機器學習與人工智能將應用於哪些安全領域？

機器學習正在不斷加的加快前進的步伐，是時候來探討這個問題了。人工智能真的能在未來對抗網絡攻擊，自主地保護我們的係統嗎？

如今，越來越多的網絡攻擊者通過自動化技術發起網絡攻擊，而受到攻擊的企業或組織卻仍在使用人力來匯總內部安全發現，再結合外部威脅信息進行對比。利用這種傳統的方式部署的入侵檢測係統往往需要花費數周，甚至幾個月的時間，然而就在安全人員修複的這段時間內，攻擊者依然能夠利用漏洞侵入係統，肆意掠奪數據。為了應對這些挑戰，一些先行者開始利用人工智能來完成日常的網絡風險管理操作。

根據Verizon Data Breach的報告，超過70%的攻擊是通過發現補丁利用已知漏洞完成的。同時，調查結果表明，一個黑客可以在漏洞公布出來的幾分鍾內利用該漏洞嚐試入侵。修複速度的重要性可見一斑。然而，由於安全專業人員的短缺再加上大數據集需要在安全的狀態下處理，因此漏洞補救措施無法跟上網絡攻擊者並不奇怪。

近期，工業調查表明組織機構平均需要146天的時間才能修複致命漏洞。這些發現無疑給我們敲響了警鍾，重新思考現有的企業安全勢在必行。

攻擊者長期利用機器和自動化技術來簡化操作。那我們又未嚐不可？

2016年，業界開始將人工智能和機器學習視為聖杯，提高了組織機構的檢測和響應能力。 利用反複學習數據的方式得到的算法，來保證發現威脅，而這個過程不需要操作者考慮“要找什麼東西”的問題。最終，人工智能能夠在三個特定事件中幫助人類自動化解決問題。

大數據識別威脅

當出現網絡安全這一概念的時候，所有的組織機構就麵臨了一個難題。

在過去，關注網絡和終端的保護就可以了，而如今應用程序，雲服務和移動設備（例如平板電腦，手機，藍牙設備和智能手表）的加入，使得組織機構的發展這些項目的同時，必須針對它們做好足夠的防禦。然而需要防禦的攻擊麵在不斷擴大，在將來會變得更大。

這種“更廣泛和更深層”的攻擊麵隻會增加如何管理組織中無數IT和安全工具生成的數據的數量，速度和複雜性等現有問題。分析、歸一化、優先處理被攻破的係統顯得尤為重要。工具越多，挑戰的難度越大；攻擊麵越廣，要做的數據分析也就越多。 傳統上，手工修複需要大量的工作人員梳理大量的數據連接點和發現潛在的威脅。在安全人員在努力修複幾個月時間內，攻擊者就能利用漏洞提取數據。

突破現有的思維方式、自動化執行傳統的安全操作已成為補充稀缺的網絡安全運營人才的頭等大事。 就是在這種大環境下，使用人機交互式機器學習引擎可以達到自動化跨不同數據類型的數據聚合、 搜集評估數據到合規要求、規範化信息以排除誤報，重複報告以及大量的數據屬性的效果。

更具關聯性的風險評估

一旦發現內部安全情報與外部威脅數據（例如，漏洞利用，惡意軟件，威脅行為者，聲譽智能）相匹配，那麼首先要確定的就是這些發現是否與關鍵業務相關聯，否則無法確定真正存在的風險及其對業務的最終影響。 打個比方，假設在某次機器的處理過程中，由於機器不知道“coffee服務器”相比“email務器”對業務的影響，最終導致了補救措施無法集中在真正需要補救的事件中。在這個例子中，人機交互的機器學習和高級算法起了適得其反的效果，這不是我們願意看到的現象。 

自學習的應急響應

增加負責確定安全漏洞的安全團隊和專注於補救這些團隊的IT運營團隊之間的協作仍然是許多組織麵臨的挑戰。 使用基於風險的網絡安全概念作為藍圖，可以實施主動安全事件通知和人機交互環路幹預的自動化過程。 通過建立閾值和預定義的規則，企業、機構還可以通過編製補救措施來的方式及時修複安全漏洞。

雖然機器學習可以幫助減少修複時間，但它是否能夠自主地保護組織免受網絡攻擊？

很多時候，無人監督的機器學習會因為疲於警報以及注意力的原因降導致誤報和警報頻發。 對於攻擊者來說，這個結果無疑給他們帶來了破壞機器學習的新思路。 但是不得不承認的是，如今已經達到了一個臨界點，人類已經無法繼續處理大量的安全數據。 這才引出了所謂的人機交互式機器學習。

人機交互式機器學習係統分析內部安全智能，並將其與外部威脅數據相關聯，幫助人類在海量的數據中發現威脅數據。 然後人類通過標記最相關的威脅向係統提供反饋。 隨著時間的推移，係統會根據人類輸入調整其監測和分析，優化發現真實網絡威脅和最小化誤報的可能性。

讓機器學習在一線安全數據評估中取得重大進展，使分析人員能夠專注於對威脅進行更高級的調查，而不是執行戰術性的數據處理。 

原文發布時間為：2017-02-25

本文來自雲棲社區合作夥伴“大數據文摘”，了解相關信息可以關注“BigDataDigest”微信公眾號