沐尘计算机已经被用于对抗网络犯罪,但是多数情况下,它的判断依赖于对异常行为的辨识,而异常行为太多了。根据IBM的一份报告,一个组织平均每天能发现20万次的安全事件,根本无法进行全面的跟踪。另外,即使识别了异常行为,计算机也很难把握整个事件的全貌。为了解决这个问题,IBM用上了自己的人工智能系统Watson。
“这是解析、学习和收集非结构化数据的问题,需要收集博客、白皮书和研究报告等等,”IBM安全部门副总裁CalebBarlow对Wired网站说,“除此之外,还要获取那些非结构化的、不易为机器理解的各种形式的分析报告,同时要对数据进行背景分析,以了解潜在的问题是什么。”
Watson的信息处理能力是人类无法企及的。安全研究员不可能掌握数以万计的软件漏洞,或者阅读每月新增的数万篇安全博客,而Watson可以做到。
曾在医务部门工作的Barlow打了个比方。Watson就像是一名急救医生。在判断症状根源的时候,急救医生需要综合各种状况。他观察结构化的数据,包括血压、心率、呼吸状况,同时,他也会考虑一些非结构化的数据,比如病人的口头回应、病人遭遇的意外状况等。在结合所有可以获取的信息后,急救医生能够更好地了解病人的真实状况,向临床医生提供预后。“这也是Watson将要提供给安全运营中心的东西,”Barlow说。
在此之前,Waston需要了解网络安全的原理。由于网络安全的复杂性,这并不是一件容易的事情。Watson不仅要阅读大量的资料,而且要理解它的具体含义,搞懂各种术语之间的联系。
“在阅读文本的时候,它需要做些什么事情呢?它需要了解这些术语的含义。‘网络攻击’是什么意思?‘攻击目标’是什么意思?‘安全事故’是什么意思?安全事故的信号又是什么?”Barlow说。
目前,Watson的学习资料是IBM研究员手工选择,而且进行了手工注释的。一旦Watson把握了基本概念,能够自己做注释后,研究员们就加快进程,从美国八所大学的学生那里获取帮助。在初步训练阶段,Watson每月要消化1.5万个安全文件,与不同的图书馆和新闻源保持联系,以保证自己的知识始终是最新的。
如果Watson学习速度够快的话,今年年底IBM可能将其部署到企业。Barlow认为,Watson不仅可以辨识已经存在的安全风险,而且有可能提前预防。有些网络攻击可能持续数天,甚至是数周时间,如果Watson能够提前辨识出危险信号,那么,安全人员就能提前预防,或者早日开始对抗这些攻击。
“教授Watson与教授我的孩子之间的区别在于,Watson永远不会忘记东西,”Barlow说。
评论 (0)