3． 使用機(jī)器學(xué)習(xí)來(lái)增強(qiáng)人類分析

作為機(jī)器學(xué)習(xí)在安全領(lǐng)域的核心應(yīng)用，人們相信它可以幫助人類分析師處理安全方面的各項(xiàng)工作，包括檢測(cè)惡意攻擊、分析網(wǎng)絡(luò)、終端防護(hù)和漏洞評(píng)估。而它在威脅情報(bào)方面發(fā)揮的作用可以說(shuō)才是最令人興奮的。

例如，2016年，麻省理工學(xué)院計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL）開(kāi)發(fā)出了一個(gè)名為“AI2”的系統(tǒng)，這是一個(gè)自適應(yīng)機(jī)器學(xué)習(xí)安全平臺(tái)，能夠幫助分析師從海量數(shù)據(jù)中找出真正有用的東西。該系統(tǒng)每天審查數(shù)百萬(wàn)登錄，過(guò)濾數(shù)據(jù)，并將濾出內(nèi)容轉(zhuǎn)送給人類分析師，從而將警報(bào)數(shù)量降低至每天100個(gè)左右。這項(xiàng)由CSAIL和初創(chuàng)公司PatternEx共同進(jìn)行的實(shí)驗(yàn)表明，攻擊檢測(cè)率被提升到了85％，而誤報(bào)率則降低了5倍之多。

4． 使用機(jī)器學(xué)習(xí)自動(dòng)化重復(fù)性安全任務(wù)

機(jī)器學(xué)習(xí)的真正好處是它可以自動(dòng)化重復(fù)性任務(wù)，使員工能夠?qū)Ｗ⒃诟�重要的工作上。Palmer稱，機(jī)器學(xué)習(xí)最終應(yīng)該旨在“消除重復(fù)性高且低價(jià)值的決策活動(dòng)對(duì)人力的需求，就像分類威脅情報(bào)一樣”。讓機(jī)器處理重復(fù)性工作和阻止勒索軟件之類戰(zhàn)術(shù)性救火工作，這樣人類就可以騰出時(shí)間來(lái)處理戰(zhàn)略性問(wèn)題——比如現(xiàn)代化Windows XP 系統(tǒng)等等。

Booz Allen Hamilton公司正在沿著這條路線發(fā)展。據(jù)報(bào)道，該公司使用人工智能工具更高效地分配人類安全資源，對(duì)威脅進(jìn)行分類，以便員工可以專注于最關(guān)鍵的攻擊。

5． 使用機(jī)器學(xué)習(xí)來(lái)關(guān)閉零日漏洞

有些人認(rèn)為機(jī)器學(xué)習(xí)可以幫助彌補(bǔ)漏洞，尤其是零日威脅和其他針對(duì)大部分不安全I(xiàn)oT設(shè)備的威脅。據(jù)《福布斯》報(bào)道稱，亞利桑那州立大學(xué)的一支團(tuán)隊(duì)已經(jīng)通過(guò)機(jī)器學(xué)習(xí)技術(shù)來(lái)監(jiān)控暗網(wǎng)流量，以識(shí)別與零日漏洞利用相關(guān)的數(shù)據(jù)。有了這種洞察力，企業(yè)組織就有能力在漏洞造成數(shù)據(jù)泄露之前堵上漏洞并阻止補(bǔ)丁攻擊。

炒作和誤解叢生的領(lǐng)域

需要注意的是，機(jī)器學(xué)習(xí)并非靈丹妙藥，尤其是對(duì)于一個(gè)仍在對(duì)這些技術(shù)進(jìn)行概念驗(yàn)證實(shí)驗(yàn)的行業(yè)而言。機(jī)器學(xué)習(xí)的發(fā)展必然是道阻且長(zhǎng)的過(guò)程。機(jī)器學(xué)習(xí)系統(tǒng)有時(shí)會(huì)有誤報(bào)（無(wú)監(jiān)督學(xué)習(xí)系統(tǒng)的算法會(huì)基于數(shù)據(jù)推測(cè)類型），而一些分析師也坦率地承認(rèn)，用在安全領(lǐng)域的機(jī)器學(xué)習(xí)可能是“黑匣子”解決方案，即CISO不能完全確定其內(nèi)部機(jī)制，因此，他們只能被迫地將自己的信任與責(zé)任置于供應(yīng)商和機(jī)器的肩上。

畢竟，在一些安全解決方案甚至可能壓根兒沒(méi)用機(jī)器學(xué)習(xí)的世界中，這種盲目信任的想法并不可取。Palmer表示：大多數(shù)被吹捧的機(jī)器學(xué)習(xí)產(chǎn)品都不會(huì)在客戶環(huán)境中真正學(xué)習(xí)。相反地，它們只是在供應(yīng)商自己的云上用惡意軟件樣本訓(xùn)練出模型，再下載到客戶公司，就像病毒簽名似的。這對(duì)于客戶安全來(lái)說(shuō)，并不是什么進(jìn)步，基本上是在倒退。

此外，算法在投入實(shí)際使用前需要學(xué)習(xí)模型所需的訓(xùn)練數(shù)據(jù)樣本，而這些樣本中存在的糟糕數(shù)據(jù)和實(shí)現(xiàn)可能會(huì)產(chǎn)出更糟糕的結(jié)果。機(jī)器學(xué)習(xí)的效果，取決于你輸入的信息。垃圾的輸入，必然導(dǎo)致垃圾的輸出。因此，如果你的機(jī)器學(xué)習(xí)算法設(shè)計(jì)不佳，結(jié)果也就不會(huì)非常理想。算法在實(shí)驗(yàn)室訓(xùn)練數(shù)據(jù)上有用是一回事，但最大的挑戰(zhàn)還在于讓機(jī)器學(xué)習(xí)網(wǎng)絡(luò)防御在現(xiàn)實(shí)復(fù)雜網(wǎng)絡(luò)中奏效。