您现在的位置: 首页 >> 业界动态
IBM超级计算机Watson将打击网络犯罪
来源:cnbeta 作者: 发布时间:2016/5/27 10:11  点击数:465 次 

防守

目前已经有大量计算机增强的方法打击网络犯罪,其中大部分涉及识别异常,或当用户登录密码错误太多次时,确定其是否构成某种威胁。

收集和分析数据的这种方法是可行的。然而它的效果并不理想。首先,数据简直是太多了。IBM最近的报告指出,组织平均每天要看20多万件安全事件数据,根本没有办法看完。虽然像麻省理工学院(MIT)最近的AI 解决方案可以减少人类研究人员筛选事件的数量,还是有一个问题,这些数据只是大局的一小部分。

“这是有关解释、学习、引进非结构化数据、把博客、白皮书和研究报告等带入其中,”IBM公司安全副总裁Caleb Barlow说, “那些其他形式的分析结构并不完善,也不能轻易被机器识别,很难进一步补充上下文洞察潜在的危险。”

而Watson在处理同样的信息量时有得天独厚的优势,而且还能分辨出关键的上下文决定其存在什么样的威胁。人类安全研究人员可能不知道所有75000条已知的软件漏洞的坚定命令,或者从头到尾阅读了6万篇安全相关的博客文章,但Watson会。

“公司有相关的团队,他们的工作是看遍所有的新闻源,并从该消息试图找出风险,然后把它与他们的基础设施和电脑实际连接起来,并询问风险是否适用于他们的系统。”Syracuse University(雪城大学)计算机安全教授Kevin Du博士说, “这需要花费大量的人力。”如果一切顺利,这些人力可能会转嫁到机器学习上。

Barlow早期的职业生涯是急诊医学人员,他把Watson比喻为一个护理人员,赶到可能有头部受伤的受害者现场。 “喝太多酒的人和头部受伤人员其他经常出现相同的症状,”Barlow说, “护理人员必须找出到底是哪个。”

护理人员着眼于结构化数据——血压、心脏率、呼吸等等,但也考虑到非结构化数据,如口头答复,或者病人卷入了什么样的事故。换句话说,护理人员考虑了所有不在数据范围内的东西,有助于他们理清到底发生了什么。他们能够通过利用所有可用信息,并在医院给医生的诊断提供帮助。 “这就是Watson将为安全运营中心所做的工作。”Barlow说。

Du指出,这并不是一个新的想法;此前已经有研究论文和小规模的研究,讨论非结构化数据采集的效率。但是因为Watson,IBM才能做到第一个尝试大规模的研究。 “我认为技术是早已存在的。由于缺乏计算能力和投资,没有人能实际上证明,这是非常有用的。”Du说。 “如果这个机器训练有素,它可以代替很多人力。”

这不是说Watson必将取代人类的工作;事实上,在行业内具有显著的人才缺口。 “即使到2020年,行业能够填补大概150万人的网络安全工作空缺,我们仍然会陷入安全危机,”IBM安全的总经理Marc van Zadelhoff说。Watson应该帮助减轻其对我们的影响。

学习

当然在此之前,Watson需要学习网络安全是如何工作的。

它尚未,或至少不很好。虽然IBM已经开始安排Watson学习安全文件,直到它准备好实战之前,要学的东西还很多,可以说长路漫漫。鉴于网络安全的复杂性和重要性,这壮举实属不易。

“这不是一个普通的软件工作,”Barlow说, “这不像你工作一天,软件就能发布了。你要训练它。”

IBM全面的研究图书馆有助于Watson这个关键的训练。但并不像只是给Watson看一堆文章和研究报告那么简单。你要教它这些都意味着什么,然后它就可以教自己这些都是如何互相作用的。

“想想它在看文件的时候要做的事情。它要了解这些术语是什么意思。什么是战役?什么是攻击目标?什么是事件?什么是事件的指示?“Barlow说。 “这些是安全的行话。而且它必须理解其中的关系。一个组织的恶意软件,针对其他组织,具有一定的指示。”

而这些,还不包括所有网络安全世界交易的缩略语。

为了帮助Watson,IBM的研究人员手动标注了进入它系统的文件,暂时是手工选取文档和源代码。一旦Watson开始掌握一定的概念,并证明了它能够诠释自身,他们就会在美国各地的八所大学学生的帮助下,加快这个过程。在培训的第一阶段,Watson每月将学习高达1.5万份安全文件,连接到各个图书馆和新闻提要,以确保它不会落后。如果任何超级计算机能做到这一点,Watson也可以。

“这是一个真正的突破,”Forrester Research的首席分析师Andras Cser说, “Watson的概率决策人工智能技术远远超过了其他任何厂商。它可以依靠更大规模的数据集命令;使用更快幅度的处理、机器学习算法的命令。”

“我们教Watson在工作中要有点辩论性,”Barlow说, “我们希望它给我们带来一个结论,该结论需基于两点:这紧迫吗?你了解到什么能使这个可行?”

假设它加快速度,今年晚些时候Watson应该会被企业客户有效利用。虽然它旨在确定已经发生的威胁,Barlow认为,其还有预防危险的潜力。一些网络攻击可能需要数天,数周或数月;理想情况下,Watson能够识别长时间攻击的信号,并在中途帮助人们关闭攻击。

这对一台仍然在试图区分动词和名次的超级计算机而言要求太高了,但还是可能的。

“教Watson和教我的孩子之间令人着迷的差异是,”Barlow说,“Watson永远不会忘记。”

 打印文章          
   
【打印】 【关闭】  

Copyright©2009 High Performance Computing Center of CSU All Rights Reserved
电话:0731-88877295  邮件:hpc@csu.edu.cn(使用中的问题请截图并准确描述后通过电子邮件咨询)
地址:湖南省长沙市岳麓区中南大学新校区外语网络楼3楼 邮编:410083  主页访问:1672345