我們在安全產(chǎn)品宣傳中聽到的許多關(guān)于人工智能和機器學習的內(nèi)容大部分都是為了營銷，外人很難從中知道這些工具的真實能力。以下我們將為大家詳細介紹一下目前安全領(lǐng)域中人工智能和機器學習的狀態(tài)。

我們在安全產(chǎn)品宣傳中聽到的許多關(guān)于人工智能和機器學習的內(nèi)容大部分都是為了營銷，外人很難從中知道這些工具的真實能力。以下我們將為大家詳細介紹一下目前安全領(lǐng)域中人工智能和機器學習的狀態(tài)。

讓我們從破除最常見的誤解開始：企業(yè)安全軟件中幾乎沒有整合真正的人工智能（AI）。事實上，人工智能這個術(shù)語經(jīng)常被提及的原因在大程度上與營銷有關(guān)，反而跟技術(shù)本身沒有什么關(guān)系。純粹的人工智能主要是復制認知能力。

也就是說，作為人工智能眾多子領(lǐng)域之一的機器學習（ML）反倒是被整合到了一些安全軟件當中。但即便是機器學習這個術(shù)語，人們的態(tài)度也有些過于樂觀。目前，機器學習在安全軟件中的使用方式更像上世紀80年代和90年代基于規(guī)則的“專家系統(tǒng)”，而非真正的人工智能。如果你曾經(jīng)使用過貝葉斯垃圾郵件過濾算法，并使用過數(shù)以千計的已知垃圾郵件和成千上萬條已知的非電子郵件對其進行訓練，那么你可能會對機器學習的工作原理有一定的了解。在大多數(shù)情況下，它們無法進行自我訓練，需要進行包括編程在內(nèi)的人工干預以更新訓練內(nèi)容。由于安全領(lǐng)域中存在著很多的變量和數(shù)據(jù)點，因此不斷訓練最新的內(nèi)容并讓其行之有效是一項艱巨的挑戰(zhàn)。

盡管如此，當機器學習使用來自環(huán)境的大量數(shù)據(jù)進行訓練，尤其是環(huán)境中的使用者清楚自己的目標，那么機器學習可以變得非常有效。雖然復雜的系統(tǒng)也是有可能的，但是相比廣泛的任務，機器學習在更具針對性的任務或任務集中表現(xiàn)的更為優(yōu)異。

IDC全球安全產(chǎn)品研究主管Chris Kissel表示，機器學習的優(yōu)勢之一是異常檢測，這是用戶和實體行為分析（UEBA）的基礎(chǔ)。他表示：“UEBA功能的定義為確定指定設(shè)備的收發(fā)行為是否異常?！盪EBA生來就非常適用于許多重大網(wǎng)絡(luò)安全防御行為。

在機器學習系統(tǒng)得到充分且良好的訓練后，大多數(shù)情況下就已經(jīng)完成了對已知良性事件的定義。這使威脅情報或安全監(jiān)控系統(tǒng)可以專注于識別異常情況。如果供應商僅使用自己的通用數(shù)據(jù)對系統(tǒng)進行訓練，那么會發(fā)生什么情況？如果機器學習沒有足夠多的事件進行訓練呢？亦或是用于訓練的事件中充斥著沒有經(jīng)過識別的極值，并且這些極值還不幸成為了背景噪音中的一部分呢？用戶可能會被企業(yè)威脅檢測軟件無休止的誤報而困擾。如果沒有對機器學習系統(tǒng)進行持續(xù)的訓練，那么你將無法享受到機器學習的真正優(yōu)勢。隨著時間的流逝，系統(tǒng)的使用效果將越來越差。

除了上述之外，機器學習還可以簡化流程并為安全運營中心（SOC）人員提供建議。這些都展現(xiàn)了以更為強大的人工智能為基礎(chǔ)的系統(tǒng)將具有光明前景。以下是它們正在發(fā)揮作用的領(lǐng)域。

針對企業(yè)安全的9大機器學習使用案例

1.檢測并阻止正在實施的網(wǎng)絡(luò)攻擊。我們無法在攻擊發(fā)生之前及時關(guān)閉入侵的漏洞，至少現(xiàn)在還沒有這種能力，但是機器學習或許能夠在用戶之前發(fā)現(xiàn)入侵跡象，然后建議采取可能的行動。Redware安全研究員Pascal Geenens說：“我們可以使用機器學習來檢測未知的DDoS攻擊的嚴重程度。與此同時，機器學習還可以提取攻擊流量的特征，并自動生成用于阻止攻擊的簽名?！?

2.威脅情報。機器學習擅長分析海量數(shù)據(jù)，并對其發(fā)現(xiàn)的行為進行分類。當它們發(fā)現(xiàn)了異常情況后會及時提醒分析人員。機器學習還是快速篩查海量數(shù)據(jù)的利器，極大地提升了系統(tǒng)的數(shù)據(jù)分析能力。飽和攻擊是不法分子常用的戰(zhàn)術(shù)，應對這類攻擊往往都是說起來容易做起來難，然而威脅檢測系統(tǒng)越具實時性應對措施就越有效。

3.識別現(xiàn)有漏洞、確定優(yōu)先級并幫助修復。這些應該是所有企業(yè)的經(jīng)常性工作，但是如果有套可靠的機器學習系統(tǒng)每天都幫助你執(zhí)行這些操作，那么企業(yè)安全中最大的問題，即未修復的漏洞可能就不再那么受關(guān)注了。

4.安全監(jiān)控指跟蹤與網(wǎng)絡(luò)流量、內(nèi)部與外部行為、數(shù)據(jù)訪問以及各種功能和活動有關(guān)的信息的過程。在合理編程后，機器學習將有能力通過處理龐大的數(shù)據(jù)池來查找異常情況，因此機器學習很可能是最適合處理各種產(chǎn)品生成的日志文件和錯誤消息的技術(shù)。

5.檢測勒索軟件等惡意軟件。勒索軟件家族正在日益發(fā)壯大，而機器學習可能是目前我們手中唯一可用于對抗它們的工具，因為通過檢測勒索軟件之前用過的簽名的方式已經(jīng)無法跟上形勢變化。在追查勒索軟件中，檢測異常行為能力已經(jīng)收到了良好的效果。

6.審查代碼以查找漏洞。DevSecOps中的一句格言是“安全性也是代碼”。顯然，開發(fā)人員需要知道如何從安全角度編寫代碼，不過如今機器學習已經(jīng)可自動分析代碼查找常見的漏洞和弱點。事實上，它或許可以成為一種培訓新開發(fā)人員的工具。

7.數(shù)據(jù)分類。為符合數(shù)據(jù)隱私和數(shù)據(jù)保護法規(guī)的要求，我們應當清楚需要保護的數(shù)據(jù)的特征。機器學習可用于掃描新導入或新生成的數(shù)據(jù)并對其敏感性進行分類，以便系統(tǒng)能夠以其需要的方式保護它們。

8.蜜罐。在這個特定的領(lǐng)域中，更接近真正人工智能的深度學習可與目前的威脅自動緩解技術(shù)聯(lián)合使用。Geenens認為：“通過在互聯(lián)網(wǎng)上的企業(yè)網(wǎng)絡(luò)中部署蜜罐，我們能夠收集大量數(shù)據(jù)，如果其中的數(shù)據(jù)是惡意的，我們會對其進行標記。不幸的是，經(jīng)由蜜罐檢測到的所有事件或流量實例全部是惡意的。如果我們有足夠的蜜罐和數(shù)據(jù)，那么深度神經(jīng)網(wǎng)絡(luò)將能夠創(chuàng)建一個可精準檢測出攻擊行為的模型?！?

9.預測并適應未來的威脅。一些企業(yè)目前正在研究預測性安全分析技術(shù)。目前該技術(shù)已經(jīng)展現(xiàn)出了一些商業(yè)智能前景。這種類似的機器學習技術(shù)能否被用來預測未來可能存在的漏洞和缺陷呢？現(xiàn)在還尚無定論。

探究真相

一些專家認為，目前根本沒有任何基于人工智能的產(chǎn)品。這種說法可能有些過于武斷。人工智能可以作為一個總稱，用來表示一系列廣泛的技術(shù)，這其中包括技術(shù)層面上并不屬于人工智能的機器學習技術(shù)。在最嚴格的意義上，人工智能指具有認知能力的計算機系統(tǒng)。Domo的CISO和SVP信任與安全部門的Niall Browne并不信任目前“基于人工智能”的安全產(chǎn)品。他說：“人工智能具有巨大的潛力，并將在未來的安全領(lǐng)域中發(fā)揮關(guān)鍵作用。盡管如此，卻很少有人在企業(yè)安全中持續(xù)部署人工智能。” 不過，他也承認機器學習確實具備安全用途。

Browne并不是唯一對一些安全產(chǎn)品炒作人工智能概念感到厭煩的人，他的態(tài)度得到了一些人的支持。

GreyCastle Security首席執(zhí)行官Reg Harnish對此總結(jié)道：“今天，許多聲稱自己的產(chǎn)品具備人工智能功能的軟件供應商不是想辦法使產(chǎn)品具備智能而是故意曲解原有規(guī)則。” 那么CSO/CISO應當如何問詢安全產(chǎn)品供應商，才能避免被機器學習的虛假宣傳所坑騙呢？

Delphi創(chuàng)始人兼云存儲初創(chuàng)公司W(wǎng)asabi顧問Tom Koulopoulos指出，“首先要問的一個關(guān)鍵問題是：它們是如何學習的？因為你需要了解訓練機器學習或人工智能的具體機制。其次要分別需要多少數(shù)據(jù)？再訓練的頻率是多少？與算法的協(xié)作機制是什么？人類怎么給它們打分？機器學習或人工智能使用的是存檔的數(shù)據(jù)集還是在線數(shù)據(jù)？”

作為IEEE成員的Integral Partners公司信息安全主管Kayne McGladrey給出了如下建議，“首先要在實驗室內(nèi)的用戶環(huán)境復制品中對基于人工智能的安全解決方案展開評估。然后聘請一個聲譽良好的團隊模擬現(xiàn)實中的黑客反復嘗試突破這一環(huán)境。”

總結(jié)

安全部門開發(fā)出了新的保護措施，網(wǎng)絡(luò)犯罪分子就開始千方百計地企圖突破它們。人工智能將會以極快的速度提升企業(yè)的防護能力。想象一下，全球的智能犯罪系統(tǒng)每時每刻都在試圖入侵銀行、醫(yī)院和能源公司。當然，這些企業(yè)和公司中的人工智能系統(tǒng)也在時刻不停地進行工作，以阻止這些網(wǎng)絡(luò)犯罪分子。這些都是人工智能在未來需要面對的挑戰(zhàn)和機遇。

作者：Scot Finnie 曾擔任Computerworld主編，目前為自由撰稿人，擁有數(shù)十年的IT從業(yè)經(jīng)驗。