自我修復，打擊網路犯罪

編譯／台大統計碩士學程 陳育婷

網路犯罪

網路犯罪常發生於全球互聯網絡，主要類型包含：

1. 駭客入侵：未獲權限進入電腦或電腦網絡；
2. 網路詐欺：經由網路操作的詐騙行為；
3. 散播病毒：例如特洛伊木馬，一種後門程式，用以盜取用戶個人資訊，甚至遠端控制對方電腦等；
4. 網路侵權：經由網路違法複製與交易軟體。

其他尚有竊取他人身份與洗錢交易等犯罪類型。隨著數位化社會到來，以及人們對數位科技的依賴，網路犯罪變得更加精密，可針對韌體及嵌入式系統等進行更深層的攻擊，導致傳統的周邊安全與端點保護軟體已不足以應付。我們必須從不同的角度出發，以對抗這些新的威脅。由原先僅具簡單防禦機制的機器，進化到防火牆及硬體本身即具備自我防衛能力的裝置。

能自我修復的機器

人體針對外來病原，並不是以遏止所有攻擊為目的而設計，而是如何在受損時即時自我修復。新的網路安全防護措施，與人體非常相似，目的在於創造一個能持續檢視自身狀態並最佳化，快速因應變動的系統。因此，有別於傳統機器必須歷時數月方可偵測到受感染區域，更須數天或數週才能重新取得平衡；新的自我修復設計，可以經由行為分析技術處理深層的威脅、偵測可疑活動、觸發自動清理的訊號。不但有能力在遭遇攻擊時有效偵測，還可以將系統重新還原到一個未受干擾的工作狀態。具自我修復能力的機器藉由硬體層級快速且大規模的回復與更新，給予我們主動打擊網路安全威脅的機會，主動擊退日益增長的硬體或防火牆攻擊。

惠普科技實驗室在近二十年間不斷研究新的防護，以符合當代社會對電腦安全的需求，最近更將自我修復能力融入硬體設計中。以HPs的企業印表機為例，印表機本身便包含四個防護關卡：

1. HP Sure Start：檢查基本輸出入系統。若被感染，自我修復到良好狀態；
2. 白名單：在電腦啟動時認證防火牆，確認所執行為合法程式；
3. 運行入侵偵測：持續監測記憶體活動以防範攻擊；
4. Connection Inspector：偵測可疑的網路行為或惡意程式訊號。

人工智慧應用於網路犯罪偵測

近年來人工智慧的蓬勃發展，舉凡如物聯網、智慧醫療、智慧城市等，網路安全在人類歷史中從未顯得如此重要，但網路犯罪與攻擊卻變得更不可捉摸。為了有效抵禦入侵，安全架構的設計也應與時俱進，從被動防禦轉變為主動防護。

資料探勘是經常被用於識別網路異常及偵測網路攻擊的人工智慧技術，相關應用包含以單純貝氏分類器（Naïve Bayesian Classifier）分析郵件內容，藉此過濾垃圾郵件；以決策樹（decision Tree）分類信用卡用戶資料以防範信用卡詐欺；結合支援向量機（support vector machine）的浮水印添加軟體可強化對軟體盜版的防範；鏈結分析（link analysis）可用來偵測相似的金融交易行為，以防治網路洗錢等。

誠如惠普科技首席網路安全研究與創新技術專家Boris Balacheff所言：「隨著大眾對科技的依賴程度增加，我們必須不斷改造機器的安全防護設計。這是我們唯一能勝過網路攻擊的方式。」

編譯來源

WIRED, “Fighting Cybercrime with Self-Healing Machines“, WIRED, 2018.

參考資料

1. W. Chung, H. Chen, W. Chang, S.Chou. “Fighting cybercrime: a review and the taiwan experience.” Decision Support Systems 41(3), pp.669–682, 2006.
2. H. Chen, W. Chung, et al. “Crime Data Mining: A General Framework and Some Examples.“ Computer 0018(9162/04), pp.50 – 56, 2004.

(本文由教育部補助｢AI報報─AI科普推廣計畫」執行團隊編譯)