機(jī)器學(xué)習(xí)可以幫助企業(yè)更好地了解自身面臨的安全威脅，幫助員工專注于更有價(jià)值的戰(zhàn)略任務(wù)。同時(shí)，它還可能是解決下一輪WannaCry風(fēng)波的有力武器。

20世紀(jì)中期，Arthur Samuel在AI之后創(chuàng)造了“機(jī)器學(xué)習(xí)”這個(gè)短語(yǔ)，并將其定義為“在沒(méi)有被明確編程的情況下就能學(xué)習(xí)的能力?！笨绱笮蛿?shù)據(jù)集應(yīng)用數(shù)學(xué)技術(shù)，機(jī)器學(xué)習(xí)算法可以構(gòu)建行為模型，并基于新輸入的數(shù)據(jù)，使用這些模型作為對(duì)未來(lái)進(jìn)行預(yù)測(cè)的基礎(chǔ)。視頻網(wǎng)站（如Netflix）可以根據(jù)您之前的歷史觀看記錄為您提供新劇集，自動(dòng)駕駛汽車可以通過(guò)與行人近距離接觸的過(guò)程了解道路狀況，這些都是機(jī)器學(xué)習(xí)在生活中最普遍的例子。

那么，信息安全中的機(jī)器學(xué)習(xí)應(yīng)用又是什么呢？

原則上來(lái)說(shuō)，機(jī)器學(xué)習(xí)可以幫助企業(yè)組織更好地分析威脅，并響應(yīng)攻擊和安全事件。它還可以幫助自動(dòng)執(zhí)行一些更為瑣碎繁復(fù)的工作，這些工作或是任務(wù)量巨大或是此前由技術(shù)欠缺的安全團(tuán)隊(duì)所執(zhí)行。

除此之外，機(jī)器學(xué)習(xí)在安全性方面的應(yīng)用也正呈現(xiàn)快速增長(zhǎng)的趨勢(shì)。ABI Research 的分析師估計(jì)，到2021年，機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全方面的應(yīng)用將推動(dòng)大數(shù)據(jù)、人工智能（AI）及分析方面的支出增長(zhǎng)到960億美元，與此同時(shí)，世界上一些科技巨頭也已經(jīng)紛紛采取措施以更好地保護(hù)自己的客戶。

例如，谷歌正在利用機(jī)器學(xué)習(xí)來(lái)分析在Android上運(yùn)行的移動(dòng)終端威脅，以及識(shí)別和移除受感染手機(jī)中的惡意軟件；而云基礎(chǔ)設(shè)施巨頭亞馬遜也已經(jīng)成功收購(gòu)了初創(chuàng)公司 harvest.AI，并推出了Macie——一種使用機(jī)器學(xué)習(xí)來(lái)發(fā)現(xiàn)、排序和分類S3云存儲(chǔ)上數(shù)據(jù)的服務(wù)。

與此同時(shí)，企業(yè)安全供應(yīng)商也一直致力于將機(jī)器學(xué)習(xí)集成到新舊產(chǎn)品線中，旨在進(jìn)一步改進(jìn)惡意軟檢測(cè)效率。J. Gold Associates總裁兼首席分析師Jack Gold表示：大多數(shù)主流安全公司已從幾年前用于檢測(cè)惡意軟件的純‘基于簽名’的系統(tǒng)，轉(zhuǎn)變?yōu)樵噲D解釋行為及事件，并從各種源中學(xué)習(xí)判斷什么是安全，什么不是的機(jī)器學(xué)習(xí)系統(tǒng)。它仍然是一個(gè)新興的領(lǐng)域，但它也顯然是未來(lái)的發(fā)展方向。AI和機(jī)器學(xué)習(xí)將極大地改變安全運(yùn)作方式。

雖然這種轉(zhuǎn)變不會(huì)在朝夕之間發(fā)生，但機(jī)器學(xué)習(xí)已經(jīng)在某些領(lǐng)域出現(xiàn)。德國(guó)電信創(chuàng)新實(shí)驗(yàn)室（以及以色列本古里安大學(xué)網(wǎng)絡(luò)安全研究中心）首席技術(shù)官Dudu Mimran表示：人工智能——作為一個(gè)更廣泛的定義，包括機(jī)器學(xué)習(xí)和深度學(xué)習(xí)——正處于驅(qū)動(dòng)網(wǎng)絡(luò)防御的早期階段，但已經(jīng)在終端、網(wǎng)絡(luò)、欺詐或SIEM中起到了識(shí)別惡意活動(dòng)模式的明顯作用。我相信未來(lái)我們會(huì)在防御服務(wù)中斷、歸因和用戶行為修改等方面看到越來(lái)越多的用例。

接下來(lái)，我們一起來(lái)了解一下機(jī)器學(xué)習(xí)在安全領(lǐng)域的最頂級(jí)用例：

1. 使用機(jī)器學(xué)習(xí)來(lái)檢測(cè)惡意活動(dòng)并阻止攻擊

機(jī)器學(xué)習(xí)算法將幫助企業(yè)更快地檢測(cè)惡意活動(dòng)，并在攻擊開(kāi)始之前予以阻止。英國(guó)初創(chuàng)公司Darktrace就成功把握住了這種發(fā)展機(jī)遇，據(jù)悉，這家創(chuàng)立于2013年的公司已經(jīng)在其基于機(jī)器學(xué)習(xí)的企業(yè)免疫解決方案（Enterprise Immune Solution）方面取得了很大成就。

Darktrace公司技術(shù)總監(jiān)David Palmer介紹稱，Darktrace曾利用機(jī)器學(xué)習(xí)算法幫助北美一家賭場(chǎng)成功檢測(cè)到了數(shù)據(jù)泄露攻擊，該攻擊使用“聯(lián)網(wǎng)魚缸作為進(jìn)入賭場(chǎng)網(wǎng)絡(luò)的切入點(diǎn)?！痹摴具€宣稱，在之前肆虐全球的WannaCry勒索軟件活動(dòng)中，其算法也成功防止過(guò)一起類似的攻擊。

談及感染了150個(gè)國(guó)家20多萬(wàn)受害者的WannaCry勒索軟件，Palmer表示：我們的算法在幾秒鐘內(nèi)，就成功地從一家國(guó)民醫(yī)療服務(wù)（NHS）機(jī)構(gòu)的網(wǎng)絡(luò)中檢測(cè)出了攻擊，并在該攻擊尚未對(duì)該機(jī)構(gòu)造成任何破壞前成功緩解了威脅。事實(shí)上，我們的客戶沒(méi)有任何一家受到了WannaCry攻擊的傷害，甚至包括那些沒(méi)打補(bǔ)丁的用戶。

2. 使用機(jī)器學(xué)習(xí)來(lái)分析移動(dòng)終端

在移動(dòng)設(shè)備上，機(jī)器學(xué)習(xí)已經(jīng)成為主流，但到目前為止，其大部分活動(dòng)都是為了改善Google Now、蘋果的Siri和亞馬遜的Alexa等基于語(yǔ)音的體驗(yàn)。不過(guò)，機(jī)器學(xué)習(xí)在安全方面確實(shí)有應(yīng)用。如上所述，谷歌正在使用機(jī)器學(xué)習(xí)來(lái)分析針對(duì)移動(dòng)終端的威脅，而企業(yè)則在防護(hù)自帶及自選移動(dòng)設(shè)備上看到了更多機(jī)會(huì)。

2017年10月，MobileIron和Zimperium宣布合作，幫助企業(yè)采用集成了機(jī)器學(xué)習(xí)技術(shù)的移動(dòng)反惡意軟件解決方案。MobileIron表示，它將把Zimperium基于機(jī)器學(xué)習(xí)的威脅檢測(cè)與MobileIron的安全和合規(guī)性引擎相集成，并作為組合解決方案出售，該解決方案將解決諸如檢測(cè)設(shè)備、網(wǎng)絡(luò)及應(yīng)用程序威脅等方面的挑戰(zhàn)，并快速采取自動(dòng)化措施來(lái)防護(hù)公司數(shù)據(jù)。

其他供應(yīng)商也在尋求支持他們的移動(dòng)解決方案。Zimperium、LookOut、Skycure（已被賽門鐵克收購(gòu)）以及Wandera，一直被視為移動(dòng)威脅檢測(cè)和防御市場(chǎng)中的領(lǐng)軍者。他們每家都使用自有的機(jī)器學(xué)習(xí)算法來(lái)檢測(cè)潛在威脅。例如，Wandera推出了其威脅檢測(cè)引擎 MI:RIAM，據(jù)稱檢測(cè)出了超過(guò)400種針對(duì)企業(yè)移動(dòng)設(shè)備的SLocker勒索軟件變種。

3. 使用機(jī)器學(xué)習(xí)來(lái)增強(qiáng)人類分析

作為機(jī)器學(xué)習(xí)在安全領(lǐng)域的核心應(yīng)用，人們相信它可以幫助人類分析師處理安全方面的各項(xiàng)工作，包括檢測(cè)惡意攻擊、分析網(wǎng)絡(luò)、終端防護(hù)和漏洞評(píng)估。而它在威脅情報(bào)方面發(fā)揮的作用可以說(shuō)才是最令人興奮的。

例如，2016年，麻省理工學(xué)院計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL）開(kāi)發(fā)出了一個(gè)名為“AI2”的系統(tǒng)，這是一個(gè)自適應(yīng)機(jī)器學(xué)習(xí)安全平臺(tái)，能夠幫助分析師從海量數(shù)據(jù)中找出真正有用的東西。該系統(tǒng)每天審查數(shù)百萬(wàn)登錄，過(guò)濾數(shù)據(jù)，并將濾出內(nèi)容轉(zhuǎn)送給人類分析師，從而將警報(bào)數(shù)量降低至每天100個(gè)左右。這項(xiàng)由CSAIL和初創(chuàng)公司PatternEx共同進(jìn)行的實(shí)驗(yàn)表明，攻擊檢測(cè)率被提升到了85%，而誤報(bào)率則降低了5倍之多。

4. 使用機(jī)器學(xué)習(xí)自動(dòng)化重復(fù)性安全任務(wù)

機(jī)器學(xué)習(xí)的真正好處是它可以自動(dòng)化重復(fù)性任務(wù)，使員工能夠?qū)Ｗ⒃诟匾墓ぷ魃?。Palmer稱，機(jī)器學(xué)習(xí)最終應(yīng)該旨在“消除重復(fù)性高且低價(jià)值的決策活動(dòng)對(duì)人力的需求，就像分類威脅情報(bào)一樣”。讓機(jī)器處理重復(fù)性工作和阻止勒索軟件之類戰(zhàn)術(shù)性救火工作，這樣人類就可以騰出時(shí)間來(lái)處理戰(zhàn)略性問(wèn)題——比如現(xiàn)代化Windows XP 系統(tǒng)等等。

Booz Allen Hamilton公司正在沿著這條路線發(fā)展。據(jù)報(bào)道，該公司使用人工智能工具更高效地分配人類安全資源，對(duì)威脅進(jìn)行分類，以便員工可以專注于最關(guān)鍵的攻擊。

5. 使用機(jī)器學(xué)習(xí)來(lái)關(guān)閉零日漏洞

有些人認(rèn)為機(jī)器學(xué)習(xí)可以幫助彌補(bǔ)漏洞，尤其是零日威脅和其他針對(duì)大部分不安全IoT設(shè)備的威脅。據(jù)《福布斯》報(bào)道稱，亞利桑那州立大學(xué)的一支團(tuán)隊(duì)已經(jīng)通過(guò)機(jī)器學(xué)習(xí)技術(shù)來(lái)監(jiān)控暗網(wǎng)流量，以識(shí)別與零日漏洞利用相關(guān)的數(shù)據(jù)。有了這種洞察力，企業(yè)組織就有能力在漏洞造成數(shù)據(jù)泄露之前堵上漏洞并阻止補(bǔ)丁攻擊。

炒作和誤解叢生的領(lǐng)域

需要注意的是，機(jī)器學(xué)習(xí)并非靈丹妙藥，尤其是對(duì)于一個(gè)仍在對(duì)這些技術(shù)進(jìn)行概念驗(yàn)證實(shí)驗(yàn)的行業(yè)而言。機(jī)器學(xué)習(xí)的發(fā)展必然是道阻且長(zhǎng)的過(guò)程。機(jī)器學(xué)習(xí)系統(tǒng)有時(shí)會(huì)有誤報(bào)（無(wú)監(jiān)督學(xué)習(xí)系統(tǒng)的算法會(huì)基于數(shù)據(jù)推測(cè)類型），而一些分析師也坦率地承認(rèn)，用在安全領(lǐng)域的機(jī)器學(xué)習(xí)可能是“黑匣子”解決方案，即CISO不能完全確定其內(nèi)部機(jī)制，因此，他們只能被迫地將自己的信任與責(zé)任置于供應(yīng)商和機(jī)器的肩上。

畢竟，在一些安全解決方案甚至可能壓根兒沒(méi)用機(jī)器學(xué)習(xí)的世界中，這種盲目信任的想法并不可取。Palmer表示：大多數(shù)被吹捧的機(jī)器學(xué)習(xí)產(chǎn)品都不會(huì)在客戶環(huán)境中真正學(xué)習(xí)。相反地，它們只是在供應(yīng)商自己的云上用惡意軟件樣本訓(xùn)練出模型，再下載到客戶公司，就像病毒簽名似的。這對(duì)于客戶安全來(lái)說(shuō)，并不是什么進(jìn)步，基本上是在倒退。

此外，算法在投入實(shí)際使用前需要學(xué)習(xí)模型所需的訓(xùn)練數(shù)據(jù)樣本，而這些樣本中存在的糟糕數(shù)據(jù)和實(shí)現(xiàn)可能會(huì)產(chǎn)出更糟糕的結(jié)果。機(jī)器學(xué)習(xí)的效果，取決于你輸入的信息。垃圾的輸入，必然導(dǎo)致垃圾的輸出。因此，如果你的機(jī)器學(xué)習(xí)算法設(shè)計(jì)不佳，結(jié)果也就不會(huì)非常理想。算法在實(shí)驗(yàn)室訓(xùn)練數(shù)據(jù)上有用是一回事，但最大的挑戰(zhàn)還在于讓機(jī)器學(xué)習(xí)網(wǎng)絡(luò)防御在現(xiàn)實(shí)復(fù)雜網(wǎng)絡(luò)中奏效。