人工智能新方向，IBM 的 Watson 要来对抗网络犯罪了

计算机已经被用于对抗网络犯罪，但是多数情况下，它的判断依赖于对异常行为的辨识，而异常行为太多了。根据 IBM 的一份报告，一个组织平均每天能发现 20 万次的安全事件，根本无法进行全面的跟踪。另外，即使识别了异常行为，计算机也很难把握整个事件的全貌。为了解决这个问题，IBM 用上了自己的人工智能系统 Watson。

“这是解析、学习和收集非结构化数据的问题，需要收集博客、白皮书和研究报告等等，” IBM 安全部门副总裁 Caleb Barlow 对 Wired 网站说，“除此之外，还要获取那些非结构化的、不易为机器理解的各种形式的分析报告，同时要对数据进行背景分析，以了解潜在的问题是什么。”

(图片来自 Wired)

Watson 的信息处理能力是人类无法企及的。安全研究员不可能掌握数以万计的软件漏洞，或者阅读每月新增的数万篇安全博客，而 Watson 可以做到。

曾在医务部门工作的 Barlow 打了个比方。Watson 就像是一名急救医生。在判断症状根源的时候，急救医生需要综合各种状况。他观察结构化的数据，包括血压、心率、呼吸状况，同时，他也会考虑一些非结构化的数据，比如病人的口头回应、病人遭遇的意外状况等。在结合所有可以获取的信息后，急救医生能够更好地了解病人的真实状况，向临床医生提供预后。“这也是 Watson 将要提供给安全运营中心的东西，” Barlow 说。

(图片来自 Wired)

在此之前，Waston 需要了解网络安全的原理。由于网络安全的复杂性，这并不是一件容易的事情。Watson 不仅要阅读大量的资料，而且要理解它的具体含义，搞懂各种术语之间的联系。

“在阅读文本的时候，它需要做些什么事情呢？它需要了解这些术语的含义。 ‘网络攻击’ 是什么意思？‘攻击目标’ 是什么意思？‘安全事故’ 是什么意思？安全事故的信号又是什么？” Barlow 说。

目前，Watson 的学习资料是 IBM 研究员手工选择，而且进行了手工注释的。一旦 Watson 把握了基本概念，能够自己做注释后，研究员们就加快进程，从美国八所大学的学生那里获取帮助。在初步训练阶段，Watson 每月要消化 1.5 万个安全文件，与不同的图书馆和新闻源保持联系，以保证自己的知识始终是最新的。

(图片来自 Novealthy)

如果 Watson 学习速度够快的话，今年年底 IBM 可能将其部署到企业。Barlow 认为，Watson 不仅可以辨识已经存在的安全风险，而且有可能提前预防。有些网络攻击可能持续数天，甚至是数周时间，如果 Watson 能够提前辨识出危险信号，那么，安全人员就能提前预防，或者早日开始对抗这些攻击。

“教授 Watson 与教授我的孩子之间的区别在于，Watson 永远不会忘记东西，” Barlow 说。

题图来自 techbreak