2019 年,鲁迪-古永诺(Rudy Guyonneau)和阿尔诺-勒德兹(Arnaud Le Dez)在一篇题为 “数字战争中的人工智能”文章中捕捉到了一种共同的恐惧。他们写道,“现在,人工智能的问题往往是在一种被神话化的无所不知的幌子下显现出来的”。“这可能会导致人们陷入瘫痪,害怕不得不与某个被赋予了如此高智商的超级敌人作战,以至于让我们无计可施。” 随着 2022 年 ChatGPT 的发布,这种恐惧似乎成真了。然而,现实情况是,人工智能作为一种进攻性工具的使用是逐步发展的,还没有创造出这种超级敌人。如今,人工智能的真正价值大多在于国防。
正如微软和 OpenAI 最近解释的那样,今天看到威胁行为者以有趣但并非不可战胜的方式使用人工智能。他们发现来自四个国家的五个黑客组织正在使用人工智能。起初,这些组织使用大型语言模型进行研究、翻译、构建工具和编写钓鱼邮件。后来,微软看到这些工具在系统被黑客攻击后建议采取的行动。虽然有人认为现代模型可以承担更多工作,但似乎为时尚早。人们担心人工智能会在世界上掀起一股机器人黑客浪潮,与此形成鲜明对比的是,这些行为者将人工智能用于执行平凡的任务。另一方面,防御型网络部队可以利用当今存在的人工智能技术,从四个关键方面切实提高网络防御能力:加快分析速度、提高预警智能、更高效地制定培训计划,以及提供更逼真的培训场景。
首先,端点和网络传感器每天在国防部门信息网络中产生数十亿个事件。如今,“数据超载”已不仅仅是理论上的危险。它是一种必然。正如 Guyonneau 和 Le Dez 所指出的,数据量只是成功的一半。网络分析师还必须应对 “以疯狂速度发展的技术和策略,前者是由于该领域的早期经验和技术发展速度所造成的,后者则是由于我们对利害关系的理解不断加深”。第五个领域不仅数据量大,其复杂性也让人难以理解。对于机器学习和大型语言模型这两种最常见的人工智能形式来说,不确定性是首要目标。
机器学习本身不会将数据转化为知识,但可以加快分析速度。这些模型可能不知道终端为什么会以这种方式运行,但它们可以发现奇怪的活动。在规模上,它们将筛选数百万条日志的重担转移到了计算机上。因此,人们可以减少在网络中寻找数字针的时间,将更多时间用在复杂的调查上。不过,训练、调整、评估、使用和解析这些算法输出所面临的挑战意味着,很少有人能很好地使用它们。大型语言模型可以提供帮助。例如,ChatGPT 或开源的 Llama 3 可以处理这些棘手的步骤。可以让 ChatGPT “用这个样本数据建立一个支持向量机”,而不是编码一个支持向量机。可以让 Llama 3 来调整超参数,而不是翻阅几页文档来调整超参数。以前需要数据科学家花费数小时完成的任务,现在只需要热心的分析师花费几分钟就能完成。
作为分析师支持工具的支柱,大型语言模型也能加快分析速度。网络分析师会根据不透明的警报开始许多调查。例如,“Trojan:Win32 ”恶意软件可能已感染端点的警报可能需要数小时的工作才能收集到基本信息。而大型语言模型则可以创建一份简短的报告,对警报进行解释,对可疑文件进行评估,收集发出警报的主机的相关信息,并提供下一步的调查步骤。著名的威胁猎取和事件响应公司红金丝雀(Red Canary)已经通过其所谓的 “GenAI 智能体 ”做到了这一点。将诸如此类的琐碎任务外部化,将大大加快分析速度。
作为人工调查和半自主调查之间的垫脚石,可使用大型语言模型来构建分析师操作手册。这些操作手册指导初级分析师以与经验丰富的同行类似的方式进行复杂的调查。它们促进了分析的严谨性。不过,研究、理解、然后为如此大量的恶意活动创建检测和调查策略的过程需要数月时间。多年来,看到许多人在追求这一崇高目标,但却不可避免地失败了。不过,使用大型语言模型和一些 Python 语言,在几个小时内就建立了一个包含六百多个剧本的库,其中包括 MITRE 的 ATT&CK 矩阵(网络领域恶意行为的分类标准)中的每种技术。
其次,机器学习还有助于从互联网扫描数据中获取意义,从而改进预警情报。情报周期一直难以跟上网络领域的发展步伐。例如,许多关于用于发动攻击或控制恶意软件植入的服务器的报告都来得太晚,无法起到任何作用。它们提供的信息虽然有趣,但很少具有可操作性。通过从全互联网扫描中发现这些服务器的特征,并训练机器学习模型来识别它们,网络分析师可以在实时数据源上使用这些工具,快速发现新的恶意服务器。这种方法将以机器速度实现情报的可操作性,而不是在几天或几周后,当报告从情报周期中流出时,才对类似的见解采取行动。
第三,人工智能可以让分析人员更好地为防御性网络任务做好准备。例如,培训需要大量时间,而且很难做好。去年,在新成立的美第三多域特遣部队中就遇到过这种情况。该单元的大型网络编队被分派到陆军的一个军种司令部,而不是网络特遣部队的一部分,在没有获得培训的情况下就开展工作,也没有任何获得培训的计划。经过一些实验后,找到了一种方法,可以在短短几个小时内使用大型语言模型创建整个课程,包括课程计划、培训材料,甚至一些实践练习和评估。
最后,人工智能还可以改进实训。真实场景的构建、运行和维护都非常困难。事实上,它们根本不存在。迈克尔-施维尔(Michael Schwille)、斯科特-费舍尔(Scott Fisher)和伊莱-奥尔布赖特(Eli Albright)最近描述了他们在一次陆军演习中尝试使用真实世界的数据实施数据驱动操作时所面临的挑战。不过,正如 Guyonneau 和 Le Dez 在 2019 年的文章中指出的那样,“如果存在并能获取相应的数据,网络队友就有能力模拟任何类型的环境,无论是友好的、中立的还是敌对的”。一个智能体几乎可以处理所有事情。在整个团队需要手动设置网络范围的情况下,一个智能体可以生成描述该网络范围的代码,然后以一种被称为基础设施即代码的行业通用做法进行部署。智能体还可以运行具有合成行为体的逼真场景,实时响应受训者的行动。分析人员不必再忍受资源不足的培训小组根据预制脚本进行的小型、虚构事件。
人工智能在网络战中可以发挥宝贵的作用。正如珍妮-君(Jenny Jun)最近以令人钦佩的简洁描述的那样,人工智能在网络领域的作用将是 “更锋利的剑,更坚硬的盾”。不过,在进攻方面,正如微软和 OpenAI 所观察到的那样,这些作用目前仍然很小,而且最终可能无法使进攻性网络行动在战术层面发挥作用。如今,人工智能的大部分价值在于防御性网络行动。通过机器学习,这项技术还能提高预警智能,从而大幅缩短威胁行为者未被发现的时间,甚至在活动开始之前就将其消灭。建立在大型语言模型之上的分析师支持工具可以进一步加快分析速度。在这些行动之前,人工智能可以帮助减轻构建和作战培训的沉重负担。与许多言过其实、事与愿违的崇高理想不同,这些目标都是现实的,是可以通过职能单元目前所拥有的资源来实现的。
参考来源:Modern War Institute
相关内容
微信扫码咨询专知VIP会员