案例分享:机器学习如何可以作用在信息安全方面?

在了解机器学习如何作用在信息安全方面之前,我们要先了解什么是机器学习?通俗得说,机器学习就是“(计算机)无需显式编程即可学习的能力”。跨海量数据集应用数学技术,机器学习算法可建立起行为模型,并基于新输入的数据,用这些模型做出对未来的预测。例如,视频网站根据用户的历史观看记录推出新剧集,自动驾驶汽车从擦肩而过的行人学习路况都是机器学习的例子。那么,信息安全中的机器学习应用又是什么呢?

大体上,机器学习可帮助公司企业更好地分析威胁,响应攻击及安全事件。还有助于自动化更琐碎更低级的工作,也就是之前工作量巨大或技术欠缺的安全团队所做的那些。

安全方面,机器学习是个快速发展的趋势。ABI Research 的分析师估测,在网络安全界,机器学习将推动大数据人工智能(AI)及分析的投资,有望在2021年达到960亿美元,同时,世界科技巨头已经在采取措施更好地保护自己的客户。

谷歌用机器学习来分析安卓移动终端上的威胁——从被感染手机上识别并清除恶意软件。云基础设施巨头亚马逊收购了初创公司 harvest.AI,并发布了Macie——用机器学习来发现、梳理并分类S3云存储上数据的一项服务。

与此同时,企业安全供应商一直努力将机器学习集成进新旧产品线中,希望能改善恶意软检测率。大多数主流安全公司已从纯“基于特征码”的系统,转向了试图解释行为及事件,并从各种源学习判断安全与风险的机器学习系统。这仍是个新兴领域,但明显是未来发展方向。

AI和机器学习将极大改变安全运作方式,虽然目前正处在驱动网络防御的早期阶段,但已经在终端、网络、欺诈或SIEM中,起到了识别恶意活动模式的明显作用。未来,在防御服务中断、属性及用户行为修改等领域,我们将看到越来越多的用例。

机器学习在安全领域的顶级用例有哪些呢?我们不妨来看看以下5个。

1. 用机器学习检测恶意活动并阻止攻击

机器学习算法可帮助公司企业更快速检测恶意活动,并在攻击开始前就予以阻止。英国初创公司Darktrace于2013年成立,其基于机器学习的企业免疫解决方案( Enterprise Immune Solution ),在这方面已取得了很多成功。作为这家公司的技术总监,大卫·帕尔玛见证了机器学习对恶意活动及攻击的影响。

帕尔玛称,利用机器学习算法,Darktrace最近帮助北美一家赌场检测出了数据泄露攻击。该攻击将联网鱼缸用作了进入赌场网络的切入点。该公司还宣称,去年夏天的WannaCry勒索软件大肆虐中,其算法也防止了类似的一起攻击。

针对感染了150个国家20多万受害者的WannaCry勒索软件,帕尔玛称:“在数秒内,我们的算法就检测出了一家国民医疗服务(NHS)机构网络中的攻击,在尚未对该机构造成任何破坏前,此威胁就被缓解掉了。事实上,我们的客户没有任何一家受到WannaCry攻击的伤害,包括那些没打补丁的。”

2. 用机器学习分析移动终端

移动设备上,机器学习已成主流;但到目前为止,绝大部分活动集中在驱动基于语音的体验上,比如 Google Now、苹果的Siri和亚马逊的Alexa。不过,机器学习在安全方面确实有应用。如上文提及的,谷歌采用机器学习来分析移动终端威胁,而企业则在防护自带及自选移动设备上看到了机会。

10月,MobileIron和Zimperium宣布合作,帮助企业将机器学习集成进移动杀软解决方案中。MobileIron将在自己的安全及合规引擎中,集成Zimperium基于机器学习的威胁检测,并作为联合解决方案售出,解决设备、网络及应用威胁检测,快速自动化动作防护公司数据之类的难题。

其他供应商也在计划改善自己的移动解决方案。LookOut、被赛门铁克收购的Skycure,还有Wandera,是移动威胁检测及防御市场中的佼佼者,每家都用自有机器学习算法检测潜在威胁。拿Wandera举个例子。这家公司最近刚公开发布了其威胁检测引擎 MI:RIAM,据称检测出了超过400种针对企业移动设备的SLocker勒索软件变种。

3. 用机器学习增强人类分析

机器学习在安全领域的核心应用,有人认为是帮助人类分析师处理安全方面的各项工作,包括恶意攻击检测、网络分析、终端防护及漏洞评估。但在威胁情报方面,才是最令人兴奋的。

比如说,2016年,麻省理工学院计算机科学和人工智能实验室(CSAIL),开发出了名AI2的系统。这是一个自适应机器学习安全平台,可帮助分析师从海量数据中找出真正有用的东西。该系统每天审查数百万登录,过滤数据,并将滤出内容传给人类分析师,可将警报数量大幅降低至每天100个左右。由CSAIL和初创公司PatternEx共同进行的实验表明,攻击检测率被提升到了85%,而误报率降低至原先的1/5。

4. 用机器学习自动化重复性安全工作

机器学习的真正价值,在于可以自动化重复性劳动,让员工可以专注在更重要的工作上。帕尔玛称,机器学习最终应旨在“消除重复性低价值决策活动对人力的需求”上,比如归类威胁情报等活动。让机器处理重复性工作和阻止勒索软件之类战术性救火工作,这样人类就能解放双手去搞定战略性问题了,比如现代化 Windows XP 系统等等。

博思艾伦咨询公司也在走这个路线。据报道,该公司用AI工具更高效地分配人类安全资源,分类威胁,让员工可以专注最关键的攻击。

5. 用机器学习堵上零日漏洞

有人认为,机器学习有助堵上漏洞,尤其是零日威胁和主要针对不安全IoT设备的那些威胁。该领域里已出现了先驱者:《福布斯》报道,亚利桑那州立大学的一支团队,采用机器学习监视暗网流量,以识别与零日漏洞利用相关的数据。有了此类洞见的加持,公司企业就可堵上漏洞,在漏洞造成数据泄露前就断掉漏洞利用的机会。

炒作和误解

然而,机器学习并非万灵丹,至少对一个仍在对这些技术进行概念验证实验的行业来说不是。前路艰难,困难与隐患从来不少。机器学习系统有时候会有误报(无监督学习系统的算法会基于数据推测类型),而有分析师也坦率承认,用在安全领域的机器学习可能是“黑箱”解决方案——CISO不能完全确定其内部机制。他们只能将自己的信任与责任放到供应商及机器身上。

在某些安全解决方案可能压根儿没用机器学习,盲目的信任可不是什么好主意。

市面上炒作的机器学习产品,大多数都不会在客户环境中真正学习。它们不过是在供应商自己的云上,用恶意软件样本训练出模型,再下载到客户公司,就跟病毒特征码似的。对客户安全来说,这可不是什么进步,基本上是在倒退。

而且,算法投入实际使用前学习模型所需的训练数据样本,也有糟糕数据和实现会产出更糟糕结果的问题。机器学习的效果,取决于你输入的信息。垃圾进,垃圾出。所以,如果你的机器学习算法设计不佳,结果也就不会太有用。算法在实验室训练数据上有用是一回事,但最大的挑战,还在于让机器学习网络防御在现实复杂网络中起效。

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

DARPA 开发用于自然语言处理的深度学习项目

1886
来自专栏机器之心

业界 | DeepMind首次披露旗下AI专利申请情况,引发热议

DeepMind 是一家总部位于伦敦的顶尖人工智能研究公司,成立于 2010 年并于 2014 年被 Google 以 4 亿英镑收购。2017 年,DeepM...

800
来自专栏ATYUN订阅号

研究团队利用无人机和AI技术识别人群中的暴力行为,但涉及该领域的研究引发道德担忧

随着公司和研究人员找到使用机器学习分析实时视频片段的新方法,自动监控将变得越来越普遍。英国和印度科学家的一个新项目显示了该技术的一个可能用途:在配备相机的无人机...

802
来自专栏大数据文摘

人类打赢癌症战争的的五大理由

1203
来自专栏新智元

【大脑被控】研究人员成功操控特定神经元群,可编辑人类感觉和记忆

1515
来自专栏机器人网

难以想象 它竟然拥有相当于13岁男孩的情感

---- 人类面临的最大威胁可能并不是自然进化的生物,而是某种人工智能。现在,一个叫尤金·古特曼的机器人第一次通过了图灵试验,被当成真实的、13岁的乌克兰男...

2444
来自专栏AI科技评论

动态 | KDD首推Health Day,探讨如何用AI、数据挖掘改变未来医疗 | KDD 2018

伦敦当地时间8月20日, ACM SIGKDD (知识发现与数据挖掘会议)正式在伦敦开幕,AI 科技评论也来到了现场为大家报道现场的盛况。

953
来自专栏专知

走近Hinton:AI教父传奇人生

【导读】Geoffrey Hinton花费了30年的时间默默无闻,直到2012年,他证明了其研究的价值,并驳回了大多数其他科学家所谓的正确观点。如今,这个被称为...

3446
来自专栏人工智能快报

计算机科学家拟揭示人类大脑奥秘

美国卡内基梅隆大学与约翰霍普金斯大学、哈佛大学等机构的研究人员计划共同开展一项人脑逆向工程研究。卡内基梅隆大学宣布启动了一项为期5年、投资1200万美元的研究项...

3097
来自专栏量子位

在预测心脏病和中风这件事上,AI又超过了人类医生(附论文)

李杉 安妮 编译整理 量子位 报道 | 公众号 QbitAI ? 人工智能与医生之间的配合越发紧密。 尽管有很多技术尚未经过临床验证,但在许多实验中,人工智能系...

2583

扫码关注云+社区