人工智能（AI）和機(jī)器學(xué)習(xí)（ML）是眾多辯論的主題，特別是在網(wǎng)絡(luò)安全社區(qū)內(nèi)更是如此。那么，機(jī)器學(xué)習(xí)會(huì)是下一個(gè)大的安全趨勢(shì)嗎？人工智能準(zhǔn)備好了接受機(jī)器學(xué)習(xí)推動(dòng)的攻擊嗎？總的來說，人工智能是否做好了使用的準(zhǔn)備？無論你對(duì)于機(jī)器學(xué)習(xí)是否會(huì)成為網(wǎng)絡(luò)安全救世主的看法如何，有兩件事情卻是真實(shí)的：一是分析在安全領(lǐng)域占有一席之地，二是機(jī)器學(xué)習(xí)在一些具體的使用案例中代表了我們今天所能給出的最好答案。

　　盡管有報(bào)道稱黑客使用了”復(fù)雜老道”的入侵方法，但是很有可能的是黑客或黑客團(tuán)體聰明地使用了常見的攻擊方法攻入了這家銀幕巨頭的系統(tǒng)，并使用了 “little.finger66″（譯注：”小指頭66″，”小指頭”是《權(quán)力的游戲》劇集人物培提爾。貝里席的綽號(hào)）這個(gè)綽號(hào)。

　　下面列舉了一些使用案例，它們代表了一些會(huì)影響每一家企業(yè)的常見安全威脅。不過，機(jī)器學(xué)習(xí)可能是也可能不是網(wǎng)絡(luò)安全的靈丹妙藥，但在下面這些情況中，它肯定會(huì)有所幫助。

　　使用案例1：”叉魚”（防范網(wǎng)絡(luò)釣魚）

　　網(wǎng)絡(luò)釣魚是今天最常見的攻擊媒介，而且非常成功。這種攻擊利用了個(gè)人對(duì)通信工具的熟悉，如社交媒體和電子郵件，通過附件或鏈接向不知情的收件人發(fā)送惡意內(nèi)容。這種攻擊的有效性依賴于攻擊者誤導(dǎo)最終用戶點(diǎn)擊或下載惡意有效載荷并在之后繞過內(nèi)部控制的能力。目前其不斷增加的破壞性和勒索軟件有效載荷使得這種攻擊更加嚴(yán)重。

　　組織可以通過從電子郵件中捕獲元數(shù)據(jù)來檢測(cè)這些威脅，而且這種做法不會(huì)影響用戶的隱私。通過查看電子郵件標(biāo)題以及對(duì)郵件正文數(shù)據(jù)的二次抽樣，機(jī)器學(xué)習(xí)算法可以學(xué)習(xí)識(shí)別能夠暴露惡意發(fā)件人的電子郵件模式。通過提取和標(biāo)記這些微觀行為，我們可以訓(xùn)練我們的模型來檢測(cè)是否有人正在嘗試網(wǎng)絡(luò)釣魚。隨著時(shí)間的推移，機(jī)器學(xué)習(xí)工具可以根據(jù)發(fā)件人的可信賴性構(gòu)建曲線圖。

　　使用案例2：水坑式攻擊（Watering Holes）

　　類似于網(wǎng)絡(luò)釣魚攻擊，水坑式攻擊看起來似乎是合法的網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序。但是，這些網(wǎng)站或應(yīng)用程序雖然是真實(shí)的，可已經(jīng)被盜用了，或者根本就是假冒的網(wǎng)站或應(yīng)用程序，旨在引誘沒有疑慮的訪問者輸入個(gè)人信息。這種攻擊也部分依賴于攻擊者誤導(dǎo)用戶以及有效攻擊服務(wù)的能力。

　　機(jī)器學(xué)習(xí)可以通過分析諸如路徑/目錄遍歷統(tǒng)計(jì)等數(shù)據(jù)來幫助機(jī)構(gòu)對(duì)網(wǎng)絡(luò)應(yīng)用程序服務(wù)進(jìn)行基準(zhǔn)測(cè)試。隨著時(shí)間推移不斷學(xué)習(xí)的算法可以識(shí)別出攻擊者或惡意網(wǎng)站和應(yīng)用程序的常見互動(dòng)。機(jī)器學(xué)習(xí)還可以監(jiān)控到罕見或不尋常的重新定向模式的行為，重新定向可能指向站點(diǎn)主機(jī)或者來自站點(diǎn)主機(jī)，還可以監(jiān)控引薦鏈接–所有這些都是典型的風(fēng)險(xiǎn)警示指標(biāo)。

　　使用案例3：內(nèi)網(wǎng)漫游（Lateral Movement）

　　這不是一種特定類型的攻擊，內(nèi)網(wǎng)漫游攻擊方法表示攻擊者在網(wǎng)絡(luò)中的移動(dòng)，這是他們?cè)诓檎衣┒床?yīng)用不同的技術(shù)來利用這些漏洞。內(nèi)網(wǎng)漫游特別能夠表明風(fēng)險(xiǎn)沿著殺傷鏈–攻擊者從偵察到數(shù)據(jù)提取的活動(dòng)–上升，特別是當(dāng)攻擊者從低級(jí)用戶的機(jī)器轉(zhuǎn)移到更重要的人員（可以訪問有價(jià)值的數(shù)據(jù)）時(shí)。

　　網(wǎng)絡(luò)流量輸入記錄可以告訴您訪問者與網(wǎng)站的互動(dòng)情況。機(jī)器學(xué)習(xí)了解數(shù)據(jù)的語境，可以動(dòng)態(tài)地提供正常通信數(shù)據(jù)的視圖。有了對(duì)典型通信流的更好理解，算法可以完成變化點(diǎn)檢測(cè)（也就是說，當(dāng)給定通信模式的概率分布發(fā)生變化，并變得不太可能像是”正常”的通信活動(dòng)的時(shí)候，它能夠識(shí)別出來），以此監(jiān)測(cè)潛在的威脅。

　　使用案例4：隱蔽信道檢測(cè)（Covert Channel DetecTIon）

　　使用隱蔽信道的攻擊者通過不用于通信的信道傳輸信息。使用隱蔽信道讓攻擊者保持對(duì)受到威脅的資產(chǎn)的控制，并使用可以隨時(shí)間執(zhí)行攻擊的戰(zhàn)術(shù)，而且不被發(fā)現(xiàn)。

　　使用隱蔽信道的攻擊通常取決于給定網(wǎng)絡(luò)上所有域的可見性。機(jī)器學(xué)習(xí)技術(shù)可以攝取并分析有關(guān)稀有領(lǐng)域的統(tǒng)計(jì)數(shù)據(jù)。有了這些信息，安全操作團(tuán)隊(duì)可以更輕松地讓云端攻擊者現(xiàn)形。沒有了對(duì)他們打算攻擊的網(wǎng)絡(luò)的整體了解，網(wǎng)絡(luò)犯罪分子更難以將其攻擊沿著殺傷鏈條向前推進(jìn)。

　　使用案例5：勒索軟件（Ransomware）

　　勒索軟件”名符其實(shí)”。這種惡意軟件擦除驅(qū)動(dòng)器并鎖定受感染的設(shè)備和計(jì)算機(jī)作為要挾，以換取用戶的加密密鑰。這種形式的網(wǎng)絡(luò)攻擊會(huì)鎖定信息，直到用戶放棄其密鑰，或者在某些情況下，如果不支付贖金，則威脅發(fā)布用戶的個(gè)人信息。

　　勒索軟件提出了一種具有挑戰(zhàn)性的使用案例，因?yàn)楣艚?jīng)常導(dǎo)致網(wǎng)絡(luò)活動(dòng)日志缺乏證據(jù)。機(jī)器學(xué)習(xí)技術(shù)可以幫助安全分析師跟蹤與勒索軟件相關(guān)的細(xì)小行為，例如與給定的整個(gè)文件系統(tǒng)交互的熵統(tǒng)計(jì)或過程。組織可以將機(jī)器學(xué)習(xí)算法集中在最初感染有效載荷上，試圖識(shí)別出這些證據(jù)碎片。

　　使用案例6：注入攻擊（InjecTIon Attacks）

　　Open Web ApplicaTIon Security Project （開放網(wǎng)絡(luò)應(yīng)用程序安全項(xiàng)目，OWASP）將注入攻擊列為網(wǎng)絡(luò)應(yīng)用程序頭號(hào)安全風(fēng)險(xiǎn)。（注：當(dāng)前版本的OWASP Top-10已被否決，該組織已重新開始安全專業(yè)人士的數(shù)據(jù)調(diào)用和調(diào)查）。注入攻擊讓攻擊者可以在程序中進(jìn)行惡意輸入。例如，攻擊者會(huì)將一行代碼輸入數(shù)據(jù)庫(kù)，當(dāng)訪問數(shù)據(jù)庫(kù)時(shí)，就會(huì)修改或更改網(wǎng)站上的數(shù)據(jù)。

　　數(shù)據(jù)庫(kù)日志是可以幫助識(shí)別潛在攻擊的另一個(gè)信息來源。機(jī)構(gòu)可以使用機(jī)器學(xué)習(xí)算法來構(gòu)建數(shù)據(jù)庫(kù)用戶組的統(tǒng)計(jì)概況。隨著時(shí)間的推移，算法學(xué)習(xí)了解了這些組如何訪問企業(yè)中的各個(gè)應(yīng)用程序，并學(xué)習(xí)發(fā)現(xiàn)這些訪問模式中出現(xiàn)的異常。

　　使用案例7：偵查攻擊（Reconnaissance）

　　在發(fā)起攻擊之前，黑客會(huì)對(duì)目標(biāo)或目標(biāo)群體進(jìn)行廣泛的偵查。偵查包括探測(cè)網(wǎng)絡(luò)的漏洞。攻擊者將在網(wǎng)絡(luò)的周邊或局域網(wǎng)（LAN）內(nèi)進(jìn)行偵查。典型的偵查攻擊探測(cè)使用了簽名匹配技術(shù)，通過網(wǎng)絡(luò)活動(dòng)日志尋找可能代表惡意行為的重復(fù)模式。然而，基于簽名的檢測(cè)通常會(huì)產(chǎn)生一串嘈雜的假警報(bào)。

　　機(jī)器學(xué)習(xí)可以是網(wǎng)絡(luò)數(shù)據(jù)拓?fù)涞闹改厢槨＝?jīng)過訓(xùn)練的算法可以開發(fā)這種拓?fù)鋱D，以便識(shí)別新模式的傳播，這種做法比基于簽名的方法更快。使用機(jī)器學(xué)習(xí)也減少了誤報(bào)的數(shù)量，從而使安全分析人員能夠把時(shí)間花在處理真正重要的報(bào)警上。

　　使用案例8：網(wǎng)頁(yè)木馬（Webshell）

　　United States Computer Emergency Readiness Team（美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組，US-CERT）對(duì)網(wǎng)頁(yè)木馬（Webshell）的定義是”可以上傳到網(wǎng)絡(luò)服務(wù)器的腳本，以便遠(yuǎn)程管理機(jī)器”。通過遠(yuǎn)程管理，攻擊者可以啟動(dòng)數(shù)據(jù)庫(kù)數(shù)據(jù)轉(zhuǎn)存、文件傳輸和惡意軟件安裝等進(jìn)程。

　　網(wǎng)頁(yè)木馬（Webshell）攻擊者的目標(biāo)通常是后端的電子商務(wù)平臺(tái)，攻擊者通過這些平臺(tái)來瞄準(zhǔn)購(gòu)物者的個(gè)人信息。機(jī)器學(xué)習(xí)算法可以聚焦正常購(gòu)物車行為的統(tǒng)計(jì)，然后幫助識(shí)別出不應(yīng)該以這種頻率發(fā)生的異常值或行為。

　　使用案例9：憑證盜竊（CredenTIal Theft）

　　一些高調(diào)的攻擊，包括對(duì)虛擬專用網(wǎng)（VPN）攻擊，都是憑據(jù)盜竊的結(jié)果。憑證盜竊通常使用諸如網(wǎng)絡(luò)釣魚或水坑式攻擊等手段來實(shí)現(xiàn)，攻擊者以此從受害者那里提取登錄憑證，以便訪問組織維護(hù)的敏感信息。

　　互聯(lián)網(wǎng)用戶–消費(fèi)者–經(jīng)常留下登錄模式。網(wǎng)站和應(yīng)用程序可以跟蹤位置和登錄時(shí)間。機(jī)器學(xué)習(xí)技術(shù)可以跟蹤這些模式以及包含這些模式的數(shù)據(jù)，以了解什么樣的用戶行為是正常的，哪些行為則代表了可能有害的活動(dòng)。

　　使用案例10：遠(yuǎn)程利用攻擊（Remote Exploitation）

　　最后，許多攻擊模式會(huì)使用遠(yuǎn)程利用攻擊。這些攻擊通常會(huì)通過一系列針對(duì)目標(biāo)系統(tǒng)的惡意事件進(jìn)行操作，以識(shí)別漏洞，然后提供有效負(fù)載（如惡意代碼）來利用漏洞。一旦攻擊投放了有效載荷，它就會(huì)在系統(tǒng)內(nèi)執(zhí)行代碼。

　　機(jī)器學(xué)習(xí)可以分析系統(tǒng)行為并識(shí)別與典型網(wǎng)絡(luò)行為無關(guān)的順序行為實(shí)例。算法可以隨著時(shí)間的推移進(jìn)行學(xué)習(xí)，可以提醒安全分析師有關(guān)意在利用漏洞的有效載荷的傳輸情況。

　　這里的討論不是機(jī)器學(xué)習(xí)的終點(diǎn)，而應(yīng)該是它的起點(diǎn)

　　準(zhǔn)確的網(wǎng)絡(luò)安全分析系統(tǒng)必須成為現(xiàn)代安全運(yùn)營(yíng)中心的基石。但是，如果沒有數(shù)據(jù)樣本，則不可能開展準(zhǔn)確的分析。采用機(jī)器學(xué)習(xí)思維并使用機(jī)器學(xué)習(xí)技術(shù)的安全團(tuán)隊(duì)可以更快地解決上述各種類型的攻擊。機(jī)器學(xué)習(xí)或其他任何一種技術(shù)都永遠(yuǎn)不會(huì)是任何一個(gè)行業(yè)的終結(jié)和全部。它確實(shí)提供了一種替代的、開放源代碼的哲學(xué)思維，可被用于識(shí)別和處理網(wǎng)絡(luò)攻擊，這能夠改進(jìn)很多目前正在使用的方法。