桥大学的人工智能专家召集在一起，探讨什么是网络安全的曼哈顿计划。

他和他的团队能否使人工智能不只会检测威胁，还能模仿人类的思维过程来调查呢？如果能做到这一点，他们将再次取得突破性成就，为网络安全人员配备的重大转变铺平道路。在收集了数学和计算领域顶尖专家的观点之后，Darktrace决定投入三年半的时间来开展一个项目。

该公司对100名顶级分析师进行跟踪观察，尝试解码他们在调查数千名客户的攻击事件中的所做所想。人工智能在分析师工作时检测他们的的行为模式，学习分析师作出每一次点击和选择背后的原因，从而理解人类分析师是如何嗅出真正有威胁的网络安全事件。

整个研究最后的成果是公司本月推出的网络人工智能分析技术。这项技术通过处理大量繁重的分析工作来加强人类分析师的业务能力，将有关攻击的所有上下文信息快速整合成一份易读的报告，还可以一键翻译成任何语言。

许多繁重的工作还包括过滤掉错误网络安全警报。正如Beck所解释的那样，“有时候分析师们会过度反应。他们每天都要应对太多事情。”

通过将这些任务自动化，网络人工智能分析师可以将调查威胁的平均时间缩减92%。当Darktrace的人工智能发现异常情况时，比如一个云服务器的异常配置模式，网络人工智能分析师可以处理来自各种来源的大量数据，包括云、物联网、本地应用程序和虚拟网络——所有这些都是以企业级规模和自动化速度处理的。

随后AI确定这种异常是否应该进行分类或报告给人类分析师，这样分析师就可以用自己的洞察力来制定战略性决策。

Beck表示：“有些事情是人类擅长的，比如理解企业的背景及其运作方式”。“人类应该处理更复杂的任务。”

Beck说，网络人工智能分析师经常将单一攻击的许多指标整合起来，这些指标是人脑难以拼凑起来的。“人工智能的这一突破将人类的专业知识与人工智能的一致性、速度和可扩展性结合起来，为人类团队赢回时间，把人类从繁琐的重复性工作中解脱出来让他们更有成就感。”

更多威胁还在路上

对于Beck来说，网络人工智能分析师技术的上线是他个人的一项重大成就，也是他所在领域的一个重要里程碑。但他并没有停下，已经开始展望未来，预测未来网络安全领域会出现的新挑战ーー对于未来，他既兴奋又恐惧。

“我不确定自己是否很期待未来，”他笑道，“但是当你想到5G和云计算，想到我们的汽车越来越多地连接在一起，还有我们的房子和可穿戴设备ーー我们该如何在数据大量联通共享的情况下确保网络安全呢? ”

另一个主要挑战是人工智能的成熟度。用人工智能模仿网络安全分析师并不是网络安全的终极目标；这只是个开始。Beck说，虽然网络人工智能分析代表了当今行业的一个重大飞跃，但攻击者可以像防御者一样轻易地使用人工智能。

“人工智能绝对会帮助网络犯罪分子进行攻击，”他说ーー但是，请放心，“我们正在为此制定防守方案。”

相关报道：

https://www.wired.com/wiredinsider/2019/09/mimicking-cybersecurity-analysts-intuition-ai/?intcid=polar&utm_medium=nativetile&utm_source=polar