機(jī)器學(xué)習(xí)在信息安全中作用

1、用機(jī)器學(xué)習(xí)檢測(cè)惡意活動(dòng)并阻止攻擊

機(jī)器學(xué)習(xí)算法可幫助公司企業(yè)更快速檢測(cè)惡意活動(dòng)，并在攻擊開(kāi)始前就予以阻止。英國(guó)初創(chuàng)公司Darktrace于2013年成立，其基于機(jī)器學(xué)習(xí)的企業(yè)免疫解決方案，在這方面已取得了很多成功。作為這家公司的技術(shù)總監(jiān)，大衛(wèi)·帕爾瑪見(jiàn)證了機(jī)器學(xué)習(xí)對(duì)惡意活動(dòng)及攻擊的影響。

帕爾瑪稱，利用機(jī)器學(xué)習(xí)算法，Darktrace最近幫助北美一家賭場(chǎng)檢測(cè)出了數(shù)據(jù)泄露攻擊。該攻擊將聯(lián)網(wǎng)魚(yú)缸用作了進(jìn)入賭場(chǎng)網(wǎng)絡(luò)的切入點(diǎn)。該公司還宣稱，去年夏天的WannaCry勒索軟件大肆虐中，其算法也防止了類似的一起攻擊。針對(duì)感染了150個(gè)國(guó)家20多萬(wàn)受害者的WannaCry勒索軟件，帕爾瑪稱：“在數(shù)秒內(nèi)，我們的算法就檢測(cè)出了一家國(guó)民醫(yī)療服務(wù)（NHS）機(jī)構(gòu)網(wǎng)絡(luò)中的攻擊，在尚未對(duì)該機(jī)構(gòu)造成任何破壞前，此威脅就被緩解掉了。事實(shí)上，我們的客戶沒(méi)有任何一家受到WannaCry攻擊的傷害，包括那些沒(méi)打補(bǔ)丁的。”

2、用機(jī)器學(xué)習(xí)分析移動(dòng)終端

移動(dòng)設(shè)備上，機(jī)器學(xué)習(xí)已成主流；但到目前為止，絕大部分活動(dòng)集中在驅(qū)動(dòng)基于語(yǔ)音的體驗(yàn)上，比如 Google Now、蘋果的Siri和亞馬遜的Alexa。不過(guò)，機(jī)器學(xué)習(xí)在安全方面確實(shí)有應(yīng)用。如上文提及的，谷歌采用機(jī)器學(xué)習(xí)來(lái)分析移動(dòng)終端威脅，而企業(yè)則在防護(hù)自帶及自選移動(dòng)設(shè)備上看到了機(jī)會(huì)。

MobileIron和Zimperium宣布合作，幫助企業(yè)將機(jī)器學(xué)習(xí)集成進(jìn)移動(dòng)殺軟解決方案中。MobileIron將在自己的安全及合規(guī)引擎中，集成Zimperium基于機(jī)器學(xué)習(xí)的威脅檢測(cè)，并作為聯(lián)合解決方案售出，解決設(shè)備、網(wǎng)絡(luò)及應(yīng)用威脅檢測(cè)，快速自動(dòng)化動(dòng)作防護(hù)公司數(shù)據(jù)之類的難題。

其他供應(yīng)商也在計(jì)劃改善自己的移動(dòng)解決方案。LookOut、被賽門鐵克收購(gòu)的Skycure，還有Wandera，是移動(dòng)威脅檢測(cè)及防御市場(chǎng)中的佼佼者，每家都用自有機(jī)器學(xué)習(xí)算法檢測(cè)潛在威脅。拿Wandera舉個(gè)例子。這家公司最近剛公開(kāi)發(fā)布了其威脅檢測(cè)引擎 MI:RIAM，據(jù)稱檢測(cè)出了超過(guò)400種針對(duì)企業(yè)移動(dòng)設(shè)備的SLocker勒索軟件變種。

3、用機(jī)器學(xué)習(xí)增強(qiáng)人類分析

機(jī)器學(xué)習(xí)在安全領(lǐng)域的核心應(yīng)用，有人認(rèn)為是幫助人類分析師處理安全方面的各項(xiàng)工作，包括惡意攻擊檢測(cè)、網(wǎng)絡(luò)分析、終端防護(hù)及漏洞評(píng)估。但在威脅情報(bào)方面，才是最令人興奮的。

比如說(shuō)，2016年，麻省理工學(xué)院計(jì)算機(jī)科學(xué)和人工智能實(shí)驗(yàn)室（CSAIL），開(kāi)發(fā)出了名AI2的系統(tǒng)。這是一個(gè)自適應(yīng)機(jī)器學(xué)習(xí)安全平臺(tái)，可幫助分析師從海量數(shù)據(jù)中找出真正有用的東西。該系統(tǒng)每天審查數(shù)百萬(wàn)登錄，過(guò)濾數(shù)據(jù)，并將濾出內(nèi)容傳給人類分析師，可將警報(bào)數(shù)量大幅降低至每天100個(gè)左右。由CSAIL和初創(chuàng)公司PatternEx共同進(jìn)行的實(shí)驗(yàn)表明，攻擊檢測(cè)率被提升到了85%，而誤報(bào)率降低至原先的1/5。

4、用機(jī)器學(xué)習(xí)自動(dòng)化重復(fù)性安全工作

機(jī)器學(xué)習(xí)的真正價(jià)值，在于可以自動(dòng)化重復(fù)性勞動(dòng)，讓員工可以專注在更重要的工作上。帕爾瑪稱，機(jī)器學(xué)習(xí)最終應(yīng)旨在“消除重復(fù)性低價(jià)值決策活動(dòng)對(duì)人力的需求”上，比如歸類威脅情報(bào)等活動(dòng)。讓機(jī)器處理重復(fù)性工作和阻止勒索軟件之類戰(zhàn)術(shù)性救火工作，這樣人類就能解放雙手去搞定戰(zhàn)略性問(wèn)題了，比如現(xiàn)代化 Windows XP 系統(tǒng)等等。

博思艾倫咨詢公司也在走這個(gè)路線。據(jù)報(bào)道，該公司用AI工具更高效地分配人類安全資源，分類威脅，讓員工可以專注最關(guān)鍵的攻擊。

5、用機(jī)器學(xué)習(xí)堵上零日漏洞

有人認(rèn)為，機(jī)器學(xué)習(xí)有助堵上漏洞，尤其是零日威脅和主要針對(duì)不安全IoT設(shè)備的那些威脅。該領(lǐng)域里已出現(xiàn)了先驅(qū)者：《福布斯》報(bào)道，亞利桑那州立大學(xué)的一支團(tuán)隊(duì)，采用機(jī)器學(xué)習(xí)監(jiān)視暗網(wǎng)流量，以識(shí)別與零日漏洞利用相關(guān)的數(shù)據(jù)。有了此類洞見(jiàn)的加持，公司企業(yè)就可堵上漏洞，在漏洞造成數(shù)據(jù)泄露前就斷掉漏洞利用的機(jī)會(huì)。