声称自家产品运用了人工智能或机器学习的某些供应商,其实还是用着老一套基于规则的检测引擎。怎么分辨他们有没有说真话呢?
新技术产生新热词,云、比特币、区块链、微服务、容器等等都是近几年的热门话题。作为一种技术,人工智能(AI)这个词其实几十年前就出现了,只不过似乎最近才流行起来。有些供应商喜欢跟风,自家产品中根本没用什么真正的AI也敢贴上AI的标签。或者,说得委婉一点:他们延伸了AI的含义。可能他们并不真正理解AI是什么,也可能市场营销团队误导了对AI的认知。无论如何,消费者需要知道:很多号称拥有AI的产品其实并没有这个功能。
供应商们似乎觉得在产品说明里加上AI这个词就能增加销售量。但真正问及他们产品中的AI运用机制,他们要么张口结舌,要么给出的回答怎么听怎么像是基于规则的检测引擎。
产品中明显没有任何AI元素却非要给自己贴上AI标签的供应商就是在误导消费者。这会挫伤付出巨大努力打造真正AI产品的那些厂商。作为计算机安全产品的买家,理解AI的真正含义有助于买到适合自己的产品,也有助于净化市场。
AI与规则引擎的区别
很多依赖数百条规则的供应商老觉得自己完成了某种程度的AI,那么AI与基于规则的引擎之间到底存在什么差别呢?基于规则的引擎就好像基于病毒特征码的杀毒软件(AV),它们已经知道可以预期什么了。基本上,就是一群研究人员收集过去发生的事件信息,然后写出一堆“如果……就……”的条件语句规则来识别已知恶意软件。规则的效果取决于你的研究程度,而且只有黑客按照已知范例操作你才能检测得出。但是,黑客是不会事先通告自己的行事方法的,所以安全供应商总是慢半拍。
而真正的AI是前瞻性的。AI眼中不存在“未知”,即便以前没有见过,也会从相似性或异常性上加以推断,进而标记威胁。规则引擎和AI的关键区别就在于它们关注的重点不同。规则引擎是基于过往数据的条件式决策。AI则是专注识别新出现事件是否异常。AI最强大最有用的地方就在于对未知事物的判断上。
另外,基于规则的引擎不会自主改进,只能期待有人来更新规则。AI则是用得越多越准确,能够自我学习,不断完善自身。AI的自适应性是其主要卖点之一。
一言以蔽之: “规则着眼过去,AI预测未来。”
那么,消费者该怎么判断供应商有没有使用真正的AI呢?可以问问他们是如何处理零日漏洞检测与缓解的。零日攻击没有先例,没有办法为这种意料之外的东西事先写好规则。所以,供应商给出的回答会暴露出他们的产品到底是基于规则还是基于AI的。
未来的黑客攻防战就是AI对决
虽然听起来像是科幻小说之父儒勒·凡尔纳描述的场景,但未来的黑客攻击与防御就是机器vs机器,攻击者用AI绕过检测实施攻击,防御者也用机器学习和AI反击。
无论优劣,僵尸网络已经在用AI像人一样实施攻击了。他们会根据情况随时改变行为,用AI来打败防护和检测。所以,必须用AI来反击。计算机世界的AI对战即便没有铺开也用不了多久就会爆发了。
机器对战机器的想法其实在基于规则的世界中早已持续了很长时间。比如说,VirusTotal——供用户提交文件散列值并与数十家杀软的病毒样本进行比对的一家网站。一款杀软可能会漏掉某些恶意软件,但几十款杀软就几乎不会有所遗漏,或者不会长期遗漏了。
VirusTotal是个好东西。然而不幸的是,恶意软件作者也能利用该网站。长期以来,他们已经自动化了恶意软件构建过程,其中就包括让VirusTotal扫描不出的一环。恶意软件一旦开始被VirusTotal检测,就会自动更新自身。这就是规则引擎世界中的机器vs机器。相同的概念可以在基于AI的世界中推而广之。苗头其实已经出现,很快就能在我们的线上世界里看到恶意软件用AI横行了。
事实上,不需要太担心会出现《终结者》电影里天网进化出自我意识操控机器人灭绝人类的场景。但我们确实正迈入网络世界攻防战更加复杂多变的时代。我们将需要更好更多的AI来防御自身。
太多公司宣称自己拥有AI技术,但实际上却依然用的是基于规则的引擎。恶意AI蠢蠢欲动,我们需要AI来对抗AI。所以,搞清楚到底哪些公司用了真AI,而哪些不过是在吹嘘。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。