過去的2015年發(fā)生了太多令人咋舌的網(wǎng)絡攻擊事件。

從美國中央情報局局長John Brennan的私人郵件泄露到索尼公司，從美國OPM千萬人信息泄露到惡名遠播的交友網(wǎng)站Ashley Madison，數(shù)量不計的網(wǎng)民、用戶經(jīng)歷或正在經(jīng)歷網(wǎng)絡不安全帶來的影響。根據(jù)波耐蒙研究所（Ponemon Institute）的報告顯示，2015年在美國發(fā)生的數(shù)據(jù)泄露賠償平均成本達到了驚人的650萬美元，較去年增長了60萬美元。

除此之外，遭遇攻擊的個人也付出了慘痛的代價：被泄露的電話號碼、信用卡信息、社保賬號、個稅信息，以及處理這些“后事”所耗費的時間。

網(wǎng)絡威脅的復雜性和空間范圍將會進一步升級，而我們采用的防御手段仍然停留在中世紀。目前的策略是發(fā)現(xiàn)并定義威脅，然后建立堅固的防御墻來抵御這些惡意代理、病毒或者程序。

一旦攻擊者成功入侵，我們的信息便任其擺布。當攻擊者入侵我們的系統(tǒng)時，我們無法對其進行追蹤，而目前的防御體系也只能在為時已晚的時候才會發(fā)出警報。

更為重要的是，安全墻在面對內部攻擊是毫無招架之力，如此一來個別心懷不滿的雇員或者攻擊者通過社會工程學手段同樣可以進行攻擊。畢竟，如果我們不知道我們在尋找什么，又如何才能找到它呢？

這遠不是一場注定失敗的戰(zhàn)斗，而我們所需要靈感或許可以從生物學中發(fā)現(xiàn)。

生物戰(zhàn)

病毒與宿主之間的斗戰(zhàn)已經(jīng)在人類體內上演了數(shù)百萬年。通過進化，自然為我們精心制作了高度復雜的防御堡壘，用于阻礙外部入侵以及內部的惡意攻擊威脅。

這是涉及多個層次、史詩級的戰(zhàn)斗。皮膚作為一個高度復雜的屏障，抵擋了外界的滲透入侵。與之相似的是數(shù)字防火墻，非常強硬、適應性好，同時還不斷加強自身實力。

但是，沒有不會倒塌的墻。

在網(wǎng)絡安全中，失去墻可能意味著失去正常戰(zhàn)斗。細菌戰(zhàn)卻描繪了一幅完全不同的畫面。

一旦邪惡勢力突破防線，我們的內部防御——免疫系統(tǒng)——便會高速運轉起來。從某種程度上來說，我們的身體是一個高度體制化的國家：免疫系統(tǒng)不間斷地監(jiān)視著我們體內環(huán)境，以確保數(shù)十億子民（分子）正常履行他們的職責。免疫系統(tǒng)還會識別和記憶什么是正常的情況，因此一旦出現(xiàn)異常，無論是復雜還是奇特的，它都會對其作出反應。

網(wǎng)絡與生物戰(zhàn)二者間的相似性很難讓人忽略：都需要面對越來越復雜的敵人，以及日益變化的攻擊手段。但是，由于免疫系統(tǒng)“自身”與“其他”的鮮明區(qū)分，使得在大多數(shù)情況下我們沒有意識到威脅臨近時，它還能發(fā)揮強大的作用。

生物免疫系統(tǒng)當然是很有效的。那我們?yōu)楹尾凰餍詫⑵溲由熘辆W(wǎng)絡空間，建立一個網(wǎng)絡免疫系統(tǒng)，來保護我們的電腦和凈化網(wǎng)絡？

網(wǎng)絡免疫系統(tǒng)（Cyberimmunity）

自上世紀80年代起，就有計算機學者開始玩網(wǎng)絡免疫系統(tǒng)這個概念了。但是在那個年代，AI還無法勝任這項任務——沒有算法能夠自適應地去學習復雜的規(guī)則并推導出新的。

隨著近期AI和深度學習的迅猛發(fā)展，情況已經(jīng)開始發(fā)生改變。使用這些算法，學者開始將免洗系統(tǒng)的兩個特性——學習和記憶——運用到網(wǎng)絡安全中。

企業(yè)免疫系統(tǒng)技術領導者、網(wǎng)絡安全公司Dartrace在一段視頻中這樣解釋：

“我們的系統(tǒng)進行的是自主學習，它清楚哪些是正常情況，從而能夠針對出現(xiàn)的異常進行實時監(jiān)測。”

其實，它是這樣工作的：算法自動將企業(yè)的每個設備、用戶和網(wǎng)絡進行模式識別，讓系統(tǒng)對信息正常流動的情況進行充分地學習。由此程序可以推演出一個“威脅的可視化界面”來繪制最大的威脅，從而讓網(wǎng)絡安全分析師可以將重心放在最大威脅或者威脅進程之中。

和免疫系統(tǒng)一樣，Darktrace也需要處理系統(tǒng)各個組件中的大量“噪聲”。在人體免疫系統(tǒng)中，當傷害嚴重到一定程度，比如免疫系統(tǒng)會發(fā)出招募“騎兵”的信號，“殺手T細胞”便會沖到損傷部位，進行處理并將潛在的感染清除。

網(wǎng)絡免疫系統(tǒng)的工作則略有不同。想要學習什么是正常狀態(tài)，程序需要在后臺靜靜地進行監(jiān)控長達數(shù)周，然后才能進行異常檢測。此前傳統(tǒng)方式是對所有的可疑活動進行標記，這會產(chǎn)生大量的誤報，取而代之的是基于可能性的建議，其結果會根據(jù)不斷更新的證據(jù)進行變動。

系統(tǒng)還會自動與敏感信息進行切割，設置“蜜罐”對攻擊者的行為進行觀察——了解他們尋找的信息、他們如何行動甚至能發(fā)現(xiàn)他們的來源。

目前為止，Darktrace的系統(tǒng)在發(fā)現(xiàn)可疑活動這一方面運行良好，能夠處理包括密碼妥協(xié)、內部文件異常傳輸以及勒索軟件感染在內的諸多問題。

然而，系統(tǒng)并非完美。

生物免疫系統(tǒng)也是存在其固有缺陷的。自身免疫系統(tǒng)便是一個很好的例子，在一些情況下，病原體與我們自身的組件非常相似，因此免疫系統(tǒng)會喪失區(qū)分“自我”和“其他”的能力。而一旦進行除害，系統(tǒng)還會在無意中傷害我們自身的組織。

既然如此，網(wǎng)絡自身免疫會成為一個問題嗎？

在殺毒軟件識別過程中已經(jīng)出現(xiàn)過這樣的案例，軟件將核心計算機代碼識別為惡意軟件并將其關閉。隨著攻擊者運用的攻擊策略日益復雜，網(wǎng)絡免疫的算法依舊能夠找出可疑點并將其封鎖的情況或許會出現(xiàn)變化。與關閉人體免疫系統(tǒng)的HIV病毒相似，攻擊者甚至可能會更直接選擇攻擊網(wǎng)絡免疫系統(tǒng)，而不是繞過它。

后果則可能是致命的。

安全將永遠是一場貓捉老鼠的游戲，沒有百分百的安全。毋庸置疑的是，擁有自動化的學習系統(tǒng)，能夠不斷發(fā)現(xiàn)并隔離新威脅將為我們帶來更大的勝算。似乎，更為復雜的仿生網(wǎng)絡安全系統(tǒng)已經(jīng)不遠了。