IBM的Watson超級計算機的簡歷十分出色，它贏得了綜藝節(jié)目危險邊緣（Jeopardy），寫了一本食譜，并涉足了革新醫(yī)療。而其傳奇生涯的下一站是什么？應(yīng)對網(wǎng)絡(luò)犯罪。

近日IBM宣布，Watson正在把其認知學(xué)習(xí)的能力用在云上，應(yīng)用到分析、識別、并希望能阻止網(wǎng)絡(luò)安全的威脅。但首先，它不得不快速學(xué)習(xí)。

防守

目前已經(jīng)有大量計算機增強的方法打擊網(wǎng)絡(luò)犯罪，其中大部分涉及識別異常，或當用戶登錄密碼錯誤太多次時，確定其是否構(gòu)成某種威脅。

收集和分析數(shù)據(jù)的這種方法是可行的。然而它的效果并不理想。首先，數(shù)據(jù)簡直是太多了。IBM最近的報告指出，組織平均每天要看20多萬件安全事件數(shù)據(jù)，根本沒有辦法看完。雖然像麻省理工學(xué)院（MIT）最近的AI2解決方案可以減少人類研究人員篩選事件的數(shù)量，還是有一個問題，這些數(shù)據(jù)只是大局的一小部分。

“這是有關(guān)解釋、學(xué)習(xí)、引進非結(jié)構(gòu)化數(shù)據(jù)、把博客、白皮書和研究報告等帶入其中，”IBM公司安全副總裁Caleb Barlow說， “那些其他形式的分析結(jié)構(gòu)并不完善，也不能輕易被機器識別，很難進一步補充上下文洞察潛在的危險?！?/p>

而Watson在處理同樣的信息量時有得天獨厚的優(yōu)勢，而且還能分辨出關(guān)鍵的上下文決定其存在什么樣的威脅。人類安全研究人員可能不知道所有75000條已知的軟件漏洞的堅定命令，或者從頭到尾閱讀了6萬篇安全相關(guān)的博客文章，但Watson會。

“公司有相關(guān)的團隊，他們的工作是看遍所有的新聞源，并從該消息試圖找出風(fēng)險，然后把它與他們的基礎(chǔ)設(shè)施和電腦實際連接起來，并詢問風(fēng)險是否適用于他們的系統(tǒng)?！盨yracuse University（雪城大學(xué)）計算機安全教授Kevin Du博士說， “這需要花費大量的人力?！比绻磺许樌@些人力可能會轉(zhuǎn)嫁到機器學(xué)習(xí)上。

Barlow早期的職業(yè)生涯是急診醫(yī)學(xué)人員，他把Watson比喻為一個護理人員，趕到可能有頭部受傷的受害者現(xiàn)場。 “喝太多酒的人和頭部受傷人員其他經(jīng)常出現(xiàn)相同的癥狀，”Barlow說， “護理人員必須找出到底是哪個?！?/p>

護理人員著眼于結(jié)構(gòu)化數(shù)據(jù)——血壓、心臟率、呼吸等等，但也考慮到非結(jié)構(gòu)化數(shù)據(jù)，如口頭答復(fù)，或者病人卷入了什么樣的事故。換句話說，護理人員考慮了所有不在數(shù)據(jù)范圍內(nèi)的東西，有助于他們理清到底發(fā)生了什么。他們能夠通過利用所有可用信息，并在醫(yī)院給醫(yī)生的診斷提供幫助。 “這就是Watson將為安全運營中心所做的工作?！盉arlow說。

Du指出，這并不是一個新的想法；此前已經(jīng)有研究論文和小規(guī)模的研究，討論非結(jié)構(gòu)化數(shù)據(jù)采集的效率。但是因為Watson，IBM才能做到第一個嘗試大規(guī)模的研究。 “我認為技術(shù)是早已存在的。由于缺乏計算能力和投資，沒有人能實際上證明，這是非常有用的。”Du說。 “如果這個機器訓(xùn)練有素，它可以代替很多人力。”

這不是說Watson必將取代人類的工作；事實上，在行業(yè)內(nèi)具有顯著的人才缺口。 “即使到2020年，行業(yè)能夠填補大概150萬人的網(wǎng)絡(luò)安全工作空缺，我們?nèi)匀粫萑氚踩C，”IBM安全的總經(jīng)理Marc van Zadelhoff說。Watson應(yīng)該幫助減輕其對我們的影響。

學(xué)習(xí)

當然在此之前，Watson需要學(xué)習(xí)網(wǎng)絡(luò)安全是如何工作的。

它尚未，或至少不很好。雖然IBM已經(jīng)開始安排Watson學(xué)習(xí)安全文件，直到它準備好實戰(zhàn)之前，要學(xué)的東西還很多，可以說長路漫漫。鑒于網(wǎng)絡(luò)安全的復(fù)雜性和重要性，這壯舉實屬不易。

“這不是一個普通的軟件工作，”Barlow說， “這不像你工作一天，軟件就能發(fā)布了。你要訓(xùn)練它?！?/p>

IBM全面的研究圖書館有助于Watson這個關(guān)鍵的訓(xùn)練。但并不像只是給Watson看一堆文章和研究報告那么簡單。你要教它這些都意味著什么，然后它就可以教自己這些都是如何互相作用的。

“想想它在看文件的時候要做的事情。它要了解這些術(shù)語是什么意思。什么是戰(zhàn)役？什么是攻擊目標？什么是事件？什么是事件的指示？“Barlow說。 “這些是安全的行話。而且它必須理解其中的關(guān)系。一個組織的惡意軟件，針對其他組織，具有一定的指示?！?/p>

而這些，還不包括所有網(wǎng)絡(luò)安全世界交易的縮略語。

為了幫助Watson，IBM的研究人員手動標注了進入它系統(tǒng)的文件，暫時是手工選取文檔和源代碼。一旦Watson開始掌握一定的概念，并證明了它能夠詮釋自身，他們就會在美國各地的八所大學(xué)學(xué)生的幫助下，加快這個過程。在培訓(xùn)的第一階段，Watson每月將學(xué)習(xí)高達1.5萬份安全文件，連接到各個圖書館和新聞提要，以確保它不會落后。如果任何超級計算機能做到這一點，Watson也可以。

“這是一個真正的突破，”Forrester Research的首席分析師Andras Cser說， “Watson的概率決策人工智能技術(shù)遠遠超過了其他任何廠商。它可以依靠更大規(guī)模的數(shù)據(jù)集命令；使用更快幅度的處理、機器學(xué)習(xí)算法的命令?！?/p>

“我們教Watson在工作中要有點辯論性，”Barlow說， “我們希望它給我們帶來一個結(jié)論，該結(jié)論需基于兩點：這緊迫嗎？你了解到什么能使這個可行？”

假設(shè)它加快速度，今年晚些時候Watson應(yīng)該會被企業(yè)客戶有效利用。雖然它旨在確定已經(jīng)發(fā)生的威脅，Barlow認為，其還有預(yù)防危險的潛力。一些網(wǎng)絡(luò)攻擊可能需要數(shù)天，數(shù)周或數(shù)月；理想情況下，Watson能夠識別長時間攻擊的信號，并在中途幫助人們關(guān)閉攻擊。

這對一臺仍然在試圖區(qū)分動詞和名次的超級計算機而言要求太高了，但還是可能的。

“教Watson和教我的孩子之間令人著迷的差異是，”Barlow說，“Watson永遠不會忘記。”

via wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。