目前中国境内流行的网络威胁中,前三类非常的典型直观:木马、病毒和蠕虫。
值得注意的是,在中国流行的一些恶意代码,将近20%是在全球其他地方看不到的,具有中国本土特色。
微软中国首席安全观邵江宁,在11月7日的首届全球网络安全创新论坛上表示,我们原来用“三大件”:杀毒软件、防火墙、蠕虫检测,来应对很多的恶意代码。但在新的攻击形式下,可能效果不大。很多黑客或者发起恶意攻击的组织,是瞄着用户身份去的,一旦获取用户身份,再用一些不法的工具加以攻击,这是目前最大的威胁。从一些安全事故分析报告里面可以看到,此类攻击在全球需花费的发现时间长达8个月。也就是说黑客攻入你的系统后,拥有200多天的时间隐入你的网络,为所欲为。
我们应对网络安全防御的三大传统手段失效或者低效,归咎于三大问题,第一是非常复杂,需要手工配置,设置很多的边界条件、初始的门槛和策略,导致不够灵活。面对新威胁新挑战,效率特别低。第二容易误报,我们很多手工或者编程搭建的模型,它的误报比例非常高。
第三是万物互联的时代,传统的边界防御非常难。分享一个数字,在微软的平台上,平均每天监测到的恶意代码攻击数目达到900亿个。在全球范围内,96%的恶意代码只在1台机器上出现1次,在1000台以上机器出现过1次的代码只有0.01%。这样大的挑战就意味着,我们传统的速度(比较慢的手工防御或者手工干涉的机制),其实不能适应恶意代码本身的迭代和进化的速度,我们必须要用新的手段,包括使用人工智能,提高响应整个流程的自动化。
在网络安全方面,我们必须采用一些策略,包括三个方面,第一是平台,我们要保证平台的安全,从根本上把代码写得安全。第二是打造全球网络安全威胁情报,可能国内市场上听到炒作的概念比较多,但它真的是很有用。第三个是我们依赖于合作伙伴,一起打造统一的生态系统平台,保护网络平台安全。
我们的策略其实非常朴素:保护、探测、响应。每一步在传统的定义上都有突破和创新。我们的保护是跨越各个终端,希望从终端捕捉很多有用的数据。这些数据会输入深度学习人工智能平台。在探测方面,要形成一个完整的循环,探测只是整个响应流程中的起点,而不是重点。响应的最终目标就是缩短发现和响应之间时间差。
利用机器学习人工智能的技术,能够提高响应速度,还能够降低误报。人工智能运用在安全防御里的基本原则,就是利用数据,尤其是标注的数据,利用深度学习的模型,最后训练出一个模型,把这个模型放在实际环境里面进行应对。模型本身能够应对的这样一些场景比较多,应对复杂性能力也比较高,将来有更好数据也可以进行重复训练,提高模型的准确度。
“今天微软也已经不是传统的操作系统平台了,我们是人工智能平台,Windows10是我们第一款人工智能操作系统。我们的责任是普及人工智能,整个平台很多都是开源的,大家可以随时上去用。让大家一块儿来努力实现人工智能。”邵江宁最后总结到。
