本文作者:Alexander Polyakov,ERPScan的技術長和聯合創始人、EAS-SEC總裁,SAP網路安全傳播者。
現在已經出現了相當多的文章涉及機器學習及其保護我們免遭網路攻擊的能力。儘管如此,我們也要清楚的去將理想與現實分開,看看機器學習(ML),深度學習(DL)和人工智慧(AI)演算法到底可以在網路安全中做什麼。
首先,我必須讓你失望,因為我們必須承認的是,儘管機器學習在影像識別或自然語言處理這兩個領域取得了不錯的成績,但機器學習絕不會成為網路安全的silver bullet(銀彈:喻指新技術,指人們寄予厚望的某種新科技)。總會有人試圖在我們的系統中發現問題並試圖繞過它們。更糟糕的是,這些先進的技術也正在被黑客們使用,例如黑客也可以使用機器學習來實現他們的意圖。
機器學習不僅可以幫助我們完成典型的ML任務,包括迴歸(預測)、分類、聚類,推薦。ML也可以針對各種需求以不同的效率解決問題,這要根據你選擇的演算法而定。現在,我們將利用機器學習解決典型的網路安全任務。
根據Gartner的PPDR模型,所有的安全任務可以分為五類:預測(prediction),預防檢測(prevention detection),響應(response)和監測(monitoring)。更精確地說,它們可以用於網路(網路流量分析和入侵檢測),端點(反惡意軟體),應用程式(WAF或資料庫防火牆)或使用者(UBAs,反欺詐)等技術層。
現在,讓我們看看當前機器學習方法如何應用於網路安全任務的例子。
一、迴歸
迴歸是一項簡單的任務,換句話說預測是一項簡單的任務。我們希望利用我們對現有資料的瞭解對新資料發表預測意見,最簡單的例子就是房價預測。在網路安全中,它可以用於諸如使用者行為分析以及欺詐檢測等任務。網路流量分析是使用機器學習的另一個好選擇。至於迴歸的技術方面,各種型別的遞迴神經網路效果最好。
二、分類
分類問題也很簡單。如果你有兩堆照片,比如說狗和貓,你會很容易地把新照片放到相應的照片上,這通常稱為監督式學習。我們確切知道我們正在尋找什麼,並把他們放在正確的地方。那麼如何將機器學習的分類演算法應用於網路安全中呢?假設我們想要檢測不同層上的惡意活動。對於網路層,我們可以將其應用於入侵檢測系統(IDS),並識別不同類別的網路攻擊,如掃描,欺騙等。在應用層,我們可以將它應用於WAF並檢測OWASP top 10攻擊。在終點層,我們可以將軟體分為惡意軟體,間諜軟體和勒索軟體等類別。最後,在使用者級別上,它可以應用於反釣魚解決方案,告訴我們特定的電子郵件是否合法。從技術上講,SVM或隨機森林等演算法以及更好的簡單的人工神經網路或卷積神經網路都可以解決這些任務。
三、聚類
聚類與分類解決網路安全問題的思路大體是一致的,只有一個主要地區別:我們不知道關於資料類的任何資訊。此外,我們不知道這些資料是否可以分類。這被稱為無監督學習。我們不參與到資料標註過程中,將所有的任務都交給機器完成,聽起來這是一個非常有趣的嘗試。
我覺得聚類最好的任務之一就是取證分析——當我們不知道發生了什麼事情並將所有活動分類以找出異常值時,惡意軟體分析解決方案(即惡意軟體防護)可以實施它來將合法檔案與異常值分開。聚類可應用的另一個有趣的領域是使用者行為分析。在這種情況下,應用程式使用者聚集在一起,並且可以檢視它們是否屬於特定的組。根據他們所在的組,提供相應的有效的網路安全解決方案。
四、推薦
推薦系統是網際網路時代非常出名的系統。例如,我們都使用Netflix和SoundCloud時,他們會根據你的電影或音樂偏好給你推薦他們認為你喜歡的電影或歌曲。這種思想同樣也可以應用於網路安全,其中它主要可以用於事件響應。如果一家公司面臨一系列事件並提出各種型別的響應,系統可以瞭解應針對特定事件推薦哪種型別的響應。風險管理解決方案還可以從中受益,因為它們可以自動為新漏洞分配風險值或基於其描述構建錯誤配置。現在關於推薦任務已經出現了很多演算法,最新的是基於受限制的玻爾茲曼機器和它們的更新版本,例如深度信念網路。
五、結論
除了我提到的這些安全領域之外,還有很多安全領域可以應用機器學習。如果你想保護你的系統,機器學習絕對不是一個完美的解決方案,但同時,它在不久的將來也將成為網路安全中的標配方案,因為黑客已經開始利用機器學習作為攻擊手段了。
那易盾都是怎麼運用人工智慧的呢?再分享兩篇乾貨文章:
1. 應對羊毛黨的老手段不管用了,但有些公司依然有辦法,他們是怎麼做的?
2. 追蹤掠食者:地下灰產如何擼死創業公司?