IBM的Watson超級計(jì)算機(jī)的簡歷十分出色，它贏得了綜藝節(jié)目危險(xiǎn)邊緣（Jeopardy），寫了一本食譜，并涉足了革新醫(yī)療。而其傳奇生涯的下一站是什么？應(yīng)對網(wǎng)絡(luò)犯罪。

近日IBM宣布，Watson正在把其認(rèn)知學(xué)習(xí)的能力用在云上，應(yīng)用到分析、識別、并希望能阻止網(wǎng)絡(luò)安全的威脅。但首先，它不得不快速學(xué)習(xí)。

防守

目前已經(jīng)有大量計(jì)算機(jī)增強(qiáng)的方法打擊網(wǎng)絡(luò)犯罪，其中大部分涉及識別異常，或當(dāng)用戶登錄密碼錯(cuò)誤太多次時(shí)，確定其是否構(gòu)成某種威脅。

收集和分析數(shù)據(jù)的這種方法是可行的。然而它的效果并不理想。首先，數(shù)據(jù)簡直是太多了。IBM最近的報(bào)告指出，組織平均每天要看20多萬件安全事件數(shù)據(jù)，根本沒有辦法看完。雖然像麻省理工學(xué)院（MIT）最近的AI2解決方案可以減少人類研究人員篩選事件的數(shù)量，還是有一個(gè)問題，這些數(shù)據(jù)只是大局的一小部分。

“這是有關(guān)解釋、學(xué)習(xí)、引進(jìn)非結(jié)構(gòu)化數(shù)據(jù)、把博客、白皮書和研究報(bào)告等帶入其中，”IBM公司安全副總裁Caleb Barlow說， “那些其他形式的分析結(jié)構(gòu)并不完善，也不能輕易被機(jī)器識別，很難進(jìn)一步補(bǔ)充上下文洞察潛在的危險(xiǎn)。”

而Watson在處理同樣的信息量時(shí)有得天獨(dú)厚的優(yōu)勢，而且還能分辨出關(guān)鍵的上下文決定其存在什么樣的威脅。人類安全研究人員可能不知道所有75000條已知的軟件漏洞的堅(jiān)定命令，或者從頭到尾閱讀了6萬篇安全相關(guān)的博客文章，但Watson會(huì)。

“公司有相關(guān)的團(tuán)隊(duì)，他們的工作是看遍所有的新聞源，并從該消息試圖找出風(fēng)險(xiǎn)，然后把它與他們的基礎(chǔ)設(shè)施和電腦實(shí)際連接起來，并詢問風(fēng)險(xiǎn)是否適用于他們的系統(tǒng)?！盨yracuse University（雪城大學(xué)）計(jì)算機(jī)安全教授Kevin Du博士說， “這需要花費(fèi)大量的人力?！比绻磺许樌@些人力可能會(huì)轉(zhuǎn)嫁到機(jī)器學(xué)習(xí)上。

Barlow早期的職業(yè)生涯是急診醫(yī)學(xué)人員，他把Watson比喻為一個(gè)護(hù)理人員，趕到可能有頭部受傷的受害者現(xiàn)場。 “喝太多酒的人和頭部受傷人員其他經(jīng)常出現(xiàn)相同的癥狀，”Barlow說， “護(hù)理人員必須找出到底是哪個(gè)。”

護(hù)理人員著眼于結(jié)構(gòu)化數(shù)據(jù)——血壓、心臟率、呼吸等等，但也考慮到非結(jié)構(gòu)化數(shù)據(jù)，如口頭答復(fù)，或者病人卷入了什么樣的事故。換句話說，護(hù)理人員考慮了所有不在數(shù)據(jù)范圍內(nèi)的東西，有助于他們理清到底發(fā)生了什么。他們能夠通過利用所有可用信息，并在醫(yī)院給醫(yī)生的診斷提供幫助。 “這就是Watson將為安全運(yùn)營中心所做的工作。”Barlow說。

Du指出，這并不是一個(gè)新的想法；此前已經(jīng)有研究論文和小規(guī)模的研究，討論非結(jié)構(gòu)化數(shù)據(jù)采集的效率。但是因?yàn)閃atson，IBM才能做到第一個(gè)嘗試大規(guī)模的研究。 “我認(rèn)為技術(shù)是早已存在的。由于缺乏計(jì)算能力和投資，沒有人能實(shí)際上證明，這是非常有用的?！盌u說。 “如果這個(gè)機(jī)器訓(xùn)練有素，它可以代替很多人力?！?/p>

這不是說Watson必將取代人類的工作；事實(shí)上，在行業(yè)內(nèi)具有顯著的人才缺口。 “即使到2020年，行業(yè)能夠填補(bǔ)大概150萬人的網(wǎng)絡(luò)安全工作空缺，我們?nèi)匀粫?huì)陷入安全危機(jī)，”IBM安全的總經(jīng)理Marc van Zadelhoff說。Watson應(yīng)該幫助減輕其對我們的影響。

學(xué)習(xí)

當(dāng)然在此之前，Watson需要學(xué)習(xí)網(wǎng)絡(luò)安全是如何工作的。

它尚未，或至少不很好。雖然IBM已經(jīng)開始安排Watson學(xué)習(xí)安全文件，直到它準(zhǔn)備好實(shí)戰(zhàn)之前，要學(xué)的東西還很多，可以說長路漫漫。鑒于網(wǎng)絡(luò)安全的復(fù)雜性和重要性，這壯舉實(shí)屬不易。

“這不是一個(gè)普通的軟件工作，”Barlow說， “這不像你工作一天，軟件就能發(fā)布了。你要訓(xùn)練它?！?/p>

IBM全面的研究圖書館有助于Watson這個(gè)關(guān)鍵的訓(xùn)練。但并不像只是給Watson看一堆文章和研究報(bào)告那么簡單。你要教它這些都意味著什么，然后它就可以教自己這些都是如何互相作用的。

“想想它在看文件的時(shí)候要做的事情。它要了解這些術(shù)語是什么意思。什么是戰(zhàn)役？什么是攻擊目標(biāo)？什么是事件？什么是事件的指示？“Barlow說。 “這些是安全的行話。而且它必須理解其中的關(guān)系。一個(gè)組織的惡意軟件，針對其他組織，具有一定的指示?！?/p>

而這些，還不包括所有網(wǎng)絡(luò)安全世界交易的縮略語。

為了幫助Watson，IBM的研究人員手動(dòng)標(biāo)注了進(jìn)入它系統(tǒng)的文件，暫時(shí)是手工選取文檔和源代碼。一旦Watson開始掌握一定的概念，并證明了它能夠詮釋自身，他們就會(huì)在美國各地的八所大學(xué)學(xué)生的幫助下，加快這個(gè)過程。在培訓(xùn)的第一階段，Watson每月將學(xué)習(xí)高達(dá)1.5萬份安全文件，連接到各個(gè)圖書館和新聞提要，以確保它不會(huì)落后。如果任何超級計(jì)算機(jī)能做到這一點(diǎn)，Watson也可以。

“這是一個(gè)真正的突破，”Forrester Research的首席分析師Andras Cser說， “Watson的概率決策人工智能技術(shù)遠(yuǎn)遠(yuǎn)超過了其他任何廠商。它可以依靠更大規(guī)模的數(shù)據(jù)集命令；使用更快幅度的處理、機(jī)器學(xué)習(xí)算法的命令?！?/p>

“我們教Watson在工作中要有點(diǎn)辯論性，”Barlow說， “我們希望它給我們帶來一個(gè)結(jié)論，該結(jié)論需基于兩點(diǎn)：這緊迫嗎？你了解到什么能使這個(gè)可行？”

假設(shè)它加快速度，今年晚些時(shí)候Watson應(yīng)該會(huì)被企業(yè)客戶有效利用。雖然它旨在確定已經(jīng)發(fā)生的威脅，Barlow認(rèn)為，其還有預(yù)防危險(xiǎn)的潛力。一些網(wǎng)絡(luò)攻擊可能需要數(shù)天，數(shù)周或數(shù)月；理想情況下，Watson能夠識別長時(shí)間攻擊的信號，并在中途幫助人們關(guān)閉攻擊。

這對一臺仍然在試圖區(qū)分動(dòng)詞和名次的超級計(jì)算機(jī)而言要求太高了，但還是可能的。

“教Watson和教我的孩子之間令人著迷的差異是，”Barlow說，“Watson永遠(yuǎn)不會(huì)忘記?！?/p>

via wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。