优势防御:战术网络边缘的人工智能
来源:网电空间作战
作者:网络前瞻
扎卡里·斯泽夫奇克|05.17.24
2019 年,Rudy Guyonneau 和 Arnaud Le Dez 在《网络防御评论》的一篇题为“数字战争中的人工智能”的文章中捕捉到了一种共同的恐惧。他们写道:人工智能的问题现在倾向于以神话化的全知为幌子表现出来,因此,神话化的无所不能。这可能导致人们瘫痪,他们害怕不得不与一些拥有如此智慧的超级敌人作战,这将使我们失去解决方案。随着 2022 年 ChatGPT 的发布,这种恐惧似乎成真了。然而,现实情况是,人工智能作为一种进攻工具的使用是逐步发展的,还没有创造出这个超级敌人。如今,人工智能的真正价值很大程度上在于防御。
正如 Microsoft 和 OpenAI 最近解释的那样,今天我们看到威胁行为者以有趣但并非不可战胜的方式使用 AI。他们发现了来自四个国家的五个黑客组织使用人工智能。起初,这些小组使用大型语言模型进行研究、翻译、构建工具和编写网络钓鱼电子邮件。后来,Microsoft看到了建议系统被黑客入侵后采取行动的工具。尽管有些人认为现代模式可以承担更多,但这似乎还为时过早。与担心人工智能会在世界上掀起一波机器人黑客浪潮形成鲜明对比的是,这些行为者将其用于平凡的任务。另一方面,防御性网络力量可以利用当今存在的人工智能技术,以四种关键方式有意义地改善网络防御:加快分析速度、提高预警情报、更有效地制定训练计划以及提供更逼真的训练场景。
首先,端点和网络传感器每天在国防部信息网络中创建数十亿个事件。今天,“数据过载”不仅仅是理论上的危险。这是给定的。然而,正如 Guyonneau 和 Le Dez 所指出的那样,数量只是成功的一半。网络分析师还必须努力应对“以疯狂的速度发展的技术和战略,前者是通过该领域早期经验和技术发展速度带来的紧迫性,后者是随着我们对利害关系的理解的增长而增加的。令人困惑理解的不仅仅是第五个领域的数据量,还有它的复杂性。这种不确定性的海洋是两种最常见的人工智能形式的主要目标,即机器学习和大型语言模型。
机器学习本身不会将数据转化为知识,但它可以加快分析速度。这些模型可能不知道端点为何会以这种方式运行,但它们可以发现奇怪的活动。在大规模上,他们将筛选数百万个日志的负担转移到计算机上。因此,人们花更少的时间在网络大海捞针中寻找数字指针,而将更多的时间花在复杂的调查上。然而,训练、调整、评估、使用和解析这些算法的输出的挑战意味着很少有人能很好地使用它们,如果有的话。大型语言模型可以提供帮助。例如,ChatGPT 或开源 Llama 3 可以处理这些棘手的步骤。我可以要求 ChatGPT “用这个示例数据构建一个支持向量机”,而不是编写支持向量机。我可以要求 Llama 3 调整它们,而不是筛选文档页面来调整超参数。曾经需要数据科学家花费数小时才能完成的任务,现在只需几分钟即可完成。
大型语言模型还可以加快分析速度,成为分析师支持工具的支柱。网络分析师根据不透明的警报开始许多调查。例如,“Trojan:Win32”恶意软件可能感染了终结点的警报可能需要花费数小时才能收集基本信息。大型语言模型可以创建一个简短的报告,解释警报,评估可疑文件,收集有关发出警报的主机的事实,并提供后续调查步骤。著名的威胁搜寻和事件响应公司 Red Canary 已经通过所谓的“GenAI 代理”来做到这一点。将此类平凡的任务外化将大大加快分析的步伐。
作为手动调查和半自主调查之间的垫脚石,我的一个项目使用大型语言模型来构建分析师手册。这些手册指导初级分析师以与更有经验的同行类似的方式处理复杂的调查。它们促进了分析的严谨性。然而,研究、理解然后为如此大量的恶意活动创建检测和调查策略的过程需要几个月的时间。多年来,我看到许多人追求这个崇高的目标,但不可避免地失败了。不过,使用大型语言模型和一些 Python,我在几个小时内构建了一个包含 600 多本剧本的库——MITRE 的 ATT&CK 矩阵(网络领域恶意行为的分类法)中的每种技术各一本。
其次,机器学习还可以帮助从互联网范围内的扫描数据中获得意义,以改善警告智能。情报周期一直在努力跟上网络领域的步伐。例如,许多关于用于发起攻击或控制恶意软件植入的服务器的报告来得太晚了,无法起到任何作用。它们提供了有趣但很少可操作的信息。通过从互联网扫描中发现这些服务器的特征并训练机器学习模型来发现它们,网络分析师可以在实时数据源上使用这些工具来快速找到新的恶意服务器。这种方法不会在几天或几周内根据类似的见解采取行动,因为报告会以机器的速度运行情报。
第三,人工智能可以更好地让分析师为防御性网络任务做好准备。例如,培训需要花费大量时间,而且很难做好。就在去年,我在新的第三多领域工作队中处理了这个问题。该部队被分配到陆军军种司令部,而不是网络任务部队的一部分,该部队的大型网络编队在没有接受训练的情况下站立起来,也没有任何计划来完成它。我们发现自己再次通过建立自己的培训计划来重新创造轮子。我们计划在这个项目上花费一年多的时间。然而,经过一些实验,我们找到了一种使用大型语言模型在短短几个小时内创建整个课程的方法——包括课程计划、培训材料,甚至一些动手练习和评估。
最后,人工智能还可以改善实践培训。真实场景的构建、运行和维护非常困难。事实上,它们并不存在。迈克尔·施维勒(Michael Schwille)、斯科特·费舍尔(Scott Fisher)和伊莱·奥尔布赖特(Eli Albright)最近描述了他们在陆军演习中尝试使用真实世界数据实施数据驱动行动时面临的挑战。然而,正如 Guyonneau 和 Le Dez 在他们 2019 年的文章中指出的那样,“如果存在相应的数据并且可以获取,那么网络队友就有能力模拟任何类型的环境,无论是友好的、中立的还是对抗性的。AI 代理几乎可以处理所有事情。如果整个团队需要手动设置网络靶场,则代理可以生成描述该网络靶场的代码,然后将其部署在称为基础架构即代码的常见行业实践中。智能体还可以使用合成演员运行逼真的场景,这些演员可以实时响应受训者的行为。分析师们再也不必忍受基于资源不足的培训小组所编写的预设脚本的小型人为事件。
人工智能在网络行动中可以发挥重要作用。正如珍妮·君(Jenny Jun)最近所描述的那样,人工智能在网络领域的影响将是“更锋利的剑,更坚固的盾牌”。然而,在进攻方面,正如Microsoft和OpenAI所观察到的那样,这些角色目前仍然很小,最终可能不会使进攻性网络行动在战术层面上具有相关性。如今,人工智能的大部分价值在于防御性网络行动。作为一名网络分析师,我每天可以访问数千亿条新记录,这是机器学习的主要目标。当与改进的预警情报相结合时,也可以通过机器学习,这项技术提供了一个机会,可以大大减少威胁行为者未被发现的时间,甚至在活动开始之前将其中和。建立在大型语言模型之上的分析师支持工具可以进一步加快我的分析速度。在这些行动之前,人工智能可以帮助减轻建立和运行训练的沉重负担。与许多过度承诺和交付不足的崇高想法不同,这些目标是现实的,并且可以通过直线单位今天拥有的资源来实现。我们说我们想要创新。机会来了;我们必须抓住它。这就是我们如何在战术网络边缘有意义地使用人工智能的方式。
扎卡里·斯泽夫奇克(Zachary Szewczyk)上尉从扬斯敦州立大学毕业并获得计算机科学和信息系统本科学位后,于 2018 年加入网络部队。他支持或领导了从战术到战略层面的防御性网络空间行动,包括几次高级别的事件响应。他目前在第三多域作战特遣部队任职。
关注公众号了解更多
会员申请 请在公众号内回复“个人会员”或“单位会员
欢迎关注中国指挥与控制学会媒体矩阵
CICC官方网站
CICC官方微信公众号
《指挥与控制学报》官网
国际无人系统大会官网
中国指挥控制大会官网
全国兵棋推演大赛
全国空中智能博弈大赛
搜狐号
一点号