机器学习(Mashine Learning)顾名思义就是“让计算机具备自主学习的能力”。机器学习的过程:首先需要在大规模数据集上使用数学方法进行模型训练,然后利用获得的模型进行预测分类工作。例如Netflix可以根据观看历史,投其所好的给用户推送新剧集;无人驾驶汽车会自己学习如何根据道路情况规避行人。
机器学习在信息安全领域的应用发展迅速。据ABI研究院统计,到2021年,机器学习在网络安全中的应用能够给大数据和人工智能(AI)等相关行业带来960亿美元的市场规模。世界上嗅觉灵敏的科技巨人已经在该趋势中占得了一席先机。谷歌采用机器学习技术,分析基于Android系统移动终端面临的威胁、识别并清除手机中的恶意软件;云计算巨人Amazon并购了创业公司harvest.AI,同时推出了Macie服务,该服务使用机器学习技术对S3存储云中的数据进行排序和分类。
与此同时,企业级的安全厂商也将机器学习技术融入到产品中,以提高恶意软件的检测能力。大部分安全公司也改变了以往单纯“基于签名”的检测方法,转而使用机器学习技术来识别恶意软件。虽然还只停留在起步阶段,但这明显是未来的发展方向。人工智能和机器学习将来会显著改变安全领域的格局。
下面就梳理一下,机器学习在信息安全防护方面有哪些典型的应用。
1.利用机器学习检测恶意行为并阻断×××
机器学习算法能够快速检测识别出恶意行为,并且对×××行为进行及时阻断,从而将威胁消灭在萌芽状态。Darktrace是一家成立于2013年的英国初创公司,该公司的机器学习技术帮助北美一家×××成功阻止了一起数据泄漏×××事件,该公司还在去年夏天Wannacry勒索软件危机中大显身手,这种勒索软件感染了150多个国家的20万用户,公司的机器学习算法快速定位捕捉到×××,并采取措施消除了威胁,由于发现阻断及时,该公司的用户甚至包括那些没打补丁的用户都未遭受任何损失。
2.使用机器学习分析移动终端安全状况
机器学习技术虽然已经在移动设备上得到应用,但到目前为止,主要还集中在谷歌 Now, 苹果Siri和亚马逊Alexa等语音应用中。不过,谷歌正在使用机器学习来分析移动终端面临的威胁,以处理在工作中使用个人手机而带来的安全隐患。
此外,还有多家公司也推出各自的解决方案。MobileIron和Zimperium两家公司宣布了一项合作计划,共同为移动设备提供基于机器学习的反恶意软件工具。该工具将MobileIron的安全合规性引擎与Zimperium的机器学习检测方法合二为一,能够检测设备、网络和应用面临的多种威胁,并会根据安全状况自动采取应对措施来保护数据安全。Wandera公司近期也发布×××检测引擎MI:RIAM,据报道称该引擎可以发现超过400个勒索软件及其变种。
3.借助机器学习提高信息安全分析水平
借助机器学习,可以显著提高信息安全各方面的技术水平,包括恶意×××检测、网络分析、终端保护和脆弱性评估等。2016年MIT的计算机科学与人工智能实验室(CSAL)开发了一套AI2系统,这一个自适应机器学习平台,能够帮助安全技术人员进行“大海捞针”式的数据过滤,识别出真正的安全威胁。CSAL和PatternEx的联合实验显示该系统的威胁检测率达到了85%,同时误报率减少了5倍。
4.依靠机器学习自动完成重复的安全任务
机器学习的真正好处在于可以自动完成重复任务,让安全人员可以将精力集中在更重要的工作上。机器学习最终将会把安全人员从“重复的、低价值”的活动中解放出来,从而有更多的时间来完成更有意义的工作。
5.通过机器学习来消除0-day漏洞
研究人员希望通过机器学习技术来消除系统漏洞,特别是0-day以及威胁物联网设备安全的漏洞。亚利桑那州立大学的研究团队尝试采用机器学习监视暗网的流量,希望能够发现利用0-day漏洞进行×××的相关数据。通过这种方法,可以及时消除0-day漏洞带来的威胁,防止关键数据泄漏。
结束语
机器学习并不是解决任何问题的灵丹妙药,很多技术还处于概念验证阶段,陷阱也无处不在。现在的机器学习系统(特别是无监督学习方法)还是会产生大量的误报。机器学习工具对一些安全人员来说完全就是个黑盒,对其内在机理和检测能力不甚了了,只能将安全责任盲目交给安全厂商。
此外,大部分的机器学习算法都不是在用户实际环境中开发出来的,机器学习模型都是在厂商的数据环境中训练出来的,部署到用户环境中,具体效果如何还需要实际的检验。而且,机器学习算法设计是否科学、训练模型的数据是否准确,都决定了机器学习技术能否发挥真正的效能。
原文地址:http://blog.51cto.com/13610827/2124782