信息化觀察網(wǎng)

網(wǎng)絡(luò)威脅的復(fù)雜性和數(shù)量都與時俱進(jìn)。然而，傳統(tǒng)的威脅檢測方法不足以確保提供保護(hù)。相應(yīng)地，機(jī)器學(xué)習(xí)已被證明在識別和抵御網(wǎng)絡(luò)攻擊方面非常有效。

機(jī)器學(xué)習(xí)的能力歸功于這三個因素：數(shù)據(jù)、算力和算法。由于性質(zhì)使然，網(wǎng)絡(luò)領(lǐng)域生成大量數(shù)據(jù)。

比如說，公司網(wǎng)絡(luò)可能每天在端點設(shè)備上看到數(shù)十億個IP數(shù)據(jù)包、數(shù)百萬個DNS查詢、解析的URL和執(zhí)行的文件，以及數(shù)億事件(進(jìn)程、連接和I/O)。提取、清理和處理這些數(shù)據(jù)需要龐大的算力，幸好可通過各種基于云的平臺輕松、靈活、低成本地獲得這種算力。同樣，可以使用功能越來越強(qiáng)大的開源機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全算法來抽取復(fù)雜的底層數(shù)學(xué)，以便開發(fā)、調(diào)整和訓(xùn)練復(fù)雜模型。這些因素共同為網(wǎng)絡(luò)安全供應(yīng)商提供了過去無法想象的功能。

通常，網(wǎng)絡(luò)安全供應(yīng)商使用實時客戶數(shù)據(jù)、為吸引攻擊者而設(shè)計的“蜜罐”以及通過在網(wǎng)絡(luò)社區(qū)內(nèi)共享數(shù)據(jù)來訓(xùn)練機(jī)器學(xué)習(xí)模型。

這可以更全面地了解威脅狀況，比如創(chuàng)建模型特征，可能包括文件在整個客戶群中的新鮮度、流行度和使用頻率。供應(yīng)商還使用大量已知類型的惡意軟件和合法文件來訓(xùn)練其模型。訓(xùn)練包括確定文件是不是惡意文件，還常常嘗試對惡意軟件的類型進(jìn)行分類，這對于確定如何修復(fù)或刪除惡意軟件至關(guān)重要。

機(jī)器學(xué)習(xí)的應(yīng)用范圍很廣，包括反惡意軟件、僵尸程序檢測、反欺詐和隱私保護(hù)。令人關(guān)注的是，網(wǎng)絡(luò)安全界使用機(jī)器學(xué)習(xí)存在多個新興挑戰(zhàn)，這使其成為大有潛力的領(lǐng)域。

對抗性AI和機(jī)器學(xué)習(xí)的角色

機(jī)器學(xué)習(xí)因可以訪問龐大數(shù)據(jù)集、快速降低大規(guī)模計算的成本以及強(qiáng)大算法的開源可用性而大眾化，已證明大大地推動了網(wǎng)絡(luò)安全行業(yè)，機(jī)器學(xué)習(xí)也成為了網(wǎng)絡(luò)對手新增的一個重要工具。

比如說，生成式對抗模型用來開發(fā)策略，以減小攻擊被網(wǎng)絡(luò)安全工具識別的風(fēng)險。基于機(jī)器學(xué)習(xí)的行為異常檢測系統(tǒng)可學(xué)習(xí)正常行為，以快速識別異常和可能惡意的活動，但是對手也在開發(fā)惡意軟件，這種惡意軟件可學(xué)習(xí)正常的用戶和系統(tǒng)行為以模仿正常行為，并盡量減小被檢測的風(fēng)險。

機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全系統(tǒng)的有效性可能受到用于訓(xùn)練模型的數(shù)據(jù)的清潔度的嚴(yán)重影響。為此對手可能借助“毒害”攻擊，企圖注入壞的訓(xùn)練數(shù)據(jù)以影響模型錯誤學(xué)習(xí)。這種攻擊呈現(xiàn)多種形式，從生成虛假流量模式到毒害商業(yè)或開源惡意軟件樣本數(shù)據(jù)集，不一而足。

對手已經(jīng)能夠利用旨在防止誤報的機(jī)器學(xué)習(xí)模型來避免被檢測。比如說，攻擊者明白通過將特定的模式嵌入到惡意軟件中，也可以誘騙流行的反惡意軟件產(chǎn)品將代碼列入白名單(將代碼標(biāo)記為合法)，即便是惡意軟件。

使用機(jī)器學(xué)習(xí)建模人類交流模式以開發(fā)更逼真、更有效的網(wǎng)絡(luò)釣魚攻擊，這是另一個值得關(guān)注的對抗例子。自然語言處理和自然語言生成方面的最新技術(shù)(比如Open AI的GPT-3)意味著，很快極難區(qū)別真實通信與合成通信。

機(jī)器學(xué)習(xí)和深度強(qiáng)化學(xué)習(xí)

常規(guī)機(jī)器學(xué)習(xí)技術(shù)用于網(wǎng)絡(luò)安全已大獲成功，尤其是在檢測未知攻擊(又叫零日攻擊)方面。這些技術(shù)在靜態(tài)線性環(huán)境下表現(xiàn)出色。相反，如今復(fù)雜的攻擊場景是動態(tài)的、多途徑、非線性的。僅依靠機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全系統(tǒng)來被動地識別某個攻擊環(huán)節(jié)已遠(yuǎn)遠(yuǎn)不夠。

深度強(qiáng)化學(xué)習(xí)是機(jī)器學(xué)習(xí)領(lǐng)域最令人興奮的主題之一，因為它結(jié)合了深度學(xué)習(xí)技術(shù)(比如卷積神經(jīng)網(wǎng)絡(luò))和強(qiáng)化學(xué)習(xí)。這是DeepMind的AlphaZero取得突破背后的核心方法。將深度強(qiáng)化學(xué)習(xí)應(yīng)用于網(wǎng)絡(luò)安全是應(yīng)對復(fù)雜威脅的關(guān)鍵一步。

深度強(qiáng)化學(xué)習(xí)系統(tǒng)的學(xué)習(xí)有點像人類。它們探索其環(huán)境(在網(wǎng)絡(luò)安全領(lǐng)域指事件空間)，根據(jù)它們采取的行動獲得反饋和獎勵，從而不斷學(xué)習(xí)。事實證明，這種自主方法非常適合復(fù)雜的對抗場景，有出色的有效性、通用性和適應(yīng)性。

機(jī)器學(xué)習(xí)網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)

每年數(shù)百億個新的聯(lián)網(wǎng)設(shè)備上線，未來會有更多。然而，許多這類物聯(lián)網(wǎng)設(shè)備的計算或存儲容量有限，無法運行端點網(wǎng)絡(luò)安全軟件，基于專有固件而建。這些設(shè)備還往往“無外設(shè)”，用戶訪問或更新設(shè)備上運行的軟件的能力有限。由于這些原因，物聯(lián)網(wǎng)設(shè)備顯然很容易遭到網(wǎng)絡(luò)攻擊。

解決該問題的合理方法是在網(wǎng)絡(luò)層面及/或在云端運行物聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)。然而，傳統(tǒng)的基于特征的網(wǎng)絡(luò)安全技術(shù)并非旨在解決物聯(lián)網(wǎng)設(shè)備安全問題。此外，目前大多數(shù)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全產(chǎn)品只是重新包裝的IDS、URL聲譽(yù)或加固版DNS服務(wù)而已。不過，將機(jī)器學(xué)習(xí)應(yīng)用于該領(lǐng)域方面出現(xiàn)了前沿工作。已設(shè)計出了高級模型，只需檢查少量數(shù)據(jù)包就能識別被感染的設(shè)備，從而能夠主動檢測和阻止威脅。

最重要的創(chuàng)新常常出現(xiàn)在周邊學(xué)科領(lǐng)域的交匯處。眼下在機(jī)器學(xué)習(xí)領(lǐng)域和網(wǎng)絡(luò)安全領(lǐng)域都是令人興奮的時期。我們看到機(jī)器學(xué)習(xí)的強(qiáng)大功能被用來推動網(wǎng)絡(luò)領(lǐng)域的重要創(chuàng)新，這些創(chuàng)新最終將幫助我們所有人更安全。