3． 使用機(jī)器學(xué)習(xí)來增強(qiáng)人類分析

作為機(jī)器學(xué)習(xí)在安全領(lǐng)域的核心應(yīng)用，人們相信它可以幫助人類分析師處理安全方面的各項工作，包括檢測惡意攻擊、分析網(wǎng)絡(luò)、終端防護(hù)和漏洞評估。而它在威脅情報方面發(fā)揮的作用可以說才是最令人興奮的。

例如，2016年，麻省理工學(xué)院計算機(jī)科學(xué)和人工智能實驗室（CSAIL）開發(fā)出了一個名為“AI2”的系統(tǒng)，這是一個自適應(yīng)機(jī)器學(xué)習(xí)安全平臺，能夠幫助分析師從海量數(shù)據(jù)中找出真正有用的東西。該系統(tǒng)每天審查數(shù)百萬登錄，過濾數(shù)據(jù)，并將濾出內(nèi)容轉(zhuǎn)送給人類分析師，從而將警報數(shù)量降低至每天100個左右。這項由CSAIL和初創(chuàng)公司PatternEx共同進(jìn)行的實驗表明，攻擊檢測率被提升到了85％，而誤報率則降低了5倍之多。

4． 使用機(jī)器學(xué)習(xí)自動化重復(fù)性安全任務(wù)

機(jī)器學(xué)習(xí)的真正好處是它可以自動化重復(fù)性任務(wù)，使員工能夠?qū)Ｗ⒃诟�重要的工作上。Palmer稱，機(jī)器學(xué)習(xí)最終應(yīng)該旨在“消除重復(fù)性高且低價值的決策活動對人力的需求，就像分類威脅情報一樣”。讓機(jī)器處理重復(fù)性工作和阻止勒索軟件之類戰(zhàn)術(shù)性救火工作，這樣人類就可以騰出時間來處理戰(zhàn)略性問題——比如現(xiàn)代化Windows XP 系統(tǒng)等等。

Booz Allen Hamilton公司正在沿著這條路線發(fā)展。據(jù)報道，該公司使用人工智能工具更高效地分配人類安全資源，對威脅進(jìn)行分類，以便員工可以專注于最關(guān)鍵的攻擊。

5． 使用機(jī)器學(xué)習(xí)來關(guān)閉零日漏洞

有些人認(rèn)為機(jī)器學(xué)習(xí)可以幫助彌補(bǔ)漏洞，尤其是零日威脅和其他針對大部分不安全I(xiàn)oT設(shè)備的威脅。據(jù)《福布斯》報道稱，亞利桑那州立大學(xué)的一支團(tuán)隊已經(jīng)通過機(jī)器學(xué)習(xí)技術(shù)來監(jiān)控暗網(wǎng)流量，以識別與零日漏洞利用相關(guān)的數(shù)據(jù)。有了這種洞察力，企業(yè)組織就有能力在漏洞造成數(shù)據(jù)泄露之前堵上漏洞并阻止補(bǔ)丁攻擊。

炒作和誤解叢生的領(lǐng)域

需要注意的是，機(jī)器學(xué)習(xí)并非靈丹妙藥，尤其是對于一個仍在對這些技術(shù)進(jìn)行概念驗證實驗的行業(yè)而言。機(jī)器學(xué)習(xí)的發(fā)展必然是道阻且長的過程。機(jī)器學(xué)習(xí)系統(tǒng)有時會有誤報（無監(jiān)督學(xué)習(xí)系統(tǒng)的算法會基于數(shù)據(jù)推測類型），而一些分析師也坦率地承認(rèn)，用在安全領(lǐng)域的機(jī)器學(xué)習(xí)可能是“黑匣子”解決方案，即CISO不能完全確定其內(nèi)部機(jī)制，因此，他們只能被迫地將自己的信任與責(zé)任置于供應(yīng)商和機(jī)器的肩上。

畢竟，在一些安全解決方案甚至可能壓根兒沒用機(jī)器學(xué)習(xí)的世界中，這種盲目信任的想法并不可取。Palmer表示：大多數(shù)被吹捧的機(jī)器學(xué)習(xí)產(chǎn)品都不會在客戶環(huán)境中真正學(xué)習(xí)。相反地，它們只是在供應(yīng)商自己的云上用惡意軟件樣本訓(xùn)練出模型，再下載到客戶公司，就像病毒簽名似的。這對于客戶安全來說，并不是什么進(jìn)步，基本上是在倒退。

此外，算法在投入實際使用前需要學(xué)習(xí)模型所需的訓(xùn)練數(shù)據(jù)樣本，而這些樣本中存在的糟糕數(shù)據(jù)和實現(xiàn)可能會產(chǎn)出更糟糕的結(jié)果。機(jī)器學(xué)習(xí)的效果，取決于你輸入的信息。垃圾的輸入，必然導(dǎo)致垃圾的輸出。因此，如果你的機(jī)器學(xué)習(xí)算法設(shè)計不佳，結(jié)果也就不會非常理想。算法在實驗室訓(xùn)練數(shù)據(jù)上有用是一回事，但最大的挑戰(zhàn)還在于讓機(jī)器學(xué)習(xí)網(wǎng)絡(luò)防御在現(xiàn)實復(fù)雜網(wǎng)絡(luò)中奏效。