機器學習(Mashine
Learning)顧名思義就是“讓計算機具備自主學習的能力”。機器學習的過程:首先需要在大規模資料集上使用數學方法進行模型訓練,然後利用獲得的模型進行預測分類工作。例如Netflix可以根據觀看歷史,投其所好的給使用者推送新劇集;無人駕駛汽車會自己學習如何根據道路情況規避行人。
機器學習在資訊保安領域的應用發展迅速。據ABI研究院統計,到2021年,機器學習在網路安全中的應用能夠給大資料和人工智慧(AI)等相關行業帶來960億美元的市場規模。世界上嗅覺靈敏的科技巨人已經在該趨勢中佔得了一席先機。谷歌採用機器學習技術,分析基於Android系統移動終端面臨的威脅、識別並清除手機中的惡意軟體;雲端計算巨人Amazon併購了創業公司harvest.AI,同時推出了Macie服務,該服務使用機器學習技術對S3儲存雲中的資料進行排序和分類。
與此同時,企業級的安全廠商也將機器學習技術融入到產品中,以提高惡意軟體的檢測能力。大部分安全公司也改變了以往單純“基於簽名”的檢測方法,轉而使用機器學習技術來識別惡意軟體。雖然還只停留在起步階段,但這明顯是未來的發展方向。人工智慧和機器學習將來會顯著改變安全領域的格局。
下面就梳理一下,機器學習在資訊保安防護方面有哪些典型的應用。
1.利用機器學習檢測惡意行為並阻斷攻擊
機器學習演算法能夠快速檢測識別出惡意行為,並且對攻擊行為進行及時阻斷,從而將威脅消滅在萌芽狀態。Darktrace是一家成立於2013年的英國初創公司,該公司的機器學習技術幫助北美一家賭場成功阻止了一起資料洩漏攻擊事件,該公司還在去年夏天Wannacry勒索軟體危機中大顯身手,這種勒索軟體感染了150多個國家的20萬使用者,公司的機器學習演算法快速定位捕捉到攻擊,並採取措施消除了威脅,由於發現阻斷及時,該公司的使用者甚至包括那些沒打補丁的使用者都未遭受任何損失。
2.使用機器學習分析移動終端安全狀況
機器學習技術雖然已經在移動裝置上得到應用,但到目前為止,主要還集中在谷歌 Now, 蘋果Siri和亞馬遜Alexa等語音應用中。不過,谷歌正在使用機器學習來分析移動終端面臨的威脅,以處理在工作中使用個人手機而帶來的安全隱患。
此外,還有多家公司也推出各自的解決方案。MobileIron和Zimperium兩家公司宣佈了一項合作計劃,共同為移動裝置提供基於機器學習的反惡意軟體工具。該工具將MobileIron的安全合規性引擎與Zimperium的機器學習檢測方法合二為一,能夠檢測裝置、網路和應用面臨的多種威脅,並會根據安全狀況自動採取應對措施來保護資料安全。Wandera公司近期也釋出攻擊檢測引擎MI:RIAM,據報導稱該引擎可以發現超過400個勒索軟體及其變種。
3.藉助機器學習提高資訊保安分析水平
藉助機器學習,可以顯著提高資訊保安各方面的技術水平,包括惡意攻擊檢測、網路分析、終端保護和脆弱性評估等。2016年MIT的電腦科學與人工智慧實驗室(CSAL)開發了一套AI2系統,這一個自適應機器學習平臺,能夠幫助安全技術人員進行“大海撈針”式的資料過濾,識別出真正的安全威脅。CSAL和PatternEx的聯合實驗顯示該系統的威脅檢測率達到了85%,同時誤報率減少了5倍。
4.依靠機器學習自動完成重複的安全任務
機器學習的真正好處在於可以自動完成重複任務,讓安全人員可以將精力集中在更重要的工作上。機器學習最終將會把安全人員從“重複的、低價值”的活動中解放出來,從而有更多的時間來完成更有意義的工作。
5.透過機器學習來消除0-day漏洞
研究人員希望透過機器學習技術來消除系統漏洞,特別是0-day以及威脅物聯網裝置安全的漏洞。亞利桑那州立大學的研究團隊嘗試採用機器學習監視暗網的流量,希望能夠發現利用0-day漏洞進行攻擊的相關資料。透過這種方法,可以及時消除0-day漏洞帶來的威脅,防止關鍵資料洩漏。
結束語
機器學習並不是解決任何問題的靈丹妙藥,很多技術還處於概念驗證階段,陷阱也無處不在。現在的機器學習系統(特別是無監督學習方法)還是會產生大量的誤報。機器學習工具對一些安全人員來說完全就是個黑盒,對其內在機理和檢測能力不甚了了,只能將安全責任盲目交給安全廠商。
此外,大部分的機器學習演算法都不是在使用者實際環境中開發出來的,機器學習模型都是在廠商的資料環境中訓練出來的,部署到使用者環境中,具體效果如何還需要實際的檢驗。而且,機器學習演算法設計是否科學、訓練模型的資料是否準確,都決定了機器學習技術能否發揮真正的效能。