AI在网络威胁检测中的作用

1. 引言#

全球网络威胁格局正在经历双重演变：威胁不仅更加频繁，而且比过去复杂得多。具体来说：2024年第二季度全球网络攻击激增了30%，平均每个组织每周遭遇1,636次攻击。此外，根据2020年Webroot威胁报告，2019年93.6%的恶意软件攻击具有多态性，即它们包含自调整代码以逃避检测。随着这些挑战的升级，人工智能（AI）在威胁情报中的作用变得不可或缺。

2. AI在网络安全中的崛起#

本质上，人工智能使机器能够模仿人类智力（我们推理、决策和识别模式的能力）。在网络安全领域，这意味着AI不仅可以复制人类分析师的认知功能，还可以超越人类在计算和速度方面的限制。使这一切更加高效的一个AI子集是机器学习（ML）。机器学习使机器（在这种情况下是AI驱动的网络安全系统）能够即时学习和演变，而无需持续的人工编程。系统被输入大量数据，学习如何发现模式、预测行为并理解偏差。机器学习可以进一步分为三种类型：

1. 监督学习： 系统使用标记数据进行训练。这需要人工协助，最适合让算法理解输入和输出之间的关系。
2. 无监督学习： 系统使用未标记数据进行训练。这不需要人工监督，有助于识别尚未被发现的模式。最适合检测新风险。
3. 强化学习： 在这种类型的学习中，算法使用试错法进行训练，正确操作会获得奖励，而错误操作则会受到惩罚。

3. 使用AI进行网络威胁检测的优势#

以下是将人工智能引入网络威胁检测的四大好处：

1. 提高识别威胁的准确性并减少误报 AI通过即时整合多个数据源以了解警报背后的上下文，从而最大化安全团队的生产力。这减少了不必要的警报，有助于集中精力应对对组织构成潜在损害的真正威胁。例如，AI可以通过分析用户的过去行为和位置，快速区分合法登录尝试和可疑登录尝试。

2. 处理和分析海量数据的速度和效率 与人类分析师花费大量时间收集和解释数据的传统威胁检测相比，AI彻底改变了网络安全。它可以从各种来源收集安全数据，进行清理和标准化，并以难以想象的速度分析定量和定性数据。这种超凡的效率为安全团队提供了深入了解系统当前状态的清晰洞察，省去了很多麻烦。

3. 通过预测分析进行主动威胁检测 预测分析是一组使用当前和历史数据预测未来表现的技术，是网络威胁检测领域的一大变革。组织现在可以评估哪些漏洞最有可能成为目标，通过分析现有变种来识别新兴恶意软件，并准确检测异常以标记可疑或恶意活动。

4. 适应不断演变的网络威胁的可扩展性 使用机器学习模型的网络威胁检测系统可以在应对更多威胁并获取更多数据进行学习的过程中不断自我演变。这种动态方法使系统能够自动完善其检测功能，并适应不断变化且日益复杂的网络威胁格局。

4. AI在网络威胁检测中的应用#

让我们在更实际的层面上了解AI在检测网络威胁中的作用：

4.1 网络安全#

AI主要通过识别网络流量中的异常并创建微分段来减少攻击面，以及自动化网络和基础设施监控来提高网络安全。让我们详细了解一下。

• 异常检测： AI提取网络流量、系统日志和用户交互的数据，以设定典型网络活动的基线。任何偏离此标准的行为都可能意味着潜在威胁和安全问题。

• 网络微分段： 基于身份的自动化建议、用户分组和零信任安全是将大型网络分解为可管理的分段并减少整体攻击面的一些方法。
• 自动化网络安全监控与管理： 组织可以部署AI驱动的威胁检测器，这些检测器可以自动实时监控网络安全、检测故障、跟踪违规行为，甚至对某些威胁做出响应。

4.2 端点安全#

远程/混合工作模式和自带设备（BYOD）政策的兴起需要加强端点安全。这就是**下一代防病毒软件（NGAV）**作为保护网络端点的真正先进解决方案出现的原因。将AI、机器学习和行为分析与其他端点安全工具（如MacKeeper）相结合，有助于阻止用户设备中的现有和新威胁。最重要的是，NGAV具有基于云的架构，不仅允许组织近乎即时和远程部署它，还提供实时威胁情报。要深入了解领先的NGAV解决方案之一，请查看Cybernews的Bitdefender评论，了解它如何提供强大的端点保护。除了NGAV之外，**端点检测和响应（EDR）**也可以与AI集成，使用集中管理中心在网络端点标记和缓解威胁。

4.3 欺诈检测#

机器学习已成为检测和预防欺诈的强大工具。它通过分析各个客户接触点（如登录模式、购买行为和支付方式）的大量交易和行为数据来发挥作用。随着时间的推移，机器学习模型会学习给定用户或系统的“正常”交易是什么样的。
一旦建立了这些模式，模型就可以快速将异常活动（如突然的位置变化、意想不到的消费激增或不规则的登录尝试）标记为潜在欺诈。该领域出现的一种新威胁是AI驱动的语音欺骗，攻击者使用合成语音冒充真实的人。为了解决这个问题，可以使用各种语音样本训练机器学习模型以检测假音频。诸如免费AI语音生成器之类的工具可以提供逼真的示例，帮助模型学习真实声音和合成声音之间的微妙差异。这一层额外的语音验证对于确保基于语音的交易和身份检查的安全性变得越来越重要。

4.4 行为分析（BA）#

AI在行为分析（无论是用户、实体还是系统的行为分析）中发挥着决定性作用。根据分析对象，BA可分为以下三类：

• 用户和实体行为分析（UEBA）： 利用UEBA的组织可以监控和分析用户或实体（设备、应用程序）的行为以寻找恶意活动。例如，UEBA可以帮助区分不寻常的登录和可疑的登录尝试。这在应用程序开发过程中尤为重要，因为它是安全性的重要组成部分。

如果您想知道在这种背景下Web开发人员做什么，它包括集成行为分析工具并确保应用程序能够抵御会话劫持或未经授权访问等威胁。

• 网络行为分析： 通过分析网络流量，AI可以标记偏离标准的网络模式。例如，当有人试图向网络未知的接收者导出不合理的大量数据（例如图像）时，它可以向安全团队发出警报。

• 内部威胁行为分析： 也称为ITBA，它协助组织识别可能滥用其特权的用户，这表明存在潜在的内部威胁。因此，您可以发现是否有人非法访问敏感信息、泄漏数据、安装未知软件、擦除关键系统文件等。

5. 挑战和局限性#

然而，基于AI的网络威胁情报也有其局限性。以下是使用AI检测网络威胁的四个主要挑战：

5.1 数据质量和偏差#

原理很简单：如果使用带有偏见的数据训练机器学习模型来检测网络威胁，系统只会在其运行中强化这种偏见。例如，如果系统基于99%用户在Windows上操作的过往网络流量模式进行训练，它将无意中把来自基于Linux的设备的登录尝试标记为潜在威胁。

5.2 对抗性攻击#

将AI引入网络威胁检测的另一个重大挑战是不断增加的对抗性攻击。威胁行为者利用这些攻击破坏机器学习算法训练所基于的输入数据，以便输出（由AI做出的决定或预测）也是不正确的。

5.3 可解释性#

通常被称为“黑盒”问题，复杂的机器学习算法缺乏透明度。这意味着无法理解模型是如何做出特定决策的，这反过来又使得当这些系统偏离预期功能时难以进行修复。结果，如果检测背后的推理不清楚，分析师可能会发现难以理解和响应被标记的威胁。

5.4 道德和隐私问题#

基于AI的网络威胁监控和检测涉及数据收集，这可能会在不知不觉中引发众多道德和隐私问题。这些问题包括对个人及其个人信息的过度监控、收集超出分析所需的数据，以及在未经用户同意的情况下收集用户数据。

6. 结论#

借助预测分析、行为分析和实时异常检测等网络安全解决方案，人工智能继续重新定义网络威胁情报。然而，在AI驱动的网络安全系统中主动适应和创新对于真正应对动态威胁格局不可或缺。与此同时，组织必须学会平衡技术进步与道德责任，以构建一个更安全的数字世界。

关于作者：
Prateek Arora是thestartupinc.com的内容营销专家，他深入研究B2B和SaaS主题，这些主题将网站访问者转化为付费客户。凭借对探索创新营销策略的热情，Prateek喜欢研究和制作能引起目标受众共鸣的内容。在业余时间，他喜欢在城市中开车兜风并与朋友闲逛，在充满活力的城市景观中寻找灵感。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →

常见问题解答#

AI如何减少网络威胁检测中的误报？#

AI通过整合多个数据源来理解每个警报背后的上下文，从而减少误报。例如，它通过分析用户的过去行为和位置来区分合法登录和可疑登录，将安全团队的注意力集中在真正的威胁上，而不是噪音上。

在AI驱动的行为分析中，UEBA和ITBA有什么区别？#

用户和实体行为分析（UEBA）监控用户和设备（如应用程序），以检测包括可疑登录尝试在内的恶意活动。内部威胁行为分析（ITBA）专门识别滥用权限的用户，标记未经授权的数据访问、数据泄漏或安装未知软件。

对抗性攻击如何破坏基于AI的网络威胁检测？#

对抗性攻击故意操纵机器学习算法训练的输入数据，导致模型的预测和决策变得不正确。威胁行为者利用这一点来致盲检测系统，使恶意活动看起来合法，并绕过AI驱动的安全控制。

是什么让下一代防病毒软件（NGAV）在端点安全方面优于传统防病毒软件？#

下一代防病毒软件（NGAV）将AI、机器学习和行为分析与云原生架构相结合，实现了近乎即时的远程部署和实时威胁情报。与传统防病毒软件不同，NGAV能够阻止用户设备上的已知和未知威胁，这使其在远程和BYOD工作环境中特别有效。