机器学习可以帮助企业更好地了解他们面临的安全威胁,并帮助员工专注于更有价值的战略任务。同时,它也可能是化解下一轮WannaCry风暴的有力武器。20世纪中叶,ArthurSamuel在AI之后创造了“机器学习”一词,并将其定义为“无需明确编程即可学习的能力”。将数学技术应用于大型数据集,机器学习算法可以构建行为模型并将其用作根据新输入数据预测未来的基础。视频网站(如Netflix)可以根据你以前的观看历史为你提供新的剧集,自动驾驶汽车可以通过与行人的近距离接触来了解路况。这些是生活中机器学习最普遍的例子。那么,机器学习在信息安全方面有哪些应用呢?原则上,机器学习可以帮助组织更好地分析威胁并响应攻击和安全事件。它还可以帮助自动化一些更琐碎和繁琐的任务,这些任务要么是大批量的,要么是以前由技能较低的安全团队执行的。此外,机器学习在安全领域的应用也呈现快速增长趋势。ABIResearch的分析师估计,到2021年,机器学习在网络安全中的应用将推动大数据、人工智能(AI)和分析方面的支出达到960亿美元,同时全球一些科技巨头已采取措施更好地保护其客户。例如,谷歌正在使用机器学习来分析运行在安卓系统上的移动终端威胁,识别并清除受感染手机中的恶意软件;云基础设施巨头亚马逊也成功收购了初创公司harvest.AI并推出了Macie——一项使用机器学习来发现、排序和分类S3云存储上数据的服务。与此同时,企业安全厂商一直在努力将机器学习集成到他们的新旧产品线中,以进一步改进恶意软件检测。根据J.GoldAssociates总裁兼首席分析师JackGold的说法,大多数主流安全公司已经从几年前用于检测恶意软件的纯粹“基于签名”的系统转向尝试从各种不同的角度解释行为和事件并对其进行分析。来源。一个学习判断什么是安全的什么是不安全的机器学习系统。它仍然是一个新兴领域,但它显然也是未来的发展方向。人工智能和机器学习将极大地改变安全运作的方式。虽然这种转变不会在一夜之间发生,但机器学习已经出现在某些领域。德国电信创新实验室(以及以色列本古里安大学网络安全研究中心)首席技术官DuduMimran:人工智能——作为包括机器学习和深度学习在内的更广泛定义——正处于推动网络防御的早期阶段阶段,但已经在识别端点、网络、欺诈或SIEM中的恶意活动模式方面发挥了重要作用。我相信在未来我们会看到越来越多的用例来防御服务中断、归因和用户行为修改。接下来,让我们来看看机器学习在安全领域的顶级用例:1.使用机器学习来检测恶意活动并阻止攻击机器学习算法将帮助企业更快地检测恶意活动并在攻击开始之前将其阻止。英国创业公司Darktrace成功抓住了这一发展机遇。据悉,这家成立于2013年的公司在其基于机器学习的企业免疫解决方案(EnterpriseImmuneSolution)方面取得了很大的成绩。Darktrace技术总监大卫·帕尔默(DavidPalmer)表示,Darktrace使用机器学习算法帮助北美的一家赌场成功检测到一次数据泄露攻击,该攻击使用“连接的鱼缸作为进入赌场网络的入口点”。该公司还声称,它之前曾在世界范围内肆虐。在WannaCry勒索软件活动中,其算法成功阻止了类似的攻击。谈到感染了150个国家超过200,000名受害者的WannaCry勒索软件,Palmer说:“在几秒钟内,我们的算法成功检测到来自NHS组织网络的攻击,并在攻击对该机构造成任何损害之前成功缓解了威胁。”事实上,我们的客户都没有受到WannaCry攻击的伤害,即使是未打补丁的用户也没有受到伤害。2.使用机器学习分析移动终端在移动设备上,机器学习已经成为主流,但到目前为止,它的大部分活动都是针对改善基于语音的体验,如GoogleNow、Apple的Siri和亚马逊的Alexa。机器学习在安全方面确实有应用,不过,如上所述,Google正在使用机器学习来分析针对移动端点的威胁,企业在保护带来的方面看到了更多机会-yourownandself-selectedmobiledevices.2017年10月,MobileIron和Zimperium宣布建立合作伙伴关系,以帮助企业采用集成机器学习技术的移动反恶意软件解决方案。MobileIron表示,它将把Zimperium基于机器学习的威胁检测与MobileIron的安全与合规引擎集成在一起,并将其作为组合解决方案出售,以应对检测设备、网络和应用程序威胁等挑战,并快速采取自动化措施来保护企业数据。其他供应商也在寻求支持他们的移动解决方案。Zimperium、LookOut、Skycure(被赛门铁克收购)和Wandera长期以来一直被认为是移动威胁检测和防御市场的领导者。他们每个人都使用自己的机器学习算法来检测潜在威胁。例如,Wandera推出了其威胁检测引擎MI:RIAM,据称该引擎检测到400多种针对企业移动设备的SLocker勒索软件变体。3、利用机器学习增强人类分析作为机器学习在安全领域的核心应用,相信可以帮助人类分析师处理安全领域的各种任务,包括检测恶意攻击、分析网络、端点保护和漏洞评估等。它在威胁情报中扮演的角色可以说是最令人兴奋的。例如,2016年,麻省理工学院的计算机科学与人工智能实验室(CSAIL)开发了一个名为“AI2”的系统,这是一个自适应机器学习安全平台,可以帮助分析师找到真正有用的东西。该系统每天审查数百万次登录,过滤数据,并将过滤后的内容转发给人工分析师,将警报数量减少到每天100次左右。由CSAIL和初创公司PatternEx联合进行的实验表明,攻击检测率提高到85%,而误报率降低了5倍之多。4.使用机器学习自动执行重复的安全任务机器学习的真正好处是它可以自动执行重复的任务,让员工可以专注于更重要的工作。最终,机器学习的目标应该是“消除人类在重复的、低价值的决策活动中的需求,比如对威胁情报进行分类,”Palmer说。让机器处理重复性任务和战术救火(如阻止勒索软件)可以让人类有更多时间处理战略问题——比如使WindowsXP现代化等等。BoozAllenHamilton正沿着这条路线发展。据报道,该公司使用人工智能工具更有效地分配人力安全资源,对威胁进行分类,以便员工可以专注于最关键的攻击。5.使用机器学习来关闭零日漏洞一些人认为机器学习可以帮助关闭漏洞,尤其是零日威胁和其他针对最不安全的物联网设备的威胁。据《福布斯》报道,亚利桑那州立大学的一个团队已经使用机器学习技术来监控暗网流量,以识别与零日漏洞利用相关的数据。有了这种洞察力,组织就有能力在漏洞造成数据泄露之前堵住漏洞并阻止补丁攻击。在一个炒作和误解的领域,重要的是要注意机器学习不是灵丹妙药,尤其是对于一个仍在用这些技术进行概念验证实验的行业来说。机器学习的发展必然是一个艰难而漫长的过程。机器学习系统有时会出现误报(无监督学习系统中的算法根据数据推断类型),一些分析师坦率地承认,机器学习在安全方面的应用可以是一种“黑盒”解决方案,即CISO不能完全因此,他们只能被迫将信任和责任放在供应商和机器的肩上。毕竟,在一些安全解决方案甚至可能根本不使用机器学习的世界里,这种盲目信任的想法是不可取的。Palmer说:大多数被吹捧的机器学习产品实际上不会在客户环境中学习。相反,他们只是在提供商自己的云上对恶意软件样本进行模型训练,然后将它们下载到客户公司,例如病毒签名。这不是客户安全方面的进步,基本上是倒退。此外,算法需要学习模型所需的训练数据样本才能投入实际使用,而这些样本中存在不良数据和实施可能会产生更差的结果。机器学习的效果取决于你输入的信息。垃圾的输入必然导致垃圾的输出。因此,如果你的机器学习算法设计得不好,结果也不会很好。算法在实验室训练数据上运行是一回事,但最大的挑战是让机器学习网络防御在真实的复杂网络中运行。
