機(jī)器學(xué)習(xí)作用于信息安全的五大案例

譚軍

通俗講，機(jī)器學(xué)習(xí)就是“（計算機(jī)）無需顯式編程即可學(xué)習(xí)的能力”。跨海量數(shù)據(jù)集應(yīng)用數(shù)學(xué)技術(shù)，機(jī)器學(xué)習(xí)算法可建立起行為模型，并基于新輸入的數(shù)據(jù)，用這些模型做出對未來的預(yù)測。視頻網(wǎng)站根據(jù)用戶的歷史觀看記錄推出新劇集，自動駕駛汽車從擦肩而過的行人學(xué)習(xí)路況，都是機(jī)器學(xué)習(xí)的例子。

那么，信息安全中的機(jī)器學(xué)習(xí)應(yīng)用又是什么呢？

大體上，機(jī)器學(xué)習(xí)可幫助公司企業(yè)更好地分析威脅，響應(yīng)攻擊及安全事件；還有助于自動化更瑣碎更低級的工作，也就是之前工作量巨大或技術(shù)欠缺的安全團(tuán)隊所做的那些。

安全方面，機(jī)器學(xué)習(xí)是個快速發(fā)展的趨勢。ABI Research的分析師估測，在網(wǎng)絡(luò)安全界，機(jī)器學(xué)習(xí)將推動大數(shù)據(jù)、人工智能（AI）及分析的投資，有望在2021年達(dá)到960億美元，同時，世界科技巨頭已經(jīng)在采取措施更好地保護(hù)自己的客戶。

谷歌用機(jī)器學(xué)習(xí)來分析安卓移動終端上的威脅———從被感染手機(jī)上識別并清除惡意軟件。云基礎(chǔ)設(shè)施巨頭亞馬遜收購了初創(chuàng)公司harvest.AI，并發(fā)布了Macie———用機(jī)器學(xué)習(xí)來發(fā)現(xiàn)、梳理并分類S3云存儲上數(shù)據(jù)的一項服務(wù)。

與此同時，企業(yè)安全供應(yīng)商一直努力將機(jī)器學(xué)習(xí)集成進(jìn)新舊產(chǎn)品線中，希望能改善惡意軟件檢測率。大多數(shù)主流安全公司已從純“基于特征碼”的系統(tǒng)，轉(zhuǎn)向了試圖解釋行為及事件，并從各種源學(xué)習(xí)判斷安全與風(fēng)險的機(jī)器學(xué)習(xí)系統(tǒng)。這仍是個新興領(lǐng)域，但明顯是未來發(fā)展方向。

AI和機(jī)器學(xué)習(xí)將極大改變安全運(yùn)作方式，雖然目前正處在驅(qū)動網(wǎng)絡(luò)防御的早期階段，但已經(jīng)在終端、網(wǎng)絡(luò)、欺詐或SIEM中，起到了識別惡意活動模式的明顯作用。未來，在防御服務(wù)中斷、屬性及用戶行為修改等領(lǐng)域，我們將看到越來越多的用例。

機(jī)器學(xué)習(xí)在安全領(lǐng)域的頂級用例有哪些呢？我們不妨來看看以下5個。

1.用機(jī)器學(xué)習(xí)檢測惡意活動并阻止攻擊

機(jī)器學(xué)習(xí)算法可幫助公司企業(yè)更快速檢測惡意活動，并在攻擊開始前就予以阻止。英國初創(chuàng)公司Darktrace于2013年成立，其基于機(jī)器學(xué)習(xí)的企業(yè)免疫解決方案（Enterprise Immune Solution），在這方面已取得了很多成功。作為這家公司的技術(shù)總監(jiān)，大衛(wèi)·帕爾瑪見證了機(jī)器學(xué)習(xí)對惡意活動及攻擊的影響。

帕爾瑪稱，利用機(jī)器學(xué)習(xí)算法，Darktrace最近幫助北美一家賭場檢測出了數(shù)據(jù)泄露攻擊。該攻擊將聯(lián)網(wǎng)魚缸用作了進(jìn)入賭場網(wǎng)絡(luò)的切入點(diǎn)。該公司還宣稱，2017年夏天的WannaCry勒索軟件大肆虐中，其算法也防止了類似的一起攻擊。

針對感染了150個國家20多萬受害者的WannaCry勒索軟件，帕爾瑪稱：“在數(shù)秒內(nèi)，我們的算法就檢測出了一家國民醫(yī)療服務(wù)（NHS）機(jī)構(gòu)網(wǎng)絡(luò)中的攻擊，在尚未對該機(jī)構(gòu)造成任何破壞前，此威脅就被緩解掉了。事實(shí)上，我們的客戶沒有任何一家受到WannaCry攻擊的傷害，包括那些沒打補(bǔ)丁的?！?/p>

2.用機(jī)器學(xué)習(xí)分析移動終端

移動設(shè)備上，機(jī)器學(xué)習(xí)已成主流；但到目前為止，絕大部分活動集中在驅(qū)動基于語音的體驗(yàn)上，比如Google Now、蘋果的Siri和亞馬遜的Alexa。不過，機(jī)器學(xué)習(xí)在安全方面確實(shí)有應(yīng)用。如上文提及的，谷歌采用機(jī)器學(xué)習(xí)來分析移動終端威脅，而企業(yè)則在防護(hù)自帶及自選移動設(shè)備上看到了機(jī)會。

10月，MobileIron和Zimperium宣布合作，幫助企業(yè)將機(jī)器學(xué)習(xí)集成進(jìn)移動殺軟解決方案中。MobileIron將在自己的安全及合規(guī)引擎中，集成Zimperium基于機(jī)器學(xué)習(xí)的威脅檢測，并作為聯(lián)合解決方案售出，解決設(shè)備、網(wǎng)絡(luò)及應(yīng)用威脅檢測，快速自動化動作防護(hù)公司數(shù)據(jù)之類的難題。

其他供應(yīng)商也在計劃改善自己的移動解決方案。LookOut、被賽門鐵克收購的Skycure，還有Wandera，是移動威脅檢測及防御市場中的佼佼者，每家都用自有機(jī)器學(xué)習(xí)算法檢測潛在威脅。拿Wandera舉個例子。這家公司最近剛公開發(fā)布了其威脅檢測引擎MI：RIAM，據(jù)稱檢測出了超過400種針對企業(yè)移動設(shè)備的SLocker勒索軟件變種。

3.用機(jī)器學(xué)習(xí)增強(qiáng)人類分析

機(jī)器學(xué)習(xí)在安全領(lǐng)域的核心應(yīng)用，有人認(rèn)為是幫助人類分析師處理安全方面的各項工作，包括惡意攻擊檢測、網(wǎng)絡(luò)分析、終端防護(hù)及漏洞評估。但在威脅情報方面，才是最令人興奮的。

比如說，2016年，麻省理工學(xué)院計算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL），開發(fā)出了名AI2的系統(tǒng)。這是一個自適應(yīng)機(jī)器學(xué)習(xí)安全平臺，可幫助分析師從海量數(shù)據(jù)中找出真正有用的東西。該系統(tǒng)每天審查數(shù)百萬登錄，過濾數(shù)據(jù)，并將濾出內(nèi)容傳給人類分析師，可將警報數(shù)量大幅降低至每天100個左右。由CSAIL和初創(chuàng)公司PatternEx共同進(jìn)行的實(shí)驗(yàn)表明，攻擊檢測率被提升到了85%，而誤報率降低至原先的1/5。

4.用機(jī)器學(xué)習(xí)自動化重復(fù)性安全工作

機(jī)器學(xué)習(xí)的真正價值，在于可以自動化重復(fù)性勞動，讓員工可以專注在更重要的工作上。帕爾瑪稱，機(jī)器學(xué)習(xí)最終應(yīng)旨在“消除重復(fù)性低價值決策活動對人力的需求”上，比如歸類威脅情報等活動。讓機(jī)器處理重復(fù)性工作和阻止勒索軟件之類戰(zhàn)術(shù)性救火工作，這樣人類就能解放雙手去搞定戰(zhàn)略性問題了，比如現(xiàn)代化Windows XP系統(tǒng)等等。

博思艾倫咨詢公司也在走這個路線。據(jù)報道，該公司用AI工具更高效地分配人類安全資源，分類威脅，讓員工可以專注最關(guān)鍵的攻擊。

5.用機(jī)器學(xué)習(xí)堵上零日漏洞

有人認(rèn)為，機(jī)器學(xué)習(xí)有助堵上漏洞，尤其是零日威脅和主要針對不安全I(xiàn)oT設(shè)備的那些威脅。該領(lǐng)域里已出現(xiàn)了先驅(qū)者：《福布斯》報道，亞利桑那州立大學(xué)的一支團(tuán)隊，采用機(jī)器學(xué)習(xí)監(jiān)視暗網(wǎng)流量，以識別與零日漏洞利用相關(guān)的數(shù)據(jù)。有了此類洞見的加持，公司企業(yè)就可堵上漏洞，在漏洞造成數(shù)據(jù)泄露前就斷掉漏洞利用的機(jī)會。

然而，機(jī)器學(xué)習(xí)并非萬靈丹，至少對一個仍在對這些技術(shù)進(jìn)行概念驗(yàn)證實(shí)驗(yàn)的行業(yè)來說不是。前路艱難，困難與隱患從來不少。機(jī)器學(xué)習(xí)系統(tǒng)有時候會有誤報（無監(jiān)督學(xué)習(xí)系統(tǒng)的算法會基于數(shù)據(jù)推測類型），而有分析師也坦率承認(rèn)，用在安全領(lǐng)域的機(jī)器學(xué)習(xí)可能是“黑箱”解決方案———CISO不能完全確定其內(nèi)部機(jī)制。他們只能將自己的信任與責(zé)任放到供應(yīng)商及機(jī)器身上。