机器学习可以怎样在安全方面下手

机器学习可以帮助企业更好地了解自身面临的安全威胁，帮助员工专注于更有价值的战略任务。同时，它还可能是解决下一轮WannaCry风波的有力武器。

20世纪中期，Arthur Samuel在AI之后创造了“机器学习”这个短语，并将其定义为“在没有被明确编程的情况下就能学习的能力。”跨大型数据集应用数学技术，机器学习算法可以构建行为模型，并基于新输入的数据，使用这些模型作为对未来进行预测的基础。视频网站（如Netflix）可以根据您之前的历史观看记录为您提供新剧集，自动驾驶汽车可以通过与行人近距离接触的过程了解道路状况，这些都是机器学习在生活中最普遍的例子。

那么，信息安全中的机器学习应用又是什么呢？

原则上来说，机器学习可以帮助企业组织更好地分析威胁，并响应攻击和安全事件。它还可以帮助自动执行一些更为琐碎繁复的工作，这些工作或是任务量巨大或是此前由技术欠缺的安全团队所执行。

除此之外，机器学习在安全性方面的应用也正呈现快速增长的趋势。ABI Research 的分析师估计，到2021年，机器学习在网络安全方面的应用将推动大数据、人工智能（AI）及分析方面的支出增长到960亿美元，与此同时，世界上一些科技巨头也已经纷纷采取措施以更好地保护自己的客户。

例如，谷歌正在利用机器学习来分析在Android上运行的移动终端威胁，以及识别和移除受感染手机中的恶意软件；而云基础设施巨头亚马逊也已经成功收购了初创公司 harvest.AI，并推出了Macie——一种使用机器学习来发现、排序和分类S3云存储上数据的服务。

与此同时，企业安全供应商也一直致力于将机器学习集成到新旧产品线中，旨在进一步改进恶意软检测效率。J. Gold Associates总裁兼首席分析师Jack Gold表示：大多数主流安全公司已从几年前用于检测恶意软件的纯‘基于签名’的系统，转变为试图解释行为及事件，并从各种源中学习判断什么是安全，什么不是的机器学习系统。它仍然是一个新兴的领域，但它也显然是未来的发展方向。AI和机器学习将极大地改变安全运作方式。

虽然这种转变不会在朝夕之间发生，但机器学习已经在某些领域出现。德国电信创新实验室（以及以色列本古里安大学网络安全研究中心）首席技术官Dudu Mimran表示：人工智能——作为一个更广泛的定义，包括机器学习和深度学习——正处于驱动网络防御的早期阶段，但已经在终端、网络、欺诈或SIEM中起到了识别恶意活动模式的明显作用。我相信未来我们会在防御服务中断、归因和用户行为修改等方面看到越来越多的用例。

接下来，我们一起来了解一下机器学习在安全领域的最顶级用例：

1. 使用机器学习来检测恶意活动并阻止攻击

机器学习算法将帮助企业更快地检测恶意活动，并在攻击开始之前予以阻止。英国初创公司Darktrace就成功把握住了这种发展机遇，据悉，这家创立于2013年的公司已经在其基于机器学习的企业免疫解决方案（Enterprise Immune Solution）方面取得了很大成就。

Darktrace公司技术总监David Palmer介绍称，Darktrace曾利用机器学习算法帮助北美一家赌场成功检测到了数据泄露攻击，该攻击使用“联网鱼缸作为进入赌场网络的切入点。”该公司还宣称，在之前肆虐全球的WannaCry勒索软件活动中，其算法也成功防止过一起类似的攻击。

谈及感染了150个国家20多万受害者的WannaCry勒索软件，Palmer表示：我们的算法在几秒钟内，就成功地从一家国民医疗服务（NHS）机构的网络中检测出了攻击，并在该攻击尚未对该机构造成任何破坏前成功缓解了威胁。事实上，我们的客户没有任何一家受到了WannaCry攻击的伤害，甚至包括那些没打补丁的用户。

2. 使用机器学习来分析移动终端

在移动设备上，机器学习已经成为主流，但到目前为止，其大部分活动都是为了改善Google Now、苹果的Siri和亚马逊的Alexa等基于语音的体验。不过，机器学习在安全方面确实有应用。如上所述，谷歌正在使用机器学习来分析针对移动终端的威胁，而企业则在防护自带及自选移动设备上看到了更多机会。

2017年10月，MobileIron和Zimperium宣布合作，帮助企业采用集成了机器学习技术的移动反恶意软件解决方案。MobileIron表示，它将把Zimperium基于机器学习的威胁检测与MobileIron的安全和合规性引擎相集成，并作为组合解决方案出售，该解决方案将解决诸如检测设备、网络及应用程序威胁等方面的挑战，并快速采取自动化措施来防护公司数据。

其他供应商也在寻求支持他们的移动解决方案。Zimperium、LookOut、Skycure（已被赛门铁克收购）以及Wandera，一直被视为移动威胁检测和防御市场中的领军者。他们每家都使用自有的机器学习算法来检测潜在威胁。例如，Wandera推出了其威胁检测引擎 MI:RIAM，据称检测出了超过400种针对企业移动设备的SLocker勒索软件变种。

3. 使用机器学习来增强人类分析

作为机器学习在安全领域的核心应用，人们相信它可以帮助人类分析师处理安全方面的各项工作，包括检测恶意攻击、分析网络、终端防护和漏洞评估。而它在威胁情报方面发挥的作用可以说才是最令人兴奋的。

例如，2016年，麻省理工学院计算机科学和人工智能实验室（CSAIL）开发出了一个名为“AI2”的系统，这是一个自适应机器学习安全平台，能够帮助分析师从海量数据中找出真正有用的东西。该系统每天审查数百万登录，过滤数据，并将滤出内容转送给人类分析师，从而将警报数量降低至每天100个左右。这项由CSAIL和初创公司PatternEx共同进行的实验表明，攻击检测率被提升到了85%，而误报率则降低了5倍之多。

4. 使用机器学习自动化重复性安全任务

机器学习的真正好处是它可以自动化重复性任务，使员工能够专注在更重要的工作上。Palmer称，机器学习最终应该旨在“消除重复性高且低价值的决策活动对人力的需求，就像分类威胁情报一样”。让机器处理重复性工作和阻止勒索软件之类战术性救火工作，这样人类就可以腾出时间来处理战略性问题——比如现代化Windows XP 系统等等。

Booz Allen Hamilton公司正在沿着这条路线发展。据报道，该公司使用人工智能工具更高效地分配人类安全资源，对威胁进行分类，以便员工可以专注于最关键的攻击。

5. 使用机器学习来关闭零日漏洞

有些人认为机器学习可以帮助弥补漏洞，尤其是零日威胁和其他针对大部分不安全IoT设备的威胁。据《福布斯》报道称，亚利桑那州立大学的一支团队已经通过机器学习技术来监控暗网流量，以识别与零日漏洞利用相关的数据。有了这种洞察力，企业组织就有能力在漏洞造成数据泄露之前堵上漏洞并阻止补丁攻击。

炒作和误解丛生的领域

需要注意的是，机器学习并非灵丹妙药，尤其是对于一个仍在对这些技术进行概念验证实验的行业而言。机器学习的发展必然是道阻且长的过程。机器学习系统有时会有误报（无监督学习系统的算法会基于数据推测类型），而一些分析师也坦率地承认，用在安全领域的机器学习可能是“黑匣子”解决方案，即CISO不能完全确定其内部机制，因此，他们只能被迫地将自己的信任与责任置于供应商和机器的肩上。

毕竟，在一些安全解决方案甚至可能压根儿没用机器学习的世界中，这种盲目信任的想法并不可取。Palmer表示：大多数被吹捧的机器学习产品都不会在客户环境中真正学习。相反地，它们只是在供应商自己的云上用恶意软件样本训练出模型，再下载到客户公司，就像病毒签名似的。这对于客户安全来说，并不是什么进步，基本上是在倒退。

此外，算法在投入实际使用前需要学习模型所需的训练数据样本，而这些样本中存在的糟糕数据和实现可能会产出更糟糕的结果。机器学习的效果，取决于你输入的信息。垃圾的输入，必然导致垃圾的输出。因此，如果你的机器学习算法设计不佳，结果也就不会非常理想。算法在实验室训练数据上有用是一回事，但最大的挑战还在于让机器学习网络防御在现实复杂网络中奏效。