作者介绍:Doug Drinkwater是IDG集团的EMEA内容总监。
以下是译文:
机器学习(Mashine Learning)顾名思义就是“让计算机具备自主学习的能力”。机器学习的过程:首先需要在大规模数据集上使用数学方法进行模型训练,然后利用获得的模型进行预测分类工作。例如Netflix可以根据观看历史,投其所好的给用户推送新剧集;无人驾驶汽车会自己学习如何根据道路情况规避行人。
机器学习在信息安全领域的应用发展迅速。据ABI研究院统计,到2021年,机器学习在网络安全中的应用能够给大数据和人工智能(AI)等相关行业带来960亿美元的市场规模。世界上嗅觉灵敏的科技巨人已经在该趋势中占得了一席先机。谷歌采用机器学习技术,分析基于Android系统移动终端面临的威胁、识别并清除手机中的恶意软件;云计算巨人Amazon并购了创业公司harvest.AI,同时推出了Macie服务,该服务使用机器学习技术对S3存储云中的数据进行排序和分类。
与此同时,企业级的安全厂商也将机器学习技术融入到产品中,以提高恶意软件的检测能力。大部分安全公司也改变了以往单纯“基于签名”的检测方法,转而使用机器学习技术来识别恶意软件。虽然还只停留在起步阶段,但这明显是未来的发展方向。人工智能和机器学习将来会显著改变安全领域的格局。
下面就梳理一下,机器学习在信息安全防护方面有哪些典型的应用。
1.利用机器学习检测恶意行为并阻断攻击
机器学习算法能够快速检测识别出恶意行为,并且对攻击行为进行及时阻断,从而将威胁消灭在萌芽状态。Darktrace是一家成立于2013年的英国初创公司,该公司的机器学习技术帮助北美一家赌场成功阻止了一起数据泄漏攻击事件,该公司还在去年夏天Wannacry勒索软件危机中大显身手,这种勒索软件感染了150多个国家的20万用户,公司的机器学习算法快速定位捕捉到攻击,并采取措施消除了威胁,由于发现阻断及时,该公司的用户甚至包括那些没打补丁的用户都未遭受任何损失。
2.使用机器学习分析移动终端安全状况
机器学习技术虽然已经在移动设备上得到应用,但到目前为止,主要还集中在谷歌 Now, 苹果Siri和亚马逊Alexa等语音应用中。不过,谷歌正在使用机器学习来分析移动终端面临的威胁,以处理在工作中使用个人手机而带来的安全隐患。
此外,还有多家公司也推出各自的解决方案。MobileIron和Zimperium两家公司宣布了一项合作计划,共同为移动设备提供基于机器学习的反恶意软件工具。该工具将MobileIron的安全合规性引擎与Zimperium的机器学习检测方法合二为一,能够检测设备、网络和应用面临的多种威胁,并会根据安全状况自动采取应对措施来保护数据安全。Wandera公司近期也发布攻击检测引擎MI:RIAM,据报道称该引擎可以发现超过400个勒索软件及其变种。
3.借助机器学习提高信息安全分析水平
借助机器学习,可以显著提高信息安全各方面的技术水平,包括恶意攻击检测、网络分析、终端保护和脆弱性评估等。2016年MIT的计算机科学与人工智能实验室(CSAL)开发了一套AI2系统,这一个自适应机器学习平台,能够帮助安全技术人员进行“大海捞针”式的数据过滤,识别出真正的安全威胁。CSAL和PatternEx的联合实验显示该系统的威胁检测率达到了85%,同时误报率减少了5倍。
4.依靠机器学习自动完成重复的安全任务
机器学习的真正好处在于可以自动完成重复任务,让安全人员可以将精力集中在更重要的工作上。机器学习最终将会把安全人员从“重复的、低价值”的活动中解放出来,从而有更多的时间来完成更有意义的工作。
5.通过机器学习来消除0-day漏洞
研究人员希望通过机器学习技术来消除系统漏洞,特别是0-day以及威胁物联网设备安全的漏洞。亚利桑那州立大学的研究团队尝试采用机器学习监视暗网的流量,希望能够发现利用0-day漏洞进行攻击的相关数据。通过这种方法,可以及时消除0-day漏洞带来的威胁,防止关键数据泄漏。
结束语:
机器学习并不是解决任何问题的灵丹妙药,很多技术还处于概念验证阶段,陷阱也无处不在。现在的机器学习系统(特别是无监督学习方法)还是会产生大量的误报。机器学习工具对一些安全人员来说完全就是个黑盒,对其内在机理和检测能力不甚了了,只能将安全责任盲目交给安全厂商。
此外,大部分的机器学习算法都不是在用户实际环境中开发出来的,机器学习模型都是在厂商的数据环境中训练出来的,部署到用户环境中,具体效果如何还需要实际的检验。而且,机器学习算法设计是否科学、训练模型的数据是否准确,都决定了机器学习技术能否发挥真正的效能。
翻译:网易易盾